Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator tomolpi am 10.09.2019 um 23:01:31 Uhr
Titel korrigiert

gelöst DNS Snapin zeigt Zugriff verweigert

Mitglied: kizzed

kizzed (Level 1) - Jetzt verbinden

10.09.2019, aktualisiert 23:01 Uhr, 309 Aufrufe, 11 Kommentare

Hallo Leute,

Ich bin ein wenig verzweifelt, da ich beim Kunden aus dem nichts folgendes Phanomen habe:

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".

Folgender Workaround habe ich schon versucht:

nltest /sc_change_pwd:domainname.local

netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort

Leider ohne Erfolg.

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Dann geht er wieder bis zum nächsten neustart.

Allerdings werden dann die GPOs auf dem Server nicht mehr geladen. Auf den Clients schon.

In der EVENTLOG beim DNS steht dann, dass der DNS ohne den Dienst nicht alle Zonen laden konnte und mit niedrigeren Rechten gestartet wurde.

Leider bin ich h ier mit meinem Latein am Ende und bin dankbar für jede Hilfe!
Mitglied: Pjordorf
10.09.2019 um 16:43 Uhr
Hallo,

Zitat von kizzed:
da ich beim Kunden aus dem nichts folgendes Phanomen habe:
Ist eher das geläufige

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
Ereignissprotokoll sagt was dazu?

NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Hast du alle rechte bzw. wurde am Rechtesystem rumgebastelt? Wenn nicht, was sagt das Ereignisprotokoll? CHKDSK mal laufen lassen? SFC /ScanNow mal laufen lassen?

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Wie schon mal gesagt, was steht in den Ereignisprotokollen drin?

In der EVENTLOG beim DNS steht dann
Nicht nur nach DNS schauen, alle Ereignisprotokolle seit dem letzten Starten des DCs akribisch durchgehen. Bedenke, einige der Fehler sind folgefehler weil etwas nicht so ist wie erwartet. Was ist es für ein Server OS? DC ja oder nein? Memberserver oder Standaloneservcer?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 16:48 Uhr
Bin erst später wieder drauf, dann poste ich ma die Logs...

An den Rechten wurde nichts verändert. Chkdsk alles grün, wie auch SFC.

Server OS ist wie oben beschrieben ein 2016er Essentials und somit ein DC und standalone...
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 21:55 Uhr
So hier mal die Ereignisprotokolle:

Die Active Directory-Domänendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich.

Globaler Katalog:
\\Server.PRAXIS.local

Der zurzeit ausgeführte Vorgang kann möglicherweise nicht fortgesetzt werden. Die Active Directory-Domänendienste werden den Domänencontrollerlocator verwenden, um einen verfügbaren globalen Katalogserver zu suchen.

Zusätzliche Daten
Fehlerwert:
5 Zugriff verweigert

Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.

Zusätzliche Daten
Fehlerwert:
8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Interne ID:
320130e

Benutzeraktion
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".


Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.






Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.

NLtest sagt auch:

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Bitte warten ..
Mitglied: Pjordorf
10.09.2019 um 22:34 Uhr
Hallo,

Zitat von kizzed:
So hier mal die Ereignisprotokolle:
Sind aber nur dir genehme Fehler die du uns Präsentierst. Die Ereignissprotokolle sollten schon fast in rot glühen. Bedenke, du hast verschiedene Ereignisprotokolle. Fang mal mit System an, Datum und Uhrzeit des letzten neustarts oder EreignisID 1074, und ab den neustart alles checken. Dies hier wird nicht alles sein.

5 Zugriff verweigert
Was habt ihr dort gemacht wenn es nicht ein Fehler vom Dateisystem ist?

8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Oha

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den
Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Folgefehler

Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Gemacht bzw. falsches Kennwort korrigiert?

Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Nein, nicht überall iost ein nicht laufender DNS schuld. Du hast aber immer noch nichts zum DNS gesagt.

Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
Was habt ihr gemacht das überall kommt "Zugriff verwei´gert"?

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Und dazu stehtr nichts in den Ereignissprotokokllen?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
12.09.2019 um 22:25 Uhr
Sorry, aber da sind nur noch NETLOGON Fehler, dass die Zonen nicht aktualisiert werden konnten. Und das ist ja klar, weil DNS nicht läuft.

Du fragst immer was wir gemacht haben?
Wir haben aber nichts gemacht am Server!

Und zu:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Bitte warten ..
Mitglied: Henere
13.09.2019 um 04:04 Uhr
Servus.
Kontrolliere doch mal, welcher Dienst mit diesem Konto gestartet werden soll.
Evtl wurde dieser User gelöscht durch "Aufräumarbeiten" und keiner hat an die Altlast gedacht.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Grüße, Henere
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 13:32 Uhr
Hallo,

Zitat von kizzed:
Wir haben aber nichts gemacht am Server!
Wenn es so ist und keiner etwas gelöscht/geändert hat ist wohl beim Server 2016 (Der DC) etwas an Hardware kaputt gegangen.
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und doch will irgendein Dienst / Programm sich mit (Domäne\Benutzer) Praxis\Admin anmelden. Zur not sich alle Dienste anschauen welcher Dienst sich so anmelden will. Das sollte aber auch im Ereignisprotokoll ersichtlich werden.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Auf dein DC (Server 2016) sich die Benutzer genaustens ansehen. Einer von dort will sich mmit Praxis\Admin anmelden. Konto mal deaktivieren oder so.

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Auch Fehler zu SChannel werden in Ereignisprotokoll festgehalten.

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Schon mal gemacht? Was ist neben deb Server 2016 noch alles auf diesen Installiert und Konfiguriert? DC, DNS, DHCP, ...

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:09 Uhr
Hallo!

Es wurden keine Useraccounts gelöscht.

Alle Dienste werden mit Lokaler Dienst, Lokales System oder Netzwerkdienst gestartet.
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:34 Uhr
Hallo Leute.

Ich konnte das Problem lösen.

Es gibt scheinbar noch eine versteckte Anmeldeinformationsverwaltung bei der dieser falsche Account hinterlegt war.

Damit konnte ich den fehlerhaften Eintrag löschen:

There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.

Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .

From a command prompt run: psexec -i -s -d cmd.exe

From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr

Dannach ging der DNS Server wieder hoch, und alle anderen Eventlogeinträge sind verschwunden.

Domäne läuft wieder sauber.

Danke für eure Unterstützung.
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 21:41 Uhr
Hallo,

Zitat von kizzed:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Hast du hierzu auch eine Quelle, nein nicht zum PSExec? Ich finde dazu nur RDS/Terminal Server und Event ID 14. Dazu steht aber hier im Thread nichts. Ist das ein TDS/Terinal Server und die Event ID 14 gewesen?
https://www.digitalcitizen.life/credential-manager-where-windows-stores- ...
https://stackoverflow.com/questions/4468677/domain-account-keeping-locki ...
https://www.sciencedirect.com/topics/computer-science/credential-manager
https://joshancel.wordpress.com/2017/01/10/hidden-stored-credentials/
https://btburnett.com/2014/05/windows-domain-account-lockout-mystery.htm ...
https://social.technet.microsoft.com/Forums/lync/en-US/e1ef04fa-6aea-47f ...
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-credential-manager-s ...
Schön wenn dein Server 2016 es wieder tut. (DC oder RSD/TS oder whatsoever)

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 22:34 Uhr
Das hier ist der Link:

https://social.technet.microsoft.com/Forums/de-DE/e1ef04fa-6aea-47fe-939 ...

Und das hier war das Event mit der ID 14:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Und Peter, es ist immer noch ein Server 2016 Essentials, wie 2 mal geschrieben
Und demnach kann es nur ein DC sein
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zugriff verweigert (Sicherheitsfilterung)

Frage von n0cturneWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Festplatten, SSD, Raid

Netzlaufwerk - Zugriff verweigert

Frage von Jannis92Festplatten, SSD, Raid1 Kommentar

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Netzwerkmanagement

Fehlermeldung: Zugriff verweigert

gelöst Frage von HannodyNetzwerkmanagement9 Kommentare

Hallo, kann mir jemand sagen, warum ich den Befehl: Enter-PSSession -ComputerName herkules in ISE (als Administrator) ausführe, bekomme ich ...

Windows 7

Ordner Zugriff verweigert

gelöst Frage von chnie123Windows 72 Kommentare

Hallo Zusammen, Folgende Situatuion: ein Nutzer aus der Domäne kann auf einen freigegeben Ordner nicht Zugreifen. Es kommt die ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless17 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...