Fragensteller
Kerberos Fehler
Frage
-
Hallo,
ich habe seit langem diese meldung auf beiden DCs. Diese Meldung habe ich auch nur dann gesehen als ich neugierig war was denn Kerberos so alles macht....Daher aktivierte ich die log funktion in der Registry und sah sowie sehe diese meldungen alle paar min.
Das Problem ist, weshalb und warum diese meldungen auftauschen ist mir ein Rätsel, da nichts mit Restore oder sonstigem mit der AD gemacht wurde.
Auch das Arbeiten funktioniert mit ca. 300 clients.
Denoch macht mir das sorgen... Was könnte das sein? Und das Replizieren des Users Administrator ist auch komisch, da es immer wieder als Warnung in der Ereignisanzeige angezeigt wird.
Hier meine Infos:
erste Warnung:
++++++++++++++++++++++++++
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1083
Date: 30.03.2011
Time: 15:15:53
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DC01
Description:
Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.
Object:
CN=Administrator,CN=Users,DC=intranet,DC=domain,DC=com
Network address:
127613b7-d81b-446c-be20-5a3b7772bcac._msdcs.intranet.domain.com
This operation will be tried again later.
For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.
++++++++++++++++++++++++
Dann habe ich jede menge Kerberos ID 3 meldungen in paar min. schritten:
++++++++++++++++++++++++
Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 3
Date: 30.03.2011
Time: 20:18:07
User: N/A
Computer: DC01
Description:
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 18:18:7.0000 3/30/2011 Z
Error Code: 0x12 KDC_ERR_CLIENT_REVOKED
Extended Error: 0xc0000072 KLIN(0)
Client Realm:
Client Name:
Server Realm: INTRANET.DOMAIN.COM
Server Name: host/dc01.intranet.domain.com
Target Name: host/dc01.intranet.domain.com@INTRANET.DOMAIN.COM
Error Text:
File: 9
Line: b22
Error Data is in record data.
For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.
Data:
0000: 30 15 a1 03 02 01 03 a2 0.¡....¢
0008: 0e 04 0c 72 00 00 c0 00 ...r..À.
0010: 00 00 00 03 00 00 00 .......++++++++++++++++++++++++
Ich habe für eure hilfe mal DCDIAG und NETDIAG ausgeführt und gesehn das unter DCDIAG bei Kerberos so ziehmlich was in die Hose geht... (Was denkt ihr)
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: stuttgart\DC01
Starting test: Connectivity
......................... DC01 passed test Connectivity
Doing primary tests
Testing server: stuttgart\DC01
Starting test: Replications
......................... DC01 passed test Replications
Starting test: NCSecDesc
......................... DC01 passed test NCSecDesc
Starting test: NetLogons
......................... DC01 passed test NetLogons
Starting test: Advertising
......................... DC01 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... DC01 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... DC01 passed test RidManager
Starting test: MachineAccount
......................... DC01 passed test MachineAccount
Starting test: Services
......................... DC01 passed test Services
Starting test: ObjectsReplicated
......................... DC01 passed test ObjectsReplicated
Starting test: frssysvol
......................... DC01 passed test frssysvol
Starting test: frsevent
......................... DC01 passed test frsevent
Starting test: kccevent
An Warning Event occured. EventID: 0x8000043B
Time Generated: 12/02/2009 21:17:54
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8000043B
Time Generated: 12/02/2009 21:19:09
(Event String could not be retrieved)
......................... DC01 failed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 20:34:16
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 20:49:16
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:04:16
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:19:17
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:25:24
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:25:27
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:25:27
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 12/02/2009 21:27:39
Event String: A Kerberos Error Message was received:
......................... DC01 failed test systemlog
Starting test: VerifyReferences
......................... DC01 passed test VerifyReferences++++++++++++++++++++++++
hier noch ein weitere dcdiag log:
Starting test: systemlog
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:16:40
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:18:04
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:18:05
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:21:56
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:23:04
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:23:06
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:28:04
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:28:06
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:32:48
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:33:05
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:33:06
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:36:57
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:38:05
Event String: A Kerberos Error Message was received:
An Error Event occured. EventID: 0x80000003
Time Generated: 03/30/2011 19:38:06
Event String: A Kerberos Error Message was received:
......................... DC01 failed test systemlogHoffe das es nichts böses ist. Wie gesagt funktioniert alles soweit aber denoch ist das nicht normal.
Meine sorge ist das ich im Juli zwei weitere DCs mit Server 2008R2 64Bit als dritten und vierten DC hinzufüge.
Nach dem hinzufügen möchte ich die alten DCs mit Server 2003 32Bit herunterstufen. Somit würde die AD mit 2008 Server betrieben werden.
Würde das ein negatives Ausmaß auf mein vorgehen haben?? Die AD ist aktuell mit adprep /domainprep /gpprep auf Server 2008 erweitert und lief ohne Probleme durch.
Danke für die Tipps und Infos.
mighty82
Alle Antworten
-
Howdie!On 28.04.2011 20:48, mighty82 wrote:> *Dann habe ich jede menge Kerberos ID 3 meldungen in paar min. schritten:*> ++++++++++++++++++++++++> Event Type: Error> Event Source: Kerberos> Event Category: None> Event ID: 3> Date: 30.03.2011> Time: 20:18:07> User: N/A> Computer: DC01> Description:> A Kerberos Error Message was received:> on logon session> Client Time:> Server Time: 18:18:7.0000 3/30/2011 Z> Error Code: 0x12 KDC_ERR_CLIENT_REVOKED> Extended Error: 0xc0000072 KLIN(0)> Client Realm:> Client Name:> Server Realm: INTRANET.DOMAIN.COM> Server Name: host/dc01.intranet.domain.com> Target Name: host/dc01.intranet.domain.com@INTRANET.DOMAIN.COM> Error Text:> File: 9> Line: b22> [...]> Starting test: systemlog> An Error Event occured. EventID: 0x80000003> Time Generated: 12/02/2009 20:34:16> Event String: A Kerberos Error Message was received:>> An Error Event occured. EventID: 0x80000003> Time Generated: 12/02/2009 20:49:16> Event String: A Kerberos Error Message was received:Der Output aus DCDiag hängt direkt mit deinem Kerberos-Event zusammen.Hast du den Event gelöst, wird auch das "...failed" in DCDiagverschwinden. Die Kategorie ist nämlich "Starting test: systemlog" - daprüft DCDiag, ob das Eventlog sauber ist oder ob da Events enthaltensind, die auf Fehler hindeuten *könnten*.Zur EventID 3: Hast du auf dem betreffenden DC über Remotedesktop noch"alte" Sessions, die nicht geschlossen wurden? Ist das SPN das in"Server Name" und "Target Name" angegeben ist, korrekt registriert?Cheers,Florian
The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer. -
Hallo und danke für deine Antwort.
Nun das mit dem Kerberos fehler sah ich wo über die Regitry den Kerberos log aktiviert hatte. Wenn ich den log aus der Registry wieder deaktiviere würden keine fehler in der Ereignisanzeige zu sehen sein und somit kein failed DCDiag. War früher nie der fall mit solchen error meldungen.
Die frage die ich stelle ist, ob das ein Problem ist oder nicht?? Einerseits läuft ja alles wunderbar aber andererseits macht mir diese meldung zu denken...
Bzgl. EventID 3:
Ja auf unseren zwei DCs ist mal der Administrator über RDP eingelogt und so über die Console.
Aber meißt ist auf der Konsole kein login zu sehen lediglich über RDP. Mal auf dem DC01 oder auf dem DC02. Oder auch auf beiden parallel.
Nach abschluss der arbeiten log ich mich immer aus.
SPN muss ich schauen. Mach ich morgen
evtl. genaue beschreibung was du meinst?
Danke dir für die hilfe!
Gruss
-
Howdie!On 28.04.2011 22:48, mighty82 wrote:> Nun das mit dem Kerberos fehler sah ich wo über die Regitry den Kerberos> log aktiviert hatte. Wenn ich den log aus der Registry wieder> deaktiviere würden keine fehler in der Ereignisanzeige zu sehen sein und> somit kein failed DCDiag. War früher nie der fall mit solchen error> meldungen.>> Die frage die ich stelle ist, ob das ein Problem ist oder nicht??> Einerseits läuft ja alles wunderbar aber andererseits macht mir diese> meldung zu denken...Siehst du denn im Sicherheitsprotokoll Anzeichen für fehlgeschlageneAnmeldungen und Kontosperrungen?Cheers,Florian
The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer. -
Hi,
aktuell sitz ich nicht davor :-) aber klar passiert es mal das von den 420 User am Tag zwei bis fünf User ihre Passwörter falsch abtippen und dan ihr Account gesperrt wird.
Entwerder mach ich es wieder i.O oder die Richtlinie entsperrt es nach 15min.
Gruss
-
So Hallo,
folgende Info hab ich. Auf dem ersten DC unter Event Viewer -> Directory Service hab ich die Warnung ID 1083 wenn nur einmal pro Tag:
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1083
Date: 29.04.2011
Time: 09:27:16
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DCSFBDC01
Description:
Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.
Object:
CN=Administrator,CN=Users,DC=intranet,DC=domain,DC=com
Network address:
127613b7-d81b-446c-be20-5a3b7772bcac._msdcs.intranet.domain.com
This operation will be tried again later.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.----------------------------------------------------------------------------------
Auf dem zweiten DC hab ich die gleiche Warnung alle paar min.
Auffallend ist das auf dem zweiten DC unter Network adress ein ganz anderer enthalten ist.
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1083
Date: 03.05.2011
Time: 08:12:18
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DCSFBDC02
Description:
Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.
Object:
CN=Administrator,CN=Users,DC=intranet,DC=domain,DC=com
Network address:
5757252b-0630-45ae-a3b4-dfce9ad178f7._msdcs.intranet.domain.com
This operation will be tried again later.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Gruss
- Bearbeitet mighty82 Montag, 9. Mai 2011 15:30
-
So Hallo,
folgende Info hab ich. Auf dem ersten DC unter Event Viewer -> Directory Service hab ich die Warnung ID 1083 wenn nur einmal pro Tag:
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1083
Date: 29.04.2011
Time: 09:27:16
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DCSFBDC01
Description:
Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.
Object:
CN=Administrator,CN=Users,DC=intranet,DC=domain,DC=com
Network address:
127613b7-d81b-446c-be20-5a3b7772bcac._msdcs.intranet.domain.com
This operation will be tried again later.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.----------------------------------------------------------------------------------
Auf dem zweiten DC hab ich die gleiche Warnung alle paar min.
Auffallend ist das auf dem zweiten DC unter Network adress ein ganz anderer enthalten ist.
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1083
Date: 03.05.2011
Time: 08:12:18
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DCSFBDC02
Description:
Active Directory could not update the following object with changes received from the domain controller at the following network address because Active Directory was busy processing information.
Object:
CN=Administrator,CN=Users,DC=intranet,DC=domain,DC=com
Network address:
5757252b-0630-45ae-a3b4-dfce9ad178f7._msdcs.intranet.domain.com
This operation will be tried again later.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Gruss
Ach sorry.. das sind die DNS Alias von dem ersten DC und dem zweiten DC...
Stehen auch unter Sites and Services -> Server -> NTDS Settings
Hm was kann ich noch anschauen?
@Florian habe auf allen Servern den User Administrator abgemeldet. Auch keine alten RDP Sessions oder des gleichen. Bzgl. SPN was genau kann oder sollte ich tun?
Danke und Gruss
- Bearbeitet mighty82 Montag, 9. Mai 2011 15:29
-
Howdie!Am 03.05.2011 08:59, schrieb mighty82:> @Florian habe auf allen Servern den User Administrator abgemeldet. Auch> keine alten RDP Sessions oder des gleichen. Bzgl. SPN was genau kann> oder sollte ich tun?Zu allererst: kannst du mal ins Security-Eventlog auf denDomänencontrollern schauen und sehen, ob es verhältnismässig vieleEinträge zu Kontosperrungen oder fehlgeschlagenen Anmeldeversuchen gibt?Existieren die beiden referenzierten Domänencontroller denn (noch)?Kannst du sehen, ob dir http://support.microsoft.com/kb/296714 hilft?Florian
The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer. -
HiHo,
danke für den MS link. Diesen hatte ich schon und überlege schon seit langem ob ich das wagen soll oder nicht....
Ich habe hier in der Event Anzeige folgenden Einträge:
DIESE MELDUNG KOMMT VOM EINLOGEN VIA VPN
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 528
Date: 09.05.2011
Time: 17:19:01
User: INTRANET\Administrator
Computer: DCSFBDC01
Description:
Successful Logon:
User Name: Administrator
Domain: INTRANET
Logon ID: (0x0,0x3BC8813)
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: DCSFBDC01
Logon GUID: {9d9c7645-61f3-6fb3-7b0e-64d081e015d0}
Caller User Name: DCSFBDC01$
Caller Domain: INTRANET
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 292
Transited Services: -
Source Network Address: 192.168.222.123
Source Port: 50618
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.---------------------------------------------------
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 576
Date: 09.05.2011
Time: 17:19:01
User: INTRANET\Administrator
Computer: DCSFBDC01
Description:
Special privileges assigned to new logon:
User Name:
Domain:
Logon ID: (0x0,0x3BC8813)
Privileges: SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTcbPrivilege
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.---------------------------------------------------
DAS KANN VOM SCCM KOMMEN System Center Configuration Manager
Event Type: Success Audit
Event Source: Security
Event Category: Directory Service Access
Event ID: 565
Date: 09.05.2011
Time: 17:19:02
User: INTRANET\Administrator
Computer: DCSFBDC01
Description:
Object Open:
Object Server: Security Account Manager
Object Type: SAM_DOMAIN
Object Name: DC=intranet,DC=domain,DC=com
Handle ID: 100834912
Operation ID: {0,62687406}
Process ID: 452
Process Name: C:\WINDOWS\system32\lsass.exe
Primary User Name: DCSFBDC01$
Primary Domain: INTRANET
Primary Logon ID: (0x0,0x3E7)
Client User Name: Administrator
Client Domain: INTRANET
Client Logon ID: (0x0,0x3BC8813)
Accesses: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadPasswordParameters
WritePasswordParameters
ReadOtherParameters
WriteOtherParameters
CreateUser
CreateGlobalGroup
CreateLocalGroup
GetLocalGroupMembership
ListAccounts
Privileges: -
Properties:
---
domain
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadPasswordParameters
WritePasswordParameters
ReadOtherParameters
WriteOtherParameters
CreateUser
CreateGlobalGroup
CreateLocalGroup
GetLocalGroupMembership
ListAccounts
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Access Mask: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.---------------------------------------------------
Event Type: Success Audit
Event Source: Security
Event Category: Directory Service Access
Event ID: 565
Date: 09.05.2011
Time: 17:19:02
User: INTRANET\Administrator
Computer: DCSFBDC01
Description:
Object Open:
Object Server: Security Account Manager
Object Type: SAM_USER
Object Name: S-1-5-21-1277090162-4221482773-868009429-500
Handle ID: 100835336
Operation ID: {0,62687415}
Process ID: 452
Process Name: C:\WINDOWS\system32\lsass.exe
Primary User Name: DCSFBDC01$
Primary Domain: INTRANET
Primary Logon ID: (0x0,0x3E7)
Client User Name: Administrator
Client Domain: INTRANET
Client Logon ID: (0x0,0x3BC8813)
Accesses: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadGeneralInformation
ReadPreferences
WritePreferences
ReadLogon
ReadAccount
WriteAccount
SetPassword (without knowledge of old password)
ListGroups
Privileges: -
Properties:
---
user
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadGeneralInformation
ReadPreferences
WritePreferences
ReadLogon
ReadAccount
WriteAccount
SetPassword (without knowledge of old password)
ListGroups
General Information
codePage
countryCode
objectSid
primaryGroupID
sAMAccountName
comment
displayName
Account Restrictions
accountExpires
pwdLastSet
userAccountControl
userParameters
Logon Information
badPwdCount
homeDirectory
homeDrive
lastLogoff
lastLogon
logonCount
logonHours
logonWorkstation
profilePath
scriptPath
Public Information
description
Group Membership
memberOf
Change Password
Reset Password
%{7ed84960-ad10-11d0-8a92-00aa006e0529}
Access Mask: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.Hoffe weitere Infos gegeben zu haben.
gruss
