Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Ereigniskennung 11 im Systemprotokoll von Domänencontrollern

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
321044 Event ID 11 in the System log of domain controllers
Problembeschreibung
Im Systemprotokoll von einem oder mehreren Domänencontrollern werden möglicherweise die folgenden Ereignisse protokolliert:

Typ: Fehler
Quelle: KDC
Kategorie: Keine
Ereigniskennung: 11
Datum: 4/1/2002
Uhrzeit: 13:40:14
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Es sind mehrfache Konten vom Typ 10 mit dem Namen "Host/MeinComputer.MeineDomäne.com" vorhanden.

Typ: Fehler
Quelle: KDC
Kategorie: Keine
Ereigniskennung: 11
Datum: 8/17/2004
Uhrzeit: 13:30:00
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen "Host/Computername" vorhanden.

Typ: Fehler
Quelle: Kerberos
Kategorie: Keine
Ereigniskennung: 4
Datum: 8/17/2004
Uhrzeit: 13:30:00
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler vom Server "Host/Computer.untergeordneteDomäne.Stammdomäne.com" empfangen. Der verwendete Zielname war "cifs/Computername.Domäne.com". Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (untergeordnete Domäne.Stammdomäne.COM) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Dieses Ereignis kann auch auf andere Dienstprinzipalnamen zutreffen, zum Beispiel auf "Host/NetBIOSComputerName".
Ursache
Dieses Problem tritt auf, weil für zwei oder mehr Computerkonten derselbe Dienstprinzipalname (Service Principal Name, SPN) registriert ist. Ereigniskennung 11 wird protokolliert, wenn das Schlüsselverteilungscenter (Key Distribution Center, KDC) eine Ticketanfrage empfängt und der zugehörige SPN mehr als einmal vorhanden ist, wenn er auf dem globalen Katalog bei der gesamtstrukturweiten Verifizierung überprüft wird.
Lösung
Suchen Sie die Computerkonten mit den identischen Dienstprinzipalnamen, um dieses Problem zu beheben. Wenn Sie die Computer mit den identischen SPNs gefunden haben, können Sie für den Computer mit dem unkorrekten SPN entweder das Computerkonto aus der Domäne löschen, den Computer von der Domäne trennen und erneut anschließen, oder ADSIEdit verwenden, um den SPN zu korrigieren.

Wenden Sie eine der folgenden Methoden an, um die Computerkonten mit den identischen SPNs zu suchen.

Methode 1: Verwenden Sie das LDP-Supporttool

Hinweis: Wenn Sie die Windows 2000-Supporttools nicht installiert haben, installieren Sie sie von der Windows 2000-CD-ROM, bevor Sie fortfahren. Die ausführbare Setup-Datei für die Supporttools befindet sich auf der CD-ROM im Ordner "Support\Tools". Die Installation erfordert keinen Neustart des Computers. Sie müssen den Computer jedoch möglicherweise neu starten, um die Umgebungsvariablen zu aktualisieren.
  1. Klicken Sie auf Start und auf Ausführen, geben Sie LDP ein, und klicken Sie auf OK.
  2. Klicken Sie auf Verbindung und anschließend auf Verbinden.
  3. Behalten Sie die Standardeinstellungen bei, und klicken Sie auf OK.
  4. Klicken Sie auf Verbindung und anschließend auf Binden (Bind).
  5. Behalten Sie die Standardeinstellungen bei, und klicken Sie auf OK.
  6. Klicken Sie auf Ansicht und anschließend auf Struktur.
  7. Geben Sie im Dialogfeld Strukturansicht (Tree View) in das Feld BaseDN die Zeichenfolge DC=Domäne,DC=com ein, wobei Domäne Ihre Domäne ist.
  8. Klicken Sie auf Durchsuchen und anschließend auf Suchen.
  9. Geben Sie im Dialogfeld Suchen in das Feld BaseDN die Zeichenfolge DC=Domäne,DC=com ein.
  10. Geben Sie im Dialogfeld Suchen die Zeichenfolge Dienstprinzipalname=HOST/MeinComputer.MeineDomäne.com in das Feld Filter ein. Geben Sie als Dienstprinzipalnamen den Namen ein, der in der Fehlermeldung im Systemprotokoll genannt wird.
  11. Klicken Sie unter Scope (Bereich) auf Subtree (Teilstruktur).
  12. Klicken Sie auf Ausführen.

Methode 2: Verwenden Sie das Dienstprogramm "Ldifde"

Verwenden Sie das Dienstprogramm "Ldifde", um den SPN für die Gesamtstruktur abzubilden:
  1. Öffnen Sie auf dem Domänencontroller eine Eingabeaufforderung, und geben Sie folgende Zeichenfolge ein:
    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree
    Hinweis: Weil Sie den Parameter -t 3268 verwenden, um anzugeben, dass ein globaler Katalogserver in der Abfrage verwendet wird, und nicht den Parameter -d verwenden, um einen expliziten Distinguished Name (DN) anzugeben, wird der DN des Stamms der Gesamtstruktur mit dem Parameter HOST/mycomputer* verwendet. Daher können Sie nach allen SPNs suchen, die in dieser Zeichenfolge enthalten sind.
  2. Öffnen Sie die Datei "check_SPN.txt" im Editor, und suchen Sie nach dem SPN, der im Ereignisprotokoll genannt wird.
  3. Notieren Sie sich die Benutzerkonten und Computerkonten, unter denen sich der SPN befindet.

Methode 3:

Verwenden Sie das Skript "querySpn.vbs" im folgenden Microsoft TechNet-Artikel. Kopieren Sie hierzu den Code, fügen Sie ihn in den Editor ein, und speichern Sie das Skript unter dem Namen "querySpn.vbs".Führen Sie das Skript mit dem folgenden Befehl aus:
cscript spnquery.vbs HOST/mycomputer* >check_SPN.txt
Hinweis: Die Ausgabedatei "check_SPN.txt", die Sie bei Ausführung des Skripts in Methode 3 erhalten, kann wie in Methode 2 beschrieben verwendet werden.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 321044 – Letzte Überarbeitung: 05/30/2007 17:09:00 – Revision: 5.1

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 1
  • kberrmsg kbenv kbprb KB321044
Feedback
= ""; document.write("