Jump to content
Sign in to follow this  
Cryer

Diverse Fehlermedungen und Warnungen im Ereignisprotokoll

Recommended Posts

Ich habe mir einen Windows Server 2008 R2 aufgesetzt und neben Active Directory auch DNS und DHCP eingerichtet. Es handelt sich dabei um eine Neuinstallation in einer Testumgebung. Bevor ich nun weiter mache, wollte ich erst einmal im Ereignisprotokoll für Ordnung schaffen. Einige Fehler konnte ich beheben, aber die Folgenden blieben übrig und ich hoffe, dass ihr mir helfen könnt:

Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten.

Quelle: DfsSvc

 

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.meinefirma.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Quelle: DNS Client Events

 

Vermutlich habe ich irgend einen Fehler bei der Einrichtung des DNS Servers gemacht. Die Reverse-Lookupzone und den Zeiger (PTR) habe ich erstellt (Zeiger zeigt auf die IP des Servers) Internet funktioniert auch soweit

 

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/WIN-F5FUUFJ1OAU.meinefirma.local; WSMAN/WIN-F5FUUFJ1OAU.

 

Zusätzliche Daten

Empfangener Fehler: 8344: %%8344.

 

Benutzeraktion

Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

Quelle: Windows Remote Management

 

In diesem Beitrag habe ioch schon gelesen, dass man wohl mit den Windows Server 2003 Support-Tools nachhelfen muss. Mich würde erstens interessieren, was SPNs sind und zweitens, warum man auf einem 2008er-Server Tools für den 2003er Server verwenden soll/muss? Kann man die Warnung auch anders beheben?

 

Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
Quelle: Kerberos-Key-Distribution-Center

 

Zu diesem Fehler habe ich schon festgestellt, dass es sich dabei wohl um ein "by Design"-Fehler handelt. Kann man die Warnung wirklich gar nicht beheben? Ich hätte so gerne ein sauberes Ereignisprotokoll

 

Die Active Directory-Domänendienste haben im Rahmen der Initialisierung mehrere möglicherweise beschädigte Indizes ermittelt und gelöscht.

 

Diese gelöschten Indizes werden neu erstellt.

Quelle: ActiveDirectory_DomainService

 

Super, noch rein gar nichts mit Active Directory gemacht, aber schon die ersten Warnungen.

 

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.
Quelle: DNS-Server-Service Edited by Cryer

Share this post


Link to post

Hopple, Mein Beitrag wird zu lang, deswegen muss ich einen Zweiten aufmachen.

 

Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
Quelle: DHCP-Server

 

Jetzt müsste man wissen, wie die IPv6-Adresse von 192.168.2.100 (oder 127.0.0.1) ist, die Subnetptäfixlänge, die IPV6-Adresse vom Standardgateway und die IPv6-Adresse vom DNS-Server (Also wieder 192.168.2.100 (oder 127.0.0.1)). Da ich mich mit IPv6 aber noch gar nicht befasst habe kann ich das vermutlich auch selbst herausfinden. Wenn es mir aber jemand sagt wäre ich auch nicht böse. Ich vermute ohnehin, dass ich selbst beim richtigen Eintragen der Daten eine Warnung oder einen Fehler bekommen würde, da mein Router (Speedport 721V) kein IPv6 kann (zumindest nicht das ich wüsste) Wäre es vielleicht das Einfachste das IPv6-Protokoll einfach zu löschen? Das wäre zwar nicht die feinste aller Lösungen, aber da IPv6 momentan noch nicht wirklich zum Einsatz kommt und ich damit die Warnung los wäre, warum nicht?

Share this post


Link to post

Ich habe den Server neu installiert. Bislang habe ich trotzdem noch folgende Fehler und Warnungen:

 

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/WIN-F5FUUFJ1OAU.meinefirma.local; WSMAN/WIN-F5FUUFJ1OAU.

 

Zusätzliche Daten

Empfangener Fehler: 8344: %%8344.

 

Benutzeraktion

Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

 

Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten.

 

Der DHCP-Dienst wird auf einem Domänencontroller ausgeführt und verfügt über keine Anmeldeinformationen, die für die Verwendung mit dynamischen DNS-Registrierungen, die vom DHCP-Dienst initialisiert sind, konfiguriert sind. Dies ist keine empfohlene Sicherheitskonfiguration. Anmeldeinformationen für dynamische DNS-Registrierungen können an der Befehlszeile mit "netsh dhcp server set dnscredentials" oder mithilfe des DHCP-Verwaltungsprogramms konfiguriert werden.
Den Befehl "netsh dhcp server set dnscredentials" habe ich schon ausgeführt und die Eingabeaufforderung war zwar kurz zu sehen, aber das Problem wurde nicht gelöst.

 

Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
Was sind den lokale IPv6-Adressen. Ich finde irgendwie keine so rechte Anleitung oder Tutorial im Internet, was mir da weiterhilft und mir das Thema einfach erklärt näher bringt.

 

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.meinefirma.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Share this post


Link to post
Der DHCP-Dienst wird auf einem Domänencontroller ausgeführt und verfügt über keine Anmeldeinformationen, die für die Verwendung mit dynamischen DNS-Registrierungen, die vom DHCP-Dienst initialisiert sind, konfiguriert sind. Dies ist keine empfohlene Sicherheitskonfiguration. Anmeldeinformationen für dynamische DNS-Registrierungen können an der Befehlszeile mit "netsh dhcp server set dnscredentials" oder mithilfe des DHCP-Verwaltungsprogramms konfiguriert werden.

Hi,

 

verwende hier die DHCP MMC, wenn es mit dem netsh Befehl nicht geklappt hat.

 

Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.

Wenn du kein IPv6 verwendest, kannst du diese Warnung ignorieren.

 

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.meinefirma.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Warnung oder Fehler, wenn es eine Warnung ist dann kannst du diese in deiner Testumgebung ignorieren, da ja nur ein DC / DNS-Server vorhanden ist. Aber trotzdem welche IP hast du in den TCP/IP-Einstellungen für den DNS-Server hinterlegt?

Share this post


Link to post
Aber trotzdem welche IP hast du in den TCP/IP-Einstellungen für den DNS-Server hinterlegt?

 

Möglicherweise eine externe oder die IP des Standard-Gateways? Internet scheint ja zu funktionieren, aber das grundsätzliche interne DNS-Elend ist hier manifestiert:

 

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.meinefirma.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Share this post


Link to post

Danke für eure Antworten. Ob Testumgebung oder nicht ist egal. Das Ganze soll logischerweise irgendwann nicht mehr nur in einer Testumgebung laufen, sondern in einer Realumgebung. Die Testumgebung ist nur zum Üben, damit ich später mit dem Server auch sicher umgehen kann. Fehler oder Warnungen will ich daher auf jeden Fall beseitigen.

 

Zur Sache selbst:

Der DNS hat die IP 127.0.0.1

Der Standardgateway die IP des Routers (192.168.2.1)

Der Server hat die IP 192.168.2.100

 

Kannst du mir das mit DHCP MMC genauer erklären? Ich weis zwar was die MMC ist und auch was der DHCP ist, aber ich weis nicht, was ich wo und wie in der MMC auswählen und verändern muss, damit der DHCP ruhe gibt.

 

IPv6 verwende ich zwar noch nicht, aber tun wir doch einfach so als würde ich es (intern) verwenden wollen. Die Frage ist nur, wie man lokale IPv6-Adressen überhaupt vergibt und welche Regeln gelten? Bei IPv4 beispielsweise nimmt man für interne IPs entweder eine 192.168.x.x-Range oder eine 10.x.x.x-Range.

Share this post


Link to post

Kannst Du nachstehenden CMD-Befehl absetzen und das Ergebnis publizieren?

 

"setspn -l WIN-F5FUUFJ1OAU" (ohne Anführungszeichen; WIN-F5FUUFJ1OAU scheint der zufällig generierte Computername Deines DCs zu sein)

 

Ebenso solltest Du abklären, ob der Domänencontroller das Recht zum Eintragen von SPNs (Service Principal Name) hat. Das geht wie folgt: -> dsa.msc -> Ansicht -> Erweiterte Features -> OU "Domain Controllers" -> Rechtsklick auf "WIN-F5FUUFJ1OAU" (Computerobjekt Deines Domänencontrollers" -> Reiter "Sicherheit" -> "Erweitert". In diesem Fenster sollte der Eintrag "SELF -> "Bestätigtes Schreiben an Dienstprinzipal (nicht geerbt)" mit der Berechtigung "Zulassen" enthalten sein.

 

Ändere den IP-Eintrag Deines DCs dahingehend, dass 192.168.2.100 auch der primäre DNS-Eintrag ist (Host 127.0.0.1 ersetzen). Anschliessend "ipconfig /registerdns" ausführen und Netlogon-Dienst neu starten.

 

Was ist das Ergebnis?

Edited by dmetzger
Klammersetzung berichtigt

Share this post


Link to post

Zur Sache selbst:

Der DNS hat die IP 127.0.0.1

Der Standardgateway die IP des Routers (192.168.2.1)

Der Server hat die IP 192.168.2.100

Besser ist es die richtige IP des Servers zu hinterlegen beziehungsweise wenn man zwei DNS-Server hat die auch DC sind, diese über Kreuz einzutragen.

 

Kannst du mir das mit DHCP MMC genauer erklären? Ich weis zwar was die MMC ist und auch was der DHCP ist, aber ich weis nicht, was ich wo und wie in der MMC auswählen und verändern muss, damit der DHCP ruhe gibt.

Rechtsklick in der entsprechenden MMC auf den Server und dann auf Eigenschaften gehen. Den letzten Reiter anwählen und dann unter Anmeldeinformationen die nötigen Daten hinterlegen.

 

IPv6 verwende ich zwar noch nicht, aber tun wir doch einfach so als würde ich es (intern) verwenden wollen. Die Frage ist nur, wie man lokale IPv6-Adressen überhaupt vergibt und welche Regeln gelten? Bei IPv4 beispielsweise nimmt man für interne IPs entweder eine 192.168.x.x-Range oder eine 10.x.x.x-Range.

Die Warnung besagt nur, dass dein DHCP-Server eine dynamische IPv6 Adresse besitzt beziehungsweise automatisch die verbindungslokale IPv6 Adresse für IPv6 verwendet (fe80:...).

Wenn du IPv6 verwenden willst, dann erkundige dich bitte über die TechNet. Ansonsten kann man diese Warnung in einem IPv4 Netz getrost ignorieren.

Share this post


Link to post
Rechtsklick in der entsprechenden MMC auf den Server und dann auf Eigenschaften gehen. Den letzten Reiter anwählen und dann unter Anmeldeinformationen die nötigen Daten hinterlegen.
Danke Necron,

 

so funktionierte das bei Windows Server 2003, aber beim Windows Server 2008 R2 fehlt genau das. Ich habe ein Screen gemacht. Als Administrator bin ich selbstverständlich angemeldet.

 

Auch dir ein Danke dmetzger,

 

den SPN hatte ich wohl falsch ausgeführt. Nachdem ich diesen Befehl ausgeführt hatte, das Ereignisprotokoll gelöscht habe und den Server neu gestartet habe war sogar die Warnmeldung im DNS weg. :confused::confused::confused: Die besagte Warnmeldung ist aber trotzdem noch im Ereignisprotokoll (Unter System) Der Vollständigkeit halber poste ich hier das Ergebnis (Befehl ausgeführt als Administrator)

C:\Users\Administrator>setspn -l s-testserver-01

Registrierte Dienstprinzipalnamen (SPN) für CN=S-TESTSERVER-01,OU=Domain Control

lers,DC=meinefirma,DC=local:

ldap/s-testserver-01.meinefirma.local/ForestDnsZones.meinefirma.local

ldap/s-testserver-01.meinefirma.local/DomainDnsZones.meinefirma.local

Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/s-testserver-01.meinefirma.loc

al

DNS/s-testserver-01.meinefirma.local

GC/s-testserver-01.meinefirma.local/meinefirma.local

RestrictedKrbHost/s-testserver-01.meinefirma.local

RestrictedKrbHost/S-TESTSERVER-01

HOST/S-TESTSERVER-01/MEINEFIRMA

HOST/s-testserver-01.meinefirma.local/MEINEFIRMA

HOST/S-TESTSERVER-01

HOST/s-testserver-01.meinefirma.local

HOST/s-testserver-01.meinefirma.local/meinefirma.local

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8bbac334-d293-4cab-9bd8-f70d77676bf

e/meinefirma.local

ldap/S-TESTSERVER-01/MEINEFIRMA

ldap/8bbac334-d293-4cab-9bd8-f70d77676bfe._msdcs.meinefirma.local

ldap/s-testserver-01.meinefirma.local/MEINEFIRMA

ldap/S-TESTSERVER-01

ldap/s-testserver-01.meinefirma.local

ldap/s-testserver-01.meinefirma.local/meinefirma.local

 

C:\Users\Administrator>

post-29992-13567389897922_thumb.jpg

Share this post


Link to post
Danke Necron,

 

so funktionierte das bei Windows Server 2003, aber beim Windows Server 2008 R2 fehlt genau das. Ich habe ein Screen gemacht. Als Administrator bin ich selbstverständlich angemeldet.

Sorry, hatte mich vertan! Rechtsklick auf IPv4 oder IPv6 oder beides und dann ist es unter dem letzten Reiter zu finden. :)

Share this post


Link to post

Danke Necron,

 

ganz im ernst. Da habe ich geguckt oder zumindest war ich der Meinung, dass ich auch dort geguckt hatte (Macht man ja auch normalerweise). Irgendwie ist das jetzt peinlich.

Share this post


Link to post
den SPN hatte ich wohl falsch ausgeführt. Nachdem ich diesen Befehl ausgeführt hatte,

 

Der Befehl schreibt keine SPNs, sondern listet die bestehenden für den betreffenden Host auf. Laut dem Ergebnis sind alle benötigten Dienstprinzipalnamen eingetragen - das wollte ich wissen.

Share this post


Link to post

Und wie werde ich die Warnung nun los? Und noch interessanter: Warum ist der DNS-Server nach dem Start jetzt glücklich, wenn nichts geändert wurde?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...