none
RDP- Anmeldung am DC als Administrator wird nicht erkannt RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    "Der Benutzername oder das Kennwort ist falsch. Versuchen Sie es erneut."

    Wir haben eine neue Serverumgebung mit MSServer2012R2 aufgesetzt. Die Domäne haben wir aus einer SBServer2003R2 migriert. Desweiteren wird der neue DC mit einem zweiten DC repliziert. Eigentlich funkitoniert alles sehr gut.! ? ABER !!! Seit einigen Tagen wird immer mal wieder die Anmeldung per RDP auf dem DC als Domänen Administrator nicht zugelassen. Zuerst war die Befürchtung, das es ein Problem mit IPv6 ist und wir hatten nochmal kontrolliert das alle IPv6 Adapter ausgeschaltet sind. Die Verbidnungen laufen alles über IPv4. Nach einem Neustart ist wieder alles in Ordnung. In den Ereignissen wird nichts konstruktives angezeigt.

    Auch mit einem anderen User funktioniert die Anmeldung nicht. Es läßt vermuten, das zu diesem Zeitpunkt die Berechtigungen im AD nicht gelesen werden können!?

    Kennt jemand das Problem und wie kann die Lösung aussehen?

    Sonntag, 30. März 2014 08:39
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Am 30.03.2014 schrieb Harald1504:

    "Der Benutzername oder das Kennwort ist falsch. Versuchen Sie es erneut."

    Wir haben eine neue Serverumgebung mit MSServer2012R2 aufgesetzt. Die Domäne haben wir aus einer SBServer2003R2 migriert. Desweiteren wird der neue DC mit einem zweiten DC repliziert. Eigentlich funkitoniert alles sehr gut.! ? ABER !!! Seit einigen Tagen wird immer mal wieder die Anmeldung per RDP auf dem DC als Domänen Administrator nicht zugelassen. Zuerst war die Befürchtung, das es ein Problem mit IPv6 ist und wir hatten nochmal kontrolliert das alle IPv6 Adapter ausgeschaltet sind.

    IPV6 bei einem 2012R2 abzuschalten ist kontraproduktiv. Schalte es
    wieder ein und lass es wie es ist.

    Die Verbidnungen laufen alles über IPv4. Nach einem Neustart ist wieder alles in Ordnung.

    Wer wird neu gestartet? Der Client oder der DC?

    Auch mit einem anderen User funktioniert die Anmeldung nicht. Es läßt vermuten, das zu diesem Zeitpunkt die Berechtigungen im AD nicht gelesen werden können!?

    Welche 3rd Party Programme/Dienste laufen auf den DCs dauernd im
    Hintergrund? Sind alle Windows Updates installiert? Welche
    Sicherheitssoftware ist installiert?

    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Sonntag, 30. März 2014 10:20
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Am 30.03.2014 10:39, schrieb Harald1504:

    "Der Benutzername oder das Kennwort ist falsch. Versuchen Sie es
    erneut."

    Auf deiner lokalen Workstation ist der Administratoraccount noch aktiviert?
    Dann verwendet das System bei der Benutzerangabe von "Administrator" den der lokalen Workstation um sich per RDP am DC anzumelden. Das schlägt dann fehl, denn der Account ist nicht bekannt.

    Verwende den UPN: DEINEDOM\Administrator

    Tschö
    mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Sonntag, 30. März 2014 12:48
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo, danke für die Antwort. Aber nicht falsch verstehen. Ich hatte es nur mitbekommen, als ich mich als Domänen-Administrator angemeldet hatte. Aber es ist egal, wer sich in diesem Augenblick am DC anmelden will. Auch eine anderer User der die Zugriffsrechte auf dem DC hat kann sich nicht anmelden und bekommt die gleiche Meldung. Es sieht so aus, als wenn die Daten für die Domänenberechtigung nicht gelesen werden können.

    Auch wenn ich mich direkt auf dem Hyper-V am Server anmelde, das gleiche ( Vielleicht LDAP-  oder Kerberos-Problem ???)

    DNS funktioniert ich kann den Servername ordentlich auflösen.

    Ich habe vorhin den DC-Server neu gestartet, danach ist wieder alles in Ordnung. Ich werde mir morgen nochmal die Ereignisse anschauen.

    Auf dem Server laufen nur die Standard-Dienste welche nach dem Aufsetzten des DC's mitinstalliert werden.

    Beim zweiten DC war wieder alles in Ordnung. Anmeldung klappte auch normal!

    Sonntag, 30. März 2014 16:42
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    welchen auffällige Events hast du zu diesem Zeitpunkt im

    Security Protokoll am DC?

    Sonst irgendwelche auffälligen Meldungen im Systemprotokoll?

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Sonntag, 30. März 2014 18:38
    |
  • Discussion
    Anmelden
    0
    Anmelden
    > Kennt jemand das Problem und wie kann die Lösung aussehen?
     
    Die Fehlermeldung im Wortlaut wäre mal nicht schlecht... Und ein Blick
    ins Security Eventlog des Servers auch nicht :)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 31. März 2014 07:20
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Sind die AD relevanten DNS Einträge auch wirklich vorhanden? Es reicht nicht wenn die die "Computernamen" über DNS auflösen kannst. Überprüfe diese doch mal.

    Logs auf dem/den DC's überprüfen.

    Dienstag, 1. April 2014 09:52
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Der DNS-Eintrag ist OK.

    Fehler im Ereignis Der Kerberos-Client hat einen KRB_AP_ERR_Modified-Fehler vom "Servername$" emfangen. Der verwendete Zielname war LDAP/Servername.dc.de. Dies deutet datauf hin das der Zielserver das vom Client bereitgestellte Token nich entschlüssel konnte.  Weiter noch eine Verweis auf des evtl. fehlende registrierte SPN

    Von AD-Webdiensten konnte nicht bestimmt werden, ob es sich bei dem Computer um einen globalen Katalogserver handelt.

    Und das vom DC !!!!????

    Dienstag, 1. April 2014 18:02
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    KRB_AP_ERR_Modified

    deutet meistens auf ein DNS Problem hin.

    Schau dir bitte einmal diesen Artikel an:

    http://jespermchristensen.wordpress.com/2008/06/12/troubleshooting-the-kerberos-error-krb_ap_err_modified/

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 1. April 2014 18:48
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Danke für den Artikel,

    Die DNS-Einträge habe ich schon auf doppelte Einträge geprüft. Die Abfrage der SPN werde ich mal durchführen. Das ist ja die Richtung, welche ich vermute.

    Mal eine Frage an die Fachleute: Der zweite DC ist repliziert. Dieser hat durch die Replikation die gleich SID wie der erste DC. ?

    Ist das korrekt?

    Dienstag, 1. April 2014 19:19
    |
  • Discussion
    Anmelden
    0
    Anmelden
    > Mal eine Frage an die Fachleute: Der zweite DC ist repliziert. Dieser
    > hat durch die Replikation die gleich SID wie der erste DC. ?
     
    Ja. Das ist die Domain-SID.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 2. April 2014 08:42
    |