12
Kerberos Fehler: EventId 673, Quelle: Security
Unerklärliche Sicherheitsmeldung im Log. Wo kommt die her, wo verwende ich überhaupt Kerberos?
Hi all,
im Sicherheitslog meines SBS 2003 Server taucht immer wieder (rund 80/Tag) die Meldung auf:
Dienstticketanforderung:
Benutzername:
Benutzerdomäne: XXX.LOCAL
Dienstname: host/XXX.local
Dienstkennung: -
Ticketoptionen: 0x40830000
Ticketverschlüsselungstyp: -
Clientadresse: 127.0.0.1
Fehlercode: 0xD
Anmelde-GUID: -
Übertragene Dienste: -
Ich kann damit leider überhaupt nichts anfange. Sie ist aber lästig weil sich doch sehr oft auftaucht. Kann mir da jemand helfen?
Danke und beste Grüße, Fred
Hi all,
im Sicherheitslog meines SBS 2003 Server taucht immer wieder (rund 80/Tag) die Meldung auf:
Dienstticketanforderung:
Benutzername:
Benutzerdomäne: XXX.LOCAL
Dienstname: host/XXX.local
Dienstkennung: -
Ticketoptionen: 0x40830000
Ticketverschlüsselungstyp: -
Clientadresse: 127.0.0.1
Fehlercode: 0xD
Anmelde-GUID: -
Übertragene Dienste: -
Ich kann damit leider überhaupt nichts anfange. Sie ist aber lästig weil sich doch sehr oft auftaucht. Kann mir da jemand helfen?
Danke und beste Grüße, Fred
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8354
Url: https://administrator.de/forum/kerberos-fehler-eventid-673-quelle-security-8354.html
Ausgedruckt am: 02.02.2025 um 14:02 Uhr
12 Kommentare
Neuester Kommentar
Kerberos ist ein Ticketbasiertes Authentifizierungsprotokoll für Windows 2000/2003 Server.
Für Deinen Fehler gibt es ein seit kurzem veröffentlichtes Hotfix
http://support.microsoft.com/kb/824905/en-us
Für Deinen Fehler gibt es ein seit kurzem veröffentlichtes Hotfix
http://support.microsoft.com/kb/824905/en-us
Hi,
Fehler 673 bedeutet generell, daß ein Kerberos-TGT (Ticket Granting Ticket) erneuert wird.
0xD bedeutet "KDC cannot accommodate requested option (KDC_ERR_BADOPTION)" - ein Client versucht, eine anonyme Verbindung (Nullsession) herzustellen und diese wird verweigert. Folgt dieser eine Erfolgsmeldung für den gleichen Client, so müssen diese Meldungen nicht beachtet werden. Falls es immer die gleichen Clients sein sollten, kann man auf diesen nach Fehlern suchen.
In Deinem Fall ist der Client der DC selbst - sind irgendwelche Taskjobs, Substitutes oder Laufwerksverbindungen auf dem DC selbst definiert? Ist jemand lokal angemeldet? Sind evtl. irgendwo noch Accounts eingetragen, die bereits gelöscht wurden?
Wie sieht es bei Euch mit der Zeitsynchronisation aus - stimmt die Zeit auf dem DC mit denen der Clients überein? Kerberos ist abhängig von korrekten Timestamps.
Ansonsten gibt es hierzu Hotfix 824905, dieser muß explizit angefordert werden und hilft aber anscheinend auch nicht immer.. http://support.microsoft.com/kb/824905/en-us
Du könntest folgendes versuchen: trag mal in das hosts-File auf dem DC folgendes ein und prüf, ob der Fehler weiterhin auftritt:
Ansonsten check bitte mal DNS und WINS, ob die Fwd/Rev-Zeiger für 127.0.0.1, den DC selbst, die Domäne etc. korrekt sind.
Grüße,
fritzo
Fehler 673 bedeutet generell, daß ein Kerberos-TGT (Ticket Granting Ticket) erneuert wird.
0xD bedeutet "KDC cannot accommodate requested option (KDC_ERR_BADOPTION)" - ein Client versucht, eine anonyme Verbindung (Nullsession) herzustellen und diese wird verweigert. Folgt dieser eine Erfolgsmeldung für den gleichen Client, so müssen diese Meldungen nicht beachtet werden. Falls es immer die gleichen Clients sein sollten, kann man auf diesen nach Fehlern suchen.
In Deinem Fall ist der Client der DC selbst - sind irgendwelche Taskjobs, Substitutes oder Laufwerksverbindungen auf dem DC selbst definiert? Ist jemand lokal angemeldet? Sind evtl. irgendwo noch Accounts eingetragen, die bereits gelöscht wurden?
Wie sieht es bei Euch mit der Zeitsynchronisation aus - stimmt die Zeit auf dem DC mit denen der Clients überein? Kerberos ist abhängig von korrekten Timestamps.
Ansonsten gibt es hierzu Hotfix 824905, dieser muß explizit angefordert werden und hilft aber anscheinend auch nicht immer.. http://support.microsoft.com/kb/824905/en-us
Du könntest folgendes versuchen: trag mal in das hosts-File auf dem DC folgendes ein und prüf, ob der Fehler weiterhin auftritt:
127.0.0.1 host
127.0.0.1 host/XXX.LOCAL
127.0.0.1 host.XXX.LOCAL
127.0.0.1 host@XXX.LOCAL Ansonsten check bitte mal DNS und WINS, ob die Fwd/Rev-Zeiger für 127.0.0.1, den DC selbst, die Domäne etc. korrekt sind.
Grüße,
fritzo
Für Deinen Fehler gibt es ein seit
kurzem veröffentlichtes Hotfix
http://support.microsoft.com/kb/824905/en-us
kurzem veröffentlichtes Hotfix
http://support.microsoft.com/kb/824905/en-us
@samti - ich schreibe zu langsam oder zu viel oder beides; Du warst schneller
sorry!!! 
dafür ist Deine Antwort viel hübscher!
dafür ist Deine Antwort viel hübscher!
Hi,
danke für die raschen Feedbacks - vor allem das ausführliche letzte. Ich werd die angegebenen Dinge kontrollieren - und wenns nichts fruchtet, hol ich mir den MS Patch. Sobald ich neue Erkenntnisse hab geb ich hier wieder Bescheid, damit ihr wisst wie es ausgegangen ist.
Danke, Beste Grüße, Fred
danke für die raschen Feedbacks - vor allem das ausführliche letzte. Ich werd die angegebenen Dinge kontrollieren - und wenns nichts fruchtet, hol ich mir den MS Patch. Sobald ich neue Erkenntnisse hab geb ich hier wieder Bescheid, damit ihr wisst wie es ausgegangen ist.
Danke, Beste Grüße, Fred
sorry!!!
dafür ist Deine Antwort viel
hübscher!
dafür ist Deine Antwort viel
hübscher!
Dafür ist wahrscheinlich bei Deiner Antwort der Poster viel hübscher *grins* Hab mich vor drei Tagen beim Fahrradfahren auf die Nase gelegt und meinen Fall mit Gesicht und Schulter abgebremst - ich sag ja man soll nur zu Hause trinken x-)
*AUTSCH*
Du Ärmster!!!
Open-Air sollte man nur mit einem Cabrio ausleben.... nicht mit einem Fahrrad
Du Ärmster!!!
Open-Air sollte man nur mit einem Cabrio ausleben.... nicht mit einem Fahrrad
Hi,
ich hab das leider noch immer. Mittlerweile hab ich zumindest darauf geachtet wann die genau kommen: periodisch, alle 15 Minuten (darauf hätt ich auch gleich schauen können). Im Scheduler hab ich allerdings nichts, was mit dieser Frequenz läuft.
Hat jemand von euch eine Idee wie ich rausfinden kann wer oder was da alle 15 Minuten diesen Fehler verursacht?
LG, Fred
ich hab das leider noch immer. Mittlerweile hab ich zumindest darauf geachtet wann die genau kommen: periodisch, alle 15 Minuten (darauf hätt ich auch gleich schauen können). Im Scheduler hab ich allerdings nichts, was mit dieser Frequenz läuft.
Hat jemand von euch eine Idee wie ich rausfinden kann wer oder was da alle 15 Minuten diesen Fehler verursacht?
LG, Fred
Hast Du schon alles, was genannt wurde, durchgetestet?
Hab die Liste der Vorschläge gerade noch mal durchgegangen, und gemerkt, das ich folgendes noch nicht gemacht hab:
"check bitte mal DNS und WINS, ob die Fwd/Rev-Zeiger für 127.0.0.1, den DC selbst, die Domäne etc. korrekt sind. "
Auch wenn die Frage blöd klingt: Was? Wo/Wie muss ich das machen?
Ich hab jetzt auch gerade gesehen, das diese Problem anscheinen im SP1 behoben ist. Vielleicht sollte ich einfach das SP installieren.... habt ihr damit schon Erfahrung?
LG, Fred
"check bitte mal DNS und WINS, ob die Fwd/Rev-Zeiger für 127.0.0.1, den DC selbst, die Domäne etc. korrekt sind. "
Auch wenn die Frage blöd klingt: Was? Wo/Wie muss ich das machen?
Ich hab jetzt auch gerade gesehen, das diese Problem anscheinen im SP1 behoben ist. Vielleicht sollte ich einfach das SP installieren.... habt ihr damit schon Erfahrung?
LG, Fred
Hi,
vorab schon mal als erstes:
falls Du mit dem Update das SP1 für Windows Server 2003 meinst - NO GO, vor allem für den SBS (MS hat das Autoupdate für SP1 im Zusammenhang mit SBS erstmal wieder rausgenommen, es wird ein eigenes SP für SBS geben! Ansonsten sind zumindest ausgiebige Tests angesagt. Such mal hier im Forum nach Threads, da findet sich einiges darüber.
Falls Du Windows XP gemeint haben solltest - da wäre ich zumindest ein bißchen vorsichtig, mach vorher Tests. Aber ich denke, daß Du erstmal weitersuchen solltest statt direkt das SP auszurollen.
Die Frage klingt nicht blöd - warte erst mal die Antwort ab *grins*
Ok, es gibt folgende Dosbox-Tools:
-für DNS nslookup
-für WINS ping
und ansonsten die MMC-Adminkonsolen für DNS:
und WINS:
(klick einfach hier im Thread drauf und dann sollten sie starten, vorausgesetzt, Du hast 1. das Adminpack auf Deiner XP-Workstation installiert - das machst Du vom Laufwerk des DCs mit
und 2. Dein Browser lässt das Starten dieser Links zu - falls nicht, kopier die Links in die Kommandozeile und starte sie von da aus oder gib dort einfach dnsmgmt.msc und winmgmt.msc ein).
Den Umgang damit lernst Du mittels Online-Hilfe, Googeln nach geeigneten Artikeln und etc. pp. Du kannst auch ruhig hier fragen, wenn Du nicht zurecht kommst. Schau Dir die Tools und ein paar Manuals dazu erstmal an und frag dann nach, wenn Du etwas nicht verstehst.
Viele Grüße,
Arne (fritzo)
vorab schon mal als erstes:
falls Du mit dem Update das SP1 für Windows Server 2003 meinst - NO GO, vor allem für den SBS (MS hat das Autoupdate für SP1 im Zusammenhang mit SBS erstmal wieder rausgenommen, es wird ein eigenes SP für SBS geben! Ansonsten sind zumindest ausgiebige Tests angesagt. Such mal hier im Forum nach Threads, da findet sich einiges darüber.
Falls Du Windows XP gemeint haben solltest - da wäre ich zumindest ein bißchen vorsichtig, mach vorher Tests. Aber ich denke, daß Du erstmal weitersuchen solltest statt direkt das SP auszurollen.
"check bitte mal DNS und WINS, ob die
Fwd/Rev-Zeiger für 127.0.0.1, den DC
selbst, die Domäne etc. korrekt sind.
Fwd/Rev-Zeiger für 127.0.0.1, den DC
selbst, die Domäne etc. korrekt sind.
Auch wenn die Frage blöd klingt: Was?
Wo/Wie muss ich das machen?
Wo/Wie muss ich das machen?
Die Frage klingt nicht blöd - warte erst mal die Antwort ab *grins*
Ok, es gibt folgende Dosbox-Tools:
-für DNS nslookup
-für WINS ping
und ansonsten die MMC-Adminkonsolen für DNS:
<a href="file://%SystemRoot%/system32/dnsmgmt.msc">dnsmgmt.msc</a> <a href="file://%SystemRoot%/system32/winsmgmt.msc">winsmgmt.msc</a> \\SERVERNAME\c$\windows\system32\adminpak.msi und 2. Dein Browser lässt das Starten dieser Links zu - falls nicht, kopier die Links in die Kommandozeile und starte sie von da aus oder gib dort einfach dnsmgmt.msc und winmgmt.msc ein).
Den Umgang damit lernst Du mittels Online-Hilfe, Googeln nach geeigneten Artikeln und etc. pp. Du kannst auch ruhig hier fragen, wenn Du nicht zurecht kommst. Schau Dir die Tools und ein paar Manuals dazu erstmal an und frag dann nach, wenn Du etwas nicht verstehst.
Viele Grüße,
Arne (fritzo)
und ansonsten kriegst Du auch mit dem dosbox-Tool "netdiag" viel raus
Grüße,
fritzo
Grüße,
fritzo
