11
DNS Snapin zeigt Zugriff verweigert
Hallo Leute,
Ich bin ein wenig verzweifelt, da ich beim Kunden aus dem nichts folgendes Phanomen habe:
Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Folgender Workaround habe ich schon versucht:
nltest /sc_change_pwd:domainname.local
netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort
Leider ohne Erfolg.
Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Dann geht er wieder bis zum nächsten neustart.
Allerdings werden dann die GPOs auf dem Server nicht mehr geladen. Auf den Clients schon.
In der EVENTLOG beim DNS steht dann, dass der DNS ohne den Dienst nicht alle Zonen laden konnte und mit niedrigeren Rechten gestartet wurde.
Leider bin ich h ier mit meinem Latein am Ende und bin dankbar für jede Hilfe!
Ich bin ein wenig verzweifelt, da ich beim Kunden aus dem nichts folgendes Phanomen habe:
Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Folgender Workaround habe ich schon versucht:
nltest /sc_change_pwd:domainname.local
netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort
Leider ohne Erfolg.
Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Dann geht er wieder bis zum nächsten neustart.
Allerdings werden dann die GPOs auf dem Server nicht mehr geladen. Auf den Clients schon.
In der EVENTLOG beim DNS steht dann, dass der DNS ohne den Dienst nicht alle Zonen laden konnte und mit niedrigeren Rechten gestartet wurde.
Leider bin ich h ier mit meinem Latein am Ende und bin dankbar für jede Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator tomolpi am Sep 10, 2019 um 21:01:31 Uhr
Titel korrigiert
Content-Key: 493341
Url: https://administrator.de/contentid/493341
Printed on: April 26, 2024 at 03:04 o'clock
11 Comments
Latest comment
Hallo,
Ist eher das geläufige
Gruß,
Peter
Ist eher das geläufige
Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
Ereignissprotokoll sagt was dazu?NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Hast du alle rechte bzw. wurde am Rechtesystem rumgebastelt? Wenn nicht, was sagt das Ereignisprotokoll? CHKDSK mal laufen lassen? SFC /ScanNow mal laufen lassen?Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Wie schon mal gesagt, was steht in den Ereignisprotokollen drin?In der EVENTLOG beim DNS steht dann
Nicht nur nach DNS schauen, alle Ereignisprotokolle seit dem letzten Starten des DCs akribisch durchgehen. Bedenke, einige der Fehler sind folgefehler weil etwas nicht so ist wie erwartet. Was ist es für ein Server OS? DC ja oder nein? Memberserver oder Standaloneservcer?Gruß,
Peter
Bin erst später wieder drauf, dann poste ich ma die Logs...
An den Rechten wurde nichts verändert. Chkdsk alles grün, wie auch SFC.
Server OS ist wie oben beschrieben ein 2016er Essentials und somit ein DC und standalone...
An den Rechten wurde nichts verändert. Chkdsk alles grün, wie auch SFC.
Server OS ist wie oben beschrieben ein 2016er Essentials und somit ein DC und standalone...
So hier mal die Ereignisprotokolle:
Die Active Directory-Domänendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich.
Globaler Katalog:
\\Server.PRAXIS.local
Der zurzeit ausgeführte Vorgang kann möglicherweise nicht fortgesetzt werden. Die Active Directory-Domänendienste werden den Domänencontrollerlocator verwenden, um einen verfügbaren globalen Katalogserver zu suchen.
Zusätzliche Daten
Fehlerwert:
5 Zugriff verweigert
Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.
Zusätzliche Daten
Fehlerwert:
8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Interne ID:
320130e
Benutzeraktion
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
NLtest sagt auch:
Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Die Active Directory-Domänendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich.
Globaler Katalog:
\\Server.PRAXIS.local
Der zurzeit ausgeführte Vorgang kann möglicherweise nicht fortgesetzt werden. Die Active Directory-Domänendienste werden den Domänencontrollerlocator verwenden, um einen verfügbaren globalen Katalogserver zu suchen.
Zusätzliche Daten
Fehlerwert:
5 Zugriff verweigert
Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.
Zusätzliche Daten
Fehlerwert:
8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Interne ID:
320130e
Benutzeraktion
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
NLtest sagt auch:
Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Hallo,
Sind aber nur dir genehme Fehler die du uns Präsentierst. Die Ereignissprotokolle sollten schon fast in rot glühen. Bedenke, du hast verschiedene Ereignisprotokolle. Fang mal mit System an, Datum und Uhrzeit des letzten neustarts oder EreignisID 1074, und ab den neustart alles checken. Dies hier wird nicht alles sein.
Folgefehler
Gruß,
Peter
Sind aber nur dir genehme Fehler die du uns Präsentierst. Die Ereignissprotokolle sollten schon fast in rot glühen. Bedenke, du hast verschiedene Ereignisprotokolle. Fang mal mit System an, Datum und Uhrzeit des letzten neustarts oder EreignisID 1074, und ab den neustart alles checken. Dies hier wird nicht alles sein.
5 Zugriff verweigert
Was habt ihr dort gemacht wenn es nicht ein Fehler vom Dateisystem ist?8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
OhaFehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den
Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".Folgefehler
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Gemacht bzw. falsches Kennwort korrigiert?Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Nein, nicht überall iost ein nicht laufender DNS schuld. Du hast aber immer noch nichts zum DNS gesagt.Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
Was habt ihr gemacht das überall kommt "Zugriff verwei´gert"?Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Und dazu stehtr nichts in den Ereignissprotokokllen?Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Gruß,
Peter
Sorry, aber da sind nur noch NETLOGON Fehler, dass die Zonen nicht aktualisiert werden konnten. Und das ist ja klar, weil DNS nicht läuft.
Du fragst immer was wir gemacht haben?
Wir haben aber nichts gemacht am Server!
Und zu:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Du fragst immer was wir gemacht haben?
Wir haben aber nichts gemacht am Server!
Und zu:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Servus.
Kontrolliere doch mal, welcher Dienst mit diesem Konto gestartet werden soll.
Evtl wurde dieser User gelöscht durch "Aufräumarbeiten" und keiner hat an die Altlast gedacht.
Grüße, Henere
Kontrolliere doch mal, welcher Dienst mit diesem Konto gestartet werden soll.
Evtl wurde dieser User gelöscht durch "Aufräumarbeiten" und keiner hat an die Altlast gedacht.
Grüße, Henere
Hallo,
Wenn es so ist und keiner etwas gelöscht/geändert hat ist wohl beim Server 2016 (Der DC) etwas an Hardware kaputt gegangen.
Gruß,
Peter
Wenn es so ist und keiner etwas gelöscht/geändert hat ist wohl beim Server 2016 (Der DC) etwas an Hardware kaputt gegangen.
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und doch will irgendein Dienst / Programm sich mit (Domäne\Benutzer) Praxis\Admin anmelden. Zur not sich alle Dienste anschauen welcher Dienst sich so anmelden will. Das sollte aber auch im Ereignisprotokoll ersichtlich werden.Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Auf dein DC (Server 2016) sich die Benutzer genaustens ansehen. Einer von dort will sich mmit Praxis\Admin anmelden. Konto mal deaktivieren oder so.Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Auch Fehler zu SChannel werden in Ereignisprotokoll festgehalten.Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Schon mal gemacht? Was ist neben deb Server 2016 noch alles auf diesen Installiert und Konfiguriert? DC, DNS, DHCP, ...Gruß,
Peter
Hallo!
Es wurden keine Useraccounts gelöscht.
Alle Dienste werden mit Lokaler Dienst, Lokales System oder Netzwerkdienst gestartet.
Es wurden keine Useraccounts gelöscht.
Alle Dienste werden mit Lokaler Dienst, Lokales System oder Netzwerkdienst gestartet.
Hallo Leute.
Ich konnte das Problem lösen.
Es gibt scheinbar noch eine versteckte Anmeldeinformationsverwaltung bei der dieser falsche Account hinterlegt war.
Damit konnte ich den fehlerhaften Eintrag löschen:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .
From a command prompt run: psexec -i -s -d cmd.exe
From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr
Dannach ging der DNS Server wieder hoch, und alle anderen Eventlogeinträge sind verschwunden.
Domäne läuft wieder sauber.
Danke für eure Unterstützung.
Ich konnte das Problem lösen.
Es gibt scheinbar noch eine versteckte Anmeldeinformationsverwaltung bei der dieser falsche Account hinterlegt war.
Damit konnte ich den fehlerhaften Eintrag löschen:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .
From a command prompt run: psexec -i -s -d cmd.exe
From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr
Dannach ging der DNS Server wieder hoch, und alle anderen Eventlogeinträge sind verschwunden.
Domäne läuft wieder sauber.
Danke für eure Unterstützung.
Hallo,
https://www.digitalcitizen.life/credential-manager-where-windows-stores- ...
https://stackoverflow.com/questions/4468677/domain-account-keeping-locki ...
https://www.sciencedirect.com/topics/computer-science/credential-manager
https://joshancel.wordpress.com/2017/01/10/hidden-stored-credentials/
https://btburnett.com/2014/05/windows-domain-account-lockout-mystery.htm ...
https://social.technet.microsoft.com/Forums/lync/en-US/e1ef04fa-6aea-47f ...
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-credential-manager-s ...
Schön wenn dein Server 2016 es wieder tut. (DC oder RSD/TS oder whatsoever)
Gruß,
Peter
Zitat von @kizzed:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Hast du hierzu auch eine Quelle, nein nicht zum PSExec? Ich finde dazu nur RDS/Terminal Server und Event ID 14. Dazu steht aber hier im Thread nichts. Ist das ein TDS/Terinal Server und die Event ID 14 gewesen?There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
https://www.digitalcitizen.life/credential-manager-where-windows-stores- ...
https://stackoverflow.com/questions/4468677/domain-account-keeping-locki ...
https://www.sciencedirect.com/topics/computer-science/credential-manager
https://joshancel.wordpress.com/2017/01/10/hidden-stored-credentials/
https://btburnett.com/2014/05/windows-domain-account-lockout-mystery.htm ...
https://social.technet.microsoft.com/Forums/lync/en-US/e1ef04fa-6aea-47f ...
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-credential-manager-s ...
Schön wenn dein Server 2016 es wieder tut. (DC oder RSD/TS oder whatsoever)
Gruß,
Peter
Das hier ist der Link:
https://social.technet.microsoft.com/Forums/de-DE/e1ef04fa-6aea-47fe-939 ...
Und das hier war das Event mit der ID 14:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und Peter, es ist immer noch ein Server 2016 Essentials, wie 2 mal geschrieben
Und demnach kann es nur ein DC sein
https://social.technet.microsoft.com/Forums/de-DE/e1ef04fa-6aea-47fe-939 ...
Und das hier war das Event mit der ID 14:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und Peter, es ist immer noch ein Server 2016 Essentials, wie 2 mal geschrieben
Und demnach kann es nur ein DC sein
