Kerberos Event 4 auf Cluster

[gysinma1 13]

Hallo Zusammen

 

Ich hätt da wieder ein "Lian-Clusterticket" :D

 

Wir haben ein Loadbalancer zwei Node Cluster 2005 SP1 mit SQL2005SP2 und Fileresouren.

 

Die beiden Applicationserver welche drauf zugreifen, haben jeder 1x täglich den Fehler Kerberos 4 KRB_APP_ERR_MODIFIED. In eventid.net find ich nix schlaues und in der Boardsuche habe ich auch schon geschaut .. Rausnehmen und Reinnehmen in die Domain können wir auf keinen Fall.

 

Da das ganze Enviornment hochkritisch ist und wir auf keinen Fall Clusterswitches wollen, stellt sich die Frage, ob dies quasi "normal" ist.

 

Soweit mir die Fehlermeldung sagt, dass das Ticket der Resource nicht korrekt entschlüsselt werden kann.

 

Duplicated entries sind keine drin in der AD wurde bereits mehrfach geprüft. Mich sorgt nicht der einzelne Fehler sondern die Periodizität.

 

Grüsse

Matthias

[Lian 2.471]

Hallo Matthias,

 

stimmt die Systemzeit auf dem Node?

 

Poste doch bitte den entsprechenden Abschnitt aus dem cluster.log.

 

Hast Du dazu einen Event?

 

Seit wann ist das so?

 

Nutzt Ihr Kerberos in Verbindung mit dem SQL Server oder "nur" für die Network Name Ressourcen?

 

Du könntest Kerberos Logging aktivieren, um mehr Daten zu erhalten: How to enable Kerberos event logging

[gysinma1 13]

Hallo Lian

 

Der Fehler wird auf dem DWEPA11 generiert bei dem Zugriff auf die Resource vdwepdfs (File Resource). Es greifen zwei Applicationserver darauf zu (dwepa11 und dwepa21). Jedoch nur der dwepa11 hat diesen Fehler.-

 

 

 

Event Type: Error

Event Source: Kerberos

Event Category: None

Event ID: 4

Date: 09.05.2007

Time: 19:20:31

User: N/A

Computer: DWEPA11

Description:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dwepd21.egldwnet.ch. The target name used was cifs/vdwepdfs.fqdn. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain.fqdn), and the client realm. Please contact your system administrator.

 

For more information, see Help and Support Center at Events And Errors Message Center: Basic Search.

 

 

Ich schalte jedenfalls das KerberosLog ein. Leider seit "immer" d.h. seit der Installation.

 

 

Gruss,

MAtthias

[Lian 2.471]

Kerberos ist nicht mein Steckenpferd, es gibt einige KB Artikel dazu, aber wie ich Deine PN lese seid ihr auf dem richtigen Weg :thumb1:

[gysinma1 13]

Hallo Zusammen

 

Unser Betrieb is MS Premium Partner, weshalb wir die Kollegen von MS beizogen:

 

- Der Event ist ein Bug von Windows 2003 SP2 bei dem Zugriff auf geclusterte Resourcen

- Es gibt kein Hotfix und kein Workaround (ist per dato nicht geplant)

 

Die Empfehlung ist die Fehlermeldung zu ignorieren und in Überwachungssuites zu unterdrücken.

 

Der Fehler ist reproduzierbar bei dem UNC Zugriff auf die fehlermeldende Resource.

 

Gruss,

MAtthias

[Lian 2.471]

Hallo Matthias,

 

ist der Betrieb gestört oder eingeschränkt oder klappt soweit alles und nur die Meldung fällt symptomatisch auf?

[gysinma1 13]

Hallo Lian

 

Der Betrieb ist nicht gestört. Der Fehler ist reproduzierbar wenn auf dem SP2 Server der UNC Pfad zur virtuellen CLuster Resource eingegeben wird: \\clusres\share (zum Beispiel). Dann klepperts und der Event steht auf dem SP2 Server im Log. Gemäss MS auch keinerlei Einschränkungen per dato bekannt.

 

Ms wird ein Bugfix evtl. machen, falls der Fehler gehäuft bei Kunden auftritt. Momentan seien halt noch viele Cluster ohne SP2 in Betrieb. Der Fall wurde in die Entwicklung weitergegeben.

 

Gruss,

Matthias

[Lian 2.471]

Hallo Matthias,

 

ich konnte Deinen Fehlerfall in meinen VMs nicht nachstellen.

Solange er kosmetischer Natur ist, sehe ich das nicht so kritisch.

 

Zum Thema Kerberos gibt es an sich im Cluster nicht sehr viel zu sagen.

 

Klar, es gibt die Option "Enable Kerberos Authentication" für die Ressourcen des Typs Network Name:

To enable Kerberos authentication for virtual servers

Dabei gilt es zu beachten, daß die Serverzeit der Nodes aktuell gehalten werden soll (sprich: NTP Einstellungen), Rest wie beim MS Link beschrieben.

 

Das AD/der DC und DNS sollen sauber sein - das war's auch schon.

 

Mal abwarten, wann es ein update dazu gibt.

[gysinma1 13]

Hallo Lian

 

Der Fehler ist sehr selten wie die Kollegen von MS bestätigen. Wir sind in EMEA erst die zweiten, die dies fertig bringen. Vermutlich tritt es zudem erst auf, wenn SQL und Fileresourcen auf demselben Clusternode aktiv sind. Komisch ist auch, dass es bei uns nur ein Grid Server von vieren hat. Die anderen drei "zicken" nicht herum.

 

Naja solange es läuft ...

 

Gruss,

Matthias

[tobman112 10]

Hallo,

 

wir haben dieses WE das SP 2 auf 2 Servern 2003 Standard, die nicht im Cluster sind, aufgespielt und erhalten plötzlich den selben Fehler (unter SP1 keine Probleme) wenn wir auf einen UNC Pfad des entsprechend anderen Server zugreifen.

 

Kann es sein, dass das Problem also nicht nur in CLustern sondern auch in "normalen" AD Netzen auftaucht?

 

Bisher konnten wir noch keine Leistungseinbußen feststellen, der Fehler im Log nervt einfach nur. Gibt's ne Möglichkeit den abzustellen?

 

Gruß

Tobman112

[gysinma1 13]

Hallo

 

Das ist wahrscheinlich, denn es sind unc-Aufrufe auf eigene registry hives Komponenten.

 

Microsoft teilt mir mit, dass es eine Möglichkeit zur Unterdrückung gibt, empfiehlt dies jedoch nicht einzuschalten, da mögliche ähnliche jedoch kritische Probleme, unterdrückt werden. Die Empfehlung ist, die entsprechenden Monitorsysteme auszuklammern.

 

Ich würde jedoch den Microsoft Support kurz anrufen und den Fehler melden. Je mehr Fehler zusamenlaufen, desto eher wird ein Bugfix entwickelt. Immer davon ausgehend, dass es dieselbe Ursache ist.

 

Gruss,

Matthias

[whistler1980 10]

Hallo,

 

in unserer umgebung tritt exakt der gleiche reproduzierbare eventlog Eintrag auf.

 

gibt es in dieser Richtung mitlerweile einen Workaround oder Hotfix von Microsoft?

 

mfg

 

Markus

[gysinma1 13]

Hallo

 

Ne mir ist nix bekannt. Frage mal gelegentlich nach.

 

Gruss

Matthias

[Velius 10]

Eigentlich liegt das Ganze an falsch registrieren SPNs (Service Prinzipal Names) - beim Clonen , Kopieren oder Umbenennen von Computer Konten möglicherweise, hwo knows.

 

Möglicherweise hilft das hier: Event ID 11 in the System log of domain controllers

[Gast flotricon]

Die exakte Fehlermeldung hatte ich ebenfalls innerhalb eines AD Clusters mit Windows Server 2003 SP1 Maschinen.

 

In meinem Fall resultierte der Fehler aus doppelten Einträgen im DNS Server, es existierten zwei Hostnamen ( Forward-Lookupzone ) welche auf dieselbe IP Adresse verwiesen haben oder umgekehrt. ( Reverse-Lookupzone )

 

Den nicht mehr existierenden Hostnamen habe ich entfernt und der Fehler war Geschichte. Evtl. hilft dir das bei deiner Problemlösung.

 

Prüfe am besten gegen ob die beiden Hostnamen host/dwepd21.egldwnet.ch. und cifs/vdwepdfs.fqdn über identische DNS Einträge verfügen.