Clients können sich nicht an Domäne anmelden

Stellen Sie eine Frage

Mittwoch, 9. Mai 2012 20:51

0
Hallo zusammen,

seit ein paar Tagen habe ich ein ziemliches Problem und mittlerweile keine Idee mehr woran es liegen kann.

Wir haben einen Windows 2003 R2 Server im Einsatz. Clients sind Windows XP Pro und Windows 7.

Das Problem ist, dass sich fast jeden Tag am Morgen niemand an seinem Rechner anmelden kann. Am Client erscheint die Fehlermeldung "kein Anmeldeserver verfügbar".

Erst nach einem Neustart des Servers ist eine Anmeldung wieder möglich.

In den Logfiles finde ich zwei Fehlermeldungen.

1.Quelle: netlogon, Ereigniskennung: 5513

Beschreibung: Der Computer hat versucht, die Verbindung mit Server herzustellen, wobei er eine Vertrauensstellung der Domäne verwendet hat. Der Computer hat jedoch die richtige Sicherheitskennung (SID) bei der Neukonfiguration der Domäne verloren. Richten sie die Vertrauensstellung neu ein.

2. Quelle: netlogon, Ereigniskennung: 5805

Beschreibung: Die Sitzungseinrichtung von Computer konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Zugriff verweigert.

DNS ist in Ordnung, Zeit ist auf allen Maschinen die gleiche, Die Rechner wurden nicht geclont. Alles was ich bisher zu den Fehlermeldungen gefunden habe, hat nicht zum Erfolg geführt.

Hat jemand eine Idee wo ich ansetzen muss?

Herzlichen Dank,

Petersen
- Typ geändert Raul TalmaciuMicrosoft Contingent Staff, Owner Mittwoch, 16. Mai 2012 12:58 Warten auf Feeback
- Antworten
- Zitieren

Alle Antworten

Donnerstag, 10. Mai 2012 04:15

0

Hello Petersen. _,

Ihr benutzt NUR die Domänen-DNS Server auf den NICs aller Domänenmitgliedern

und es ist NUR ein DC vorhanden wenn ich richtig lese?

Ist der DC vielleicht wiederhergestellt worden von einer Datensicherung?

Best regards

Meinolf Weber

Disclaimer: This posting is provided "AS IS" with no warranties, and confers

no rights.

** Please do NOT email, only reply to the Forum

** Send from Omea Reader 2.2

Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Antworten
- Zitieren
Donnerstag, 10. Mai 2012 04:18

0

Moin,

ihr habt nur einen 2003er DC ? Dann können wir Replikation aussschließen. Ich würde mal den DC & die Domäne analysieren (dcdiag,netdiag). Evtl. auch mal prüfen ob der Anmeldedienst sich aufgehängt hat.

Die Fehlermeldung sagt, du sollst den Computer noch mal neu in die Domäne aufnehmen. Die Ursache dafür lässt sich remote schlecht klären. Ich würde das aber mal mit einem PC versuchen um zu prüfen ob der dann am nächsten Morgen wieder das gleiche Problem hat.
Viele Grüße Carsten
- Antworten
- Zitieren
Donnerstag, 10. Mai 2012 06:22

0

Guten Morgen,

@Meinolf: Richtig, es gibt nur einen DC und nur der Domänen DNS Server ist auf allen NICs eingetragen. Wiederhergestellt wurde meines Wissens nichts.

@Carsten: Das mit dem Rechner neu in die Domäne aufnehmen habe ich schon probiert. Allerdings hat das genau bis zum nächsten Tag gehalten. Danach kam die Fehlermeldung erneut.

Was mir noch einfällt und vielleicht mit dem Problem zu tun hatte. Vor einiger Zeit wurde der Server ausgetauscht. Allerdings kann ich hierzu relativ wenig Angaben machen, weil das nicht von mir durchgeführt wurde und derjenige der dafür verantworlich war nicht mehr hier arbeitet.

Herzliche Grüße,

Petersen
- Antworten
- Zitieren
Donnerstag, 10. Mai 2012 06:27

0

Hallo,

die Frage ist was hat er gemacht, nur die Festplatten verschoben oder eine Datensicherung zurückgespielt, welche womöglich älter als 30 Tage war?

dcdiag /v /c /d /e /s:dcname >c:\dcdiag.txt

Kannst Du in dem dcdiag Ergebnis Fehler feststellen, bitte mit erweiterten Rechten als Administrator starten?
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Antworten
- Zitieren
Donnerstag, 10. Mai 2012 11:19

0

Hallo,

dcdiag liefert mir folgende Fehlermeldungen bzgl. DNS. Allerdings ist der 192.168.10.254 aus dem internen Netzwerk nicht erreichbar. Der Server hat 2 Netzwerk Karten und das 192.168.10.0 Netz ist nur vom Server aus erreichbar. Ist es trotzdem möglich dass die internen Probleme hieraus resultieren?

Network Adapter [00000007] Intel(R) PRO/1000 MT Network Connection:
Error: Missing A record at DNS server 192.168.10.254 :
server.carver.local
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

Error: Missing CNAME record at DNS server 192.168.10.254 :
dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

Error: Missing DC SRV record at DNS server 192.168.10.254 :
_ldap._tcp.dc._msdcs.carver.local
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

Error: Missing GC SRV record at DNS server 192.168.10.254 :
_ldap._tcp.gc._msdcs.carver.local
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

Error: Missing PDC SRV record at DNS server 192.168.10.254 :
_ldap._tcp.pdc._msdcs.carver.local
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

DNS server: 192.168.10.254 (<name unavailable>)
1 test failure on this DNS server
This is a valid DNS server
Name resolution is not functional. _ldap._tcp.carver.local. failed on the DNS server 192.168.10.254
[Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
Total query time:0 min. 2 sec., Total WMI connection time:0 min. 46 sec.

Viele Grüße,

Petersen
- Antworten
- Zitieren
Donnerstag, 10. Mai 2012 11:32

0

Hello Petersen. _,

Ein DC sollte normalerweise nur EINE Netzwerkkarte benutzen, warum hast Du

eine zweite interne eingeschaltet? Die führt zu Problemen bei der Anmeldung,

mit Gruppenrichtlinienübernahme und noch ein paar anderen unvorhersehbaren

Problemen.

Denn normalerweise registrieren sich beide Netzwerkkarten in DNS und Clients

haben Probleme den DC Namen ordentlich aufzulösen.

Bitte post jetzt doch mal ein uneditiertes ipconfig -all von dem DC und einen

Client hier.

Falls Ihr Teaming von Netzwerkarten auch benutzt ist NUR Failover unterstützt

von Microsoft und NICHT Load Balancing.

Best regards

Meinolf Weber

Disclaimer: This posting is provided "AS IS" with no warranties, and confers

no rights.

** Please do NOT email, only reply to the Forum

** Send from Omea Reader 2.2

Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Antworten
- Zitieren
Freitag, 11. Mai 2012 17:34

0

Hallo Meinolf,

hab jetzt das zweite Netzwerkinterface deaktiviert.

Wenn ich jetzt dcdiag laufen lasse bekomme ich folgende Fehlermeldungen:

Leider bin ich da jetzt ein bißchen überfragt damit. Kannst du mir nen Tip geben.

         * Active Directory LDAP Services Check
         The host dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local could not be resolved to an
         IP address. Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name

         (dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local)

         couldn't be resolved, the server name (server.carver.local)

         resolved to the IP address (192.168.10.1) and was pingable. Check

         that the IP address is registered correctly with the DNS server.
         ......................... SERVER failed test Connectivity

Doing primary tests

   Testing server: Standardname-des-ersten-Standorts\SERVER
      Skipping all tests, because server SERVER is
      not responding to directory service requests

DNS Tests are running and not hung. Please wait a few minutes...

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
            For the partition (DC=ForestDnsZones,DC=carver,DC=local) we

            encountered the following error retrieving the cross-ref's

            (CN=db321319-5004-4a26-a165-4439ae961928,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... ForestDnsZones failed test CrossRefValidation
      Starting test: CheckSDRefDom
            For the partition (DC=ForestDnsZones,DC=carver,DC=local) we

            encountered the following error retrieving the cross-ref's

            (CN=db321319-5004-4a26-a165-4439ae961928,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... ForestDnsZones failed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
            For the partition (DC=DomainDnsZones,DC=carver,DC=local) we

            encountered the following error retrieving the cross-ref's

            (CN=3c9c26ea-93d2-46a7-969f-9d061b966df1,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... DomainDnsZones failed test CrossRefValidation
      Starting test: CheckSDRefDom
            For the partition (DC=DomainDnsZones,DC=carver,DC=local) we

            encountered the following error retrieving the cross-ref's

            (CN=3c9c26ea-93d2-46a7-969f-9d061b966df1,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... DomainDnsZones failed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
            For the partition

            (CN=Schema,CN=Configuration,DC=carver,DC=local) we encountered

            the following error retrieving the cross-ref's

            (CN=Enterprise Schema,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... Schema failed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
            For the partition (CN=Configuration,DC=carver,DC=local) we

            encountered the following error retrieving the cross-ref's

            (CN=Enterprise Configuration,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... Configuration failed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : carver
      Starting test: CrossRefValidation
            For the partition (DC=carver,DC=local) we encountered the

            following error retrieving the cross-ref's

            (CN=CARVER,CN=Partitions,CN=Configuration,DC=carver,DC=local)

             information:
               LDAP Error 0x3a (58).
         ......................... carver failed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... carver passed test CheckSDRefDom

   Running enterprise tests on : carver.local
      Starting test: Intersite
         Skipping site Standardname-des-ersten-Standorts, this site is outside

         the scope provided by the command line arguments provided.
         ......................... carver.local passed test Intersite
      Starting test: FsmoCheck
         GC Name: \\server.carver.local
         Locator Flags: 0xe00003fd
         PDC Name: \\server.carver.local
         Locator Flags: 0xe00003fd
         Time Server Name: \\server.carver.local
         Locator Flags: 0xe00003fd
         Preferred Time Server Name: \\server.carver.local
         Locator Flags: 0xe00003fd
         KDC Name: \\server.carver.local
         Locator Flags: 0xe00003fd
         ......................... carver.local passed test FsmoCheck
      Starting test: DNS
         Test results for domain controllers:

            DC: server.carver.local
            Domain: carver.local


               TEST: Authentication (Auth)
                  Authentication test: Successfully completed

               TEST: Basic (Basc)
                  Error: No LDAP connectivity
                   Microsoft(R) Windows(R) Server 2003 Standard Edition (Service Pack level: 2.0) is supported
                  NETLOGON service is running
                  kdc service is running
                  DNSCACHE service is running
                  DNS service is running
                  DC is a DNS server
                  Network adapters information:
                  Adapter [00000007] Intel(R) PRO/1000 Network Connection:
                     MAC address is 00:14:16:C5:D6:7E
                     IP address is static
                     IP address: 192.168.10.1
                     DNS servers:
                        Warning: 192.168.10.254 (<name unavailable>) [Invalid]
                  Error: all DNS servers are invalid
                  Error: The A record for this DC was not found
                  [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.) - carver.local]
                  The SOA record for the Active Directory zone was not found
                  The Active Directory zone on this DC/DNS server was found (primary)
                  Root zone on this DC/DNS server was not found

Herzlichen Dank und ein schönes Wochenende,

Petersen
- Antworten
- Zitieren
Montag, 14. Mai 2012 05:59

0

Moin,

ja die zweite Netzwerkkarte war bestimmt der auslöser. Es ist zwar möglich, wenn man auf einige Punkte achtet (http://www.administrator.de/index.php?content=113672) aber nicht zu empfehlen.

Wenn du jetzt nur noch einen Adapter hast, solltest du dem als DNS-Server die eigene IP verpassen und den Netlogon Service neu starten. Dann registriert sich der DC neu in seiner eigenen Zone. Danach versuchen wir es noch mal mit einem dcdiag ;)
Viele Grüße Carsten
- Antworten
- Zitieren
Montag, 14. Mai 2012 08:26

0

Hallo,

es sind aber alle SRV Einträge in der DNS Ordner Struktur für den DC geschrieben und natürlich der A und Namensserver Eintrag?

Da Du ja die privaten IP-Adresses benutzt würde ich gerne noch ein uneditiertes ipconfig -all vom DC sehen.

192.168.10.254 ist doch im selben Sub-netz als die Ip-Adressen die wir hier sehen können? Oder sind die Rechner in einem anderen, dann bitte auch ein ipconfig -all von einem Client posten.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Antworten
- Zitieren
Montag, 14. Mai 2012 13:35

0

Hallo zusammen,

für mich hört es sich so an, als ob bei dem Umzug des DC's einiges schiefgelaufen ist.

--------- snip ------------------
* Active Directory LDAP Services Check
         The host dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local could not be resolved to an
         IP address. Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local)
         couldn't be resolved, the server name (server.carver.local)
--------- snip ------------------

Das hört sich so an, als wären im DNS Server alte Einträge, die noch auf einen nicht mehr vorhandenen DC zeigen.
Ich würde mir die DNS Zone mal ansehen und die Einträge vom alten Server entfernen. Dann würde ich mir noch mal Sites and Services (Standorte und Dienste) ansehen, ob dort noch der alte Server einen Eintrag hat.

Bitte gebe mal info, ob irgendetwas zutrifft.

Arne
Arne Tiedemann | Active Directory and Exchange specialist
- Antworten
- Zitieren
Dienstag, 15. Mai 2012 09:51

Besitzer

0

Hallo Petersen,

bist Du inzwischen weitergekommen?

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.
- Antworten
- Zitieren
Mittwoch, 16. Mai 2012 08:14

0

Hallo zusammen,

entschuldigt meine späte Antwort. War die letzten Tage verhindert.

Habe dcdiag /fix durchgeführt und danach den DNS Server neu gestartet. Das Problem ist jetzt behoben.

Dcdiag bringt jetzt keine Fehlermeldung mehr. Ich werde das Ganze jetzt ein paar Tage beobachten ob damit mein ursprüngliches Problem komplett gelöst wurde.

Herzlichen Dank an alle für die Unterstützung.

Petersen
- Antworten
- Zitieren
Mittwoch, 16. Mai 2012 12:57

Besitzer

0

Hallo,

dann warten wir auf Deine Rückmeldung, ob alles gelöst ist.

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.
- Antworten
- Zitieren
Mittwoch, 16. Mai 2012 15:59

0

Hallo Petersen,

das war genau meine Vermutung, mit dcdiag /fix hast du die Fehlerhaften Einträge bereinigt und der Fehler sollte nicht mehr auftreten.

Lieben Gruß

Arne
Arne Tiedemann | Active Directory and Exchange specialist
- Antworten
- Zitieren

Clients können sich nicht an Domäne anmelden

Alle Antworten

Produkte

Ressourcen

Lösungen

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Weitere Supportlinks