m8ichael
Goto Top

Kein Zugriff mehr auf W2K12-Domäne

Hallo,

wir haben vor einiger Zeit unsere Clients auf Win10 umgestellt. Hierbei traten keine Probleme auf. Seit letzter Woche können jedoch einige Clients nicht mehr auf den Domänenserver (win 2012 R2) zugreifen (Freigaben, Domänenrichtlinien/-konten etc.). Der DNS-Dienst des Servers kann jedoch ohne Einschränkung genutzt werden. Uns ist aufgefallen, dass der Netzwerk-Verbindungstyp auf den fehlerhaften Geräten die Eigenschaft 'öffentlich' bzw. 'Privat' aufweist, nicht jedoch 'Domäne'. Liegt hier das Problem? Andererseits besteht keine uns bekannte Möglichkeit - außer einer Neuinstallation - den Typ umzustellen, da aufgrund des Fehlers keine Admin-Authentifizierung durchgeführt werden kann.

Hat hier jemand einen Tipp? Oder sind wir ggf. auf der völlig falschen Fährte und das Problem liegt möglicherweise ganz woanders?

Viele Grüße

Michael

Content-ID: 303996

Url: https://administrator.de/forum/kein-zugriff-mehr-auf-w2k12-domaene-303996.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

kingcopy
kingcopy 09.05.2016 aktualisiert um 09:52:09 Uhr
Goto Top
Moin,
wenn das Netzwerk auf Öffentlich geht, wie schauts denn bei den IP Adressen aus?
ist die LEASE ausgelaufen, oder sind die IPs fest?

Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.

die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.

Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.
127103
127103 09.05.2016 um 10:14:42 Uhr
Goto Top
Hallo,

Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?


ggf. lokalen Administrator-Account aktivieren
cmd > net user administrator /active:yes

dann mittels PowerShell

Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated

So kann man die Netzwerk Kategorie wieder ändern.

Gruß c
DerWoWusste
DerWoWusste 09.05.2016 um 11:43:28 Uhr
Goto Top
Hi.

Im Regelfall liegt es an verkehrter Netzwerkkartenkonfig am Client. Sieh nach, ob der erste DNS-Eintrag weiterhin die IP des Domänencontrollers ist.
m8ichael
m8ichael 09.05.2016 um 13:11:34 Uhr
Goto Top
Hallo!

Zitat von @127103:
Also die PCs haben DNS Kommunikation und Internet aber "funktionieren" nicht mehr in der Domäne? Sind die Geräte denn noch Mitglied in der Domäne? Wie sieht's denn im AD aus? Upgrade gemacht?

Ja, die Domänenmitgliedschaft besteht weiterhin. Die IPs werden fest per DHCP vom Server vergeben. Das funktioniert auch (lt. Ipconfig /all werden auch die DNS-Einstellungen korrekt zum Server gelegt, insofern funktioniert auch der Internet-Zugriff).

Was meinst du mit 'upgrade'? Der AD forest wurde noch bei der 2008er Version belassen. Ist das mit Win10 ein Problem?

ggf. lokalen Administrator-Account aktivieren
cmd > net user administrator /active:yes

dann mittels PowerShell

Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated

So kann man die Netzwerk Kategorie wieder ändern.

Danke. Werde ich gleich mal probieren, sobald ich aus der Sitzung bin.

Viele Grüße

Michael
m8ichael
m8ichael 09.05.2016 um 13:14:59 Uhr
Goto Top
Moin!

Zitat von @kingcopy:

wenn das Netzwerk auf Öffentlich geht, wie schauts denn bei den IP Adressen aus?
ist die LEASE ausgelaufen, oder sind die IPs fest?

Manchmal Updaten sich auch die Netzwerkadapter auf neue Treiber dann fliegen die "sozusagen" raus.

die Switche können auch Fehler aufweisen an denen diese Clienten Hängen, Switche Checken, Reboot.

Weiter: Eine 3. Anbieter Firewall Software, die durch den neuen "Treiber" das Netzwerk auf Öffentlich blockt, der Kaspersky macht das sehr gerne
Firewall Einstellen.

Das führte leider alles zu keiner Lösung. Die IPs werden fest vergeben. Alle Router/Switche wurden rebootet und sämtliche Schutzsoftware auf den betroffenen Clients deaktiviert. face-sad
127103
127103 09.05.2016 aktualisiert um 14:02:56 Uhr
Goto Top
Hallo,

wie sind die Clients zu Win10 gekommen?

Die AD Funktionsebene auf 2008 ist kein Problem.

Bist du sicher das sich die User in der Domäne anmelden und nicht nur lokal?

Gruß c

edit:

Hast du die Netzwerk kategorie mal geändert?

Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated
m8ichael
m8ichael 09.05.2016 um 16:28:04 Uhr
Goto Top
Hallo,

so, ich habe jetzt mal probiert, die Kategorie umzustellen.

Mit

Zitat von @127103:
Get-NetConnectionProfile
Set-NetConnectionProfile -InterfaceIndex (hier Index eintragen) -NetworkCategory DomainAuthenticated

hat das nicht geklappt (es erscheint beim Versuch, das Profil zu ändern der Hinweis, dass der entsprechende Typ automatisch auf "Domäne" gesetzt würde. Allerdings habe ich in der Registry unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfileList den Typ manuell geändert.

Im Ergebnis hat das jedoch überhaupt nichts gebracht - es kann noch immer keine Verbindung zum Domain-Server hergestellt werden. Starte ich den Client neu, so wird der Netzwerktyp wieder auf "öffentlich" gesetzt. Mist.. face-sad

Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...
m8ichael
m8ichael 09.05.2016 um 17:14:05 Uhr
Goto Top
Hallo!

Zitat von @m8ichael:
Werde jetzt mal versuchen, den PC aus der Domäne auszuhängen, um ihn anschließend wieder einzubinden...

Das neue Einbinden hat leider mit Hinweis auf Fehler 1355 nicht funktioniert. Es scheint also doch ein Fehler im DNS-Dienst des Servers vorzuliegen (auch wenn dieser "scheinbar" seit Monaten ohne Änderung sauber funktionierte. So brachte zumindest ein dcdiag die folgende Fehlermeldung:

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = SRV2
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\SRV2
      Starting test: Connectivity
         Der Host c5c6936b-91d0-49d1-82df-1f03a081cbcf._msdcs.D000.local konnte
         nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server,
         DHCP, Servername, usw.
         Fehler beim Überprüfen der LDAP- und RPC-Konnektivität. Überprüfen Sie
         die Firewalleinstellungen.
         ......................... Der Test Connectivity für SRV2 ist
         fehlgeschlagen.

Habt ihr eine Idee, ob dies der Fehler sein könnte bzw. wie diesen berichtigen kann? Kann dies noch aus der Servermigration (vor ca. einem Jahr durchgeführt 2008 --> 2012 R2) herrühren? Zumindest hatte ich bereits im DNS-Baum unter Forward-Lookup im "Unterordner" _msdcs die alte Serveradresse gefunden. Könnte dies das Problem sein?

Viele Grüße

Michael
m8ichael
m8ichael 09.05.2016 um 18:26:25 Uhr
Goto Top
Hallo,

und noch eine Ergänzung: Ich hatte vor ca. drei Wochen im Server eine neue Netzwerkkarte installiert (virtuell, da neuer Treiber in der virtuellen Maschine). Kann dies das Problem - verzögert - ausgelöst haben?

Viele Grüße

Michael
Dani
Lösung Dani 10.05.2016 um 10:12:39 Uhr
Goto Top
Moin,
Zumindest hatte ich bereits im DNS-Baum unter Forward-Lookup im "Unterordner" _msdcs die alte Serveradresse gefunden.
Kann ein Problem sein... bitte führe einen Metadata Cleanup auf dem DC durch.


Gruß,
Dani
m8ichael
m8ichael 10.05.2016 um 18:30:08 Uhr
Goto Top
Hallo,

so, ich habe nun noch einmal den Cleanup gemacht und nun geht es wieder...juhu!

Vielen Dank euch allen!!

Viele Grüße

Michael