6
Anmeldung mit Domänenuser an Server 2012R2 nicht mehr möglich
Hallo!
seit heute morgen kann ich mich an einem meiner zwei Hyper-V Hosts nicht mehr mit einem Domänenuser anmelden. Es kommt immer die Meldung, dass das Passwort falsch sei. Der lokale Administrator funktioniert aber.
In den Ereignislogs steht ein Kerberos Fehler 4:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "hyperv2$" empfangen. Der verwendete Zielname war hyperv2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (.DE) von der Clientdomäne (.DE) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Zusätzlich folgender Group Policy Fehler 1097:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Ich habe schon einmal im DNS nachgeschaut, aber es gibt keinen doppelten Eintrag für den Server hyperv2, weder in der Foreward, noch in der Reverse Zone.
Die Anmeldung auf anderen Servern funktioniert.
Ich habe gestern auf einem Server Exchange 2013 installiert und das Schema angepasst, die lief aber ohne Probleme durch.
Infrastruktur:
DC1+FSMO : server2008
DC2 = Server2003
DC3 = server2012r2
Ich hoffe mir kann jemand weiterhelfen, mir gehen so langsam die Ideen aus, und einfach neustarten geht auch nicht, da hier einige VM's laufen.
Gruß
Frank
seit heute morgen kann ich mich an einem meiner zwei Hyper-V Hosts nicht mehr mit einem Domänenuser anmelden. Es kommt immer die Meldung, dass das Passwort falsch sei. Der lokale Administrator funktioniert aber.
In den Ereignislogs steht ein Kerberos Fehler 4:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "hyperv2$" empfangen. Der verwendete Zielname war hyperv2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (.DE) von der Clientdomäne (.DE) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Zusätzlich folgender Group Policy Fehler 1097:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Ich habe schon einmal im DNS nachgeschaut, aber es gibt keinen doppelten Eintrag für den Server hyperv2, weder in der Foreward, noch in der Reverse Zone.
Die Anmeldung auf anderen Servern funktioniert.
Ich habe gestern auf einem Server Exchange 2013 installiert und das Schema angepasst, die lief aber ohne Probleme durch.
Infrastruktur:
DC1+FSMO : server2008
DC2 = Server2003
DC3 = server2012r2
Ich hoffe mir kann jemand weiterhelfen, mir gehen so langsam die Ideen aus, und einfach neustarten geht auch nicht, da hier einige VM's laufen.
Gruß
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 234290
Url: https://administrator.de/contentid/234290
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
überprüfe die Zeit auf dem Server mit dem anmeldeproblem und auf den DCs. Die muss überall gleich sein.
Den DNS-Client auf dem Problemserver mal neu starten ggf, den Server neu Starten.
Ein Windowsproblem besteht erst dann, wenn es nach einem Neustart immer noch da ist
Gruß
Chonta
überprüfe die Zeit auf dem Server mit dem anmeldeproblem und auf den DCs. Die muss überall gleich sein.
Den DNS-Client auf dem Problemserver mal neu starten ggf, den Server neu Starten.
Ein Windowsproblem besteht erst dann, wenn es nach einem Neustart immer noch da ist
Gruß
Chonta
Hallo,
die Uhrzeit ist auf allen Servern gleich, ich habe den DNS Client Dienst neu gestartet, das Problem besteht leider immer noch.
Neustarten kann ich den Server erst heute Abend, da ich die VM's nicht in der Produktionszeit abschalten kann.
Der Fehler im Log bleibt der selbe, ich habe auch gerade mal die SPN's überprüft, hier gibt es keine Duplikate.
Hast du evtl noch eine andere Idee die ich in der Zwischenzeit ausprobieren kann ?
Danke für die schnelle Antwort.
Gruß
Frank
die Uhrzeit ist auf allen Servern gleich, ich habe den DNS Client Dienst neu gestartet, das Problem besteht leider immer noch.
Neustarten kann ich den Server erst heute Abend, da ich die VM's nicht in der Produktionszeit abschalten kann.
Der Fehler im Log bleibt der selbe, ich habe auch gerade mal die SPN's überprüft, hier gibt es keine Duplikate.
Hast du evtl noch eine andere Idee die ich in der Zwischenzeit ausprobieren kann ?
Danke für die schnelle Antwort.
Gruß
Frank
wie konntest du das Problem lösen?
ich stehe gerade vor exakt der selben Problematik.
gestern habe ich Snapshots von einer VM gelöscht, und kann mich jetzt nicht mehr als Domänenbenutzer am Server anmelden.
Noch bin ich auf der Konsole eingeloggt, doch ich habe die Befürchtung, dass ich nach einem Logout nicht mehr reinkomme.
Der Server um den es geht ist ein Datenbankserver im Live betrieb ich kann ihn leider erst Sonntag neustarten, Gott sei Dank das momentan noch jeder arbeiten kann.
Bei einem GPUpdate kommt bei mir die selbe Meldung wie bei dir.
DNS Client habe ich neugestartet leider ohne Erfolg.
Doppelte einträge im DNS sind auch nicht vorhanden.
Uhrzeit auf allen Servern ist gleich.
Beim Anmelden kommt der Fehler "Passwort oder Benutzername falsch".
ich stehe gerade vor exakt der selben Problematik.
gestern habe ich Snapshots von einer VM gelöscht, und kann mich jetzt nicht mehr als Domänenbenutzer am Server anmelden.
Noch bin ich auf der Konsole eingeloggt, doch ich habe die Befürchtung, dass ich nach einem Logout nicht mehr reinkomme.
Der Server um den es geht ist ein Datenbankserver im Live betrieb ich kann ihn leider erst Sonntag neustarten, Gott sei Dank das momentan noch jeder arbeiten kann.
Bei einem GPUpdate kommt bei mir die selbe Meldung wie bei dir.
DNS Client habe ich neugestartet leider ohne Erfolg.
Doppelte einträge im DNS sind auch nicht vorhanden.
Uhrzeit auf allen Servern ist gleich.
Beim Anmelden kommt der Fehler "Passwort oder Benutzername falsch".
Hallo!
bei mir hat ein simpler Neustart des betroffenen Servers das Problem gelöst. Probiere das doch am Wochenende mal aus.
Gruß
Frank
bei mir hat ein simpler Neustart des betroffenen Servers das Problem gelöst. Probiere das doch am Wochenende mal aus.
Gruß
Frank
Super habe am WE den Server neu gestartet und alles läuft wieder wie gehabt.
Vielen Dank
Vielen Dank
Hallo Zusammen!
Nur ein kurzer Nachtrag, nachdem ich gerade den Beitrag gelesen habe. Ich hatte die Anmeldeproblematik bis dato bei allen von mir installierten Windows 2012 R2 Servern, egal ob DC oder Member Server. Der Effekt ist immer der Gleiche und tritt in keinem nachvollziehbaren Zyklus auf. Es ist keine Anmeldung via Konsole oder RDP möglich. Nach Neustart der betroffenen Maschine läuft wieder alles einwandfrei.
Nach meiner Erfahrung tritt dieser Effekt pro Server genau einmal auf. Allerdings würde mich auch mal interessieren, ob es von Microsoft ein aktuelles Statement zu dieser Problematik gibt.
MfG
Uli
Nur ein kurzer Nachtrag, nachdem ich gerade den Beitrag gelesen habe. Ich hatte die Anmeldeproblematik bis dato bei allen von mir installierten Windows 2012 R2 Servern, egal ob DC oder Member Server. Der Effekt ist immer der Gleiche und tritt in keinem nachvollziehbaren Zyklus auf. Es ist keine Anmeldung via Konsole oder RDP möglich. Nach Neustart der betroffenen Maschine läuft wieder alles einwandfrei.
Nach meiner Erfahrung tritt dieser Effekt pro Server genau einmal auf. Allerdings würde mich auch mal interessieren, ob es von Microsoft ein aktuelles Statement zu dieser Problematik gibt.
MfG
Uli
