DNS Client Event ID 8019
Hallo,
an 2 Windows Servern in unserer DMZ erscheint diese Meldung, sobald ich ipconfig -registerdns eingebe:
The system failed to register host (A or AAAA) resource records (RRs) for network adapter
with settings:
Adapter Name : {xxx}
Host Name : xxx
Primary Domain Suffix : xxx
DNS server list :
x,x
Sent update to server : xxx
IP Address(es) :
xxx
The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.
You can manually retry DNS registration of the network adapter and its settings by typing 'ipconfig /registerdns' at the command prompt. If problems still persist, contact your DNS server or network systems administrator. See event details for specific error code information.
Beide Server wurden von unserem DNS Aufräumprozess entfernt und konnten sich nicht mehr selbst registrieren (A als auch PTR). Was alle anderen Server können.
Port 53 ist aus der DMZ erreichbar. DNS löst auch auf dem Server aus. IP ist statisch vergeben
Wo liegt das Problem? An der Firewall oder am DNS? Jemand eine Idee?
Im Voraus vielen Dank
Peter
an 2 Windows Servern in unserer DMZ erscheint diese Meldung, sobald ich ipconfig -registerdns eingebe:
The system failed to register host (A or AAAA) resource records (RRs) for network adapter
with settings:
Adapter Name : {xxx}
Host Name : xxx
Primary Domain Suffix : xxx
DNS server list :
x,x
Sent update to server : xxx
IP Address(es) :
xxx
The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.
You can manually retry DNS registration of the network adapter and its settings by typing 'ipconfig /registerdns' at the command prompt. If problems still persist, contact your DNS server or network systems administrator. See event details for specific error code information.
Beide Server wurden von unserem DNS Aufräumprozess entfernt und konnten sich nicht mehr selbst registrieren (A als auch PTR). Was alle anderen Server können.
Port 53 ist aus der DMZ erreichbar. DNS löst auch auf dem Server aus. IP ist statisch vergeben
Wo liegt das Problem? An der Firewall oder am DNS? Jemand eine Idee?
Im Voraus vielen Dank
Peter
Please also mark the comments that contributed to the solution of the article
Content-ID: 668511
Url: https://administrator.de/contentid/668511
Printed on: October 15, 2024 at 06:10 o'clock
10 Comments
Latest comment
OK.
Es könnte sein, dass diese Server sich schon lange nicht mehr bei der Domäne gemeldet haben, weil die Firewall das nicht zulässt. Dann wäre das Passwort des Computerkontos abgelaufen und dadurch die Vertrauensstellung zwischen Memberserver und Domäne nicht mehr gegeben. Der Benutzer kann sich dann bloß deshalb noch anmelden, weil der Benutzer schon mal an diesem Server angemeldet war und der Server keinen Kontakt zur Domäne hat.
Wenn der Server sich nicht an der Domäne anmelden kann, dann gilt er beim Versuch des DNS-Updates als "nicht sicher" (Du hast ja "nur sichere" Aktualisierungen erlaubt).
Testen kannst Du das z.B., in dem Du versuchst, Dich mit einem Benutzer an Server anzumelden, welcher noch nie an diesem angemeldet war.
E.
an 2 Windows Servern in unserer DMZ
Dann stell mal sicher, dass sich diese Server selbst an der Domäne anmelden können.Es könnte sein, dass diese Server sich schon lange nicht mehr bei der Domäne gemeldet haben, weil die Firewall das nicht zulässt. Dann wäre das Passwort des Computerkontos abgelaufen und dadurch die Vertrauensstellung zwischen Memberserver und Domäne nicht mehr gegeben. Der Benutzer kann sich dann bloß deshalb noch anmelden, weil der Benutzer schon mal an diesem Server angemeldet war und der Server keinen Kontakt zur Domäne hat.
Wenn der Server sich nicht an der Domäne anmelden kann, dann gilt er beim Versuch des DNS-Updates als "nicht sicher" (Du hast ja "nur sichere" Aktualisierungen erlaubt).
Testen kannst Du das z.B., in dem Du versuchst, Dich mit einem Benutzer an Server anzumelden, welcher noch nie an diesem angemeldet war.
E.
Noch ne Idee.
Schau mit ADSIEDIT in die AD-Partition mit den DNS-Zonen-Daten. Ich hatte es schon öfters, dass in der DNS-Konsole bereits gelöschte und in dieser nicht mehr angezeigte Records in der AD-Partition noch als Objekt existierten und deshalb "blockiert" waren.
Je nachdem, wohin diese Zone repliziert wird, findest Du das unter
Wenn in Domäne
DC=ZONENNAME,CN=MicrosoftDNS,CN=DomainDnsZones,DC=domain,DC=tld
Wenn im Forest
DC=ZONENNAME,CN=MicrosoftDNS,CN=ForestDnsZones,CN=Configuration,DC=domain,DC=tld
Wenn in Applikationspartition
DC=ZONENNAME,CN=MicrosoftDNS,DC=PARTITIONNAME,DC=domain,DC=tld
Schau mit ADSIEDIT in die AD-Partition mit den DNS-Zonen-Daten. Ich hatte es schon öfters, dass in der DNS-Konsole bereits gelöschte und in dieser nicht mehr angezeigte Records in der AD-Partition noch als Objekt existierten und deshalb "blockiert" waren.
Je nachdem, wohin diese Zone repliziert wird, findest Du das unter
Wenn in Domäne
DC=ZONENNAME,CN=MicrosoftDNS,CN=DomainDnsZones,DC=domain,DC=tld
Wenn im Forest
DC=ZONENNAME,CN=MicrosoftDNS,CN=ForestDnsZones,CN=Configuration,DC=domain,DC=tld
Wenn in Applikationspartition
DC=ZONENNAME,CN=MicrosoftDNS,DC=PARTITIONNAME,DC=domain,DC=tld