Kein Login als Domain-Admin mehr möglich

Mitglied: jsysde

jsysde (Level 3) - Jetzt verbinden

25.07.2011 um 22:07 Uhr, 12173 Aufrufe, 11 Kommentare

Moin moin,

mich treibt gerade ein merkwürdiges Phänomen um: Mit einem Schlag kann ich mich auf einem Windows 7 Prof nicht mehr als Domain-Admin anmelden, als lokaler Administrator bzw. als Domain-User hingegen schon.

Unser Netz mal kurz umrissen:
Mehrere Standorte deutschlandweit, LAN-LAN-Kopplung via IPSEC, Full-Mesh-Szenario. Domain läuft im 2003er Modus, als DCs kommen 2003R2 bzw. 2008R2 zum Einsatz. An Kleinststandorten mit nur einem oder zwei Usern existiert kein DC, an allen anderen Standorten schon. Im AD sind die Standorte ohne DC dem nächstgelegenen Standort zugeordnet (Subnetz). DNS, WINS, DHCP etc. alles zentral über die DCs/Server im RZ. Funktioniert soweit alles prima.

Heute fiel mir auf, das ein Windwos 7 Pro an einem der Standorte ohne DC die Updates unserer Security-Suite verweigert, also wollte ich mich -nachdem die Kollegin Feierabend gemacht hat- mal via RDP als Domain-Admin anmelden. Wir haben mehrere Domain-Admin Accounts, wobei die alle eine Kopie des ursprünglichen "Administrator"-Accounts sind, quasi pro Standort ein Account. Es dürfen auch nur Domain-Admins Rechner in die Domäne heben.

Aber: Die Anmeldung wird mir mit "Benutzername oder Kennwort sind falsch" verweigert!
Einmal vertippt hätte sein können, zweimal vielleicht grad noch so, aber ich bin mir zu 1000% sicher, dass ich Benutzernamen und Kennwort korrekt eingegeben habe.Trotzdem gelingt die Anmeldung nicht, Eventid 4625 in Kombination mit 4673 wird geloggt.

Client aus der Domain genommen, Computerkonto zurückgesetzt - beim Re-Join selbe Fehlermeldung: Benutzername oder Kennwort falsch bzw. unbekannt.

Also Client umbenannt, neu gestartet, und voilá, ich konnte ihn mit den vorher nicht funktionierenden Credentials wieder der Domain hinzufügen. Kiste hat auch brav die via GPO verteilte Software installiert und zieht auch alle sonstigen GPOs einwandfrei und ohne Fehler. Und nun kommts: Zwei Neustarts später wieder der gleiche Fehler, kein Login als Domain-Admin möglich, als Domain-User (mit lokalen Adminrechten via GPO) und lokaler Administrator hingegen schon.

Der Client zieht auch seine Loginskripts einwandfrei, Drucker und Laufwerke werden verbunden bei Benutzeranmeldung. Ich warte nun mal bis morgen die Replikation vollständig durch ist, fürchte aber, dass das nicht das Problem ist - der Client war ja vorher schon ne Weile in der Domäne und sein Computerkonto wurde sauber repliziert.

Ich stehe echt vor nem Rätsel und bin für Denkanstösse wirklich dankbar.

Cheers,
jsysde
Mitglied: clSchak
25.07.2011 um 22:26 Uhr
hast du es mal mit dem globalen Administrator-Account probiert - evtl. wird der "zuständige" Admin-Account nicht repliziert (hatten ein ähnliches Problem mit einem User-Account in Italien)
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 07:03 Uhr
hast du es mal mit dem globalen Administrator-Account probiert
Na sicher dat. Ich bin mal alle Domain-Admin-Accounts durchgegangen, nicht einer funktioniert.

Cheers,
jsysde
Bitte warten ..
Mitglied: holli.zimmi
26.07.2011 um 08:29 Uhr
Hi jsysde,

Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.

PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.

Gruss

Holli
Bitte warten ..
Mitglied: DerWoWusste
26.07.2011 um 11:20 Uhr
Hi.

Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout bei der Anmeldemaske (und evtl. auch in Windows) auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:24 Uhr
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.
Genau das habe ich ja bereits gemacht.


PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Diese Weisheit teile ich nicht.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:25 Uhr
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout (und evtl. auch in Windows)
bei der Anmeldemaske auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Die Idee hatte ich als erstes, dem ist nicht so, denn

Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
auf diese Weise wird das Kennwort korrekt angezeigt.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 20:29 Uhr
Ich bin mittlerweile echt ratlos - bis vorgestern habe ich behauptet, wenn man bei der Windows-Anmeldung Benutzername und Kennwort richtig einbgibt, kann man sich auch anmelden. Dieses Phänomen revidiert diese Aussage, denn trotz zu 1000% richtiger Anmeldedaten erhalte ich die Fehlermeldung, das Benutzername und/oder Kennwort unbekannt sind.

Da dies "nur" die Anmeldung eines Domain-Admins betrifft, stellt sich die Frage:
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?

Wireshark hat mir nicht wirklich weitergeholfen, auch die Eventlogeinträge bringen mich nicht weiter, zumal die sowieso nicht immer zutreffen. Help, anyone?

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 20:51 Uhr
Ein paar Tests sind naheliegend:
-Nimm den User aus der Domänenadmingruppe raus
-Mach einen bestehenden, funktionierenden zum Dom-Admin
-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut

Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)

Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 21:52 Uhr
-Nimm den User aus der Domänenadmingruppe raus
Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),

-Mach einen bestehenden, funktionierenden zum Dom-Admin
Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Das könnte ich noch probieren - wobei das bisherige Kennwort keine Sonderzeichen erhält, nur ASCII-Zeichen.

> Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)
Ja, zu dieser Aussage habe ich mich auch schon mehrfach durchgegoogled. ;-) face-wink


Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Das hatte ich noch nicht auf dem Radar: Ein defekter Rechner und damit wg. defekter Hardware auftretende Zickereien. Eigenlich naheliegend, aber wie das so ist, der Wald, die Bäume...

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 21:57 Uhr
-Nimm den User aus der Domänenadmingruppe raus

Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),
-Mach einen bestehenden, funktionierenden zum Dom-Admin

Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

Hammer. Dennoch ist es ein Einzelfall, zum Glück. Keinen Kopf machen um sowas.

... wg. defekter Hardware auftretende Zickereien
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Bitte warten ..
Mitglied: jsysde
05.09.2011 um 12:19 Uhr
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Späte Rückmeldung, sorry. Neu-Installation war dann der letzte Ausweg, keine Probleme mehr mit der Büchse.

Cheers,
jsysde
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
PDF automatisch auf zwei Drucker aufteilen
hannes.pVor 1 TagFrageWindows 109 Kommentare

Hallo zusammen, ich suche verzweifelt nach einer Möglichkeit, ein von einer Web-Anwendung generiertes PDF automatisch auf zwei Drucker drucken zu lassen. Das PDF Dokument ...

LAN, WAN, Wireless
Mikrotik CAP AC als Wlan Bridge
theoberlinVor 1 TagFrageLAN, WAN, Wireless25 Kommentare

Hallo zusammen, ich habe mal wieder ein kleines Problem. Folge Idee: 5Ghz Modul des CAP AC wird als Client in ein WLAN eingebunden(Station). 2.4 ...

Microsoft
Erwerb von M365 Lizenzen, Partner Autorisierung für Azure AD - Globaler Administrator wirklich nötig?
NidavellirVor 1 TagFrageMicrosoft4 Kommentare

Hi zusammen, bitte entschuldigt den etwas sperrigen Titel, aber ein knapperer wollte mir nicht einfallen. :D Wir wollen bei einem Systemhaus M365 Lizenzen (Business ...

Windows 10
Sperrbildschirm nach 5 min
ZeppelinVor 1 TagFrageWindows 1012 Kommentare

Hallo zusammen, ich wende mich mit meinem anliegen an euch weil ich mit meinen Möglichkeiten am Ende bin. Wenn innerhalb von 5 min. keine ...

Speicherkarten
Welchen USB Stick für Bootstick?
gelöst dlnkrgVor 1 TagFrageSpeicherkarten6 Kommentare

Hallo, Ich bin auf der Suche nach USB - Sticks, auf denen ich Linux Ubuntu installieren kann und praktisch als Festplatte für das Betriebssystem ...

Sicherheit
Emails als Nur Text
Jessica98Vor 1 TagFrageSicherheit4 Kommentare

Hallo zusammen, macht es Sinn E-Mails als nur Text einzustellen, um sich vor schädlichen HTML-Code zu schützen? Meines Erachtens wird ein Benutzer diese Email ...

Off Topic
BKA und der Bundestrojaner
brammerVor 1 TagInformationOff Topic3 Kommentare

Hallo, habe kurz überlegt ob das unter Off Topic allgemein oder Off Topic LOL gehört brammer

Windows Netzwerk
Sporadisch kein Netz auf mehreren Win10-Maschinen
SolarflareVor 13 StundenFrageWindows Netzwerk6 Kommentare

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...