Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator tomolpi am 10.09.2019 um 23:01:31 Uhr
Titel korrigiert

gelöst DNS Snapin zeigt Zugriff verweigert

Mitglied: kizzed

kizzed (Level 1) - Jetzt verbinden

10.09.2019, aktualisiert 23:01 Uhr, 1041 Aufrufe, 11 Kommentare

Hallo Leute,

Ich bin ein wenig verzweifelt, da ich beim Kunden aus dem nichts folgendes Phanomen habe:

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".

Folgender Workaround habe ich schon versucht:

nltest /sc_change_pwd:domainname.local

netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort

Leider ohne Erfolg.

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Dann geht er wieder bis zum nächsten neustart.

Allerdings werden dann die GPOs auf dem Server nicht mehr geladen. Auf den Clients schon.

In der EVENTLOG beim DNS steht dann, dass der DNS ohne den Dienst nicht alle Zonen laden konnte und mit niedrigeren Rechten gestartet wurde.

Leider bin ich h ier mit meinem Latein am Ende und bin dankbar für jede Hilfe!
Mitglied: Pjordorf
10.09.2019 um 16:43 Uhr
Hallo,

Zitat von kizzed:
da ich beim Kunden aus dem nichts folgendes Phanomen habe:
Ist eher das geläufige

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
Ereignissprotokoll sagt was dazu?

NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Hast du alle rechte bzw. wurde am Rechtesystem rumgebastelt? Wenn nicht, was sagt das Ereignisprotokoll? CHKDSK mal laufen lassen? SFC /ScanNow mal laufen lassen?

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Wie schon mal gesagt, was steht in den Ereignisprotokollen drin?

In der EVENTLOG beim DNS steht dann
Nicht nur nach DNS schauen, alle Ereignisprotokolle seit dem letzten Starten des DCs akribisch durchgehen. Bedenke, einige der Fehler sind folgefehler weil etwas nicht so ist wie erwartet. Was ist es für ein Server OS? DC ja oder nein? Memberserver oder Standaloneservcer?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 16:48 Uhr
Bin erst später wieder drauf, dann poste ich ma die Logs...

An den Rechten wurde nichts verändert. Chkdsk alles grün, wie auch SFC.

Server OS ist wie oben beschrieben ein 2016er Essentials und somit ein DC und standalone...
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 21:55 Uhr
So hier mal die Ereignisprotokolle:

Die Active Directory-Domänendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich.

Globaler Katalog:
\\Server.PRAXIS.local

Der zurzeit ausgeführte Vorgang kann möglicherweise nicht fortgesetzt werden. Die Active Directory-Domänendienste werden den Domänencontrollerlocator verwenden, um einen verfügbaren globalen Katalogserver zu suchen.

Zusätzliche Daten
Fehlerwert:
5 Zugriff verweigert

Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.

Zusätzliche Daten
Fehlerwert:
8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Interne ID:
320130e

Benutzeraktion
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".


Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.






Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.

NLtest sagt auch:

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Bitte warten ..
Mitglied: Pjordorf
10.09.2019 um 22:34 Uhr
Hallo,

Zitat von kizzed:
So hier mal die Ereignisprotokolle:
Sind aber nur dir genehme Fehler die du uns Präsentierst. Die Ereignissprotokolle sollten schon fast in rot glühen. Bedenke, du hast verschiedene Ereignisprotokolle. Fang mal mit System an, Datum und Uhrzeit des letzten neustarts oder EreignisID 1074, und ab den neustart alles checken. Dies hier wird nicht alles sein.

5 Zugriff verweigert
Was habt ihr dort gemacht wenn es nicht ein Fehler vom Dateisystem ist?

8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Oha

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den
Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Folgefehler

Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Gemacht bzw. falsches Kennwort korrigiert?

Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Nein, nicht überall iost ein nicht laufender DNS schuld. Du hast aber immer noch nichts zum DNS gesagt.

Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
Was habt ihr gemacht das überall kommt "Zugriff verwei´gert"?

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Und dazu stehtr nichts in den Ereignissprotokokllen?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
12.09.2019 um 22:25 Uhr
Sorry, aber da sind nur noch NETLOGON Fehler, dass die Zonen nicht aktualisiert werden konnten. Und das ist ja klar, weil DNS nicht läuft.

Du fragst immer was wir gemacht haben?
Wir haben aber nichts gemacht am Server!

Und zu:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Bitte warten ..
Mitglied: Henere
13.09.2019 um 04:04 Uhr
Servus.
Kontrolliere doch mal, welcher Dienst mit diesem Konto gestartet werden soll.
Evtl wurde dieser User gelöscht durch "Aufräumarbeiten" und keiner hat an die Altlast gedacht.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Grüße, Henere
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 13:32 Uhr
Hallo,

Zitat von kizzed:
Wir haben aber nichts gemacht am Server!
Wenn es so ist und keiner etwas gelöscht/geändert hat ist wohl beim Server 2016 (Der DC) etwas an Hardware kaputt gegangen.
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und doch will irgendein Dienst / Programm sich mit (Domäne\Benutzer) Praxis\Admin anmelden. Zur not sich alle Dienste anschauen welcher Dienst sich so anmelden will. Das sollte aber auch im Ereignisprotokoll ersichtlich werden.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Auf dein DC (Server 2016) sich die Benutzer genaustens ansehen. Einer von dort will sich mmit Praxis\Admin anmelden. Konto mal deaktivieren oder so.

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Auch Fehler zu SChannel werden in Ereignisprotokoll festgehalten.

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Schon mal gemacht? Was ist neben deb Server 2016 noch alles auf diesen Installiert und Konfiguriert? DC, DNS, DHCP, ...

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:09 Uhr
Hallo!

Es wurden keine Useraccounts gelöscht.

Alle Dienste werden mit Lokaler Dienst, Lokales System oder Netzwerkdienst gestartet.
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:34 Uhr
Hallo Leute.

Ich konnte das Problem lösen.

Es gibt scheinbar noch eine versteckte Anmeldeinformationsverwaltung bei der dieser falsche Account hinterlegt war.

Damit konnte ich den fehlerhaften Eintrag löschen:

There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.

Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .

From a command prompt run: psexec -i -s -d cmd.exe

From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr

Dannach ging der DNS Server wieder hoch, und alle anderen Eventlogeinträge sind verschwunden.

Domäne läuft wieder sauber.

Danke für eure Unterstützung.
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 21:41 Uhr
Hallo,

Zitat von kizzed:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Hast du hierzu auch eine Quelle, nein nicht zum PSExec? Ich finde dazu nur RDS/Terminal Server und Event ID 14. Dazu steht aber hier im Thread nichts. Ist das ein TDS/Terinal Server und die Event ID 14 gewesen?
https://www.digitalcitizen.life/credential-manager-where-windows-stores- ...
https://stackoverflow.com/questions/4468677/domain-account-keeping-locki ...
https://www.sciencedirect.com/topics/computer-science/credential-manager
https://joshancel.wordpress.com/2017/01/10/hidden-stored-credentials/
https://btburnett.com/2014/05/windows-domain-account-lockout-mystery.htm ...
https://social.technet.microsoft.com/Forums/lync/en-US/e1ef04fa-6aea-47f ...
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-credential-manager-s ...
Schön wenn dein Server 2016 es wieder tut. (DC oder RSD/TS oder whatsoever)

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 22:34 Uhr
Das hier ist der Link:

https://social.technet.microsoft.com/Forums/de-DE/e1ef04fa-6aea-47fe-939 ...

Und das hier war das Event mit der ID 14:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Und Peter, es ist immer noch ein Server 2016 Essentials, wie 2 mal geschrieben
Und demnach kann es nur ein DC sein
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zugriff verweigert (Sicherheitsfilterung)

Frage von n0cturneWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Festplatten, SSD, Raid

Netzlaufwerk - Zugriff verweigert

Frage von Jannis92Festplatten, SSD, Raid2 Kommentare

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Netzwerkmanagement

Fehlermeldung: Zugriff verweigert

gelöst Frage von HannodyNetzwerkmanagement9 Kommentare

Hallo, kann mir jemand sagen, warum ich den Befehl: Enter-PSSession -ComputerName herkules in ISE (als Administrator) ausführe, bekomme ich ...

Windows 7

Ordner Zugriff verweigert

gelöst Frage von chnie123Windows 72 Kommentare

Hallo Zusammen, Folgende Situatuion: ein Nutzer aus der Domäne kann auf einen freigegeben Ordner nicht Zugreifen. Es kommt die ...

Neue Wissensbeiträge
Administrator.de Feedback

Ausgewählte Rheinwerk-Bücher jetzt online lesen! Kostenfrei

Information von Maxima2005 vor 27 MinutenAdministrator.de Feedback

Vielleicht hat ja jemand Interesse sein Wissen zu erweitern. Ausgewählte Rheinwerk-Bücher jetzt online lesen! Grüße Max

Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 2 StundenInstant Messaging2 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 22 StundenRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 1 TagRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen36 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware26 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Ubuntu
Suche nach einer Moeglichkeit im AWK oder cut die Inhalte von einer bestimmten Spalte bis Zeilenende anzeigen zu lassen
gelöst Frage von takitanoUbuntu18 Kommentare

Hallo geehrte Mitsreiter/innen, als erstes wünsche ich Euch allen in diese Zeit viel Gesundheit, Optimismus und Freude! Ich habe ...