Principale utente con più risposte
Evento LsaSrv ID 6037

Domanda
-
Buongiorno, dopo aver configurato il dominio in un server con installato Windows 2008 R2, ad ogni riavvio viene visualizzo il seguente avviso nel registro eventi:
Nome registro: System
Origine: LsaSrv
ID evento: 6037
Categoria attività:Nessuna
Livello: Avviso
Parole chiave: Classico
Descrizione:
Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS.
Provare con un altro nome di destinazione.Qualcuno sa se questo avviso merita attenzione ed eventualmente come risolverlo ? Grazie
Risposte
-
Non credo in quanto a parte il dominio standard non ho installato altro.
Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 2 maggio 2011 11:28
Tutte le risposte
-
Hai verificato che il percorso HOST/... indicato nell'errore sia valido e accessibile ?
Hai altre segnalazioni nei diversi log ?
Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com -
Il percorso Host indicato nell'errore non ho compreso quale sia poichè tutto ciò che vedo in quel log relativamente al percorso è HOST/..
In tutto compreso quello ho 4 warning ecco il dettaglio:
Nome registro: System Origine: Microsoft-Windows-WinRM Data: 27/04/2011 11:59:32 ID evento: 10154 Categoria attività:Nessuna Livello: Avviso Parole chiave: Classico Utente: N/D Computer: SERVER2008R2.SERVER2008.local Descrizione: Servizio Gestione remota Windows: impossibile creare gli SPN seguenti: WSMAN/SERVER2008R2.SERVER2008.local; WSMAN/SERVER2008R2. Dati aggiuntivi Errore ricevuto: 8344: %%8344. Azione utente Gli SPN possono essere creati da un amministratore utilizzando l'utilità setspn.exe. XML evento: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" EventSourceName="WinRM" /> <EventID Qualifiers="7">10154</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2011-04-27T09:59:32.000000000Z" /> <EventRecordID>2977</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>System</Channel> <Computer>SERVER2008R2.SERVER2008.local</Computer> <Security /> </System> <EventData> <Data Name="spn1">WSMAN/SERVER2008R2.SERVER2008.local</Data> <Data Name="spn2">WSMAN/SERVER2008R2</Data> <Data Name="error">8344</Data> </EventData> </Event> Nome registro: System Origine: LsaSrv Data: 27/04/2011 11:57:20 ID evento: 6037 Categoria attività:Nessuna Livello: Avviso Parole chiave: Classico Utente: N/D Computer: SERVER2008R2.SERVER2008.local Descrizione: Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS. Provare con un altro nome di destinazione. XML evento: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="LsaSrv" Guid="{199fe037-2b82-40a9-82ac-e1d46c792b99}" EventSourceName="LsaSrv" /> <EventID Qualifiers="0">6037</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2011-04-27T09:57:20.000000000Z" /> <EventRecordID>2952</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>System</Channel> <Computer>SERVER2008R2.SERVER2008.local</Computer> <Security /> </System> <EventData> <Data>1680</Data> <Data>svchost.exe</Data> <Data>HOST/.</Data> </EventData> </Event> Nome registro: System Origine: Microsoft-Windows-DNS-Client Data: 27/04/2011 11:57:17 ID evento: 1014 Categoria attività:Nessuna Livello: Avviso Parole chiave: Utente: SERVIZIO DI RETE Computer: SERVER2008R2.SERVER2008.local Descrizione: Timeout della risoluzione dei nomi per il nome _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local. Nessun server DNS configurato ha risposto. XML evento: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" /> <EventID>1014</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x4000000000000000</Keywords> <TimeCreated SystemTime="2011-04-27T09:57:17.352892900Z" /> <EventRecordID>2951</EventRecordID> <Correlation /> <Execution ProcessID="1004" ThreadID="1020" /> <Channel>System</Channel> <Computer>SERVER2008R2.SERVER2008.local</Computer> <Security UserID="S-1-5-20" /> </System> <EventData> <Data Name="QueryName">_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local</Data> <Data Name="AddressLength">16</Data> <Data Name="Address">02000035C0A8050A0000000000000000</Data> </EventData> </Event> Nome registro: Directory Service Origine: Microsoft-Windows-ActiveDirectory_DomainService Data: 27/04/2011 11:56:48 ID evento: 2886 Categoria attività:Interfaccia LDAP Livello: Avviso Parole chiave: Classico Utente: ACCESSO ANONIMO Computer: SERVER2008R2.SERVER2008.local Descrizione: È possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le operazioni di binding LDAP SASL (Negotiate, Kerberos, NTLM o Digest) che non richiedono la firma (verifica dell'integrità) e le operazioni di binding LDAP semplice eseguite attraverso una connessione non crittografata con SSL o TLS. Anche se questi tipi di binding non vengono utilizzati da alcun client, la configurazione del server descritta consente di migliorare la sicurezza del server stesso. A seguito di questa modifica, gli eventuali client basati su binding SASL non firmato o binding LDAP semplice attraverso una connessione non SSL/TLS non funzioneranno più. Per semplificare l'identificazione di questi client, quando si verificano tali operazioni di binding il server di directory registra ogni 24 ore un evento di riepilogo indicante il numero di binding di questo tipo verificatisi. È consigliabile configurare i client in modo che non utilizzino questo tipo di binding. Se dopo un certo periodo di tempo non si rileva alcun evento di questo tipo, è consigliabile configurare il server in modo che rifiuti tali operazioni di binding. Per ulteriori dettagli e informazioni su come eseguire la modifica della configurazione del server, vedere http://go.microsoft.com/fwlink/?LinkID=87923. È possibile attivare la registrazione di un evento ogni volta che un client esegue un'operazione di binding di questo tipo. La registrazione comprende le informazioni sul client interessato. A tale scopo, impostare la categoria di registrazione degli eventi dell'interfaccia LDAP sul livello 2 o superiore. XML evento: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" /> <EventID Qualifiers="32768">2886</EventID> <Version>0</Version> <Level>3</Level> <Task>16</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2011-04-27T09:56:48.804842700Z" /> <EventRecordID>126</EventRecordID> <Correlation /> <Execution ProcessID="480" ThreadID="636" /> <Channel>Directory Service</Channel> <Computer>SERVER2008R2.SERVER2008.local</Computer> <Security UserID="S-1-5-7" /> </System> <EventData> </EventData> </Event>
Grazie per la collaborazione
-
ma tu non sei nel caso descritto in questo articolo indicato qui sotto, vero ?
http://www.eventid.net/display.asp?eventid=6037&eventno=10753&source=LsaSrv&phase=1
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org -
Non credo in quanto a parte il dominio standard non ho installato altro.
Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 2 maggio 2011 11:28
-
Note You must restart the server for this change to take effect. By default, loopback check functionality is turned on in Windows Server 2003 SP1, and the DisableLoopbackCheck registry entry is set to 0 (zero). The security is reduced when you disable the authentication loopback check, and you open the Windows Server 2003 server for man-in-the-middle (MITM) attacks on NTLM.
ref: http://support.microsoft.com/kb/926642/en-us
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org -
-
Se lo disattivo il problema si risolve, ma non è una procedura raccomandata x la produzione, per cui sono punto e a capo.
Altre idee ?
per quale motivo "non è una procedura raccomandata x la produzione" ?quale valutazione del rischio hai fatto ?
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org -
Non è il mio settore, per cui mi sono limitato a leggere i vari post e su un paio avevo letto che non era una procedura raccomandata.
Anche il link che mi hai citato tu la seconda procedura, che è quella che volevo fare io, non la da come raccomandata.
Tuttavia, se mi dici che quella disabilitazione su Windows 2008 R2 non crea problemi, io la faccio e non ci penso più così non vedo più quell'avviso :)
-
è sconsigliata cme procedura ma il fatto di utilizzarla ugualmente dipende dal contesto in cui vai ad operare. se il tutto funziona in una lan dove il traffico è "trusted" e non corri rischi di "man-in-the-middle" il problema non si pone, altrimenti si pone.
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org -