Ereigniskennung 11 im Systemprotokoll von Domänencontrollern

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 321044 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
321044 Event ID 11 in the System log of domain controllers
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Im Systemprotokoll von einem oder mehreren Domänencontrollern werden möglicherweise die folgenden Ereignisse protokolliert:

Typ: Fehler
Quelle: KDC
Kategorie: Keine
Ereigniskennung: 11
Datum: 4/1/2002
Uhrzeit: 13:40:14
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Es sind mehrfache Konten vom Typ 10 mit dem Namen "Host/MeinComputer.MeineDomäne.com" vorhanden.

Typ: Fehler
Quelle: KDC
Kategorie: Keine
Ereigniskennung: 11
Datum: 8/17/2004
Uhrzeit: 13:30:00
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen "Host/Computername" vorhanden.

Typ: Fehler
Quelle: Kerberos
Kategorie: Keine
Ereigniskennung: 4
Datum: 8/17/2004
Uhrzeit: 13:30:00
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler vom Server "Host/Computer.untergeordneteDomäne.Stammdomäne.com" empfangen. Der verwendete Zielname war "cifs/Computername.Domäne.com". Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (untergeordnete Domäne.Stammdomäne.COM) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Dieses Ereignis kann auch auf andere Dienstprinzipalnamen zutreffen, zum Beispiel auf "Host/NetBIOSComputerName".

Ursache

Dieses Problem tritt auf, weil für zwei oder mehr Computerkonten derselbe Dienstprinzipalname (Service Principal Name, SPN) registriert ist. Ereigniskennung 11 wird protokolliert, wenn das Schlüsselverteilungscenter (Key Distribution Center, KDC) eine Ticketanfrage empfängt und der zugehörige SPN mehr als einmal vorhanden ist, wenn er auf dem globalen Katalog bei der gesamtstrukturweiten Verifizierung überprüft wird.

Lösung

Suchen Sie die Computerkonten mit den identischen Dienstprinzipalnamen, um dieses Problem zu beheben. Wenn Sie die Computer mit den identischen SPNs gefunden haben, können Sie für den Computer mit dem unkorrekten SPN entweder das Computerkonto aus der Domäne löschen, den Computer von der Domäne trennen und erneut anschließen, oder ADSIEdit verwenden, um den SPN zu korrigieren.

Wenden Sie eine der folgenden Methoden an, um die Computerkonten mit den identischen SPNs zu suchen.

Methode 1: Verwenden Sie das LDP-Supporttool

Hinweis: Wenn Sie die Windows 2000-Supporttools nicht installiert haben, installieren Sie sie von der Windows 2000-CD-ROM, bevor Sie fortfahren. Die ausführbare Setup-Datei für die Supporttools befindet sich auf der CD-ROM im Ordner "Support\Tools". Die Installation erfordert keinen Neustart des Computers. Sie müssen den Computer jedoch möglicherweise neu starten, um die Umgebungsvariablen zu aktualisieren.
  1. Klicken Sie auf Start und auf Ausführen, geben Sie LDP ein, und klicken Sie auf OK.
  2. Klicken Sie auf Verbindung und anschließend auf Verbinden.
  3. Behalten Sie die Standardeinstellungen bei, und klicken Sie auf OK.
  4. Klicken Sie auf Verbindung und anschließend auf Binden (Bind).
  5. Behalten Sie die Standardeinstellungen bei, und klicken Sie auf OK.
  6. Klicken Sie auf Ansicht und anschließend auf Struktur.
  7. Geben Sie im Dialogfeld Strukturansicht (Tree View) in das Feld BaseDN die Zeichenfolge DC=Domäne,DC=com ein, wobei Domäne Ihre Domäne ist.
  8. Klicken Sie auf Durchsuchen und anschließend auf Suchen.
  9. Geben Sie im Dialogfeld Suchen in das Feld BaseDN die Zeichenfolge DC=Domäne,DC=com ein.
  10. Geben Sie im Dialogfeld Suchen die Zeichenfolge Dienstprinzipalname=HOST/MeinComputer.MeineDomäne.com in das Feld Filter ein. Geben Sie als Dienstprinzipalnamen den Namen ein, der in der Fehlermeldung im Systemprotokoll genannt wird.
  11. Klicken Sie unter Scope (Bereich) auf Subtree (Teilstruktur).
  12. Klicken Sie auf Ausführen.

Methode 2: Verwenden Sie das Dienstprogramm "Ldifde"

Verwenden Sie das Dienstprogramm "Ldifde", um den SPN für die Gesamtstruktur abzubilden:
  1. Öffnen Sie auf dem Domänencontroller eine Eingabeaufforderung, und geben Sie folgende Zeichenfolge ein:
    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree
    Hinweis: Weil Sie den Parameter -t 3268 verwenden, um anzugeben, dass ein globaler Katalogserver in der Abfrage verwendet wird, und nicht den Parameter -d verwenden, um einen expliziten Distinguished Name (DN) anzugeben, wird der DN des Stamms der Gesamtstruktur mit dem Parameter HOST/mycomputer* verwendet. Daher können Sie nach allen SPNs suchen, die in dieser Zeichenfolge enthalten sind.
  2. Öffnen Sie die Datei "check_SPN.txt" im Editor, und suchen Sie nach dem SPN, der im Ereignisprotokoll genannt wird.
  3. Notieren Sie sich die Benutzerkonten und Computerkonten, unter denen sich der SPN befindet.

Methode 3:

Verwenden Sie das Skript "querySpn.vbs" im folgenden Microsoft TechNet-Artikel. Kopieren Sie hierzu den Code, fügen Sie ihn in den Editor ein, und speichern Sie das Skript unter dem Namen "querySpn.vbs".
http://www.microsoft.com/technet/scriptcenter/solutions/spnquery.mspx
Führen Sie das Skript mit dem folgenden Befehl aus:
cscript spnquery.vbs HOST/mycomputer* >check_SPN.txt
Hinweis: Die Ausgabedatei "check_SPN.txt", die Sie bei Ausführung des Skripts in Methode 3 erhalten, kann wie in Methode 2 beschrieben verwendet werden.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Eigenschaften

Artikel-ID: 321044 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 5.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
Keywords: 
kberrmsg kbenv kbprb KB321044
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com