SBS 2011 und DCOM 10009


Veröffentlicht von MOS-Computer GbR am 04.06.2012

 

 

Situation:

SBS 2011 Netzwerk. Ein veralteter Client-PC mit Windows XP sollte gegen einen modernen mit Windows 7 ausgetauscht werden.

Das System wurde installiert, alle Daten eingetragen (IP wurde beibehalten) und in die Domain aufgenommen. Der alte Client wurde vorerst nicht aus der Domain entfernt, falls auf diesen noch mal zurückgegriffen werden müsste. Dies sollte erst dann geschehen, wenn der neue Client zu 100% lief und alle nötigen Programme installiert sind, also mit ein paar Tagen verzug. Der neue Client weist bis dato keine Probleme auf.

 

Auf dem SBS 2011 traten nun folgende Meldungen auf:

 

DistributedCOM - ID: 10009

DCOM konnte mit dem Computer "<Computername>" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

 

sowie

 

Security-Kerberos 4

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "<Computername>" empfangen. Der verwendete Zielname war RPCSS/<Computername>. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (<Domain>) von der Clientdomäne (<Domain>) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

 

Der DCOM Fehler trat dabei geballt ca. alle 30 Minuten auf, der Kerberos nur alle paar Stunden.

 

 

Problemlösung:

Die Problemlösung war in diesem Fall recht einfach: Auf dem DNS-Server des SBS 2011 waren noch die Einträge/Verweise auf den alten Client aktiv. Dieser hatte zuvor ja die gleiche IP und war auch noch in der Domain vorhanden. Löschen/Neuanlegen bzw. Aktualisieren der DNS Einträge löste das Problem umgehend.

 

 

Nachtrag:

Wie oben bereits erwähnt, tritt DCOM ID 10009 oftmals in Verbindung mit DNS Problemen auf. Prüfen Sie also grundsätzlich zuerst, ob Sie falsche/veraltete DNS Einträge auf Ihrem DNS Server haben!

Ausgehend von diesem Artikel (weitere Beschreibung hier bei uns), ist diese Meldung eher als Hinweis, statt als Warnung/Fehler zu sehen. Der "Technische Support" von Microsoft setzt die Meldung (mittels des dort vorgestellten Scripts) standardmässig auf die Liste der zu "ignorierenden Fehler".

Weitere Ansätze von Usern, besonders in anderen Umgebungen, finden Sie u.a. bei EventID.

 

 

 

Das könnte Sie vielleicht auch interessieren:



Zurück