11
Kein Zugriff mehr auf W2K12-Domäne
Hallo,
wir haben vor einiger Zeit unsere Clients auf Win10 umgestellt. Hierbei traten keine Probleme auf. Seit letzter Woche können jedoch einige Clients nicht mehr auf den Domänenserver (win 2012 R2) zugreifen (Freigaben, Domänenrichtlinien/-konten etc.). Der DNS-Dienst des Servers kann jedoch ohne Einschränkung genutzt werden. Uns ist aufgefallen, dass der Netzwerk-Verbindungstyp auf den fehlerhaften Geräten die Eigenschaft 'öffentlich' bzw. 'Privat' aufweist, nicht jedoch 'Domäne'. Liegt hier das Problem? Andererseits besteht keine uns bekannte Möglichkeit - außer einer Neuinstallation - den Typ umzustellen, da aufgrund des Fehlers keine Admin-Authentifizierung durchgeführt werden kann.
Hat hier jemand einen Tipp? Oder sind wir ggf. auf der völlig falschen Fährte und das Problem liegt möglicherweise ganz woanders?
Viele Grüße
Michael
wir haben vor einiger Zeit unsere Clients auf Win10 umgestellt. Hierbei traten keine Probleme auf. Seit letzter Woche können jedoch einige Clients nicht mehr auf den Domänenserver (win 2012 R2) zugreifen (Freigaben, Domänenrichtlinien/-konten etc.). Der DNS-Dienst des Servers kann jedoch ohne Einschränkung genutzt werden. Uns ist aufgefallen, dass der Netzwerk-Verbindungstyp auf den fehlerhaften Geräten die Eigenschaft 'öffentlich' bzw. 'Privat' aufweist, nicht jedoch 'Domäne'. Liegt hier das Problem? Andererseits besteht keine uns bekannte Möglichkeit - außer einer Neuinstallation - den Typ umzustellen, da aufgrund des Fehlers keine Admin-Authentifizierung durchgeführt werden kann.
Hat hier jemand einen Tipp? Oder sind wir ggf. auf der völlig falschen Fährte und das Problem liegt möglicherweise ganz woanders?
Viele Grüße
Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303996
Url: https://administrator.de/contentid/303996
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
wenn das Netzwerk auf Öffentlich geht, wie schauts denn bei den IP Adressen aus?
ist die LEASE ausgelaufen, oder sind die IPs fest?
Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.
die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.
Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.
wenn das Netzwerk auf Öffentlich geht, wie schauts denn bei den IP Adressen aus?
ist die LEASE ausgelaufen, oder sind die IPs fest?
Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.
die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.
Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.
Hallo,
Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?
ggf. lokalen Administrator-Account aktivieren
cmd > net user administrator /active:yes
dann mittels PowerShell
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
So kann man die Netzwerk Kategorie wieder ändern.
Gruß c
Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?
ggf. lokalen Administrator-Account aktivieren
cmd > net user administrator /active:yes
dann mittels PowerShell
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
So kann man die Netzwerk Kategorie wieder ändern.
Gruß c
Hi.
Im Regelfall liegt es an verkehrter Netzwerkkartenkonfig am Client. Sieh nach, ob der erste DNS-Eintrag weiterhin die IP des Domänencontrollers ist.
Im Regelfall liegt es an verkehrter Netzwerkkartenkonfig am Client. Sieh nach, ob der erste DNS-Eintrag weiterhin die IP des Domänencontrollers ist.
Hallo!
Ja, die Domänenmitgliedschaft besteht weiterhin. Die IPs werden fest per DHCP vom Server vergeben. Das funktioniert auch (lt. Ipconfig /all werden auch die DNS-Einstellungen korrekt zum Server gelegt, insofern funktioniert auch der Internet-Zugriff).
Was meinst du mit 'upgrade'? Der AD forest wurde noch bei der 2008er Version belassen. Ist das mit Win10 ein Problem?
Danke. Werde ich gleich mal probieren, sobald ich aus der Sitzung bin.
Viele Grüße
Michael
Zitat von @127103:
Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?
Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?
Ja, die Domänenmitgliedschaft besteht weiterhin. Die IPs werden fest per DHCP vom Server vergeben. Das funktioniert auch (lt. Ipconfig /all werden auch die DNS-Einstellungen korrekt zum Server gelegt, insofern funktioniert auch der Internet-Zugriff).
Was meinst du mit 'upgrade'? Der AD forest wurde noch bei der 2008er Version belassen. Ist das mit Win10 ein Problem?
ggf. lokalen Administrator-Account aktivieren
cmd > net user administrator /active:yes
dann mittels PowerShell
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
So kann man die Netzwerk Kategorie wieder ändern.
cmd > net user administrator /active:yes
dann mittels PowerShell
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
So kann man die Netzwerk Kategorie wieder ändern.
Danke. Werde ich gleich mal probieren, sobald ich aus der Sitzung bin.
Viele Grüße
Michael
Moin!
Das führte leider alles zu keiner Lösung. Die IPs werden fest vergeben. Alle Router/Switche wurden rebootet und sämtliche Schutzsoftware auf den betroffenen Clients deaktiviert.
wenn das Netzwerk auf Öffentlich geht, wie schauts denn bei den IP Adressen aus?
ist die LEASE ausgelaufen, oder sind die IPs fest?
Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.
die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.
Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.
ist die LEASE ausgelaufen, oder sind die IPs fest?
Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.
die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.
Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.
Das führte leider alles zu keiner Lösung. Die IPs werden fest vergeben. Alle Router/Switche wurden rebootet und sämtliche Schutzsoftware auf den betroffenen Clients deaktiviert.
Hallo,
wie sind die Clients zu Win10 gekommen?
Die AD Funktionsebene auf 2008 ist kein Problem.
Bist du sicher das sich die User in der Domäne anmelden und nicht nur lokal?
Gruß c
edit:
Hast du die Netzwerk kategorie mal geändert?
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
wie sind die Clients zu Win10 gekommen?
Die AD Funktionsebene auf 2008 ist kein Problem.
Bist du sicher das sich die User in der Domäne anmelden und nicht nur lokal?
Gruß c
edit:
Hast du die Netzwerk kategorie mal geändert?
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
Hallo,
so, ich habe jetzt mal probiert, die Kategorie umzustellen.
Mit
hat das nicht geklappt (es erscheint beim Versuch, das Profil zu ändern der Hinweis, dass der entsprechende Typ automatisch auf "Domäne" gesetzt würde. Allerdings habe ich in der Registry unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfileList den Typ manuell geändert.
Im Ergebnis hat das jedoch überhaupt nichts gebracht - es kann noch immer keine Verbindung zum Domain-Server hergestellt werden. Starte ich den Client neu, so wird der Netzwerktyp wieder auf "öffentlich" gesetzt. Mist..
Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...
so, ich habe jetzt mal probiert, die Kategorie umzustellen.
Mit
Zitat von @127103:
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
hat das nicht geklappt (es erscheint beim Versuch, das Profil zu ändern der Hinweis, dass der entsprechende Typ automatisch auf "Domäne" gesetzt würde. Allerdings habe ich in der Registry unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfileList den Typ manuell geändert.
Im Ergebnis hat das jedoch überhaupt nichts gebracht - es kann noch immer keine Verbindung zum Domain-Server hergestellt werden. Starte ich den Client neu, so wird der Netzwerktyp wieder auf "öffentlich" gesetzt. Mist..
Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...
Hallo!
Das neue Einbinden hat leider mit Hinweis auf Fehler 1355 nicht funktioniert. Es scheint also doch ein Fehler im DNS-Dienst des Servers vorzuliegen (auch wenn dieser "scheinbar" seit Monaten ohne Änderung sauber funktionierte. So brachte zumindest ein dcdiag die folgende Fehlermeldung:
Habt ihr eine Idee, ob dies der Fehler sein könnte bzw. wie diesen berichtigen kann? Kann dies noch aus der Servermigration (vor ca. einem Jahr durchgeführt 2008 --> 2012 R2) herrühren? Zumindest hatte ich bereits im DNS-Baum unter Forward-Lookup im "Unterordner" _msdcs die alte Serveradresse gefunden. Könnte dies das Problem sein?
Viele Grüße
Michael
Zitat von @m8ichael:
Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...
Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...
Das neue Einbinden hat leider mit Hinweis auf Fehler 1355 nicht funktioniert. Es scheint also doch ein Fehler im DNS-Dienst des Servers vorzuliegen (auch wenn dieser "scheinbar" seit Monaten ohne Änderung sauber funktionierte. So brachte zumindest ein dcdiag die folgende Fehlermeldung:
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SRV2
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\SRV2
Starting test: Connectivity
Der Host c5c6936b-91d0-49d1-82df-1f03a081cbcf._msdcs.D000.local konnte
nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server,
DHCP, Servername, usw.
Fehler beim Überprüfen der LDAP- und RPC-Konnektivität. Überprüfen Sie
die Firewalleinstellungen.
......................... Der Test Connectivity für SRV2 ist
fehlgeschlagen.Habt ihr eine Idee, ob dies der Fehler sein könnte bzw. wie diesen berichtigen kann? Kann dies noch aus der Servermigration (vor ca. einem Jahr durchgeführt 2008 --> 2012 R2) herrühren? Zumindest hatte ich bereits im DNS-Baum unter Forward-Lookup im "Unterordner" _msdcs die alte Serveradresse gefunden. Könnte dies das Problem sein?
Viele Grüße
Michael
Hallo,
und noch eine Ergänzung: Ich hatte vor ca. drei Wochen im Server eine neue Netzwerkkarte installiert (virtuell, da neuer Treiber in der virtuellen Maschine). Kann dies das Problem - verzögert - ausgelöst haben?
Viele Grüße
Michael
und noch eine Ergänzung: Ich hatte vor ca. drei Wochen im Server eine neue Netzwerkkarte installiert (virtuell, da neuer Treiber in der virtuellen Maschine). Kann dies das Problem - verzögert - ausgelöst haben?
Viele Grüße
Michael
Moin,
Gruß,
Dani
Zumindest hatte ich bereits im DNS-Baum unter Forward-Lookup im "Unterordner" _msdcs die alte Serveradresse gefunden.
Kann ein Problem sein... bitte führe einen Metadata Cleanup auf dem DC durch.Gruß,
Dani
Hallo,
so, ich habe nun noch einmal den Cleanup gemacht und nun geht es wieder...juhu!
Vielen Dank euch allen!!
Viele Grüße
Michael
so, ich habe nun noch einmal den Cleanup gemacht und nun geht es wieder...juhu!
Vielen Dank euch allen!!
Viele Grüße
Michael
