Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

[lefg 276]

Moin moin werte Gemeinde,

 

ich stehe momentan wie der Ochs vor Berg und brauche Hilfe.

 

Kann mir bitte jemand etwas Raten, was kann ich tun?

 

Ich habe dcdiag /q durchgefeührt und erhalte:

 

 

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:

         DC=ForestDnsZones,DC=Lubeca,DC=local
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:

         DC=DomainDnsZones,DC=Lubeca,DC=local
         ......................... 0SERVER hat den Test NCSecDesc nicht  bestanden.

            Ungltiger Dienststarttyp: IsmServ auf 0SERVER; aktueller Wert:

            DISABLED; erwarteter Wert: AUTO_START

            Der Dienst IsmServ auf [0SERVER] wurde beendet.

         ......................... 0SERVER hat den Test Services nicht

         bestanden.

         Fehler. Ereignis-ID: 0x00000411

            Erstellungszeitpunkt: 10/15/2016   13:02:06

            Ereigniszeichenfolge:

            Der DHCP-Dienst stellt keine Dienste fr DHCPv4-Clients zur Verfgung, da die aktiven Netzwerkschnittstellen keine statisch konfigurierten IPv4-Adressen besitzen oder keine aktiven Schnittstellen vorhanden sind.

         Fehler. Ereignis-ID: 0xC0002720

            Erstellungszeitpunkt: 10/15/2016   13:04:04

            Ereigniszeichenfolge:

            Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) fr Benutzer NT-AUTORITŽT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) fr die COM-Serveranwendung mit CLSID


         ......................... 0SERVER hat den Test SystemLog nicht

         bestanden.

 

 

Habt Dank für Aufmerksamkeit und Rat.

 

Edgar

bearbeitet 15. Oktober 2016 von lefg

[OliverHu 19]

Moin,

 

einiges steht schon im Log selber:

- IsmServ Service ist deaktiviert, dcdiag erwartet das er auch Auto steht.

- IP-Konfig prüfen: hat der DC keine statische IP?

 

Dann nochmal schauen.

 

Das Log sieht auch etwas komisch von der Formatierung aus. Kannst du die Ausgabe von dcdiag mal in eine Textdatei schreiben? (dcdiag /q >C:\blabla.txt)

[NilsK 2.930]

Moin,

 

na, das ist aber mittlerweile ein Klassiker.

 

https://support.microsoft.com/en-us/kb/967482

 

Ignorieren oder den RODC-Support einrichten.

 

Gruß, Nils

[OliverHu 19]

Wusste ich auch noch nicht :rolleyes:

[lefg 276]

Moin

 

Danke für euch für die Tipps, , besonder Nils Danke.

 

Eigentlich muss ich mir keine Sorge machen, denn es funktioniert ja alles.

 

Allerdings gefallen mir die Fehlermeldungen und Warnungen nicht.

Der Intersite Messinger steht auf Automatik, musste aber händisch gestartet werden. Ob das aber von wirklicher Bedeutung, der DC steht alleine, früher gab es mal mehr von.

 

 

Der Dienst "Intersite Messaging" wurde mit folgendem Fehler beendet:
Der angegebene Server kann den angeforderten Vorgang nicht ausführen.

Dann eine Warnung und eine Fehlermeldung.

 

 

Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.

 

Der DHCP-Dienst stellt keine Dienste für DHCPv4-Clients zur Verfügung, da die aktiven Netzwerkschnittstellen keine statisch konfigurierten IPv4-Adressen besitzen oder keine aktiven Schnittstellen vorhanden sind.

bearbeitet 16. Oktober 2016 von lefg

[NilsK 2.930]

Moin,

 

die IPv6-Meldung kannst du ignorieren, solange IPv6 bei euch nicht eingesetzt und zentral konfiguriert ist. (Das wäre erst der Fall, wenn ihr an euren Provider per IPv6 angebunden seid und von dort ein Prefix erhalten habt.)

 

Die IPv4-Meldung dürfte darauf hindeuten, dass auch keine statische v4-Adresse gesetzt ist. Das wäre natürlich zu korrigieren.

Darf man fragen, was du da gerade machst? Recovery-Test?

 

Gruß, Nils

[lefg 276]

Ob die warnung Anlass zur Besorgnis gibt?

 

Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler:
Für das lokale System wurden keine DNS-Server konfiguriert.

Darf man fragen, was du da gerade machst? Recovery-Test?

 

 

 

Moin Nils,

 

ich möchte einige als möglicherweise vernachlässigt anzusehende Dinge in Ordnung zu bringen.

 

IPv6 wird nicht verwendet, ist nicht konfiguriert. Ob es Sinn macht, IPv6 an den Interface auszuhaken oder in der Registry zu deaktivieren?

 

Die Fehlermeldung zu IPv4 irretiert mich. Es gibt zwei Interfaces Onboard, eine ist für den Betrieb. die andere für das KonfigurationsVLAN, derzeit deaktiviert. Aber beide Interfaces funktionieren, auch die Lease.

bearbeitet 16. Oktober 2016 von lefg

[NilsK 2.930]

Moin,

 

nein, du schaltest IPv6 nicht ab. Das haben wir hier im Board ja schon oft diskutiert.

 

[Windows Server 2008 und IPv6: Deaktivieren führt oft zu Fehlern | faq-o-matic.net]
http://www.faq-o-matic.net/2009/04/24/windows-server-2008-und-ipv6-deaktivieren-fhrt-oft-zu-fehlern/

 

Solange IPv6 nicht gemeinsam mit dem Provider "bis ins Internet" konfiguriert ist, stört es nicht, und es gibt auch keinen Konfigurationsbedarf. In dem Fall konfiguriert es sich im lokalen Subnetz automatisch und wird dort auch für lokale Kommunikation verwendet. Abschalten ist nicht supportet und führt (sehr) oft zu Fehlern. Einfach in Ruhe lassen.

 

Ich denke, dazu sollte ich mal einen FAQ-Artikel machen.

 

Drumrum scheint es in deiner Konfig aber das eine oder andere Problem zu geben. Solange du aber nicht sagst, was du da eigentlich machst, fallen Analyse und Hinweise etwas schwer.

 

Gruß, Nils

[lefg 276]

Danke Nils für den Rat.

 

Ich habe die Sache natürlich schon gelesen. Ich brauchte da auch nur eine nochmalige Bestätigung.

 

Was mache ich da an dem DC? Eigentlich nur Warnungen und Fehlermeldungen "beseitigen", die Ursachen dafür. Der Server/DC erfüllt seine Aufgabe einwandfrei, es gibt keine Störungen. Ich könnte als die Finger stillhalten und den Kopf mit etwas anderem beschäftigen.

 

Womit fing es neulich an? Ich wollte den PRTG auf dem Server laufen lassen. Darüber gibt es einen anderen Thread.

Eine weitere Fehlermeldung:

 

 

Der Dienst "Diagnosediensthost" wurde aufgrund folgenden Fehlers nicht gestartet:

In der Dienstkontokonfiguration fehlt eine Berechtigung, die für die ordnungsgemäße Funktion des Dienstes erforderlich ist. Sie können das Snap-In "Dienste" in der Microsoft Management Console (MMC) (services.msc) und das Snap-In "Lokale Sicherheitseinstellungen" in der MMC (secpol.msc) verwenden, um die Dienstkonfiguration und die Kontokonfiguration anzuzeigen.

Die führt zu https://technet.microsoft.com/en-us/library/19405a2d-cea1-464f-92b2-5e9a34f8f9b5.aspx

bearbeitet 16. Oktober 2016 von lefg

[Sunny61 806]

Ein DC ist ein DC ist ein DC ist ein DC. Wenn Du andere Sachen, wie z.B. ein Monitoring installieren willst, solltest Du besser einen eigenen Server/Workstation aufsetzen. Und ein DC mit mehr als *1* NIC hat schon immer gerne Probleme bereitet. Haben wir auch schon ein paar Mal hier im Forum diskutiert.

[lefg 276]

Ein DC ist ein DC ist ein DC ist ein DC. Wenn Du andere Sachen, wie z.B. ein Monitoring installieren willst, solltest Du besser einen eigenen Server/Workstation aufsetzen. Und ein DC mit mehr als *1* NIC hat schon immer gerne Probleme bereitet. Haben wir auch schon ein paar Mal hier im Forum diskutiert.

 

Werter Sunny,

 

da widerspreche ich dir aber; der Server ist nicht nur ein DC, er verträgt schon mehr. Dieser musste schon einges tragen und mitmachen im Aufwuchs und der Jahre. Und das Benötigte, das Gewünschte funktioniert, er leistet das. Es gibt nur einige etwas unschöne, störende Meldungen. Und die haben nichts mit anderen Funktionen und Anwendungen zu tun.

 

Der Intersite Messinger wird nicht benötigt, könnte aber händisch geatrtet werden. Und der Diagnosediensthost? Bisher nur ein unschöner Eintrag.

 

Die Meldungen vom DHCP-Server? Die vom PostgreSQL? Ich lass das mal, es funktioniert ja.

 

Falls ich Zeit finde morgen oder übermorgen, dann installiere ich temporär einen weiteren DC und erneuere diesen hier.

 

Ich würd ja gern einen Host für HyperV bauen, darauf eien DC, einen Filer und einen Anwedungsserver, habe da aber ein Lizenproblem, die kann ich nicht beschaffen, das macht Higher Headquarter.

bearbeitet 16. Oktober 2016 von lefg

[Sunny61 806]

da widerspreche ich dir aber; der Server ist nicht nur ein DC, er verträgt schon mehr. Dieser musste schon einges tragen und mitmachen im Aufwuchs und der Jahre. Und das Benötigte, das Gewünschte funktioniert, er leistet das. Es gibt nur einige etwas unschöne, störende Meldungen. Und die haben nichts mit anderen Funktionen und Anwendungen zu tun.

Naja, Du wirst das schon machen. :)

[lefg 276]

Naja, Du wirst das schon machen. :)

 

Ich muss das Mögliche machen oder es sein lassen, mehr geht nicht. :)

[blub 115]

Solange IPv6 nicht gemeinsam mit dem Provider "bis ins Internet" konfiguriert ist, stört es nicht, und es gibt auch keinen Konfigurationsbedarf. In dem Fall konfiguriert es sich im lokalen Subnetz automatisch und wird dort auch für lokale Kommunikation verwendet. Abschalten ist nicht supportet und führt (sehr) oft zu Fehlern. Einfach in Ruhe lassen.

 

 

Will ich nicht unkommentiert stehen lassen:

 

Wenn man nicht weiß was man tut, kann man sich mit IPv6 neue Einfallstore in sein Netzwerk einhandeln!

Meine Empfehlung, wenn man es nicht braucht, ist ausschalten oder zumindest zuerst den NIST-Guideline verinnerlichen:

http://webcache.googleusercontent.com/search?q=cache:K-IsYa6HBkQJ:csrc.nist.gov/publications/nistbul/January2011-ITLBulletin.pdf+&cd=1&hl=en&ct=clnk&gl=de&client=firefox-b

http://csrc.nist.gov/publications/nistbul/January2011-ITLBulletin.pdf

 

konkret diese beiden Absätze:

-> Security Issues to be Considered in the Deployment of IPv6

-> NIST Recommendations for the Secure Deployment of IPv6

 

So einfach mal im Vorbeigehen über IPv6 ja/ nein entscheiden, würde ich nicht.

 

blub

[NilsK 2.930]

Moin,

 

wenn der Provider kein IPv6 ins Netzwerk routet, dann kommt da ja auch nichts rein. Tut er es doch, dann hat er seinem Kunden ein IPv6-Präfix zugeteilt. Spätestens das ist der Punkt, an dem man anfangen muss, ein IPv6-Design umzusetzen. Da ein Provider das aber nicht mal so eben macht (oder, um in deinem Bild zu bleiben, "im Vorbeigehen"), hat man das Design dann auch schon fertig - sonst hätte man ja kein IPv6 angefordert. Man weiß als (Unternehmens-)Kunde, wenn man per IPv6 "ins Internet" kommt.

 

Die von dir zitierten Dokumente sind sehr generisch und berücksichtigen die derzeitige Situation nicht, in der die meisten Unternehmen IPv4-only ans Internet angebunden sind.

 

Wichtig: Man muss sich bei IPv6 von der Vorstellung einer Trennung von privaten und öffentlichen Netzwerksegmenten trennen, die nur eine Krücke von IPv4 ist. Solange kein vom Provider zugewiesenes IPv6-Präfix im lokalen Netz verteilt wird, gibt es kein Routing, weil es keine Routen gibt. Und dieses Präfix verteilt sich nicht von selbst, sondern weil man es konfiguriert.

 

IPv6 in Windows abzuschalten, führt zu einer nicht getesteten und daher nicht supporteten Konfiguration. Was man abschalten sollte, sind die Übergangstechniken (Teredo, ISATAP und 6to4), es sei denn, man setzt sie gezielt ein (etwa für bestimmte DirectAccess-Konfigs).

 

IPv6 ist komplex, aber es ist kein Sicherheitsproblem "per se".

 

Gruß, Nils

bearbeitet 16. Oktober 2016 von NilsK