none
Clients können sich nicht an Domäne anmelden RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    seit ein paar Tagen habe ich ein ziemliches Problem und mittlerweile keine Idee mehr woran es liegen kann.

    Wir haben einen Windows 2003 R2 Server im Einsatz. Clients sind Windows XP Pro und Windows 7.

    Das Problem ist, dass sich fast jeden Tag am Morgen niemand an seinem Rechner anmelden kann. Am Client erscheint die Fehlermeldung "kein Anmeldeserver verfügbar".

    Erst nach einem Neustart des Servers ist eine Anmeldung wieder möglich.

    In den Logfiles finde ich zwei Fehlermeldungen.

    1.Quelle: netlogon, Ereigniskennung: 5513

    Beschreibung: Der Computer hat versucht, die Verbindung mit Server herzustellen, wobei er eine Vertrauensstellung der Domäne verwendet hat. Der Computer hat jedoch die richtige Sicherheitskennung (SID) bei der Neukonfiguration der Domäne verloren. Richten sie die Vertrauensstellung neu ein.

    2. Quelle: netlogon, Ereigniskennung: 5805

    Beschreibung: Die Sitzungseinrichtung von Computer konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Zugriff verweigert.

    DNS ist in Ordnung, Zeit ist auf allen Maschinen die gleiche, Die Rechner wurden nicht geclont. Alles was ich bisher zu den Fehlermeldungen gefunden habe, hat nicht zum Erfolg geführt.

    Hat jemand eine Idee wo ich ansetzen muss?

    Herzlichen Dank,

    Petersen

    Mittwoch, 9. Mai 2012 20:51

Alle Antworten

  • Hello Petersen. _,
     
    Ihr benutzt NUR die Domänen-DNS Server auf den NICs aller Domänenmitgliedern
    und es ist NUR ein DC vorhanden wenn ich richtig lese?
     
    Ist der DC vielleicht wiederhergestellt worden von einer Datensicherung?
     Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 10. Mai 2012 04:15
  • Moin,

    ihr habt nur einen 2003er DC ? Dann können wir Replikation aussschließen. Ich würde mal den DC & die Domäne analysieren (dcdiag,netdiag). Evtl. auch mal prüfen ob der Anmeldedienst sich aufgehängt hat.

    Die Fehlermeldung sagt, du sollst den Computer noch mal neu in die Domäne aufnehmen. Die Ursache dafür lässt sich remote schlecht klären. Ich würde das aber mal mit einem PC versuchen um zu prüfen ob der dann am nächsten Morgen wieder das gleiche Problem hat.


    Viele Grüße Carsten

    Donnerstag, 10. Mai 2012 04:18
  • Guten Morgen,

    @Meinolf: Richtig, es gibt nur einen DC und nur der Domänen DNS Server ist auf allen NICs eingetragen. Wiederhergestellt wurde meines Wissens nichts.

    @Carsten: Das mit dem Rechner neu in die Domäne aufnehmen habe ich schon probiert. Allerdings hat das genau bis zum nächsten Tag gehalten. Danach kam die Fehlermeldung erneut.

    Was mir noch einfällt und vielleicht mit dem Problem zu tun hatte. Vor einiger Zeit wurde der Server ausgetauscht. Allerdings kann ich hierzu relativ wenig Angaben machen, weil das nicht von mir durchgeführt wurde und derjenige der dafür verantworlich war nicht mehr hier arbeitet.

    Herzliche Grüße,

    Petersen

    Donnerstag, 10. Mai 2012 06:22
  • Hallo,

    die Frage ist was hat er gemacht, nur die Festplatten verschoben oder eine Datensicherung zurückgespielt, welche womöglich älter als 30 Tage war?

    dcdiag /v /c /d /e /s:dcname >c:\dcdiag.txt

    Kannst Du in dem dcdiag Ergebnis Fehler feststellen, bitte mit erweiterten Rechten als Administrator starten?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 10. Mai 2012 06:27
  • Hallo,

    dcdiag liefert mir folgende Fehlermeldungen bzgl. DNS. Allerdings ist der 192.168.10.254 aus dem internen Netzwerk nicht erreichbar. Der Server hat 2 Netzwerk Karten und das 192.168.10.0 Netz ist nur vom Server aus erreichbar. Ist es trotzdem möglich dass die internen Probleme hieraus resultieren?

    Network Adapter [00000007] Intel(R) PRO/1000 MT Network Connection:
    Error: Missing A record at DNS server 192.168.10.254 :
    server.carver.local
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
                         
    Error: Missing CNAME record at DNS server 192.168.10.254 :
    dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
                         
    Error: Missing DC SRV record at DNS server 192.168.10.254 :
    _ldap._tcp.dc._msdcs.carver.local
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
                         
    Error: Missing GC SRV record at DNS server 192.168.10.254 :
    _ldap._tcp.gc._msdcs.carver.local
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

    Error: Missing PDC SRV record at DNS server 192.168.10.254 :
     _ldap._tcp.pdc._msdcs.carver.local
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

    DNS server: 192.168.10.254 (<name unavailable>)
    1 test failure on this DNS server
    This is a valid DNS server
    Name resolution is not functional. _ldap._tcp.carver.local. failed on the DNS server 192.168.10.254
    [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
    Total query time:0 min. 2 sec., Total WMI connection time:0 min. 46 sec.

    Viele Grüße,

    Petersen

    Donnerstag, 10. Mai 2012 11:19
  • Hello Petersen. _,
     
    Ein DC sollte normalerweise nur EINE Netzwerkkarte benutzen, warum hast Du
    eine zweite interne eingeschaltet? Die führt zu Problemen bei der Anmeldung,
    mit Gruppenrichtlinienübernahme und noch ein paar anderen unvorhersehbaren
    Problemen.
     
    Denn normalerweise registrieren sich beide Netzwerkkarten in DNS und Clients
    haben Probleme den DC Namen ordentlich aufzulösen.
     
    Bitte post jetzt doch mal ein uneditiertes ipconfig -all von dem DC und einen
    Client hier.
     
    Falls Ihr Teaming von Netzwerkarten auch benutzt ist NUR Failover unterstützt
    von Microsoft und NICHT Load Balancing.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 10. Mai 2012 11:32
  • Hallo Meinolf,

    hab jetzt das zweite Netzwerkinterface deaktiviert.

    Wenn ich jetzt dcdiag laufen lasse bekomme ich folgende Fehlermeldungen:

    Leider bin ich da jetzt ein bißchen überfragt damit. Kannst du mir nen Tip geben.

             * Active Directory LDAP Services Check
             The host dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local could not be resolved to an
             IP address.  Check the DNS server, DHCP, server name, etc
             Although the Guid DNS name

             (dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local)

             couldn't be resolved, the server name (server.carver.local)

             resolved to the IP address (192.168.10.1) and was pingable.  Check

             that the IP address is registered correctly with the DNS server.
             ......................... SERVER failed test Connectivity

    Doing primary tests
       
       Testing server: Standardname-des-ersten-Standorts\SERVER
          Skipping all tests, because server SERVER is
          not responding to directory service requests

    DNS Tests are running and not hung. Please wait a few minutes...
       
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
                For the partition (DC=ForestDnsZones,DC=carver,DC=local) we

                encountered the following error retrieving the cross-ref's

                (CN=db321319-5004-4a26-a165-4439ae961928,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... ForestDnsZones failed test CrossRefValidation
          Starting test: CheckSDRefDom
                For the partition (DC=ForestDnsZones,DC=carver,DC=local) we

                encountered the following error retrieving the cross-ref's

                (CN=db321319-5004-4a26-a165-4439ae961928,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... ForestDnsZones failed test CheckSDRefDom
       
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
                For the partition (DC=DomainDnsZones,DC=carver,DC=local) we

                encountered the following error retrieving the cross-ref's

                (CN=3c9c26ea-93d2-46a7-969f-9d061b966df1,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... DomainDnsZones failed test CrossRefValidation
          Starting test: CheckSDRefDom
                For the partition (DC=DomainDnsZones,DC=carver,DC=local) we

                encountered the following error retrieving the cross-ref's

                (CN=3c9c26ea-93d2-46a7-969f-9d061b966df1,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... DomainDnsZones failed test CheckSDRefDom
       
       Running partition tests on : Schema
          Starting test: CrossRefValidation
                For the partition

                (CN=Schema,CN=Configuration,DC=carver,DC=local) we encountered

                the following error retrieving the cross-ref's

                (CN=Enterprise Schema,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... Schema failed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
       
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
                For the partition (CN=Configuration,DC=carver,DC=local) we

                encountered the following error retrieving the cross-ref's

                (CN=Enterprise Configuration,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... Configuration failed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
       
       Running partition tests on : carver
          Starting test: CrossRefValidation
                For the partition (DC=carver,DC=local) we encountered the

                following error retrieving the cross-ref's

                (CN=CARVER,CN=Partitions,CN=Configuration,DC=carver,DC=local)

                 information:
                   LDAP Error 0x3a (58).
             ......................... carver failed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... carver passed test CheckSDRefDom
       
       Running enterprise tests on : carver.local
          Starting test: Intersite
             Skipping site Standardname-des-ersten-Standorts, this site is outside

             the scope provided by the command line arguments provided.
             ......................... carver.local passed test Intersite
          Starting test: FsmoCheck
             GC Name: \\server.carver.local
             Locator Flags: 0xe00003fd
             PDC Name: \\server.carver.local
             Locator Flags: 0xe00003fd
             Time Server Name: \\server.carver.local
             Locator Flags: 0xe00003fd
             Preferred Time Server Name: \\server.carver.local
             Locator Flags: 0xe00003fd
             KDC Name: \\server.carver.local
             Locator Flags: 0xe00003fd
             ......................... carver.local passed test FsmoCheck
          Starting test: DNS
             Test results for domain controllers:
                
                DC: server.carver.local
                Domain: carver.local

                      
                   TEST: Authentication (Auth)
                      Authentication test: Successfully completed
                      
                   TEST: Basic (Basc)
                      Error: No LDAP connectivity
                       Microsoft(R) Windows(R) Server 2003 Standard Edition (Service Pack level: 2.0) is supported
                      NETLOGON service is running
                      kdc service is running
                      DNSCACHE service is running
                      DNS service is running
                      DC is a DNS server
                      Network adapters information:
                      Adapter [00000007] Intel(R) PRO/1000 Network Connection:
                         MAC address is 00:14:16:C5:D6:7E
                         IP address is static
                         IP address: 192.168.10.1
                         DNS servers:
                            Warning: 192.168.10.254 (<name unavailable>) [Invalid]
                      Error: all DNS servers are invalid
                      Error: The A record for this DC was not found
                      [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.) - carver.local]
                      The SOA record for the Active Directory zone was not found
                      The Active Directory zone on this DC/DNS server was found (primary)
                      Root zone on this DC/DNS server was not found

    Herzlichen Dank und ein schönes Wochenende,

    Petersen

    Freitag, 11. Mai 2012 17:34
  • Moin,

    ja die zweite Netzwerkkarte war bestimmt der auslöser. Es ist zwar möglich, wenn man auf einige Punkte achtet (http://www.administrator.de/index.php?content=113672) aber nicht zu empfehlen.

    Wenn du jetzt nur noch einen Adapter hast, solltest du dem als DNS-Server die eigene IP verpassen und den Netlogon Service neu starten. Dann registriert sich der DC neu in seiner eigenen Zone. Danach versuchen wir es noch mal mit einem dcdiag ;)


    Viele Grüße Carsten

    Montag, 14. Mai 2012 05:59
  • Hallo,

    es sind aber alle SRV Einträge in der DNS Ordner Struktur für den DC geschrieben und natürlich der A und Namensserver Eintrag?

    Da Du ja die privaten IP-Adresses benutzt würde ich gerne noch ein uneditiertes ipconfig -all vom DC sehen.

    192.168.10.254 ist doch im selben Sub-netz als die Ip-Adressen die wir hier sehen können? Oder sind die Rechner in einem anderen, dann bitte auch ein ipconfig -all von einem Client posten.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Montag, 14. Mai 2012 08:26
  • Hallo zusammen,

    für mich hört es sich so an, als ob bei dem Umzug des DC's einiges schiefgelaufen ist.

    --------- snip ------------------
    * Active Directory LDAP Services Check
             The host dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local could not be resolved to an
             IP address.  Check the DNS server, DHCP, server name, etc
             Although the Guid DNS name
             (dbd2f4e0-ab09-4078-a2d9-521337a0dc8f._msdcs.carver.local)
             couldn't be resolved, the server name (server.carver.local)
    --------- snip ------------------

    Das hört sich so an, als wären im DNS Server alte Einträge, die noch auf einen nicht mehr vorhandenen DC zeigen.
    Ich würde mir die DNS Zone mal ansehen und die Einträge vom alten Server entfernen. Dann würde ich mir noch mal Sites and Services (Standorte und Dienste) ansehen, ob dort noch der alte Server einen Eintrag hat.

    Bitte gebe mal info, ob irgendetwas zutrifft.

    Arne


    Arne Tiedemann | Active Directory and Exchange specialist

    Montag, 14. Mai 2012 13:35
  • Hallo zusammen,

    entschuldigt meine späte Antwort. War die letzten Tage verhindert.

    Habe dcdiag /fix durchgeführt und danach den DNS Server neu gestartet. Das Problem ist jetzt behoben.

    Dcdiag bringt jetzt keine Fehlermeldung mehr. Ich werde das Ganze jetzt ein paar Tage beobachten ob damit mein ursprüngliches Problem komplett gelöst wurde.

    Herzlichen Dank an alle für die Unterstützung.

    Petersen

    Mittwoch, 16. Mai 2012 08:14
  • Hallo Petersen,

    das war genau meine Vermutung, mit dcdiag /fix hast du die Fehlerhaften Einträge bereinigt und der Fehler sollte nicht mehr auftreten.

    Lieben Gruß

    Arne


    Arne Tiedemann | Active Directory and Exchange specialist

    Mittwoch, 16. Mai 2012 15:59