11
Domain Administrator kann sich nicht mehr an bestimmten Servern anmelden
Hallo zusammen,
wir habe seit einiger Zeit das Problem, dass sich einige Domain Administratoren nicht mehr an zwei Servern anmelden können, mit Ausnahme von einem.
Egal welche Authentifizierung genutzt wird, kommt beim Anmeldebildschirm die Meldung "Unzulässige Funktion", wozu ich nicht viel im Internet finden konnte.
Der Fehler erscheint unabhängig von richtigem oder falschen Passwort, und auch wenn man z.B. ein Programm als einer deieser Benutzer ausführen will.
Betroffen ist der default Domain Admin, und alle persönlichen (3) Domain Admins, mit Ausnahme von meinem und dem lokalen Administrator. Einen anderen Benutzer, selbst standard Domain Benutzer zu den Benutzerkonten und Remote-Usern hinzuzufügen funktioniert ohne Probleme und lässt die Anmeldung zu.
Ich habe bereits die Benutzerkonten der anderen Admins einmal komplett gelöscht und auch neu als Admin & Remote-User hinzugefügt, was für die Anmeldung als Domain Admin garnicht notwendig sein sollte.
Einen der Server haben wir auch einmal aus der Domäne entfernt und wieder hinzugefügt, ohne Glück.
Der letzte Lösungsansatz war NTLM Authentifizierung zu den Servern nochmal per GPO freizugeben, bzw. nicht zu beschränken. (War vorher nicht konfiguriert), auch ohne Erfolg.
Einer der Server weist des weiteren die folgenden eigenheiten auf:
-Wenn man sich mit RDP verbindet lässt der Server erstmal in jedem fall die Verbindung zu, und sagt erst auf dem Anmeldebildschirm, dass das Passwort falsch ist, standard ist, dass die Authentifizierung direkt fehlschlagen sollte.
-Beim selben Server ist der einzig funktionierende Domain Admin als Gruppe "RDS-Endpunktserver" unter den Benutzerkonten hinterlegt - daran habe ich noch nichts geändert, weil ich nicht den letzten funktionierenden nicht-lokalen Admin verlieren möchte.
Aus der Ereignisanzeige sind wir bis jetzt auch noch nicht schlau geworden, bis auf die NTLM Authentifizierung.
Bei den Servern handelt es sich um:
- Windows Server 2012R2 (Version 6.3 Build 9600), virtualisiert mit vmware,
- ein SQL Datenbank Server und ein Anwendungsserver auf dem auch eine dazugehöriges Datenbankprogramm läuft,
- Alle Server Teilen sich die selbe Default Domain Policy und bei allen sollten die gleichen GPOs greifen.
Sorry für den Roman, mir fällt jetzt langsam nichts mehr ein, bis auf den Server komplett neu aufzusetzten, was ich mit dem Datenbankserver eher ungern machen würde.
Vorab schonmal danke für Lösungsvorschläge.
wir habe seit einiger Zeit das Problem, dass sich einige Domain Administratoren nicht mehr an zwei Servern anmelden können, mit Ausnahme von einem.
Egal welche Authentifizierung genutzt wird, kommt beim Anmeldebildschirm die Meldung "Unzulässige Funktion", wozu ich nicht viel im Internet finden konnte.
Der Fehler erscheint unabhängig von richtigem oder falschen Passwort, und auch wenn man z.B. ein Programm als einer deieser Benutzer ausführen will.
Betroffen ist der default Domain Admin, und alle persönlichen (3) Domain Admins, mit Ausnahme von meinem und dem lokalen Administrator. Einen anderen Benutzer, selbst standard Domain Benutzer zu den Benutzerkonten und Remote-Usern hinzuzufügen funktioniert ohne Probleme und lässt die Anmeldung zu.
Ich habe bereits die Benutzerkonten der anderen Admins einmal komplett gelöscht und auch neu als Admin & Remote-User hinzugefügt, was für die Anmeldung als Domain Admin garnicht notwendig sein sollte.
Einen der Server haben wir auch einmal aus der Domäne entfernt und wieder hinzugefügt, ohne Glück.
Der letzte Lösungsansatz war NTLM Authentifizierung zu den Servern nochmal per GPO freizugeben, bzw. nicht zu beschränken. (War vorher nicht konfiguriert), auch ohne Erfolg.
Einer der Server weist des weiteren die folgenden eigenheiten auf:
-Wenn man sich mit RDP verbindet lässt der Server erstmal in jedem fall die Verbindung zu, und sagt erst auf dem Anmeldebildschirm, dass das Passwort falsch ist, standard ist, dass die Authentifizierung direkt fehlschlagen sollte.
-Beim selben Server ist der einzig funktionierende Domain Admin als Gruppe "RDS-Endpunktserver" unter den Benutzerkonten hinterlegt - daran habe ich noch nichts geändert, weil ich nicht den letzten funktionierenden nicht-lokalen Admin verlieren möchte.
Aus der Ereignisanzeige sind wir bis jetzt auch noch nicht schlau geworden, bis auf die NTLM Authentifizierung.
Bei den Servern handelt es sich um:
- Windows Server 2012R2 (Version 6.3 Build 9600), virtualisiert mit vmware,
- ein SQL Datenbank Server und ein Anwendungsserver auf dem auch eine dazugehöriges Datenbankprogramm läuft,
- Alle Server Teilen sich die selbe Default Domain Policy und bei allen sollten die gleichen GPOs greifen.
Sorry für den Roman, mir fällt jetzt langsam nichts mehr ein, bis auf den Server komplett neu aufzusetzten, was ich mit dem Datenbankserver eher ungern machen würde.
Vorab schonmal danke für Lösungsvorschläge.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1196153808
Url: https://administrator.de/contentid/1196153808
Printed on: April 26, 2024 at 04:04 o'clock
11 Comments
Latest comment
Hi.
Dein "Roman" verleitet dazu, an 10 Ecken gleichzeitig anzufangen. Das ist nie gut, also konzentrieren ich mich mal auf nur eine Sache: "ich habe bereits die Benutzerkonten der anderen Admins einmal komplett gelöscht" - hast Du hierbei wirklich die User im AD gelöscht, oder hast Du die zugehörigen Nutzerprofile auf den Servern, auf die sie nicht raufkommen, gelöscht? Die Nutzer im AD zu löschen ist nicht nötig. Die Profile zu löschen, wäre, was ich versuchen würde.
Gib bitte auch an:
Kommen die Problemadmins noch auf neu aufgesetzte Testrechner rauf?
Gibt es Sicherheitssoftware auf diesen Servern, die evtl. reinpfuscht (wie zum Beispiel Software, die sich bereits an der Anmeldemaske zeigt (VPN/Credentialprovider)?
Dein "Roman" verleitet dazu, an 10 Ecken gleichzeitig anzufangen. Das ist nie gut, also konzentrieren ich mich mal auf nur eine Sache: "ich habe bereits die Benutzerkonten der anderen Admins einmal komplett gelöscht" - hast Du hierbei wirklich die User im AD gelöscht, oder hast Du die zugehörigen Nutzerprofile auf den Servern, auf die sie nicht raufkommen, gelöscht? Die Nutzer im AD zu löschen ist nicht nötig. Die Profile zu löschen, wäre, was ich versuchen würde.
Gib bitte auch an:
Kommen die Problemadmins noch auf neu aufgesetzte Testrechner rauf?
Gibt es Sicherheitssoftware auf diesen Servern, die evtl. reinpfuscht (wie zum Beispiel Software, die sich bereits an der Anmeldemaske zeigt (VPN/Credentialprovider)?
Hallo,
ich hatte die Nutzerprofile auf dem Server und auch die dazugehörigen Registry Einträge gelöscht, um den Benutzer so weit wie möglich komplett vom Server runter zu haben.
Die Admins kommen ohne Probleme auf alle anderen Client Rechner und Server.
Als Sicherheitssoftware ist nur Kaspersky drauf, das hab ich auch grade mal ohne Erfolg komplett aus gemacht, das schaltet sich auch eigentlich nicht bei solchen Sachen dazwischen.
ich hatte die Nutzerprofile auf dem Server und auch die dazugehörigen Registry Einträge gelöscht, um den Benutzer so weit wie möglich komplett vom Server runter zu haben.
Die Admins kommen ohne Probleme auf alle anderen Client Rechner und Server.
Als Sicherheitssoftware ist nur Kaspersky drauf, das hab ich auch grade mal ohne Erfolg komplett aus gemacht, das schaltet sich auch eigentlich nicht bei solchen Sachen dazwischen.
Hi @Pigsyy,
hast du mal die Logs der betroffenen Server durchsucht? Seit wann besteht das Problem?
Klappt der Login im abgesicherten Modus mit Netzwerkverbindung?
Tipp am Rand: Es empfiehlt sich, Domänen-Admin-Konten wirklich nur für High-level-Aufgaben im/am AD zu verwenden und damit keine Server und Clients zu administrieren. Dafür gibt es dedizierte Adminkonten.
Edit: Sorry, überlesen. Auf die Logs bist du schon eingegangen. Wundert mich aber.
hast du mal die Logs der betroffenen Server durchsucht? Seit wann besteht das Problem?
Klappt der Login im abgesicherten Modus mit Netzwerkverbindung?
Tipp am Rand: Es empfiehlt sich, Domänen-Admin-Konten wirklich nur für High-level-Aufgaben im/am AD zu verwenden und damit keine Server und Clients zu administrieren. Dafür gibt es dedizierte Adminkonten.
Edit: Sorry, überlesen. Auf die Logs bist du schon eingegangen. Wundert mich aber.
ich hatte die Nutzerprofile auf dem Server und auch die dazugehörigen Registry Einträge gelöscht
Nutzerprofillöschung braucht keinen Eingriff in die Registry. Wer den Ordner c:\users\zu_loeschenderAdmin von Hand löscht, macht es schon falsch. Mach es in Zukunft über die GUI (winkey+pause - erweiterte Optionen - Nutzerprofile löschen), dann wird die Registry gleich mit bedacht.Die Admins kommen ohne Probleme auf alle anderen Client Rechner und Server.
Wenn die Admins anderswo problemlos raufkommen, dann schau bitte, ob sie sich im abgesicherten Modus auf einem der Server anmelden können.
1
Guter Ansatz, aber auch im abgesicherten Modus, jeweils mit und ohne Netzwerk, besteht das Problem noch.
Zu dem Benutzer entfernen: diese habe ich natürlich wie du auch beschrieben hast bei den Benutzerprofilen gelöscht, allerdings bleiben die Benutzerordner, sowie einige Registry Einträge mit dessen namen (von denen ich nicht behaupten möcht zu wissen, was diese genau machen) dabei erhalten.
Zu dem Benutzer entfernen: diese habe ich natürlich wie du auch beschrieben hast bei den Benutzerprofilen gelöscht, allerdings bleiben die Benutzerordner, sowie einige Registry Einträge mit dessen namen (von denen ich nicht behaupten möcht zu wissen, was diese genau machen) dabei erhalten.
Du solltest wissen, was du löscht.
Welche Ordner, welche Regeinträge hast Du von Hand gelöscht?
Welche Ordner, welche Regeinträge hast Du von Hand gelöscht?
Einer Anleitung Benutzerpfofile "sauber" zu löschen bin ich gefolgt:
erweiterte Optionen -> Benutzerprofil löschen
und dann "Man sollte bei weiteren Problemen auch den jeweiligen Registry Schlüssel löschen."
HKEL_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList und dann das entsprechende Profil gelöscht (Der Schlüssel ProfileImagePath gibt Aufschluss über den Benutzernamen - da die Profile sonst schwer zu indentifizieren sind)
erweiterte Optionen -> Benutzerprofil löschen
und dann "Man sollte bei weiteren Problemen auch den jeweiligen Registry Schlüssel löschen."
HKEL_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList und dann das entsprechende Profil gelöscht (Der Schlüssel ProfileImagePath gibt Aufschluss über den Benutzernamen - da die Profile sonst schwer zu indentifizieren sind)
Was passiert wenn du einen neuen admin erstellst. Können die sich anmelden.
Alternativ versuchen einen der Problem admins mal aus dem AD zu löschen und neu anzulegen. Vorsicht. Hier sind auch bei gleichen Namen alle Berechtigungen weg.
Alternativ versuchen einen der Problem admins mal aus dem AD zu löschen und neu anzulegen. Vorsicht. Hier sind auch bei gleichen Namen alle Berechtigungen weg.
...und welche Ordner hast Du gelöscht?
c:\\users\<adminaccount> als letztes, weil auch die Registry Einträge zu entfernen den nicht gelöscht hat. Zudem habe ich mit dem Default Domain Admin nur den ersten Schritt gemacht, also nur aus der Benutzerliste entfernt, damit man etwas Abstufung hat, auf welcher Ebene jetzt der Fehler liegen könnte.
Auch den Benutzer manuell wieder hinzuzufügen, als Admin oder normalen Benutzer hat zu keinerlei Äderung geführt.
Zum Vorschlag von Xerebus: normale Domain Benutzer(als Benutzer hinterlegt, weil sonst natürlich Rechte fehlen) und ein neuer Testadministrator können sich ohne Probleme anmelden.
Auch den Benutzer manuell wieder hinzuzufügen, als Admin oder normalen Benutzer hat zu keinerlei Äderung geführt.
Zum Vorschlag von Xerebus: normale Domain Benutzer(als Benutzer hinterlegt, weil sonst natürlich Rechte fehlen) und ein neuer Testadministrator können sich ohne Probleme anmelden.
Ok, dann wird es nicht an der manuellen Bereinigung liegen.
Ein mit Sicherheit seltener Fehler - keine Ahnung.
Die Gruppe "RDS-Endpunktserver" kann nichts damit zu tun haben, sie ist für Computerkonten gedacht, ebensowenig NTLM-Authentifizierung.
Ich würde mich nun am Server anmelden, mit dem Admin, mit dem es geht. Als dieser dann procmon starten und mitloggen, dann Sitzung trennen (nicht abmelden - procmon loggt weiter) und mich als Problemadmin versuchen anzumelden. Danach dann ins Procmon-Log schauen, was zu der Zeit fehl schlägt ("Result: success" rausfiltern).
Ein mit Sicherheit seltener Fehler - keine Ahnung.
Die Gruppe "RDS-Endpunktserver" kann nichts damit zu tun haben, sie ist für Computerkonten gedacht, ebensowenig NTLM-Authentifizierung.
Ich würde mich nun am Server anmelden, mit dem Admin, mit dem es geht. Als dieser dann procmon starten und mitloggen, dann Sitzung trennen (nicht abmelden - procmon loggt weiter) und mich als Problemadmin versuchen anzumelden. Danach dann ins Procmon-Log schauen, was zu der Zeit fehl schlägt ("Result: success" rausfiltern).
1