martins 11 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Hallo, Kurzbeschreibung der Umgebung: 1. DC: Windows Server 2003 R2, SP2 2. DC: Windows Server 2008 R2 Std. da sich einige Benutzer beschwert haben, dass diverse Netzwerkzugriffe nicht mehr funktionieren, habe ich mir das Ereignisprotokoll der beiden DCs näher angeguckt. Auf einem der DCs (Windows Server 2008 R2) wird seit ca. 2 Monaten protokolliert: Warnung Quelle: CertificateServicesClient-AutoEnrollment Ereignis-ID: 64 Beschreibung: Zertifikat für lokales System mit Fingerabdruck cd 2a 0f 32 be 44 c1 5d 10 f2 39 1a 75 e4 47 2a 12 1a 19 bf wird bald ungültig oder ist bereits ungültig. Wenn ich nun auf besagtem DC via "mmc" das Zertifikate Snap-In in eine Konsole hinzufüge, wird mir das obige Zertifikat mit angegebenem Fingerabdruck (unter "Eigene Zertifikate") auch angezeigt. Das Zertifikat ist offenbar seit dem 10.09.2010 abgelaufen und wurde von einem Server ausgestellt, der nicht mehr in der Domäne existiert. Frage ist nun, wie ich ein neues Zertifikat für die Domäne, bzw. für den Domaincontroller erstellen kann und ob das abgelaufene Zertifikat für die Netzwerkprobleme ursächlich sein könnte? Wenn das abgelaufene Zertifikat die Ursache der Netzwerkprobleme ist, wieso melden sich die User erst heute? Danke für euren Support! Gruß Martin Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Das Zertifikat ist offenbar seit dem 10.09.2010 abgelaufen und wurde von einem Server ausgestellt, der nicht mehr in der Domäne existiert. Interessant. Heisst das, jemand hat die Zertifizierungsstelle Eurer Domäne einfach so entfernt? Falls dem so ist, müsste eine neue eingerichtet werden. Funktioniert denn die Replikation zwischen den beiden Domänencontrollern noch? ("repadmin /replsum * /bysrc /bydest /sort:delta") Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 3. November 2010 Autor Melden Teilen Geschrieben 3. November 2010 Der angesprochene Zertifikatsserver wurde wegen eines Defekts entfernt. Der Replikationsprozess gab folgendes Ergebnis: ------ Startzeit der Replikationszusammenfassung: 2010-11-03 23:48:29 Datensammlung für Replikationszusammenfassung wird gestartet. Dieser Vorgang kann einige Zeit dauern. ...... Quell-DSA Größtes Delta Fehler/gesamt %% Fehler SRV2008-lokal 32m:41s 0 / 10 0 SRV2003-extern 28m:52s 5 / 5 100 (1908) Der Domänencontroller für diese Domäne wurde nicht gefunden. SRV2003-lokal 09m:55s 0 / 5 0 Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler SRV2003-extern 32m:42s 0 / 5 0 SRV2008 28m:53s 5 / 10 50 (1908) Der Domänencontroller für diese Domäne wurde nicht gefunden. SRV2003-lokal 03m:11s 0 / 5 0 ------ Zur Ergänzung: Es kommt noch ein 3. DC an einem entfernten Standort (verbunden per Lan2Lan) hinzu (Windows Server 2003 R2): Lokal 1. Windows Server 2003 R2 = SRV2003-lokal 2. Windows Server 2008 R2 = SRV2008-lokal entfernter Standort 3. Windows Server 2003 R2 = SRV2003-extern Die Zertifizierungsstelle kann ich ohne Probleme am DC Windows Server 2008 R2 einrichten? Gibt es etwas, was ich dabei beachten muss / sollte? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Noch einmal die Nachfrage: Kann, bzw. muss ich eine Zertifizierungsstelle, bzw. die Rolle "Active Directory-Zertifikatdienste" installieren (auf einem der DCs oder einem anderen Server)? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 4. November 2010 Melden Teilen Geschrieben 4. November 2010 Ich sehe Replikationsfehler in der Zusammenfassung. Mit den vorhandenen Informationen fällt es mir schwer, ein Bild von Deiner Umgebung zu bekommen, insbesondere woher die Replikationsfehler kommen und zu welchem Zweck in der Domäne Zertifikate ausgestellt wurden. Je nachdem kannst Du die abgelaufenen Zertifikate von den Computern entfernen und ohne interne CA leben, oder Du musst eine neue installieren und die Verteilung von Zertifikaten konfigurieren. Es sprichts nichts dagegen, eine Stammzertifikatsstelle in einer kleineren Umgebung auf einem Domänencontroller zu installieren. In einer grösseren würde ich zweistufig mit Offline RootCA (Standalone) und AD-integrierter IssuingCA arbeiten. Ich meine aus Deinen Informationen jedoch zu lesen, dass Zertifikate von untergeordneter Bedeutung sind. Die zwei wichtigsten Fragen im Moment sind somit: - woher kommen die Replikationsfehler (-> dcdiag.exe)?; - wozu wurde die Zertifikatsstelle ursprünglich eingerichtet, welche Dienste sind davon abhängig, warum wurde die CA später entfernt? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Die Replikaton läuft jetzt fehlerfrei durch. Ich habe noch folgendes geändert: 1. AD DS: This domain controller must have "Access this Computer from the Network" granted to the appropriate security principals ( Berechtigungen in der "Default Domain Policy" für Domaincontroller, Auth. Benutzer und Administratoren erstellt => "Auf diesen Computer vom Netzwerk aus zugreifen".) 2. NTP-Zeitdienst auf dem 2008er DC konfiguriert DCDIAG ergibt folgendes: Verzeichnisserverdiagnose Anfangssetup wird ausgefhrt: Der Homeserver wird gesucht... Homeserver = SRV2008-LOKAL * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgefhrt. Server wird getestet: Standort1\SRV2008-LOKAL Starting test: Connectivity ......................... SRV2008-LOKAL hat den Test Connectivity bestanden. Prim„rtests werden ausgefhrt. Server wird getestet: Standort1\SRV2008-LOKAL Starting test: Advertising ......................... SRV2008-LOKAL hat den Test Advertising bestanden. Starting test: FrsEvent ......................... SRV2008-LOKAL hat den Test FrsEvent bestanden. Starting test: DFSREvent ......................... SRV2008-LOKAL hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... SRV2008-LOKAL hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... SRV2008-LOKAL hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... SRV2008-LOKAL hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... SRV2008-LOKAL hat den Test MachineAccount bestanden. Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=domain,DC=lokal Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=domain,DC=lokal ......................... SRV2008-LOKAL hat den Test NCSecDesc nicht bestanden. Starting test: NetLogons ......................... SRV2008-LOKAL hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ......................... SRV2008-LOKAL hat den Test ObjectsReplicated bestanden. Starting test: Replications ......................... SRV2008-LOKAL hat den Test Replications bestanden. Starting test: RidManager ......................... SRV2008-LOKAL hat den Test RidManager bestanden. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Starting test: Services ......................... SRV2008-LOKAL hat den Test Services bestanden. Starting test: SystemLog Warnung. Ereignis-ID: 0x0000A000 Erstellungszeitpunkt: 11/04/2010 18:38:05 Ereigniszeichenfolge: Das Sicherheitssystem hat einen Authentifizierungsfehler fr den Server cifs/srv2003-lokal.domain.lokal festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos lautete "Es wurde eine Anmeldung versucht. Der Anmeldedienst war jedoch nicht gestartet. Warnung. Ereignis-ID: 0x8000001D Erstellungszeitpunkt: 11/04/2010 18:38:07 Ereigniszeichenfolge: Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat. Fehler. Ereignis-ID: 0xC0001B70 Erstellungszeitpunkt: 11/04/2010 18:38:09 Ereigniszeichenfolge: Der Dienst "HP Insight Event Notifier" wurde mit folgendem dienstspezifischem Fehler beendet: Das System kann die Datei nicht ”ffnen.. Warnung. Ereignis-ID: 0x000727AA Erstellungszeitpunkt: 11/04/2010 18:40:50 Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SRV2008-LOKAL.domain.lokal; WSMAN/SRV2008-LOKAL. Warnung. Ereignis-ID: 0x0000002F Erstellungszeitpunkt: 11/04/2010 18:42:43 Ereigniszeichenfolge: Zeitanbieter "NtpClient": Vom manuell konfigurierten Peer time.windows.com wurde nach 8 Kontaktversuchen keine gltige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. NtpClient versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. Fehler: Der Peer ist nicht erreichbar. Warnung. Ereignis-ID: 0x00009016 Erstellungszeitpunkt: 11/04/2010 19:05:46 Ereigniszeichenfolge: Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, . Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Warnung. Ereignis-ID: 0x8000001D Erstellungszeitpunkt: 11/04/2010 19:08:37 Ereigniszeichenfolge: Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat. Fehler. Ereignis-ID: 0xC0001B70 Erstellungszeitpunkt: 11/04/2010 19:09:29 Ereigniszeichenfolge: Der Dienst "HP Insight Event Notifier" wurde mit folgendem dienstspezifischem Fehler beendet: Das System kann die Datei nicht ”ffnen.. Warnung. Ereignis-ID: 0x000727AA Erstellungszeitpunkt: 11/04/2010 19:12:12 Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SRV2008-LOKAL.domain.lokal; WSMAN/SRV2008-LOKAL. Warnung. Ereignis-ID: 0x0000002F Erstellungszeitpunkt: 11/04/2010 19:14:02 Ereigniszeichenfolge: Zeitanbieter "NtpClient": Vom manuell konfigurierten Peer time.windows.com wurde nach 8 Kontaktversuchen keine gltige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. NtpClient versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. Fehler: Der Peer ist nicht erreichbar. ......................... SRV2008-LOKAL hat den Test SystemLog nicht bestanden. Starting test: VerifyReferences ......................... SRV2008-LOKAL hat den Test VerifyReferences bestanden. Partitionstests werden ausgefhrt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: domain Starting test: CheckSDRefDom ......................... domain hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... domain hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgefhrt auf: domain.lokal Starting test: LocatorCheck ......................... domain.lokal hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... domain.lokal hat den Test Intersite bestanden. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Netdiag lieferte folgendes Ergebnis: Computer Name: SRV2003-LOKAL DNS Host Name: srv2003-lokal.domain.lokal System info : Microsoft Windows Server 2003 R2 (Build 3790) Processor : x86 Family 15 Model 4 Stepping 1, GenuineIntel List of installed hotfixes : Anmerkung: Aktuell! Netcard queries test . . . . . . . : Passed GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED] [WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets. GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED] Per interface results: Adapter : LAN-Verbindung 6 Netcard queries test . . . : Passed Host Name. . . . . . . . . : srv2003-lokal IP Address . . . . . . . . : 192.168.8.224 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.8.31 Primary WINS Server. . . . : 192.168.8.201 Secondary WINS Server. . . : 192.168.8.224 Dns Servers. . . . . . . . : 192.168.8.201 192.168.8.224 AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Failed No gateway reachable for this adapter. NetBT name test. . . . . . : Passed WINS service test. . . . . : Passed Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F} 1 NetBt transport currently configured. Autonet address test . . . . . . . : Passed IP loopback ping test. . . . . . . : Passed Default gateway test . . . . . . . : Failed [FATAL] NO GATEWAYS ARE REACHABLE. You have no connectivity to other network segments. If you configured the IP protocol manually then you need to add at least one valid gateway. NetBT name test. . . . . . . . . . : Passed Winsock test . . . . . . . . . . . : Passed DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for DC are registered on DNS server '192.168.8.201' and other DCs also have some of the names registered. PASS - All the DNS entries for DC are registered on DNS server '192.168.8.224' and other DCs also have some of the names registered. Redir and Browser test . . . . . . : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F} The redir is bound to 1 NetBt transport. List of NetBt transports currently bound to the browser NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F} The browser is bound to 1 NetBt transport. DC discovery test. . . . . . . . . : Passed DC list test . . . . . . . . . . . : Passed Trust relationship test. . . . . . : Passed Secure channel for domain 'DOMAIN' is to '\\SRV2008-LOKAL.domain.lokal'. Kerberos test. . . . . . . . . . . : Passed LDAP test. . . . . . . . . . . . . : Passed Bindings test. . . . . . . . . . . : Passed WAN configuration test . . . . . . : Skipped No active remote access connections. Modem diagnostics test . . . . . . : Passed IP Security test . . . . . . . . . : Skipped Note: run "netsh ipsec dynamic show /?" for more detailed information The command completed successfully Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 4. November 2010 Autor Melden Teilen Geschrieben 4. November 2010 Wenn ich von einem der DCs allerdings z.B. nslookup exchange.domain.lokal eingebe, erscheint die Fehlermeldung: *** exchange.domain.lokal wurde von server2008-lokal.domain.lokal nicht gefunden: Non-existent domain :confused: Das Ereignisprotokoll sieht ansonsten ganz ok aus. Zumindest keine Einträge, die jetzt noch Probleme mit dem AD oder DNS vermuten lassen. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 5. November 2010 Melden Teilen Geschrieben 5. November 2010 Ich schaue mir das später am Tag genauer an, wenn Du bis dann keine Hilfe erhalten hast. Die Logs geben den einen oder anderen Hinweis, aber ich bin jetzt dann bis zum sehr späten Nachmittag bei Kunden und werde nur zwischendurch ins Board schauen. Eine Frage: - ist RRAS auf dem SRV2003-LOKAL installiert? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 5. November 2010 Autor Melden Teilen Geschrieben 5. November 2010 Routing und RAS ist nicht installiert. Die Logs sehen bisher auch nahezu schneeweiß aus. Ich werd's einfach mal im Auge behalten. Danke für deinen Support. Gruß Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.