Jump to content

Kerberos Event 4 auf Cluster


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen

 

Ich hätt da wieder ein "Lian-Clusterticket" :D

 

Wir haben ein Loadbalancer zwei Node Cluster 2005 SP1 mit SQL2005SP2 und Fileresouren.

 

Die beiden Applicationserver welche drauf zugreifen, haben jeder 1x täglich den Fehler Kerberos 4 KRB_APP_ERR_MODIFIED. In eventid.net find ich nix schlaues und in der Boardsuche habe ich auch schon geschaut .. Rausnehmen und Reinnehmen in die Domain können wir auf keinen Fall.

 

Da das ganze Enviornment hochkritisch ist und wir auf keinen Fall Clusterswitches wollen, stellt sich die Frage, ob dies quasi "normal" ist.

 

Soweit mir die Fehlermeldung sagt, dass das Ticket der Resource nicht korrekt entschlüsselt werden kann.

 

Duplicated entries sind keine drin in der AD wurde bereits mehrfach geprüft. Mich sorgt nicht der einzelne Fehler sondern die Periodizität.

 

Grüsse

Matthias

Link zu diesem Kommentar

Hallo Matthias,

 

stimmt die Systemzeit auf dem Node?

 

Poste doch bitte den entsprechenden Abschnitt aus dem cluster.log.

 

Hast Du dazu einen Event?

 

Seit wann ist das so?

 

Nutzt Ihr Kerberos in Verbindung mit dem SQL Server oder "nur" für die Network Name Ressourcen?

 

Du könntest Kerberos Logging aktivieren, um mehr Daten zu erhalten: How to enable Kerberos event logging

Link zu diesem Kommentar

Hallo Lian

 

Der Fehler wird auf dem DWEPA11 generiert bei dem Zugriff auf die Resource vdwepdfs (File Resource). Es greifen zwei Applicationserver darauf zu (dwepa11 und dwepa21). Jedoch nur der dwepa11 hat diesen Fehler.-

 

 

 

Event Type: Error

Event Source: Kerberos

Event Category: None

Event ID: 4

Date: 09.05.2007

Time: 19:20:31

User: N/A

Computer: DWEPA11

Description:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dwepd21.egldwnet.ch. The target name used was cifs/vdwepdfs.fqdn. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain.fqdn), and the client realm. Please contact your system administrator.

 

For more information, see Help and Support Center at Events And Errors Message Center: Basic Search.

 

 

Ich schalte jedenfalls das KerberosLog ein. Leider seit "immer" d.h. seit der Installation.

 

 

Gruss,

MAtthias

Link zu diesem Kommentar

Hallo Zusammen

 

Unser Betrieb is MS Premium Partner, weshalb wir die Kollegen von MS beizogen:

 

- Der Event ist ein Bug von Windows 2003 SP2 bei dem Zugriff auf geclusterte Resourcen

- Es gibt kein Hotfix und kein Workaround (ist per dato nicht geplant)

 

Die Empfehlung ist die Fehlermeldung zu ignorieren und in Überwachungssuites zu unterdrücken.

 

Der Fehler ist reproduzierbar bei dem UNC Zugriff auf die fehlermeldende Resource.

 

Gruss,

MAtthias

Link zu diesem Kommentar

Hallo Lian

 

Der Betrieb ist nicht gestört. Der Fehler ist reproduzierbar wenn auf dem SP2 Server der UNC Pfad zur virtuellen CLuster Resource eingegeben wird: \\clusres\share (zum Beispiel). Dann klepperts und der Event steht auf dem SP2 Server im Log. Gemäss MS auch keinerlei Einschränkungen per dato bekannt.

 

Ms wird ein Bugfix evtl. machen, falls der Fehler gehäuft bei Kunden auftritt. Momentan seien halt noch viele Cluster ohne SP2 in Betrieb. Der Fall wurde in die Entwicklung weitergegeben.

 

Gruss,

Matthias

Link zu diesem Kommentar

Hallo Matthias,

 

ich konnte Deinen Fehlerfall in meinen VMs nicht nachstellen.

Solange er kosmetischer Natur ist, sehe ich das nicht so kritisch.

 

Zum Thema Kerberos gibt es an sich im Cluster nicht sehr viel zu sagen.

 

Klar, es gibt die Option "Enable Kerberos Authentication" für die Ressourcen des Typs Network Name:

To enable Kerberos authentication for virtual servers

Dabei gilt es zu beachten, daß die Serverzeit der Nodes aktuell gehalten werden soll (sprich: NTP Einstellungen), Rest wie beim MS Link beschrieben.

 

Das AD/der DC und DNS sollen sauber sein - das war's auch schon.

 

Mal abwarten, wann es ein update dazu gibt.

Link zu diesem Kommentar

Hallo Lian

 

Der Fehler ist sehr selten wie die Kollegen von MS bestätigen. Wir sind in EMEA erst die zweiten, die dies fertig bringen. Vermutlich tritt es zudem erst auf, wenn SQL und Fileresourcen auf demselben Clusternode aktiv sind. Komisch ist auch, dass es bei uns nur ein Grid Server von vieren hat. Die anderen drei "zicken" nicht herum.

 

Naja solange es läuft ...

 

Gruss,

Matthias

Link zu diesem Kommentar

Hallo,

 

wir haben dieses WE das SP 2 auf 2 Servern 2003 Standard, die nicht im Cluster sind, aufgespielt und erhalten plötzlich den selben Fehler (unter SP1 keine Probleme) wenn wir auf einen UNC Pfad des entsprechend anderen Server zugreifen.

 

Kann es sein, dass das Problem also nicht nur in CLustern sondern auch in "normalen" AD Netzen auftaucht? :confused:

 

Bisher konnten wir noch keine Leistungseinbußen feststellen, der Fehler im Log nervt einfach nur. Gibt's ne Möglichkeit den abzustellen?

 

Gruß

Tobman112

Link zu diesem Kommentar

Hallo

 

Das ist wahrscheinlich, denn es sind unc-Aufrufe auf eigene registry hives Komponenten.

 

Microsoft teilt mir mit, dass es eine Möglichkeit zur Unterdrückung gibt, empfiehlt dies jedoch nicht einzuschalten, da mögliche ähnliche jedoch kritische Probleme, unterdrückt werden. Die Empfehlung ist, die entsprechenden Monitorsysteme auszuklammern.

 

Ich würde jedoch den Microsoft Support kurz anrufen und den Fehler melden. Je mehr Fehler zusamenlaufen, desto eher wird ein Bugfix entwickelt. Immer davon ausgehend, dass es dieselbe Ursache ist.

 

Gruss,

Matthias

Link zu diesem Kommentar
  • 3 Monate später...
Gast flotricon

Die exakte Fehlermeldung hatte ich ebenfalls innerhalb eines AD Clusters mit Windows Server 2003 SP1 Maschinen.

 

In meinem Fall resultierte der Fehler aus doppelten Einträgen im DNS Server, es existierten zwei Hostnamen ( Forward-Lookupzone ) welche auf dieselbe IP Adresse verwiesen haben oder umgekehrt. ( Reverse-Lookupzone )

 

Den nicht mehr existierenden Hostnamen habe ich entfernt und der Fehler war Geschichte. Evtl. hilft dir das bei deiner Problemlösung.

 

Prüfe am besten gegen ob die beiden Hostnamen host/dwepd21.egldwnet.ch. und cifs/vdwepdfs.fqdn über identische DNS Einträge verfügen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...