9
Client öffnen von Freigaben nur über IP möglich
Hallo!
Ich stehe hier gerade voll auf dem Schlauch.
Ein Client hat Probleme sich an der Domäne anzumelden.
Folgendes passiert.
Ich melde mich als Admin der Domäne an und kann nicht auf die freigegebenen Laufwerke zugreifen.
Er verlangt , dass ich User und Passwort eingebe. Mache ich dies, funktioniert es auch.
Auch wenn ich sowohl den \\FQDN als auch den \\DN verwende, komme ich nicht normal drauf.
Gebe ich allerdings die IP vom Server ein, muss ich mich nicht erneut anmelden.
Szenario:
Standort#1 hat den 1.DC und auch einen 2.DC
Standort#2 über VPN LAN2LAn im Router mit Standort#1 verbunden.
Am Standort#2 ist aktuell nur ein DNS, der Sekundäre Zonen hat, die vom 1.DC/DNS vom Standort#1 kommen installiert.
Egal welchen DNS ich am Client eintrage, und Neustart oder auch flushdns mache, ich bekomme diesen Fehler.
Nslookup liefert auch keine Fehler.
Internetauflösung geht.
Ein DC an Standort2 ist geplant, ich muss aber jetzt erstmal diesen Fehler lösen.
Was mir auch auffällt, User die an diesem Rechner schon mal mit Ihrem ServerProfil angemeldet waren, können sich auch anmelden.
Bei neuen Usern kommt die Meldung, dass er keinen Anmeldeserver finden konnte.
Bin über JEDE Hilfe dankbar.
Gruß
Marco
Ich stehe hier gerade voll auf dem Schlauch.
Ein Client hat Probleme sich an der Domäne anzumelden.
Folgendes passiert.
Ich melde mich als Admin der Domäne an und kann nicht auf die freigegebenen Laufwerke zugreifen.
Er verlangt , dass ich User und Passwort eingebe. Mache ich dies, funktioniert es auch.
Auch wenn ich sowohl den \\FQDN als auch den \\DN verwende, komme ich nicht normal drauf.
Gebe ich allerdings die IP vom Server ein, muss ich mich nicht erneut anmelden.
Szenario:
Standort#1 hat den 1.DC und auch einen 2.DC
Standort#2 über VPN LAN2LAn im Router mit Standort#1 verbunden.
Am Standort#2 ist aktuell nur ein DNS, der Sekundäre Zonen hat, die vom 1.DC/DNS vom Standort#1 kommen installiert.
Egal welchen DNS ich am Client eintrage, und Neustart oder auch flushdns mache, ich bekomme diesen Fehler.
Nslookup liefert auch keine Fehler.
Internetauflösung geht.
Ein DC an Standort2 ist geplant, ich muss aber jetzt erstmal diesen Fehler lösen.
Was mir auch auffällt, User die an diesem Rechner schon mal mit Ihrem ServerProfil angemeldet waren, können sich auch anmelden.
Bei neuen Usern kommt die Meldung, dass er keinen Anmeldeserver finden konnte.
Bin über JEDE Hilfe dankbar.
Gruß
Marco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 224073
Url: https://administrator.de/contentid/224073
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
9 Kommentare
Neuester Kommentar
Hi Marco,
funktioniert es auf Anhieb, wenn Du die hosts-Datei bearbeitest, also an einem Client die IP hinterlegst?
Gruß
funktioniert es auf Anhieb, wenn Du die hosts-Datei bearbeitest, also an einem Client die IP hinterlegst?
Gruß
Hi,
das klingt nach einem klassischem DNS-Problem. ggf ist der PC auch nicht mehr korrekt in der Domain? / Aber dann wäre der Fehler ein etwas anderer.
Vergib doch dem PC mal eine statische DNS-IP (vom 1 DC z.B.) und schau ob das geht. Kann er denn beide DC's erreichen?
Gruß
das klingt nach einem klassischem DNS-Problem. ggf ist der PC auch nicht mehr korrekt in der Domain? / Aber dann wäre der Fehler ein etwas anderer.
Vergib doch dem PC mal eine statische DNS-IP (vom 1 DC z.B.) und schau ob das geht. Kann er denn beide DC's erreichen?
Gruß
Hallo Ihr beiden!
Also der Rechner hat eine statische IP.
Beide DCs sind erreichbar halt über die IP und mit zusätzlicher Passworteingabe über den Namen.
Das mit der hosts-Datei brachte nichts.
Mal so ne blöde Frage
wie sollten die DNS sich untereinander unterhalten?
Standort#1: 1DC/DNS
1. auf sich selber mit der IP;
2.auf den 2.DC;
3. per loopback auf sich selber
Standort#1: 2DC/DNS
1. auf sich selber mit IP
2. auf 1.DC/DNS;
3. auf sich selber mit loopback
Standort#2: DNS
1. auf sich selber mit der IP;
2. auf den 1.DC/DNS;
3. auf sich selber per Loopback
So ist es aktuell.
Erschieß mich nicht sofort
Also der Rechner hat eine statische IP.
Beide DCs sind erreichbar halt über die IP und mit zusätzlicher Passworteingabe über den Namen.
Das mit der hosts-Datei brachte nichts.
Mal so ne blöde Frage
wie sollten die DNS sich untereinander unterhalten?
Standort#1: 1DC/DNS
1. auf sich selber mit der IP;
2.auf den 2.DC;
3. per loopback auf sich selber
Standort#1: 2DC/DNS
1. auf sich selber mit IP
2. auf 1.DC/DNS;
3. auf sich selber mit loopback
Standort#2: DNS
1. auf sich selber mit der IP;
2. auf den 1.DC/DNS;
3. auf sich selber per Loopback
So ist es aktuell.
Erschieß mich nicht sofort
Öhm... Moment.
Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?
Nur mal so als Idee, gibt es im Eventlog (DC oder Client) einen Eintrag, der auf Probleme mit Zertifikaten hindeutet?
Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?
Nur mal so als Idee, gibt es im Eventlog (DC oder Client) einen Eintrag, der auf Probleme mit Zertifikaten hindeutet?
Zitat von @Coreknabe:
Öhm... Moment.
Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?
Öhm... Moment.
Du machst auf einem Client in der hosts-Datei einen Eintrag der Marke
xxx.xxx.xxx.xxx dc-sonstwo.domaene.local
und trotzdem musst Du für die Verbindung die IP eingeben, mit dem DNS-Namen geht es nicht?
Ja, so ist das. Bei eingabe des FQDN kommt das Anmeldefenster und bei eingabe der direkten IP eben nicht.
Nur mal so als Idee, gibt es im Eventlog (DC oder Client) einen Eintrag, der auf Probleme mit Zertifikaten hindeutet?
Das Eventlog zeig was an- ... Ermittlungsfehlers konnte NtpClient kein Domänenpeer als Zeitquelle ... EventID 129
- Zeitüberschreitung bei der Namensauflösug für die Domäne ... EventID 1014
- Verarbeitung der GPO auf Grund fehlender Netzwerkkonnektivität ... EventID 1129
Im AnwendungsLog habe ich viele SideBySide Fehler EventID 33
Gruß
Marco
-
Moin Marco,
da scheinste wohl ein paar Problemchen mit dem DNS zu haben. Sind die Rollen für die DCs entsprechend verteilt? PDC als NTP-Server? Da Du verschiedene Standorte hast, würde ich mal alle Rollen auf den DCs checken.
Zum Event 1014:
Schau mal die Links an, vielleicht hilft etwas davon weiter...
http://www.eventid.net/display.asp?eventid=1014&eventno=10623&s ...
http://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/eve ...
Event 33 SidyBySide sollte erst mal mit dem eigentlichen Problem nix zu run haben:
http://social.technet.microsoft.com/Forums/windows/en-US/db028072-a3b7- ...
da scheinste wohl ein paar Problemchen mit dem DNS zu haben. Sind die Rollen für die DCs entsprechend verteilt? PDC als NTP-Server? Da Du verschiedene Standorte hast, würde ich mal alle Rollen auf den DCs checken.
Zum Event 1014:
Schau mal die Links an, vielleicht hilft etwas davon weiter...
http://www.eventid.net/display.asp?eventid=1014&eventno=10623&s ...
http://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/eve ...
Event 33 SidyBySide sollte erst mal mit dem eigentlichen Problem nix zu run haben:
http://social.technet.microsoft.com/Forums/windows/en-US/db028072-a3b7- ...
Hallo Coreknabe!
Ich werde mir Deine Lins mal ansehen. Was mich wundert ist, dass es der einzige Rechner ist, der dieses Problem hat.
Sollte da was total schief mit dem DNS sein, müssten doch auch andere Clients betroffen sein, oder?
Was mir noch einfällt, dass das Problem erst auftrat, nachdem ich den DNS an Standort#2 installiert habe.
Gruß
Marco
Ich werde mir Deine Lins mal ansehen. Was mich wundert ist, dass es der einzige Rechner ist, der dieses Problem hat.
Sollte da was total schief mit dem DNS sein, müssten doch auch andere Clients betroffen sein, oder?
Was mir noch einfällt, dass das Problem erst auftrat, nachdem ich den DNS an Standort#2 installiert habe.
Gruß
Marco
Coreknabe, er hat kein DNS-Problem, sondern ein Kerberos-Problem (dahinter kann natürlich irgendwo noch DNS stecken, ok). Deshalb geht es auch per IP sofort... Zeit stimmt auf Client und DC überein? Was sagt klist zu den vorhandenen Tickets? Ist der FQDN des Servers auflösbar?
Edit: Um es noch etwas genauer zu sagen - der user bekommt kein Session Ticket für den Zielserver. Hinweise sollten im Security Eventlog des Clients und aller beteiligten Domain Controller zu finden sein. Möglicherweise sind auch nur die krbtgt-Kennwörter der DCs nicht mehr synchron...
Edit2: Wo ich gerade lese, daß da VPN im Spiel ist - viele VPN-Verbindungen verhackstücken die Reihenfolge von UDP-Paketen, und wenn Dein Kerberos-Token zwischen 1536 und 2000 Byte groß ist, dann werden 2 UDP pakete draus. Erst ab 2k verwendet Kerberos automatisch TCP als protokolll. Kann man per Regkey ändern:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MaxPacketSize (REG_DWORD) erstellen und Null (0) eintragen.
http://support.microsoft.com/kb/244474/de
mfg Martin
Edit: Um es noch etwas genauer zu sagen - der user bekommt kein Session Ticket für den Zielserver. Hinweise sollten im Security Eventlog des Clients und aller beteiligten Domain Controller zu finden sein. Möglicherweise sind auch nur die krbtgt-Kennwörter der DCs nicht mehr synchron...
Edit2: Wo ich gerade lese, daß da VPN im Spiel ist - viele VPN-Verbindungen verhackstücken die Reihenfolge von UDP-Paketen, und wenn Dein Kerberos-Token zwischen 1536 und 2000 Byte groß ist, dann werden 2 UDP pakete draus. Erst ab 2k verwendet Kerberos automatisch TCP als protokolll. Kann man per Regkey ändern:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MaxPacketSize (REG_DWORD) erstellen und Null (0) eintragen.
http://support.microsoft.com/kb/244474/de
mfg Martin
Hallo Ihr Alle!
Also, was habe ich gemacht ...
mal ne andere NIC ... ohne Erfolg
Win7 neu aufgesetzt ... ohne Erfolg
Dann viel mir auf, ein anderer Rechner, den ich mal für Testsachen mit W2K8 gerade neu aufgesetzt hatte, hat diese Probleme nicht.
Also, Netzwerkkabel getauscht, Switch dazwischen weg und direkt auf den Router ... OHNE Erfolg.
Dann kam ein klitzekleiner Hinweis von einem IT Kollegen, es mal mit ner anderen IP Adresse zu versuchen ... LOOOOL
Dachte auch erst, das wäre zu einfach ABER oh Wunder, es klappte.
Dann also auf die Suche nach den Übeltätern. Stellte sich heraus, auf dem Router am Standort#1 (wo der DC läuft) war was mit DoS-defend passiert.
Der muss irgendwie die IP als nicht sicher eingestuft haben. Also DoS-Defend mal abgeschaltet und siehe da, auch die alte IP funktionierte.
Na ja, jetzt bin ich auf der Suchen nach dem eigentlichen Übeltäter. Leider lässt sich im Router keine ExcludeListe fürs interne Netz eingeben.
Aber ich danke Euch sehr für die Hilfestellungen.
Gruß
Marco
Also, was habe ich gemacht ...
mal ne andere NIC ... ohne Erfolg
Win7 neu aufgesetzt ... ohne Erfolg
Dann viel mir auf, ein anderer Rechner, den ich mal für Testsachen mit W2K8 gerade neu aufgesetzt hatte, hat diese Probleme nicht.
Also, Netzwerkkabel getauscht, Switch dazwischen weg und direkt auf den Router ... OHNE Erfolg.
Dann kam ein klitzekleiner Hinweis von einem IT Kollegen, es mal mit ner anderen IP Adresse zu versuchen ... LOOOOL
Dachte auch erst, das wäre zu einfach ABER oh Wunder, es klappte.
Dann also auf die Suche nach den Übeltätern. Stellte sich heraus, auf dem Router am Standort#1 (wo der DC läuft) war was mit DoS-defend passiert.
Der muss irgendwie die IP als nicht sicher eingestuft haben. Also DoS-Defend mal abgeschaltet und siehe da, auch die alte IP funktionierte.
Na ja, jetzt bin ich auf der Suchen nach dem eigentlichen Übeltäter. Leider lässt sich im Router keine ExcludeListe fürs interne Netz eingeben.
Aber ich danke Euch sehr für die Hilfestellungen.
Gruß
Marco
