11
Kein Login als Domain-Admin mehr möglich
Moin moin,
mich treibt gerade ein merkwürdiges Phänomen um: Mit einem Schlag kann ich mich auf einem Windows 7 Prof nicht mehr als Domain-Admin anmelden, als lokaler Administrator bzw. als Domain-User hingegen schon.
Unser Netz mal kurz umrissen:
Mehrere Standorte deutschlandweit, LAN-LAN-Kopplung via IPSEC, Full-Mesh-Szenario. Domain läuft im 2003er Modus, als DCs kommen 2003R2 bzw. 2008R2 zum Einsatz. An Kleinststandorten mit nur einem oder zwei Usern existiert kein DC, an allen anderen Standorten schon. Im AD sind die Standorte ohne DC dem nächstgelegenen Standort zugeordnet (Subnetz). DNS, WINS, DHCP etc. alles zentral über die DCs/Server im RZ. Funktioniert soweit alles prima.
Heute fiel mir auf, das ein Windwos 7 Pro an einem der Standorte ohne DC die Updates unserer Security-Suite verweigert, also wollte ich mich -nachdem die Kollegin Feierabend gemacht hat- mal via RDP als Domain-Admin anmelden. Wir haben mehrere Domain-Admin Accounts, wobei die alle eine Kopie des ursprünglichen "Administrator"-Accounts sind, quasi pro Standort ein Account. Es dürfen auch nur Domain-Admins Rechner in die Domäne heben.
Aber: Die Anmeldung wird mir mit "Benutzername oder Kennwort sind falsch" verweigert!
Einmal vertippt hätte sein können, zweimal vielleicht grad noch so, aber ich bin mir zu 1000% sicher, dass ich Benutzernamen und Kennwort korrekt eingegeben habe.Trotzdem gelingt die Anmeldung nicht, Eventid 4625 in Kombination mit 4673 wird geloggt.
Client aus der Domain genommen, Computerkonto zurückgesetzt - beim Re-Join selbe Fehlermeldung: Benutzername oder Kennwort falsch bzw. unbekannt.
Also Client umbenannt, neu gestartet, und voilá, ich konnte ihn mit den vorher nicht funktionierenden Credentials wieder der Domain hinzufügen. Kiste hat auch brav die via GPO verteilte Software installiert und zieht auch alle sonstigen GPOs einwandfrei und ohne Fehler. Und nun kommts: Zwei Neustarts später wieder der gleiche Fehler, kein Login als Domain-Admin möglich, als Domain-User (mit lokalen Adminrechten via GPO) und lokaler Administrator hingegen schon.
Der Client zieht auch seine Loginskripts einwandfrei, Drucker und Laufwerke werden verbunden bei Benutzeranmeldung. Ich warte nun mal bis morgen die Replikation vollständig durch ist, fürchte aber, dass das nicht das Problem ist - der Client war ja vorher schon ne Weile in der Domäne und sein Computerkonto wurde sauber repliziert.
Ich stehe echt vor nem Rätsel und bin für Denkanstösse wirklich dankbar.
Cheers,
jsysde
Mehrere Standorte deutschlandweit, LAN-LAN-Kopplung via IPSEC, Full-Mesh-Szenario. Domain läuft im 2003er Modus, als DCs kommen 2003R2 bzw. 2008R2 zum Einsatz. An Kleinststandorten mit nur einem oder zwei Usern existiert kein DC, an allen anderen Standorten schon. Im AD sind die Standorte ohne DC dem nächstgelegenen Standort zugeordnet (Subnetz). DNS, WINS, DHCP etc. alles zentral über die DCs/Server im RZ. Funktioniert soweit alles prima.
Heute fiel mir auf, das ein Windwos 7 Pro an einem der Standorte ohne DC die Updates unserer Security-Suite verweigert, also wollte ich mich -nachdem die Kollegin Feierabend gemacht hat- mal via RDP als Domain-Admin anmelden. Wir haben mehrere Domain-Admin Accounts, wobei die alle eine Kopie des ursprünglichen "Administrator"-Accounts sind, quasi pro Standort ein Account. Es dürfen auch nur Domain-Admins Rechner in die Domäne heben.
Aber: Die Anmeldung wird mir mit "Benutzername oder Kennwort sind falsch" verweigert!
Einmal vertippt hätte sein können, zweimal vielleicht grad noch so, aber ich bin mir zu 1000% sicher, dass ich Benutzernamen und Kennwort korrekt eingegeben habe.Trotzdem gelingt die Anmeldung nicht, Eventid 4625 in Kombination mit 4673 wird geloggt.
Client aus der Domain genommen, Computerkonto zurückgesetzt - beim Re-Join selbe Fehlermeldung: Benutzername oder Kennwort falsch bzw. unbekannt.
Also Client umbenannt, neu gestartet, und voilá, ich konnte ihn mit den vorher nicht funktionierenden Credentials wieder der Domain hinzufügen. Kiste hat auch brav die via GPO verteilte Software installiert und zieht auch alle sonstigen GPOs einwandfrei und ohne Fehler. Und nun kommts: Zwei Neustarts später wieder der gleiche Fehler, kein Login als Domain-Admin möglich, als Domain-User (mit lokalen Adminrechten via GPO) und lokaler Administrator hingegen schon.
Der Client zieht auch seine Loginskripts einwandfrei, Drucker und Laufwerke werden verbunden bei Benutzeranmeldung. Ich warte nun mal bis morgen die Replikation vollständig durch ist, fürchte aber, dass das nicht das Problem ist - der Client war ja vorher schon ne Weile in der Domäne und sein Computerkonto wurde sauber repliziert.
Ich stehe echt vor nem Rätsel und bin für Denkanstösse wirklich dankbar.
Cheers,
jsysde
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170400
Url: https://administrator.de/contentid/170400
Printed on: April 16, 2024 at 16:04 o'clock
11 Comments
Latest comment
hast du es mal mit dem globalen Administrator-Account probiert - evtl. wird der "zuständige" Admin-Account nicht repliziert (hatten ein ähnliches Problem mit einem User-Account in Italien)
hast du es mal mit dem globalen Administrator-Account probiert
Na sicher dat. Ich bin mal alle Domain-Admin-Accounts durchgegangen, nicht einer funktioniert.Cheers,
jsysde
Hi jsysde,
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten
Dann versuchen sich als Admin anzumelden.
PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Gruss
Holli
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten
Dann versuchen sich als Admin anzumelden.
PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Gruss
Holli
Hi.
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout bei der Anmeldemaske (und evtl. auch in Windows) auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout bei der Anmeldemaske (und evtl. auch in Windows) auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten
Dann versuchen sich als Admin anzumelden.
Genau das habe ich ja bereits gemacht.1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten
Dann versuchen sich als Admin anzumelden.
PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Diese Weisheit teile ich nicht.Cheers,
jsysde
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout (und evtl. auch in Windows)
bei der Anmeldemaske auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Die Idee hatte ich als erstes, dem ist nicht so, dennbei der Anmeldemaske auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
auf diese Weise wird das Kennwort korrekt angezeigt.Cheers,
jsysde
Ich bin mittlerweile echt ratlos - bis vorgestern habe ich behauptet, wenn man bei der Windows-Anmeldung Benutzername und Kennwort richtig einbgibt, kann man sich auch anmelden. Dieses Phänomen revidiert diese Aussage, denn trotz zu 1000% richtiger Anmeldedaten erhalte ich die Fehlermeldung, das Benutzername und/oder Kennwort unbekannt sind.
Da dies "nur" die Anmeldung eines Domain-Admins betrifft, stellt sich die Frage:
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Wireshark hat mir nicht wirklich weitergeholfen, auch die Eventlogeinträge bringen mich nicht weiter, zumal die sowieso nicht immer zutreffen. Help, anyone?
Cheers,
jsysde
Da dies "nur" die Anmeldung eines Domain-Admins betrifft, stellt sich die Frage:
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Wireshark hat mir nicht wirklich weitergeholfen, auch die Eventlogeinträge bringen mich nicht weiter, zumal die sowieso nicht immer zutreffen. Help, anyone?
Cheers,
jsysde
Ein paar Tests sind naheliegend:
-Nimm den User aus der Domänenadmingruppe raus
-Mach einen bestehenden, funktionierenden zum Dom-Admin
-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
-Nimm den User aus der Domänenadmingruppe raus
-Mach einen bestehenden, funktionierenden zum Dom-Admin
-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
-Nimm den User aus der Domänenadmingruppe raus
Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),-Mach einen bestehenden, funktionierenden zum Dom-Admin
Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Das könnte ich noch probieren - wobei das bisherige Kennwort keine Sonderzeichen erhält, nur ASCII-Zeichen.> Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)
Ja, zu dieser Aussage habe ich mich auch schon mehrfach durchgegoogled. Mit Sicherheit gar nichts... so offiziell zumindest ;)
Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Das hatte ich noch nicht auf dem Radar: Ein defekter Rechner und damit wg. defekter Hardware auftretende Zickereien. Eigenlich naheliegend, aber wie das so ist, der Wald, die Bäume...Cheers,
jsysde
-Nimm den User aus der Domänenadmingruppe raus
Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),
-Mach einen bestehenden, funktionierenden zum Dom-Admin
Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.
Hammer. Dennoch ist es ein Einzelfall, zum Glück. Keinen Kopf machen um sowas.
... wg. defekter Hardware auftretende Zickereien
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Späte Rückmeldung, sorry. Neu-Installation war dann der letzte Ausweg, keine Probleme mehr mit der Büchse.Cheers,
jsysde