none
Evento LsaSrv ID 6037 RRS feed

  • Domanda

  • Buongiorno, dopo aver configurato il dominio in un server con installato Windows 2008 R2, ad ogni riavvio viene visualizzo il seguente avviso nel registro eventi:

    Nome registro: System
    Origine:       LsaSrv
    ID evento:     6037
    Categoria attività:Nessuna
    Livello:       Avviso
    Parole chiave: Classico
    Descrizione:
    Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS.

    Provare con un altro nome di destinazione.

    Qualcuno sa se questo avviso merita attenzione ed eventualmente come risolverlo ? Grazie

    mercoledì 27 aprile 2011 10:06

Risposte

  • Non credo in quanto a parte il dominio standard non ho installato altro.

    Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...

    lunedì 2 maggio 2011 08:18

Tutte le risposte

  • Hai verificato che il percorso HOST/... indicato nell'errore sia valido e accessibile ?

    Hai altre segnalazioni nei diversi log ?


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 27 aprile 2011 11:42
  • Il percorso Host indicato nell'errore non ho compreso quale sia poichè tutto ciò che vedo in quel log relativamente al percorso è HOST/..

    In tutto compreso quello ho 4 warning ecco il dettaglio:

    Nome registro: System
    Origine:    Microsoft-Windows-WinRM
    Data:     27/04/2011 11:59:32
    ID evento:   10154
    Categoria attività:Nessuna
    Livello:    Avviso
    Parole chiave: Classico
    Utente:    N/D
    Computer:   SERVER2008R2.SERVER2008.local
    Descrizione:
    Servizio Gestione remota Windows: impossibile creare gli SPN seguenti: WSMAN/SERVER2008R2.SERVER2008.local; WSMAN/SERVER2008R2. 
    
     Dati aggiuntivi 
     Errore ricevuto: 8344: %%8344.
    
    Azione utente 
     Gli SPN possono essere creati da un amministratore utilizzando l'utilità setspn.exe.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" EventSourceName="WinRM" />
      <EventID Qualifiers="7">10154</EventID>
      <Version>0</Version>
      <Level>3</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x80000000000000</Keywords>
      <TimeCreated SystemTime="2011-04-27T09:59:32.000000000Z" />
      <EventRecordID>2977</EventRecordID>
      <Correlation />
      <Execution ProcessID="0" ThreadID="0" />
      <Channel>System</Channel>
      <Computer>SERVER2008R2.SERVER2008.local</Computer>
      <Security />
     </System>
     <EventData>
      <Data Name="spn1">WSMAN/SERVER2008R2.SERVER2008.local</Data>
      <Data Name="spn2">WSMAN/SERVER2008R2</Data>
      <Data Name="error">8344</Data>
     </EventData>
    </Event>
    
    Nome registro: System
    Origine:    LsaSrv
    Data:     27/04/2011 11:57:20
    ID evento:   6037
    Categoria attività:Nessuna
    Livello:    Avviso
    Parole chiave: Classico
    Utente:    N/D
    Computer:   SERVER2008R2.SERVER2008.local
    Descrizione:
    Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS.
     
     Provare con un altro nome di destinazione.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="LsaSrv" Guid="{199fe037-2b82-40a9-82ac-e1d46c792b99}" EventSourceName="LsaSrv" />
      <EventID Qualifiers="0">6037</EventID>
      <Version>0</Version>
      <Level>3</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x80000000000000</Keywords>
      <TimeCreated SystemTime="2011-04-27T09:57:20.000000000Z" />
      <EventRecordID>2952</EventRecordID>
      <Correlation />
      <Execution ProcessID="0" ThreadID="0" />
      <Channel>System</Channel>
      <Computer>SERVER2008R2.SERVER2008.local</Computer>
      <Security />
     </System>
     <EventData>
      <Data>1680</Data>
      <Data>svchost.exe</Data>
      <Data>HOST/.</Data>
     </EventData>
    </Event>
    
    Nome registro: System
    Origine:    Microsoft-Windows-DNS-Client
    Data:     27/04/2011 11:57:17
    ID evento:   1014
    Categoria attività:Nessuna
    Livello:    Avviso
    Parole chiave: 
    Utente:    SERVIZIO DI RETE
    Computer:   SERVER2008R2.SERVER2008.local
    Descrizione:
    Timeout della risoluzione dei nomi per il nome _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local. Nessun server DNS configurato ha risposto.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
      <EventID>1014</EventID>
      <Version>0</Version>
      <Level>3</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x4000000000000000</Keywords>
      <TimeCreated SystemTime="2011-04-27T09:57:17.352892900Z" />
      <EventRecordID>2951</EventRecordID>
      <Correlation />
      <Execution ProcessID="1004" ThreadID="1020" />
      <Channel>System</Channel>
      <Computer>SERVER2008R2.SERVER2008.local</Computer>
      <Security UserID="S-1-5-20" />
     </System>
     <EventData>
      <Data Name="QueryName">_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local</Data>
      <Data Name="AddressLength">16</Data>
      <Data Name="Address">02000035C0A8050A0000000000000000</Data>
     </EventData>
    </Event>
    
    Nome registro: Directory Service
    Origine:    Microsoft-Windows-ActiveDirectory_DomainService
    Data:     27/04/2011 11:56:48
    ID evento:   2886
    Categoria attività:Interfaccia LDAP
    Livello:    Avviso
    Parole chiave: Classico
    Utente:    ACCESSO ANONIMO
    Computer:   SERVER2008R2.SERVER2008.local
    Descrizione:
    È possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le operazioni di binding LDAP SASL (Negotiate, Kerberos, NTLM o Digest) che non richiedono la firma (verifica dell'integrità) e le operazioni di binding LDAP semplice eseguite attraverso una connessione non crittografata con SSL o TLS. Anche se questi tipi di binding non vengono utilizzati da alcun client, la configurazione del server descritta consente di migliorare la sicurezza del server stesso. 
     
    A seguito di questa modifica, gli eventuali client basati su binding SASL non firmato o binding LDAP semplice attraverso una connessione non SSL/TLS non funzioneranno più. Per semplificare l'identificazione di questi client, quando si verificano tali operazioni di binding il server di directory registra ogni 24 ore un evento di riepilogo indicante il numero di binding di questo tipo verificatisi. È consigliabile configurare i client in modo che non utilizzino questo tipo di binding. Se dopo un certo periodo di tempo non si rileva alcun evento di questo tipo, è consigliabile configurare il server in modo che rifiuti tali operazioni di binding. 
     
    Per ulteriori dettagli e informazioni su come eseguire la modifica della configurazione del server, vedere http://go.microsoft.com/fwlink/?LinkID=87923. 
     
    È possibile attivare la registrazione di un evento ogni volta che un client esegue un'operazione di binding di questo tipo. La registrazione comprende le informazioni sul client interessato. A tale scopo, impostare la categoria di registrazione degli eventi dell'interfaccia LDAP sul livello 2 o superiore.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
      <EventID Qualifiers="32768">2886</EventID>
      <Version>0</Version>
      <Level>3</Level>
      <Task>16</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8080000000000000</Keywords>
      <TimeCreated SystemTime="2011-04-27T09:56:48.804842700Z" />
      <EventRecordID>126</EventRecordID>
      <Correlation />
      <Execution ProcessID="480" ThreadID="636" />
      <Channel>Directory Service</Channel>
      <Computer>SERVER2008R2.SERVER2008.local</Computer>
      <Security UserID="S-1-5-7" />
     </System>
     <EventData>
     </EventData>
    </Event>

    Grazie per la collaborazione 

    mercoledì 27 aprile 2011 14:50
  • ma tu non sei nel caso descritto in questo articolo indicato qui sotto, vero ?

    http://www.eventid.net/display.asp?eventid=6037&eventno=10753&source=LsaSrv&phase=1


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 2 maggio 2011 07:57
    Moderatore
  • Non credo in quanto a parte il dominio standard non ho installato altro.

    Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...

    lunedì 2 maggio 2011 08:18
  • Note You must restart the server for this change to take effect. By default, loopback check functionality is turned on in Windows Server 2003 SP1, and the DisableLoopbackCheck registry entry is set to 0 (zero). The security is reduced when you disable the authentication loopback check, and you open the Windows Server 2003 server for man-in-the-middle (MITM) attacks on NTLM.

    ref: http://support.microsoft.com/kb/926642/en-us


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 2 maggio 2011 11:28
    Moderatore
  • Se lo disattivo il problema si risolve, ma non è una procedura raccomandata x la produzione, per cui sono punto e a capo.

    Altre idee ?

    mercoledì 4 maggio 2011 07:18
  • Se lo disattivo il problema si risolve, ma non è una procedura raccomandata x la produzione, per cui sono punto e a capo.

    Altre idee ?


    per quale motivo "non è una procedura raccomandata x la produzione" ?

    quale valutazione del rischio hai fatto ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 11:12
    Moderatore
  • Non è il mio settore, per cui mi sono limitato a leggere i vari post e su un paio avevo letto che non era una procedura raccomandata.

    Anche il link che mi hai citato tu la seconda procedura, che è quella che volevo fare io, non la da come raccomandata.

    Tuttavia, se mi dici che quella disabilitazione su Windows 2008 R2 non crea problemi, io la faccio e non ci penso più così non vedo più quell'avviso :)

     

    mercoledì 4 maggio 2011 14:47
  • è sconsigliata cme procedura ma il fatto di utilizzarla ugualmente dipende dal contesto in cui vai ad operare. se il tutto funziona in una lan dove il traffico è "trusted" e non corri rischi di "man-in-the-middle" il problema non si pone, altrimenti si pone.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 15:11
    Moderatore
  • Chiarissimo grazie

    mercoledì 4 maggio 2011 15:15