NetworkService

[fool15982 10]

Hallo,

 

Ich habe ein kleines/großes Problem :confused:

 

Wir haben hier eine Domain mit Windows 2000 & 2003 Server sowie XP und 2000 Clients. Bei JEDEM der 2003 Server die zum (zusätzlichen) DC gemacht wurden, wird aus "NT AUTHORITY\NetworkService" ein unbekanntes Konto. Man sieht halt nur noch die SID. U.a. kann dadurch der Dienst "DHCP-Client" nicht gestartet werden, was in erster Linie kein größeres Problem darstellt, allerdings macht mir ein Eventlogeintrag mehr sorgen:

 

Ereignistyp: Warnung

Ereignisquelle: MSDTC

Ereigniskategorie: SVC

Ereigniskennung: 53258

Datum: 18.08.2009

Zeit: 13:57:57

Benutzer: Nicht zutreffend

Computer: SERVERNAME

Beschreibung:

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 464

No Callstack,

CmdLine: C:\WINDOWS\system32\msdtc.exe

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

Daten:

0000: 80070005

 

Außerdem hat seitdem der letzte verbliebene Windows 2000 Adv. Server (DC!) folgende Fehler im Eventlog

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 18.08.2009

Zeit: 13:48:31

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: SERVERNAME

Beschreibung:

Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

 

Habe bei EventID.net mal die Artikel durchgeforstet und deren Vorschläge sofern zutreffend auf meine Umgebung angewand, leider ohne Erfolg^^.

 

Hat hier jemand Tipps?

 

 

Gruß Andre

[olc 18]

Hi,

 

die MSDTC Fehler scheinen eine Folge der Dienstprobleme zu sein, siehe dazu auch The Microsoft Distributed Transaction Coordinator service must run under the NT AUTHORITY\NetworkService Windows account in Windows Server 2003 and in Windows XP .

 

Habt Ihr deutsche oder englische Systeme im Einsatz? Wenn Du den Account in den Diensteinstellungen über "Browse" suchst, wird dann "NETZWERKDIENST" oder "NETWORKSERVICE" angezeigt? Ggf. ist schlichtweg die Lokalisierung falsch, weil etwa Gruppenrichtlinieneinstellungen / Security Options falsch angewendet wurden.

 

Wurde in der Umgebung in letzter Zeit etwas verändert, so z.B. Security Policies?

Wirf dazu einmal einen Blick in einem GPMC Group Policy Results Report für einen betroffenen Server.

 

Viele Grüße

olc

[BrainStorm 10]

Hallo Andre,

kannst du einen Virenbefall ausschließen? Ich habe schon beobachtet, dass der Conf*cker Unfug mit dem NetworkService treibt.

[fool15982 10]

Hallo Andre,

kannst du einen Virenbefall ausschließen? Ich habe schon beobachtet, dass der Conf*cker Unfug mit dem NetworkService treibt.

 

Wir hatten auch zum Teil mit Conf*cker zu kämpfen aber der DC2 ist frisch aufgesetzt und die anderen Server waren/sind sauber.

 

Was mich halt stört ist, dass überall vom Konto "Netzwerk Dienst" gesprochen wird. Dieses existiert aber bei mir nicht! Überall dort wo es stehen sollte, erscheint nur die SID. Dies ist aber nur bei 2003 DCs so! Kennt das jemand?

[fool15982 10]

Ereignistyp: Warnung

Ereignisquelle: MSDTC

Ereigniskategorie: SVC

Ereigniskennung: 53258

Datum: 18.08.2009

Zeit: 13:57:57

Benutzer: Nicht zutreffend

Computer: SERVERNAME

Beschreibung:

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 464

No Callstack,

CmdLine: C:\WINDOWS\system32\msdtc.exe

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

Daten:

0000: 80070005

 

Diesen Fehler/Warnung habe ich behoben!

Mit dcomcnfg.exe das Referenzkonto für MSDTC in den Eigenschaften von Arbeitsplatz auf das Systemkonto (LocalSystem) geändert und neugestartet. Jetzt meckert er nicht mehr.

 

BTW: Wir haben die deutschen Versionen (2k & 2k3) im Einsatz!

[olc 18]

Hi,

 

wie ich oben schon sagte, schau Dir einmal die angewendeten Gruppenrichtlinien an - unter Umständen wurden hier in diversen Diensteinstellungen etc. anstatt von SIDs direkt die Gruppennamen eingetragen. Das würde das Verhalten erklären.

 

Den Link zum MSDTC-Problem habe ich nicht umsonst gepostet ;) - denn den Dienst einfach mit SYSTEM-Rechten laufen zu lassen, ist ein massives Sicherheitsrisiko. Die Gruppen / Konten haben unterschiedliche Berechtigungen im System, insbesondere der "Network Service" ist in vielerlei Hinsicht stark eingeschränkt - ganz im Gegensatz zu "Local System".

 

Viele Grüße

olc

[fool15982 10]

Das Problem sieht jetzt leider wie folgt aus!

Klick mich!

 

Wie du siehst kann ich den letzten Step nicht durchführen, weil es kein Eigenschaften gibt!

Hängt es evtl mit meinem vorrangegangen Schritt zusammen? Wie gesagt habe ich dort ja das Systemkonto eingetragen. Habe nach der Änderung nicht mehr reingeschaut und jetzt stellt es sich wie im Screeshot dar.

[olc 18]

Hi,

 

diese Probleme sollten Dir einmal mehr zeigen, daß man nicht "einfach so" mal solche Änderungen durchführen sollte. :wink2:

Du kannst das Dienstkonto aber im Normalfall wieder über die services.msc zurück setzen. Nur dann kommt es ja wieder zu dem von Dir eingangs beschriebenen Effekt.

 

Auf die anderen Fragen bist Du noch immer die Antwort schuldig.

 

Viele Grüße

olc

[fool15982 10]

@olc

Wurde in der Umgebung in letzter Zeit etwas verändert, so z.B. Security Policies?

(Ich hoffe du meinst diese unbeantwortete Frage :D)

 

Ehrlich gesagt weis ich es nicht, da ich das Netzwerk nicht aufgebaut habe und mitlerweile schon einige Admins/Vorgänger hier dran waren! Im Anhang findet sich des GPResult vom Server.

gpresult_dc2.zip

[olc 18]

Hi,

 

hättest Du die Exporte vielleicht auch als HTML Reports? Die Textdateien geben leider nicht alle Informationen her. Bitte bedenke dabei, daß da durchaus auch sicherheitskritische Daten drin stehen - man sollte also überlegen, ob man es hier postet (Textdateien als auch HTML Reporte gleichermaßen)...

 

GPMC HTML Group Policy Results Report: Using GPMC Group Policy Results to Evaluate Group Policy Settings After Deployment

 

Viele Grüße

olc

[fool15982 10]

Hier die (nachbearbeiteten ;) ) GPResults als HTML! Hoffe du siehst da mehr.

 

 

Ach übrigens, laut Eventlog, haben die betroffenen Server zwischendurch mal ne "gute Phase". Soll heißen, dass z.B. der DC4 heute früh um 01:00 Nachts die GPOs erfolgreich angewendet hat.

 

 

Event Type: Information

Event Source: SceCli

Event Category: None

Event ID: 1704

Date: 24.08.2009

Time: 01:07:48

User: N/A

Computer: DC4

Description:

Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

 

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

Data:

 

 

Allerdings nur ein mal, danach kommen gefühlte 896834652395 Einträge mit dem Anfangs erwähnten Inhalt.

GPResult_html.zip

[fool15982 10]

*push*

[olc 18]

Hi,

 

der Anhang ist noch nicht freigeschaltet, ggf. hostest Du die Datei einmal irgendwo extern. Der Speicherplatz hier im Forum ist begrenzt.

 

Ansonsten zum *push* - wenn Du ein zugesichertes Service Level Agreement von einem Tag haben möchtest, wende Dich doch bitte vertrauensvoll an einen Dienstleister Deiner Wahl oder meine Privatbank (bzw. die Banken der anderen Forenteilnehmer hier). ;)

 

Viele Grüße

olc

[fool15982 10]

hehe, das push war mehr für die Reihenfolge gedacht, es verschwindet sonst im Nirvana :D

 

Ich habe die Datei nun extern hochgeladen!

[olc 18]

Hi,

 

ich habe gerade einen kurzen Blick in die HTML-Reporte geworfen. Kurzfassung:

 

Es wird in fast jedem MS Dokument empfohlen, die Default Domain Policy als auch die Default Domain Controller Policy nicht großartig zu bearbeiten. Wenn ich mir das folgende anschaue, läuft es mir also kalt den Rücken runter:

Default Domain Controllers Policy MEINEDOMAIN.de/Domain Controllers [color="Red"]AD (3697), Sysvol (3697)[/color]

 

Die Änderungen betreffen neben vielen anderen systemrelevanten Einstellungen, die man genau prüfen sollte (insbesondere auf DCs), auch solche Einstellungen wie:

Anmelden als Dienst MEINEDOMAIN\admin, NETZWERKDIENST, MEINEDOMAIN\MopUPS, SYSTEM Default Domain Controllers Policy

Das sind für mich heiße Kandidaten in Bezug auf die Ursachenforschung zum Problem.

 

Hier wäre übrigens auch interessant zu schauen, ob die SID für "NETZWERKDIENST" oder der Name in der Datei "\\DEINEDOMAIN.de\SYSVOL\DEINEDOMAIN.de\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf" stehen. Ich könnte mir vorstellen, daß die manuell gesetzten Einstellungen als Name darin auftauchen, was Probleme nach sich ziehen kann, wenn Ihr auch andere Sprachen auf Euren Systemen einsetzt als nur "deutsch".

 

In den Systemdiensten wurden neben dem Startmodus auch die Berechtigungen (ACLs) für diesen Dienst festgelegt. Und so, wie ich das beim überfliegen lese, mit nicht in jedem Fall unbedingt sinnvollen Einstellungen. Da habt Ihr eine Menge Arbeit vor Euch, wenn Ihr das rückgängig bzw. "richtig" machen wollt, denn das sind "Tattoos", die Einstellungen kann man also nicht so einfach wieder "zurücknehmen", sondern muß sie überschreiben.

 

Aber ich habe mir jetzt auch nicht jeden Dienst angeschaut, vielleicht ist das auch weniger "schlimm", als es auf den ersten Blick aussieht. Man kann aber auch seine Umgebung "kaputt konfigurieren", und danach sieht es ehrlich gesagt für mich im Moment ein wenig aus...

 

Du könntest schauen, ob Du die folgenden Fehlermeldungen ins englische Übersetzt und in der MS KB suchst:

Komponentenstatus Ausblenden
Komponentenname Status Letzter Prozess am 
[color="Red"]Gruppenrichtlinieninfrastruktur Fehlgeschlagen 24.08.2009 09:17:27 
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Zugriff verweigert 

Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.

Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 24.08.2009 09:17:26 und 24.08.2009 09:17:27. [/color]
[...]
Security (N/V) 20.08.2009 16:14:34 
[color="Red"]Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein.

Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.08.2009 16:14:21 und 20.08.2009 16:14:34. [/color]

 

Nutzen kannst Du dafür das Sprachportal von MS: http://www.microsoft.com/language/de/de/search.mspx

 

Unten geht es weiter...