Client öffnen von Freigaben nur über IP möglich

Hallo!

Ich stehe hier gerade voll auf dem Schlauch.

Ein Client hat Probleme sich an der Domäne anzumelden.

Folgendes passiert.

Ich melde mich als Admin der Domäne an und kann nicht auf die freigegebenen Laufwerke zugreifen.
Er verlangt , dass ich User und Passwort eingebe. Mache ich dies, funktioniert es auch.

Auch wenn ich sowohl den \\FQDN als auch den \\DN verwende, komme ich nicht normal drauf.

Gebe ich allerdings die IP vom Server ein, muss ich mich nicht erneut anmelden.

Szenario:

Standort#1 hat den 1.DC und auch einen 2.DC
Standort#2 über VPN LAN2LAn im Router mit Standort#1 verbunden.
Am Standort#2 ist aktuell nur ein DNS, der Sekundäre Zonen hat, die vom 1.DC/DNS vom Standort#1 kommen installiert.

Egal welchen DNS ich am Client eintrage, und Neustart oder auch flushdns mache, ich bekomme diesen Fehler.
Nslookup liefert auch keine Fehler.
Internetauflösung geht.

Ein DC an Standort2 ist geplant, ich muss aber jetzt erstmal diesen Fehler lösen.

Was mir auch auffällt, User die an diesem Rechner schon mal mit Ihrem ServerProfil angemeldet waren, können sich auch anmelden.
Bei neuen Usern kommt die Meldung, dass er keinen Anmeldeserver finden konnte.

Bin über JEDE Hilfe dankbar.

Gruß

Marco

Content-Key: 224073

Url: https://administrator.de/contentid/224073

Ausgedruckt am: 19.09.2021 um 07:09 Uhr

Mitglied: Coreknabe
Coreknabe 09.12.2013 um 15:44:28 Uhr
Goto Top
Hi Marco,

funktioniert es auf Anhieb, wenn Du die hosts-Datei bearbeitest, also an einem Client die IP hinterlegst?

Gruß
Mitglied: killtec
killtec 09.12.2013 um 15:47:53 Uhr
Goto Top
Hi,
das klingt nach einem klassischem DNS-Problem. ggf ist der PC auch nicht mehr korrekt in der Domain? / Aber dann wäre der Fehler ein etwas anderer.
Vergib doch dem PC mal eine statische DNS-IP (vom 1 DC z.B.) und schau ob das geht. Kann er denn beide DC's erreichen?

Gruß
Mitglied: explorizer
explorizer 09.12.2013 um 16:06:07 Uhr
Goto Top
Hallo Ihr beiden!

Also der Rechner hat eine statische IP.
Beide DCs sind erreichbar halt über die IP und mit zusätzlicher Passworteingabe über den Namen.
Das mit der hosts-Datei brachte nichts.

Mal so ne blöde Frage

wie sollten die DNS sich untereinander unterhalten?

Standort#1: 1DC/DNS
1. auf sich selber mit der IP;
2.auf den 2.DC;
3. per loopback auf sich selber

Standort#1: 2DC/DNS
1. auf sich selber mit IP
2. auf 1.DC/DNS;
3. auf sich selber mit loopback

Standort#2: DNS
1. auf sich selber mit der IP;
2. auf den 1.DC/DNS;
3. auf sich selber per Loopback

So ist es aktuell.

Erschieß mich nicht sofort ;-) face-wink
Mitglied: Coreknabe
Coreknabe 09.12.2013 um 16:16:45 Uhr
Goto Top
Öhm... Moment.

Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?

Nur mal so als Idee, gibt es im Eventlog (DC oder Client) einen Eintrag, der auf Probleme mit Zertifikaten hindeutet?
Mitglied: explorizer
explorizer 09.12.2013 um 16:49:31 Uhr
Goto Top
Zitat von @Coreknabe:

Öhm... Moment.

Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?


Ja, so ist das. Bei eingabe des FQDN kommt das Anmeldefenster und bei eingabe der direkten IP eben nicht.

Nur mal so als Idee, gibt es im Eventlog (DC oder Client) einen Eintrag, der auf Probleme mit Zertifikaten hindeutet?
Das Eventlog zeig was an

- ... Ermittlungsfehlers konnte NtpClient kein Domänenpeer als Zeitquelle ... EventID 129
- Zeitüberschreitung bei der Namensauflösug für die Domäne ... EventID 1014
- Verarbeitung der GPO auf Grund fehlender Netzwerkkonnektivität ... EventID 1129

Im AnwendungsLog habe ich viele SideBySide Fehler EventID 33

Gruß

Marco

-
Mitglied: Coreknabe
Coreknabe 10.12.2013 um 08:58:19 Uhr
Goto Top
Moin Marco,

da scheinste wohl ein paar Problemchen mit dem DNS zu haben. Sind die Rollen für die DCs entsprechend verteilt? PDC als NTP-Server? Da Du verschiedene Standorte hast, würde ich mal alle Rollen auf den DCs checken.

Zum Event 1014:
Schau mal die Links an, vielleicht hilft etwas davon weiter...

http://www.eventid.net/display.asp?eventid=1014&eventno=10623&s ...
http://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/eve ...

Event 33 SidyBySide sollte erst mal mit dem eigentlichen Problem nix zu run haben:
http://social.technet.microsoft.com/Forums/windows/en-US/db028072-a3b7- ...
Mitglied: explorizer
explorizer 10.12.2013 um 09:35:21 Uhr
Goto Top
Hallo Coreknabe!

Ich werde mir Deine Lins mal ansehen. Was mich wundert ist, dass es der einzige Rechner ist, der dieses Problem hat.
Sollte da was total schief mit dem DNS sein, müssten doch auch andere Clients betroffen sein, oder?

Was mir noch einfällt, dass das Problem erst auftrat, nachdem ich den DNS an Standort#2 installiert habe.

Gruß

Marco
Mitglied: MartinBinder
MartinBinder 10.12.2013 aktualisiert um 23:03:18 Uhr
Goto Top
Coreknabe, er hat kein DNS-Problem, sondern ein Kerberos-Problem (dahinter kann natürlich irgendwo noch DNS stecken, ok). Deshalb geht es auch per IP sofort... Zeit stimmt auf Client und DC überein? Was sagt klist zu den vorhandenen Tickets? Ist der FQDN des Servers auflösbar?

Edit: Um es noch etwas genauer zu sagen - der user bekommt kein Session Ticket für den Zielserver. Hinweise sollten im Security Eventlog des Clients und aller beteiligten Domain Controller zu finden sein. Möglicherweise sind auch nur die krbtgt-Kennwörter der DCs nicht mehr synchron...

Edit2: Wo ich gerade lese, daß da VPN im Spiel ist - viele VPN-Verbindungen verhackstücken die Reihenfolge von UDP-Paketen, und wenn Dein Kerberos-Token zwischen 1536 und 2000 Byte groß ist, dann werden 2 UDP pakete draus. Erst ab 2k verwendet Kerberos automatisch TCP als protokolll. Kann man per Regkey ändern:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MaxPacketSize (REG_DWORD) erstellen und Null (0) eintragen.
http://support.microsoft.com/kb/244474/de

mfg Martin
Mitglied: explorizer
explorizer 18.12.2013 um 15:16:49 Uhr
Goto Top
Hallo Ihr Alle!
Also, was habe ich gemacht ...

mal ne andere NIC ... ohne Erfolg
Win7 neu aufgesetzt ... ohne Erfolg

Dann viel mir auf, ein anderer Rechner, den ich mal für Testsachen mit W2K8 gerade neu aufgesetzt hatte, hat diese Probleme nicht.
Also, Netzwerkkabel getauscht, Switch dazwischen weg und direkt auf den Router ... OHNE Erfolg.

Dann kam ein klitzekleiner Hinweis von einem IT Kollegen, es mal mit ner anderen IP Adresse zu versuchen ... LOOOOL
Dachte auch erst, das wäre zu einfach ABER oh Wunder, es klappte.

Dann also auf die Suche nach den Übeltätern. Stellte sich heraus, auf dem Router am Standort#1 (wo der DC läuft) war was mit DoS-defend passiert.
Der muss irgendwie die IP als nicht sicher eingestuft haben. Also DoS-Defend mal abgeschaltet und siehe da, auch die alte IP funktionierte.
Na ja, jetzt bin ich auf der Suchen nach dem eigentlichen Übeltäter. Leider lässt sich im Router keine ExcludeListe fürs interne Netz eingeben.

Aber ich danke Euch sehr für die Hilfestellungen.

Gruß

Marco
Heiß diskutierte Beiträge
question
Optimale Konfig Synology ISCSI 10GBit an Windows Server gelöst meltersVor 1 TagFrageSAN, NAS, DAS12 Kommentare

Hallo zusammen, an einem Synology Storage habe ich einen Speicherpool, Raid 6 mit 100 TB erstellt. Die 100 TB sollen als ein Gesamtvolume an einem ...

question
LAN Verkabelung, DNS Fehler 651 und anderesSabineGVor 23 StundenFrageServer6 Kommentare

Ich habe seit 1.5 Jahren Problem mit dem Internet. Provider ist A1 (Österreich), ewige Geschichte, inzwischen 700 EUR weiter und keiner kann mir helfen. Modemtausch ...

question
Installation als Standardbenutzer oder als AdministratorUserUWVor 1 TagFrageWindows Installation5 Kommentare

Ist die Benutzerkontensteuerung aktiviert, kann auch ein Standardbenutzer Software installieren. Das Installationsprogramm, oder genauer, UAC fragt den Benutzer dann nach einem Administrator und dem Passwort ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 11 StundenFrageWindows Netzwerk12 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Suche CPU-Tabelle als CSV oder XLS gelöst SarekHLVor 17 StundenFrageCPU, RAM, Mainboards8 Kommentare

Hallo zusammen, kennt jemand eine Tabelle möglichst aller 64Bit-PC- und Notebook-Prozessoren im CSV-, ODS oder XLS/XLSX-Format mit Bezeichnung, Anzahl der Kerne, Geschwindigkeit und vielleicht sogar ...

question
Scheduled Tasks mit MSA ausführenFestus94Vor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, ich hoffe, ihr habt ein ruhiges Wochenende. :-) Ich sitze seit ein paar Tagen vor einem Problem, bei dem ich vermutlich einfach den ...

question
Active Directory NTDS - Settings werden nicht automatisch generiertBombadilVor 1 TagFrageWindows Server5 Kommentare

Hallo Community :), dies ist mein erster Beitrag bzw. die erste Frage, also nur vorab so zur Info. Mein "Problem" ist aufgetaucht im Zuge des ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 13 StundenFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...