none
Ereignis 10009, Distributed om RRS feed

  • Frage

  • Hallo Forum,

    ich habe in einem Kundennetz (ca. 30 User) ein Problem mit sich häufenden 10009 DCOM Fehlern im Ereignisprotokoll. Ca. alle 20 Minuten erscheint die Meldung, dass mit (wechselnden) Clients unter Verwenung eines beliebigen Protokolls keine Verbindung hergestellt werden können und dies dann 8mal hintereinander. Voraus geht (manchmal) ein Kerberos Fehler 4:

    Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "xyz-17$" empfangen. Der verwendete Zielname war RPCSS/xyz-12.Domäne.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domäne.LOCAL) von der Clientdomäne (Domäne.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

    In der SBS Console werden die Clients als Online - die Infomationen sind nicht verfügbar angezeigt. Der Server ist ein SBS 2008 auf aktuellem Patchstand, Exchange 2007 SP3, es läuft zusätzlich der Blackberry Express Server sowie Trend Micro WF 7.x. Server, Switch und die meistens Clients laufen mit GB Netzwerkkarten. Die betroffenen Clients können angepingt werden, es handedlt sich sowohl um Windows XP/SP3 als auch Windows 7/SP1.

    Ich bin für jeden Hinweis dankbar,

    Gruß

    Jörg Diedrich

     

    Mittwoch, 27. April 2011 11:12

Alle Antworten

  • Hi Jörg,

    hier findest du paar Lösungsvorschläge, als auch Ursachen für das Problem: http://eventid.net/display.asp?eventid=10009&eventno=579&source=DCOM&phase=1

    Gruß

    Martin

    Mittwoch, 27. April 2011 14:52
  • Hallo Jörg,
     
    > ich habe in einem Kundennetz (ca. 30 User) ein Problem mit sich
    > häufenden 10009 DCOM Fehlern im Ereignisprotokoll. Ca. alle 20 Minuten
    > erscheint die Meldung, dass mit (wechselnden) Clients unter Verwenung
    > eines beliebigen Protokolls keine Verbindung hergestellt werden können
    > und dies dann 8mal hintereinander. Voraus geht (manchmal) ein Kerberos
    > Fehler 4:
    >
    > Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server
    > "xyz-17$" empfangen. Der verwendete Zielname war
    > RPCSS/xyz-12.Domäne.local. Dies deutet darauf hin, dass der Zielserver
    > das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies
    > kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem
    > Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie
    > sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server
    > verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler
    > kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das
    > Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key
    > Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie
    > sicher, dass der Dienst auf dem Server und im KDC beide für die
    > Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der
    > Servername nicht vollqualifiziert ist und sich die Zieldomäne
    > (Domäne.LOCAL) von der Clientdomäne (Domäne.LOCAL) unterscheidet, prüfen
    > Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen
    > befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server
    > zu identifizieren.
    >
    > In der SBS Console werden die Clients als Online - die Infomationen sind
    > nicht verfügbar angezeigt. Der Server ist ein SBS 2008 auf aktuellem
    > Patchstand, Exchange 2007 SP3, es läuft zusätzlich der Blackberry
    > Express Server sowie Trend Micro WF 7.x. Server, Switch und die meistens
    > Clients laufen mit GB Netzwerkkarten. Die betroffenen Clients können
    > angepingt werden, es handedlt sich sowohl um Windows XP/SP3 als auch
    > Windows 7/SP1.
     
    Schick uns einmal ein "ipconfig /all" des SBS
     
    Bzgl. dem DCOM 10009 Fehler gibt es diesen Artikel:
     
    Known post installation event errors in SBS 2008 (and how to resolve them)
     
    Des Weiteren befolgen einmal diesen Artikel bzgl. dem Kerberos 4 Fehler und
    berichte uns von Deinen Erkenntnissen:
     
    Event ID 11 in the System log of domain controllers
     
     
    Ansonsten kann es jedoch ein erwartetes Verhalten sein, da das Monitoring
    der SBS-Konsole ein regelmässigen "Client Health Monitoring Ping-Test" auf
    die Clients ausführt und in diesem Zug zu diesen Fehlern kommen kann.
     
    Auszug aus einem internen Microsoft Support Artikel:
     
    "This is expected behavior, since the ping test may receive an 'access
    denied' for multiple reasons"
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Donnerstag, 28. April 2011 07:05
    Moderator
  • Hallo Tobias,

    Danke für den Artikel. Ich versuche es jetzt mal mit der FW-GPO, ich habe da so eine Ahnung... Hier die ipconfig des SBS:

    Windows-IP-Konfiguration

       Hostname  . . . . . . . . . . . . : SERVER
       Prim„res DNS-Suffix . . . . . . . : domäne.local
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert  . . . . . . : Ja
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : domäne.local

    Ethernet-Adapter LAN-Verbindung:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
       Physikalische Adresse . . . . . . : B8-AC-6F-95-29-FF
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80::159a:df78:95be:51d7%10(Bevorzugt)
       Verbindungslokale IPv6-Adresse  . : fe80::5552:c33f:bc25:bdcc%10(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.100.4(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . : 192.168.100.201
       DHCPv6-IAID . . . . . . . . . . . : 280538223
       DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-14-B8-C9-2C-B8-AC-6F-95-29-FF
       DNS-Server  . . . . . . . . . . . : fe80::5552:c33f:bc25:bdcc%10
                                           192.168.100.4
       NetBIOS ber TCP/IP . . . . . . . : Aktiviert

    PPP-Adapter RAS (Dial In) Interface:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : RAS (Dial In) Interface
       Physikalische Adresse . . . . . . :
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       IPv4-Adresse  . . . . . . . . . . : 192.168.100.20(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.255
       Standardgateway . . . . . . . . . :
       NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

    Tunneladapter LAN-Verbindung*:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : isatap.{1C446B41-4190-422C-9A48-23B015F46AC7}
       Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    Tunneladapter LAN-Verbindung* 2:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
       Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    Gruß aus Maintal,

    Jörg

     

    Donnerstag, 28. April 2011 15:16
  • Wahrscheinlich auf den Clients ist Windows Firewall mit keine Ausnahmen zulassen konfiguriert.

    Bitte die Firewall konfiguration mit GPOs konfigurieren oder lokal anpassen.


    • Bearbeitet rmoro Freitag, 6. Juli 2012 18:00 .
    Freitag, 6. Juli 2012 18:00