WMI... Irgendwas kommt mir Spanisch vor

[carsten.m 10]

Hallo Zusammen,

 

Zur Vorabinfo: Augenscheinlich laufen alle Dinge die laufen müssen. Namensauflösung, Internetzugriff, Manuelle Replikation, Exchange, SQL.. Im Eventlog sind keine ungewöhnlichen Dinge protokolliert. Wobei ich mich wundere das z.b. bei Dateireplikationsdienst tagelang kein Eintrag verzeichnet wird. nicht mal eine Info oder dergleichen.

 

also ursprünglich wollte ich mittels DocuSnap mal mein Netzwerk durchforsten. Da ich meine bisherige Dokumentation ein wenig aufpeppen möchte.

 

Scannt das Programm nun meinen SBS (FSMO + DC + Exchange + SQL + DNS + DCHP + ISA) durch erscheint am Ende eine WMI Felermeldung. Nach einigen Googeln und Boardsuche wird den leuten bei WMI Problemen immer WMIDiag und FRSDiag ans Herz gelegt.

 

Nun habe ich tatsächlich einige Fehler finden können, jedoch keine passende lösung. Vielleicht könnt ihr mir ja weiterhelfen:

 

FRSDiag v1.7

Checking for errors/warnings in FRS Event Log .... 	
NtFrs	18.06.2008 19:12:21	Warning	13508	Der Dateireplikationsdienst konnte die Replikation von DC2 nach DC1 für  c:\windows\sysvol\domain mit DNS-Namen DC2.firma.local nicht aktivieren. Es wird ein neuer Versuch gestartet.     Mögliche Ursachen für diese Warnung sind:        [1] Der DNS-Name DC2.firma.local von diesem Computer konnte nicht ausgewertet werden.    [2] Der Dateireplikationsdienst wird auf DC2.firma.local nicht ausgeführt.    [3] Die Topologieinformationen im Active Directory dieses Replikats  wurden noch nicht auf allen Domänencontrollern repliziert.
WARNING: Found Event ID 13508 errors without trailing 13509 ... see above for (up to) the 3 latest entries!
......... failed 1
Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...
ERROR: Junction Point missing on "c:\windows\sysvol\sysvol"
ERROR: Junction Point missing on "c:\windows\sysvol\staging areas"
......... failed 2
Restliche überprüfungen: PASSED

 

Im WMILog gibt es sehr viele dieser Meldungen nur mit unterschiedlichen Informationen. Bei einigen Fehlt der Gruppenname und es steht nur die SID da...

 

42475  (0) ** WMI namespace security for 'ROOT/SUBSCRIPTION': 								 MODIFIED.
ERROR: Default trustee 'BUILTIN\ADMINISTRATORS' has been REMOVED!
      - REMOVED ACE:
        ACEType:  &h0
				ACCESS_ALLOWED_ACE_TYPE
        ACEFlags: &h12
				CONTAINER_INHERIT_ACE
				INHERITED_ACE
        ACEMask:  &h6003F
				WBEM_ENABLE
				WBEM_METHOD_EXECUTE
				WBEM_FULL_WRITE_REP
				WBEM_PARTIAL_WRITE_REP
				WBEM_WRITE_PROVIDER
				WBEM_REMOTE_ACCESS
				WBEM_WRITE_DAC
				WBEM_READ_CONTROL

=> The REMOVED ACE was part of the DEFAULT setup for the trustee.
Removing default security will cause some operations to fail!
It is possible to fix this issue by editing the security descriptor and adding the ACE.
For WMI namespaces, this can be done with 'WMIMGMT.MSC'.

 

 

Hier mal das wichtigste aus dem restlichen WMI Log. Dinge die OK waren oder unrelevant habe ich rausgenommen

 

39933  (0) ** DCOM Status: 																 OK.
	WMI registry setup: 																 OK.
	INFO: WMI service has dependents: 												 1 SERVICE(S)!
	DCOM security warning(s) detected: 												 0.
	DCOM security error(s) detected: 													 9.
	WMI security warning(s) detected: 		 										 0.
	WMI security error(s) detected: 													 123.

 (1) !! ERROR: Overall DCOM security status: 												 ERROR!
 (1) !! ERROR: Overall WMI security status: 												 ERROR!

 (2) !! WARNING: WMI EXECQUERY operation errors reported: 								 2 WARNING(S)!
 (0) ** - Root/CIMv2, 'Select * From Win32_PointingDevice WHERE Status = "OK"' did not return any instance while AT LEAST 1 instance is expected.
 (0) ** - Root/CIMv2, 'Select * From Win32_Keyboard' did not return any instance while AT LEAST 1 instance is expected.

[NilsK 2.971]

Moin,

 

die FRSDiag-Meldungen sehen aus, als hättest du ein Problem mit deinem Sysvol. Ohne es näher geprüft zu haben, ist vielleicht dies was für dich:

How to rebuild the SYSVOL tree and its content in a domain

 

Die WMI-Meldungen hingegen deuten darauf hin, dass auf der Maschine an den WMI-Berechtigungen gedreht wurde. Beziehen sich alle Meldungen auf fehlende Default-Einträge? Ist dir bekannt, warum welche Änderungen gemacht wurden?

 

Wenn die Standardberechtigungen z.B. für lokale Admins fehlen, ist es natürlich nicht verwunderlich, wenn WMI-Abfragen usw. nicht funktionieren.

 

Gruß, Nils

[carsten.m 10]

Hi,

 

also, dass der Server keinen WMI Zugriff erlaubte, lag an der Systemrichtlinienregel betreffend RPC-Verkehr im ISA 2004. Das Problem mit dem Zugriff konnte durch die deaktivierung des RPC-Filters gelöst werden.

 

An den WMI-Berechtigungen wurde nichts geändert, bin der einzigste Administrator hier.

Handelt es sich dabei vielleicht um lokale Benutzer/Gruppen die nach dcpromo gelöscht werden? Bei 3 Einträgen zeigt das Diag-Tool SID's an. Google hilft mir atm nicht wirklich weiter :(

 

Sysvol ist auf beiden Servern vorhanden und über Explorer erreichbar. Meine Kollegen hätten sich schon beschwert, wenn die Gruppenrichtlinien nicht mehr funktionieren würden. Zum fehler selbst habe ich einen Beitrag gefunden in dem genau dasselbe steht wie in meinem Sysvol ist von der Normalbenutzung her absolut in Ordnung. Nur FRS meldet diesen Fehler, sonst keine Log-Einträge. Naja ich werd das Problem erst mal bei Seite legen.