none
Windows 2003 RRS feed

  • Allgemeine Diskussion

  • Hallo Zusammen,

    haben in einem Single Domänen Konzept folgenden Fehler.

    die vertrauensstellung zwischen dieser arbeitsstation konnte nicht hergestellt werden.

    Meistens tritt das ein wenn der User 1x Fehlerhaft sein Windows Passwort eingibt und dann kommt ständig diese Meldung.

    Rechner in die Domäne rausnehmen und reinnehmen hilft nur kurzfristig das Problem zu beheben, es tritt dann wieder erneut auf.

    Montag, 15. Dezember 2014 09:31

Alle Antworten

  • Hallo,

    welches Betriebssystem haben die Nutzerrechner?

    Sind auf dem DC und den Domänenrechnern alle SPs und die letzten Aktualisierungen installiert?

    Sind die Rechner von einem Image installiert welches NICHT mit SYSPREP vorbereitet wurde?


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Montag, 15. Dezember 2014 10:52
  • Die Nutzerrechner haben Windows 7

    Die DCs sind alle auf den aktuellen Stand. 

    Die Rechner sind keine Clones, somit haben wir SYSPREP nicht benötigt.

    Festgestellt habe Ich noch zusätzlich wenn Ich auf einem Client schaue das bei Administratoren meine Domain-Admins ein Fragezeichen am Benutzersymbol angezeigt wird und nur die SID angezeigt wird. Könnte das auf so ein Fehler hinweißen?

    Montag, 15. Dezember 2014 11:40
  • Hallo,

    poste bitte mal ein unbearbeitetes ipconfig -all von einer Windows 7 Maschine mit Problemen und dem DC.


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Montag, 15. Dezember 2014 13:23
  • also Komplett unbearbeitet kann Ich es leider nicht schicken, hab aber eine Kopie genommen und 1 zu 1 das reinkopiert was bei uns spezifisch ist. Die stellen die Ich abgeändert habe habe Ich dick markiert.

    Unser DNS Server steht nicht in der gleichen Niederlassung wie der Rechner steht, hoffe das führt nicht zu Unklarheiten. 

    Windows-IP-Konfiguration (Windows 7)

       Hostname  . . . . . . . . . . . . : pc
       Primäres DNS-Suffix . . . . . . . : Niederlassung.domain.com
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert  . . . . . . : Nein
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : Niederlassung.domain.com

    Ethernet-Adapter LAN-Verbindung:

       Verbindungsspezifisches DNS-Suffix: Niederlassung.domain.com
       Beschreibung. . . . . . . . . . . : Intel(R) 82577LC Gigabit Network Connecti
    on
       Physikalische Adresse . . . . . . : D8-D3-85-32-9D-97
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       IPv4-Adresse  . . . . . . . . . . : 10.57.202.31(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.248.0
       Lease erhalten. . . . . . . . . . : Montag, 15. Dezember 2014 14:08:54
       Lease läuft ab. . . . . . . . . . : Freitag, 13. Februar 2015 14:08:54
       Standardgateway . . . . . . . . . : 10.57.200.1
       DHCP-Server . . . . . . . . . . . : 10.57.200.2
       DNS-Server  . . . . . . . . . . . : 10.58.54.2
                                           10.57.200.2
       Primärer WINS-Server. . . . . . . : 10.57.200.2
       Sekundärer WINS-Server. . . . . . : 10.58.105.130
       NetBIOS über TCP/IP . . . . . . . : Aktiviert

    Windows-IP-Konfiguration (Windows 2003)

       Hostname  . . . . . . . . . . . . : server
       Primäres DNS-Suffix . . . . . . . : Domain.com
       Knotentyp . . . . . . . . . . . . : Unbekannt
       IP-Routing aktiviert  . . . . . . : Ja
       WINS-Proxy aktiviert  . . . . . . : Ja
       DNS-Suffixsuchliste . . . . . . . : Niederlassung.domain.com

    Ethernet-Adapter LAN-Verbindung 2:

       Verbindungsspezifisches DNS-Suffix: Niederlassung.domain.com
       Beschreibung  . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
       Physikalische Adresse . . . . . . : 00-0C-29-D3-27-88
       DHCP aktiviert  . . . . . . . . . : Nein
       IP-Adresse. . . . . . . . . . . . : 10.58.54.2
       Subnetzmaske  . . . . . . . . . . : 255.255.255.128
       Standardgateway . . . . . . . . . : 10.58.54.1
       DNS-Server  . . . . . . . . . . . : 10.58.54.2
                                           10.58.114.194
       Primärer WINS-Server  . . . . . . : 10.58.54.2
       Sekundärer WINS-Server  . . . . . : 10.58.114.194
    • Bearbeitet Alves07 Montag, 15. Dezember 2014 13:54
    Montag, 15. Dezember 2014 13:34
  • Wird Windows Systemwiederherstellung auf den Clients genutzt? Da läuft gerne mal das Computerkontopasswort ab.

    Hatten das auch mal. Der Admin vor Ort hatte öfter Windows Restore genutzt. Die Probleme traten dann erst Wochen später auf. Haben uns das dann so erklärt, dass alte Computerpasswörter ja noch eine Zeit lang funktionieren.

    Sind bestimmte Clients betroffen, oder alle. Werden bei ALLEN Clients die Benutzerkonten nicht aufgelöst (als SID angezeigt), oder nur bei einigen/temporär?

    Gibt es mehr als einen DC? Ist die Domäne und DNS gesund? Auf allen DCs/DNS? -> dcdiag.exe -> Evtl. fehlen da DNS-Einträge für die Domäne.

    IPCONFIG /ALL von DC und Client posten.



    Montag, 15. Dezember 2014 13:52
  • Haben noch nie die Systemwiederherstellung verwendet, also daran wird es nicht liegen.

    Es ist erst mal bei Domänen Eintritt kein Client davon betroffen, die Probleme kommen erst später und auch nicht alle Clients sind betroffen.

    Es gibt nur 1 Domänencontroller.

    Ich gehe auch davon aus das DNS nicht wirklich Gesund ist, irgendwo da sehe Ich auch den Wurm.

    Montag, 15. Dezember 2014 13:59
  • Beim Client in der Ereignisanzeige erhalte Ich auch folgenden Fehler:

    NETLOGON 3210

    Dieser Computer konnte sich nicht mit \\Niederlassung.Domain.com, einem Windows-Domänencontroller für  Domäne DOMAIN, authentifizieren. Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen. Die Ursache hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen, oder das  Kennwort für dieses Computerkonto wird nicht erkannt. Wenn Sie diese Meldung  nochmals erhalten, sollten Sie sich an den Systemadministrator wenden.

    -> Einen 2 Rechner mit dem selben Namen gibt es nicht, das weiß Ich sicher.

    Montag, 15. Dezember 2014 14:36
  • Hallo,

    auf einem DC sollte folgendes nicht aktiviert sein:

    IP-Routing aktiviert  . . . . . . : Ja
    WINS-Proxy aktiviert  . . . . . . : Ja

    Kannst Du das abschalten und nach einem Neustart testen-beobachten?


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Montag, 15. Dezember 2014 14:38
  • Das Gateway routet alle benötigten Ports?

    Da sind ja schon 3 DNS Server in Spiel. Haben die alle alle benötigten Einträge, sind die synchron?

    Montag, 15. Dezember 2014 14:51
  • Ja Gateway routet alle benötigten Ports, da ein 2 Rechner nicht mit diesem Problem betroffen ist.

    Die DNS Server replizieren sich da Ich sonst glaube Ich ein dickeres Problem hätte :) 

    @Mainolf_Weber können Sie mir sagen wo Ich das ganze deaktiviere? Habe in der registry nachgeschaut und da ist IPEnableRouter auf deaktiviert.

    Montag, 15. Dezember 2014 15:06
  • Evtl. Routing und RAS konfiguriert?
    Montag, 15. Dezember 2014 15:09
  • Evtl. Routing und RAS konfiguriert?
    das habe Ich jetzt deaktiviert, aber WINS-Proxy finde Ich nicht zum deaktivieren
    Montag, 15. Dezember 2014 15:16
  • WINS-PROXY: http://support.microsoft.com/kb/319848/de

    und RRAS wird nicht benötigt?

    • Bearbeitet DevOn99 Montag, 15. Dezember 2014 15:22
    Montag, 15. Dezember 2014 15:21
  • ok hat geklappt, nur besteht mein Problem mit den Clients weiterhin :(
    Montag, 15. Dezember 2014 15:24
  • Und 2 gleiche IPs kannst du auch ausschließen?

    Client neu gestartet?

    Montag, 15. Dezember 2014 15:29
  • ja das kann Ich auch defintivi ausschließen. Client neu gestartet. Das Problem muss am Client und der Verbindung zum Server liegen, aus irgendein Grund hat er keine richtige Verbindung. In der Ereignisanzeige prophezeit er mir auch den Fehler

    Zitat von oben " Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen"

    Montag, 15. Dezember 2014 15:35
  • Vielleicht liegt es doch am Benutzer und nicht am Client.

    Regedit unter

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

    liegen die SIDs, erkennst du hier deine wieder? Aber nicht S-1-5-18 bis S-1-5-20 löschen.

    Wenn ja, den Reg-Eintrag löschen und den C:\Users Ordner umbennen und nochmal neu anmelden.

    Kannst du beim Start machen F8 vertrauenswürdiger Modus.

    Unter C:\Users gibt es ein versteckten Default (hoffentlich noch!) Ordner, hier laden alle neuen Profile die Einstellungen. Wenn der nicht da ist kannst du den von einem anderen Win7 Account kopieren, das klappt auch.

    Montag, 15. Dezember 2014 16:00
  • Warum ist das Primäre DNS Suffix des Clients denn Niederlassung.domain.com ?

    Montag, 15. Dezember 2014 16:01
  • Warum ist das Primäre DNS Suffix des Clients denn Niederlassung.domain.com ?

    Weil er sich hier in der Niederlassung am DNS bedient und nicht direkt am DC, jede Niederlassung hat verschiedene HOST einträge die dann damit angesprochen werden.

    Montag, 15. Dezember 2014 16:04
  • Vielleicht liegt es doch am Benutzer und nicht am Client.

    Regedit unter

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

    liegen die SIDs, erkennst du hier deine wieder? Aber nicht S-1-5-18 bis S-1-5-20 löschen.

    Wenn ja, den Reg-Eintrag löschen und den C:\Users Ordner umbennen und nochmal neu anmelden.

    Kannst du beim Start machen F8 vertrauenswürdiger Modus.

    Unter C:\Users gibt es ein versteckten Default (hoffentlich noch!) Ordner, hier laden alle neuen Profile die Einstellungen. Wenn der nicht da ist kannst du den von einem anderen Win7 Account kopieren, das klappt auch.

    auch ein User der sich noch nie an dem Rechner angemeldet hat bekommt diese Fehlermeldung, somit schließe Ich den rest aus.
    Montag, 15. Dezember 2014 16:05
  • Und die Rechner, bei denen es keine Probleme gibt haben auch dieses Suffix?

    msDS-AllowedDNSSuffixes ist auch konfiguriert?

    Montag, 15. Dezember 2014 16:10
  • Und die Rechner, bei denen es keine Probleme gibt haben auch dieses Suffix?

    msDS-AllowedDNSSuffixes ist auch konfiguriert?

    Nein das ist nicht konfiguriert, haben aber 3 komplett fremde Niederlassungen in denen sowas auch nicht konfiguriert ist und da tritt der Fehler von oben nicht auf. 

    Montag, 15. Dezember 2014 16:19
  • http://technet.microsoft.com/en-us/library/cc755926.aspx#BKMK_EnableRegisterNames

    Sicher? Ich würde mal nachschauen. Laut TechNet muss man das konfigurieren.

    Montag, 15. Dezember 2014 16:29
  • http://www.sjkingston.com/blog/changing-the-primary-dns-suffix-of-a-domain-computer/

    Da kommt es genau zu deinem Problem.

    Wenn du den Suffix erst nach dem Join setzt (per GPO oder so), dann kann das den Fehler finde ich gut erklären.


    • Bearbeitet DevOn99 Montag, 15. Dezember 2014 16:38
    Montag, 15. Dezember 2014 16:36

  • Da kommt es genau zu deinem Problem.

    Wenn du den Suffix erst nach dem Join setzt (per GPO oder so), dann kann das den Fehler finde ich gut erklären.


    also Ich hab genau das probiert wie beschrieben, hat aber bei mir nicht geholfen =( 

    Hab alle Suffixe in dieses msDS-AllowedDNSSuffixes eingetragen aber leider hat sich dadurch mein Problem nicht gelöst

    Dienstag, 16. Dezember 2014 07:40
  • Hallo,

    einige Sachen sind ja schon angepasst.

    "...Niederlassung am DNS bedient und nicht direkt am DC, jede Niederlassung hat verschiedene HOST einträge die dann damit angesprochen werden..."

    Also nutzt Ihr die HOSTS Datei wenn ich das richtig verstehe auf den Computern? Oder wie genau habt Ihr DNS konfiguriert für die Niederlassung?

    Bitte nutze zum Testen nur einen DNS Server auf der Netzwerkkarte, welcher auch die korrekten Einträge für alle DCs hat und keine HOSTS Datei.


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 16. Dezember 2014 08:15
  • Nein wir nutzen keine HOSTS Datei, der DNS Suffix wird über Gruppenrichtlinien verteilt. Das ganze für in den Computereinstellungen definiert. 

    Auch das nutzen von einem einzigen DNS Server macht kein Unterschied zum Verhalten. Die Meldung erscheint immer noch :(

    Dienstag, 16. Dezember 2014 08:34
  • Ja, taucht das Problem denn nun nach den Änderungen WIEDER auf, nachdem das PW des Clients zurückgesetzt wurde, bzw. der Computer aus der Domäne genommen und wieder aufgenommen wurde?

    • Bearbeitet DevOn99 Dienstag, 16. Dezember 2014 09:35
    Dienstag, 16. Dezember 2014 09:33
  • also das kann Ich erst langfristig beurteilen, auf der Seite die du mir gelinkt hast steht drin das die Veränderung gleich greift, und da hab Ich es auch getestet ohne Erfolg. Ich wüsste auch keine Variante diesen Fehler zu Simulieren, da er nicht gleichzeitig bei allen Clients auftritt oder man etwas speziell beachten muss damit der Fehler auftritt. 
    Dienstag, 16. Dezember 2014 11:04
  • Ich könnte mir halt vorstellen, dass durch Fehlen Suffixe das Problem entsteht, aber erst auftritt, sobald das Computerpasswort abläuft. Sobald er jetzt bei einem Client wieder auftaucht, der nach der Änderung wieder gejoined wurde, ist klar das das Problem woanders liegt.

    Freitag, 19. Dezember 2014 02:35