bpeter
Goto Top

DNS Client Event ID 8019

Hallo,
an 2 Windows Servern in unserer DMZ erscheint diese Meldung, sobald ich ipconfig -registerdns eingebe:

The system failed to register host (A or AAAA) resource records (RRs) for network adapter
with settings:

Adapter Name : {xxx}
Host Name : xxx
Primary Domain Suffix : xxx
DNS server list :
x,x
Sent update to server : xxx
IP Address(es) :
xxx

The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.

You can manually retry DNS registration of the network adapter and its settings by typing 'ipconfig /registerdns' at the command prompt. If problems still persist, contact your DNS server or network systems administrator. See event details for specific error code information.


Beide Server wurden von unserem DNS Aufräumprozess entfernt und konnten sich nicht mehr selbst registrieren (A als auch PTR). Was alle anderen Server können.
Port 53 ist aus der DMZ erreichbar. DNS löst auch auf dem Server aus. IP ist statisch vergeben


Wo liegt das Problem? An der Firewall oder am DNS? Jemand eine Idee?

Im Voraus vielen Dank
Peter
dns-8019

Content-ID: 668511

Url: https://administrator.de/contentid/668511

Printed on: October 15, 2024 at 06:10 o'clock

Bella21
Bella21 Oct 01, 2024 at 13:22:42 (UTC)
Goto Top
Hallo,

ich tippe Berechtigungsproblem auf dem DNS-Server.
BPeter
BPeter Oct 01, 2024 updated at 13:39:56 (UTC)
Goto Top
Hi,
dachte ich mir auch. Habe dem Computerobjekt Vollzugriff auf die Zone gegeben. Leider gleiche Fehlermeldung. Im Eventlog vom DNS wird nichts dergleichen protokolliert. Alle anderen Windowsserver haben kein Problem mit dem Registrieren und erneuern.
emeriks
emeriks Oct 01, 2024 at 14:07:16 (UTC)
Goto Top
Hi,
sind diese Server Domänenmitglieder? Im selben Forest wir der DNS-Server?
Dynamisches Update an DNS-Zone auf "nur sichere" eingeschränkt?

E.
BPeter
BPeter Oct 01, 2024 at 14:21:03 (UTC)
Goto Top
Hi,
alles ja. Nichts andere als die anderen Servern, außer ein anderer IP-Bereich. Das kommt aber nur beim PTR zum tragen.
emeriks
emeriks Oct 01, 2024 at 15:58:06 (UTC)
Goto Top
OK.

an 2 Windows Servern in unserer DMZ
Dann stell mal sicher, dass sich diese Server selbst an der Domäne anmelden können.

Es könnte sein, dass diese Server sich schon lange nicht mehr bei der Domäne gemeldet haben, weil die Firewall das nicht zulässt. Dann wäre das Passwort des Computerkontos abgelaufen und dadurch die Vertrauensstellung zwischen Memberserver und Domäne nicht mehr gegeben. Der Benutzer kann sich dann bloß deshalb noch anmelden, weil der Benutzer schon mal an diesem Server angemeldet war und der Server keinen Kontakt zur Domäne hat.
Wenn der Server sich nicht an der Domäne anmelden kann, dann gilt er beim Versuch des DNS-Updates als "nicht sicher" (Du hast ja "nur sichere" Aktualisierungen erlaubt).

Testen kannst Du das z.B., in dem Du versuchst, Dich mit einem Benutzer an Server anzumelden, welcher noch nie an diesem angemeldet war.

E.
BPeter
BPeter Oct 02, 2024 at 06:29:55 (UTC)
Goto Top
Moin,
ich hatte schon im AD Lastlogon des Computerobjektes kontrolliert. Er war aktuell. Habe mich jetzt auch noch mit einem User angemeldet, der dort noch nie angemeldet war.
Das hatte ich auch schon im Verdacht, dass auf der Firewall die Verbindung zum AD geblockt wird.
emeriks
emeriks Oct 02, 2024 updated at 06:55:10 (UTC)
Goto Top
Noch ne Idee.
Schau mit ADSIEDIT in die AD-Partition mit den DNS-Zonen-Daten. Ich hatte es schon öfters, dass in der DNS-Konsole bereits gelöschte und in dieser nicht mehr angezeigte Records in der AD-Partition noch als Objekt existierten und deshalb "blockiert" waren.

Je nachdem, wohin diese Zone repliziert wird, findest Du das unter

Wenn in Domäne
DC=ZONENNAME,CN=MicrosoftDNS,CN=DomainDnsZones,DC=domain,DC=tld

Wenn im Forest
DC=ZONENNAME,CN=MicrosoftDNS,CN=ForestDnsZones,CN=Configuration,DC=domain,DC=tld

Wenn in Applikationspartition
DC=ZONENNAME,CN=MicrosoftDNS,DC=PARTITIONNAME,DC=domain,DC=tld
BPeter
BPeter Oct 02, 2024 at 09:31:10 (UTC)
Goto Top
"Leider" sieht das alles gut aus. Die Einträge sind aktuell. Unsere Firewall Admins wollen sich das ganze jetzt noch anschauen. Evtl. wird doch noch etwas geblockt, weil es über einen anderen Weg geht.
Vielleicht gibt es hier noch eine Idee, ansonsten würde ich auf die Firewall warten.

Vielen Dank
Peter
emeriks
emeriks Oct 02, 2024 at 13:00:08 (UTC)
Goto Top
Welche Einträge sehen OK aus? Es sollten für diese Server doch keine da sein? Oder warum willst Du diese registrieren wenn doch schon vorhanden?
BPeter
BPeter Oct 02, 2024 updated at 13:35:58 (UTC)
Goto Top
Ich habe sie nachher statisch eingetragen, damit alles funktioniert.
Zum Testen gelöscht, in der ForestDNSZones mittels adsiedit nachgeschaut, dort waren sie nicht sichtbar. Dann wieder ipconfig -registerdns ausgeführt, gleiche Fehlermeldung.