4
Problem Namensauflösung Kerberos und DCOM
Hallo ins weite Rund, kurz vor dem Urlaub mal wieder keine#ahnung ...
Hi nochmal,
ich habe folgende Nettigkeiten kurz vor dem Urlaub:
Setup: SBS 2008
Vor ca. zwei Wochen habe ich zwei Arbeitsstationen (XPpro)durch zwei neue (W7pro_x64) "ersetzt". Alte FQND waren Sprechzimmer 1 bzw. 2.domäne.local, neue PC heissen Sprechzimmer_1N/_2N.domäne.local.
Jetzt habe ich doch (alternierend) Sorgen mit der Systemstabilität der Büchsen bei der Arbeit im Netz. Vorweg: die alten PC habe ich nur zur Seite gestellt und noch nicht aus der Domäne "ausgetreten", ergo sind sie auch noch in der AD registriert.
Jetzt bekomme ich zunehmend eine Kerberos-Fehlermeldung: ID: 4, Quelle: Security-Kerberos
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "sprechzimmer_2n$" empfangen. Der verwendete Zielname war RPCSS/Sprechzimmer2.xxx.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (xxx.LOCAL) von der Clientdomäne (xxx.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Was mir auffällt, ist der Unterschied zwischen PC-Namen (neu) und Zielnamen (alt). Danach kommen Fehlermeldung aus DCOM:
ID: 10009 Quelle: DistributedCOM
DCOM konnte mit dem Computer "Sprechzimmer2.xxx.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Auch hier wird ein Computer angesprochen, der aktuell gar nicht (mehr) im Netz ist???
DNS läuft ohne Fehlermeldung, nslookup ist von beiden PC auf den Server und umgekehrt möglich.
Meine Frage:
Habe ich da ein Syntaxproblem bei der Taufe der neuen PC gemacht (lösst der DNS stellenweise den Unterstrich nicht auf und ignoriert das "N" nach der Ziffer?? Kann ich mir eigentlich nicht vorstellen, aber ... keine#ahnung halt
Für Anregungen wäre ich dankbar, insbesondere wenn Sie mich vor dem Austritt der neuen PC und Neubennenung bewahren (meine Praxisverwaltung ist schlimmer als das Fratzenbuch, die merkt sich unauslöschlich jeden einmal angemeldeten PC ...
Danke und LG, Thomas
Hi nochmal,
ich habe folgende Nettigkeiten kurz vor dem Urlaub:
Setup: SBS 2008
Vor ca. zwei Wochen habe ich zwei Arbeitsstationen (XPpro)durch zwei neue (W7pro_x64) "ersetzt". Alte FQND waren Sprechzimmer 1 bzw. 2.domäne.local, neue PC heissen Sprechzimmer_1N/_2N.domäne.local.
Jetzt habe ich doch (alternierend) Sorgen mit der Systemstabilität der Büchsen bei der Arbeit im Netz. Vorweg: die alten PC habe ich nur zur Seite gestellt und noch nicht aus der Domäne "ausgetreten", ergo sind sie auch noch in der AD registriert.
Jetzt bekomme ich zunehmend eine Kerberos-Fehlermeldung: ID: 4, Quelle: Security-Kerberos
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "sprechzimmer_2n$" empfangen. Der verwendete Zielname war RPCSS/Sprechzimmer2.xxx.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (xxx.LOCAL) von der Clientdomäne (xxx.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Was mir auffällt, ist der Unterschied zwischen PC-Namen (neu) und Zielnamen (alt). Danach kommen Fehlermeldung aus DCOM:
ID: 10009 Quelle: DistributedCOM
DCOM konnte mit dem Computer "Sprechzimmer2.xxx.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Auch hier wird ein Computer angesprochen, der aktuell gar nicht (mehr) im Netz ist???
DNS läuft ohne Fehlermeldung, nslookup ist von beiden PC auf den Server und umgekehrt möglich.
Meine Frage:
Habe ich da ein Syntaxproblem bei der Taufe der neuen PC gemacht (lösst der DNS stellenweise den Unterstrich nicht auf und ignoriert das "N" nach der Ziffer?? Kann ich mir eigentlich nicht vorstellen, aber ... keine#ahnung halt
Für Anregungen wäre ich dankbar, insbesondere wenn Sie mich vor dem Austritt der neuen PC und Neubennenung bewahren (meine Praxisverwaltung ist schlimmer als das Fratzenbuch, die merkt sich unauslöschlich jeden einmal angemeldeten PC ...
Danke und LG, Thomas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186080
Url: https://administrator.de/forum/problem-namensaufloesung-kerberos-und-dcom-186080.html
Ausgedruckt am: 12.04.2025 um 00:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Schau mal in deinem DNS nach, da ist bestimmt noch ein Eintrag der auf die Alten XP-PC's hinweist und einer der Neuen hat aber jetzt die IP des alten PC's bekommen.
Du musst bei den neuen PC's in der Forward Lookup Zone ein Häckchen bei "entsprechenden Zeigereintrag (PTR) setzen" reinmachen, dann sollte alles wieder funktionieren.
Grüße
Schau mal in deinem DNS nach, da ist bestimmt noch ein Eintrag der auf die Alten XP-PC's hinweist und einer der Neuen hat aber jetzt die IP des alten PC's bekommen.
Du musst bei den neuen PC's in der Forward Lookup Zone ein Häckchen bei "entsprechenden Zeigereintrag (PTR) setzen" reinmachen, dann sollte alles wieder funktionieren.
Grüße
Hi,
danke für den Tipp. Bin momentan nicht in der Praxis. Ich werde am Nachmittag die alten Kisten austreten lassen und aus der AD schmeissen, den "PTR aktualisieren Haken" hatte ich schon drin.
Mal schauen, ich melde mich, sowie ich die Rentner aus der AD gekickt habe.
LG, Thomas
danke für den Tipp. Bin momentan nicht in der Praxis. Ich werde am Nachmittag die alten Kisten austreten lassen und aus der AD schmeissen, den "PTR aktualisieren Haken" hatte ich schon drin.
Mal schauen, ich melde mich, sowie ich die Rentner aus der AD gekickt habe.
LG, Thomas
So,
ich habe die "alten" Rechner aus der Domäne abgemeldet, die Einträge in der AD und im DNS-Manager entfernt. Problem war wohl tatsächlich, dass ich den alten PC "2" vor dem letzten Herunterfahren nicht auf DHCP gesetzt habe, und damit die statische IP für den alten und den neuen client im DNS gelistet war.
Die Kerberos-/DCOM-events scheinen nicht mehr aufzutauchen.
Ein Problem habe ich jedoch noch: ich bekomme für den "Nachfolger" des PC "2" keine Namensauflösung der IP im nslookup, kann jedoch die IP über den Namen auflösen. Kann es sein, dass die Änderungen noch nicht im gesamten System angekommen sind (Neustart des SBS kann ich im laufenden Betrieb nicht machen). Die event-logs am Server sind sowohl im Bereich des Systems als auch im Bereich DNS sauber ... Allerdings steht der PC auch (noch???) nicht in der reverse lookup zone.
LG, Thomas
ich habe die "alten" Rechner aus der Domäne abgemeldet, die Einträge in der AD und im DNS-Manager entfernt. Problem war wohl tatsächlich, dass ich den alten PC "2" vor dem letzten Herunterfahren nicht auf DHCP gesetzt habe, und damit die statische IP für den alten und den neuen client im DNS gelistet war.
Die Kerberos-/DCOM-events scheinen nicht mehr aufzutauchen.
Ein Problem habe ich jedoch noch: ich bekomme für den "Nachfolger" des PC "2" keine Namensauflösung der IP im nslookup, kann jedoch die IP über den Namen auflösen. Kann es sein, dass die Änderungen noch nicht im gesamten System angekommen sind (Neustart des SBS kann ich im laufenden Betrieb nicht machen). Die event-logs am Server sind sowohl im Bereich des Systems als auch im Bereich DNS sauber ... Allerdings steht der PC auch (noch???) nicht in der reverse lookup zone.
LG, Thomas
Letzter Kommentar,
jetzt hat sich die Büchse in die reverse zone eingetragen - tempura curat omnia
Herzlichen Dank an Haumiblau und
LG, Thomas
jetzt hat sich die Büchse in die reverse zone eingetragen - tempura curat omnia
Herzlichen Dank an Haumiblau und
LG, Thomas
