none
Evento LsaSrv ID 6037 RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno, dopo aver configurato il dominio in un server con installato Windows 2008 R2, ad ogni riavvio viene visualizzo il seguente avviso nel registro eventi:

    Nome registro: System
    Origine:       LsaSrv
    ID evento:     6037
    Categoria attività:Nessuna
    Livello:       Avviso
    Parole chiave: Classico
    Descrizione:
    Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS.

    Provare con un altro nome di destinazione.

    Qualcuno sa se questo avviso merita attenzione ed eventualmente come risolverlo ? Grazie

    mercoledì 27 aprile 2011 10:06
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Non credo in quanto a parte il dominio standard non ho installato altro.

    Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...

    lunedì 2 maggio 2011 08:18
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Hai verificato che il percorso HOST/... indicato nell'errore sia valido e accessibile ?

    Hai altre segnalazioni nei diversi log ?

    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 27 aprile 2011 11:42
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Il percorso Host indicato nell'errore non ho compreso quale sia poichè tutto ciò che vedo in quel log relativamente al percorso è HOST/..

    In tutto compreso quello ho 4 warning ecco il dettaglio:

    Nome registro: System
Origine:    Microsoft-Windows-WinRM
Data:     27/04/2011 11:59:32
ID evento:   10154
Categoria attività:Nessuna
Livello:    Avviso
Parole chiave: Classico
Utente:    N/D
Computer:   SERVER2008R2.SERVER2008.local
Descrizione:
Servizio Gestione remota Windows: impossibile creare gli SPN seguenti: WSMAN/SERVER2008R2.SERVER2008.local; WSMAN/SERVER2008R2. 

 Dati aggiuntivi 
 Errore ricevuto: 8344: %%8344.

Azione utente 
 Gli SPN possono essere creati da un amministratore utilizzando l'utilità setspn.exe.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" EventSourceName="WinRM" />
  <EventID Qualifiers="7">10154</EventID>
  <Version>0</Version>
  <Level>3</Level>
  <Task>0</Task>
  <Opcode>0</Opcode>
  <Keywords>0x80000000000000</Keywords>
  <TimeCreated SystemTime="2011-04-27T09:59:32.000000000Z" />
  <EventRecordID>2977</EventRecordID>
  <Correlation />
  <Execution ProcessID="0" ThreadID="0" />
  <Channel>System</Channel>
  <Computer>SERVER2008R2.SERVER2008.local</Computer>
  <Security />
 </System>
 <EventData>
  <Data Name="spn1">WSMAN/SERVER2008R2.SERVER2008.local</Data>
  <Data Name="spn2">WSMAN/SERVER2008R2</Data>
  <Data Name="error">8344</Data>
 </EventData>
</Event>

Nome registro: System
Origine:    LsaSrv
Data:     27/04/2011 11:57:20
ID evento:   6037
Categoria attività:Nessuna
Livello:    Avviso
Parole chiave: Classico
Utente:    N/D
Computer:   SERVER2008R2.SERVER2008.local
Descrizione:
Impossibile autenticare localmente il programma svchost.exe, a cui è assegnato l'ID processo 1680, tramite il nome di destinazione HOST/.. Il nome di destinazione utilizzato non è valido. Un nome di destinazione deve fare riferimento a uno dei nomi dei computer locali, ad esempio il nome host DNS.
 
 Provare con un altro nome di destinazione.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="LsaSrv" Guid="{199fe037-2b82-40a9-82ac-e1d46c792b99}" EventSourceName="LsaSrv" />
  <EventID Qualifiers="0">6037</EventID>
  <Version>0</Version>
  <Level>3</Level>
  <Task>0</Task>
  <Opcode>0</Opcode>
  <Keywords>0x80000000000000</Keywords>
  <TimeCreated SystemTime="2011-04-27T09:57:20.000000000Z" />
  <EventRecordID>2952</EventRecordID>
  <Correlation />
  <Execution ProcessID="0" ThreadID="0" />
  <Channel>System</Channel>
  <Computer>SERVER2008R2.SERVER2008.local</Computer>
  <Security />
 </System>
 <EventData>
  <Data>1680</Data>
  <Data>svchost.exe</Data>
  <Data>HOST/.</Data>
 </EventData>
</Event>

Nome registro: System
Origine:    Microsoft-Windows-DNS-Client
Data:     27/04/2011 11:57:17
ID evento:   1014
Categoria attività:Nessuna
Livello:    Avviso
Parole chiave: 
Utente:    SERVIZIO DI RETE
Computer:   SERVER2008R2.SERVER2008.local
Descrizione:
Timeout della risoluzione dei nomi per il nome _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local. Nessun server DNS configurato ha risposto.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
  <EventID>1014</EventID>
  <Version>0</Version>
  <Level>3</Level>
  <Task>0</Task>
  <Opcode>0</Opcode>
  <Keywords>0x4000000000000000</Keywords>
  <TimeCreated SystemTime="2011-04-27T09:57:17.352892900Z" />
  <EventRecordID>2951</EventRecordID>
  <Correlation />
  <Execution ProcessID="1004" ThreadID="1020" />
  <Channel>System</Channel>
  <Computer>SERVER2008R2.SERVER2008.local</Computer>
  <Security UserID="S-1-5-20" />
 </System>
 <EventData>
  <Data Name="QueryName">_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.SERVER2008.local</Data>
  <Data Name="AddressLength">16</Data>
  <Data Name="Address">02000035C0A8050A0000000000000000</Data>
 </EventData>
</Event>

Nome registro: Directory Service
Origine:    Microsoft-Windows-ActiveDirectory_DomainService
Data:     27/04/2011 11:56:48
ID evento:   2886
Categoria attività:Interfaccia LDAP
Livello:    Avviso
Parole chiave: Classico
Utente:    ACCESSO ANONIMO
Computer:   SERVER2008R2.SERVER2008.local
Descrizione:
È possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le operazioni di binding LDAP SASL (Negotiate, Kerberos, NTLM o Digest) che non richiedono la firma (verifica dell'integrità) e le operazioni di binding LDAP semplice eseguite attraverso una connessione non crittografata con SSL o TLS. Anche se questi tipi di binding non vengono utilizzati da alcun client, la configurazione del server descritta consente di migliorare la sicurezza del server stesso. 
 
A seguito di questa modifica, gli eventuali client basati su binding SASL non firmato o binding LDAP semplice attraverso una connessione non SSL/TLS non funzioneranno più. Per semplificare l'identificazione di questi client, quando si verificano tali operazioni di binding il server di directory registra ogni 24 ore un evento di riepilogo indicante il numero di binding di questo tipo verificatisi. È consigliabile configurare i client in modo che non utilizzino questo tipo di binding. Se dopo un certo periodo di tempo non si rileva alcun evento di questo tipo, è consigliabile configurare il server in modo che rifiuti tali operazioni di binding. 
 
Per ulteriori dettagli e informazioni su come eseguire la modifica della configurazione del server, vedere http://go.microsoft.com/fwlink/?LinkID=87923. 
 
È possibile attivare la registrazione di un evento ogni volta che un client esegue un'operazione di binding di questo tipo. La registrazione comprende le informazioni sul client interessato. A tale scopo, impostare la categoria di registrazione degli eventi dell'interfaccia LDAP sul livello 2 o superiore.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
  <EventID Qualifiers="32768">2886</EventID>
  <Version>0</Version>
  <Level>3</Level>
  <Task>16</Task>
  <Opcode>0</Opcode>
  <Keywords>0x8080000000000000</Keywords>
  <TimeCreated SystemTime="2011-04-27T09:56:48.804842700Z" />
  <EventRecordID>126</EventRecordID>
  <Correlation />
  <Execution ProcessID="480" ThreadID="636" />
  <Channel>Directory Service</Channel>
  <Computer>SERVER2008R2.SERVER2008.local</Computer>
  <Security UserID="S-1-5-7" />
 </System>
 <EventData>
 </EventData>
</Event>

    Grazie per la collaborazione 

    mercoledì 27 aprile 2011 14:50
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    ma tu non sei nel caso descritto in questo articolo indicato qui sotto, vero ?

    http://www.eventid.net/display.asp?eventid=6037&eventno=10753&source=LsaSrv&phase=1

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 2 maggio 2011 07:57
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Non credo in quanto a parte il dominio standard non ho installato altro.

    Se può esserti utile ho scoperto che disabilitando il loopback check il problema viene risolto, ma non so a cosa vado incontro facendo questa operazione...

    lunedì 2 maggio 2011 08:18
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Note You must restart the server for this change to take effect. By default, loopback check functionality is turned on in Windows Server 2003 SP1, and the DisableLoopbackCheck registry entry is set to 0 (zero). The security is reduced when you disable the authentication loopback check, and you open the Windows Server 2003 server for man-in-the-middle (MITM) attacks on NTLM.

    ref: http://support.microsoft.com/kb/926642/en-us

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 2 maggio 2011 11:28
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Se lo disattivo il problema si risolve, ma non è una procedura raccomandata x la produzione, per cui sono punto e a capo.

    Altre idee ?

    mercoledì 4 maggio 2011 07:18
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Se lo disattivo il problema si risolve, ma non è una procedura raccomandata x la produzione, per cui sono punto e a capo.

    Altre idee ?


    per quale motivo "non è una procedura raccomandata x la produzione" ?

    quale valutazione del rischio hai fatto ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 11:12
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Non è il mio settore, per cui mi sono limitato a leggere i vari post e su un paio avevo letto che non era una procedura raccomandata.

    Anche il link che mi hai citato tu la seconda procedura, che è quella che volevo fare io, non la da come raccomandata.

    Tuttavia, se mi dici che quella disabilitazione su Windows 2008 R2 non crea problemi, io la faccio e non ci penso più così non vedo più quell'avviso :)

     

    mercoledì 4 maggio 2011 14:47
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    è sconsigliata cme procedura ma il fatto di utilizzarla ugualmente dipende dal contesto in cui vai ad operare. se il tutto funziona in una lan dove il traffico è "trusted" e non corri rischi di "man-in-the-middle" il problema non si pone, altrimenti si pone.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 15:11
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Chiarissimo grazie

    mercoledì 4 maggio 2011 15:15
    |