15
Keine Vertrauensstellung für dieses Computerkonto
Hi,
Vielleicht könnt Ihr mir ja helfen. Bis jetzt habe ich nämlich niemanden gefunden, der das gekonnt hätte.
Ausgangssituation
Kleines Firmennetzwerk: 2 Domänencontroller, ca. 30 Clients.
Die DCs sind windows Server 2012, die Clients Windows 10.
Prinzipiell läuft alles gut. Lediglich erhalte ich manchmal beim Login die Meldung "es existiert keine Vertrauensstellung für dieses Konto".
Es hilft dann nur, den Client runterzufahren und neu zu starten. Manchmal geht's auch, wenn man sich mit einem anderen Konto einloggt.
Das Problem tritt auf, seit ich begonnen habe, die Client PCs auszutauschen und in die Domäne zu hängen.
Computer- und Userkonten am PDC sind vorhanden.
Es taucht auch nicht regelmäßig auf, und es bessert sich mit der Zeit.
Habt ihr vielleicht eine Ahnung, was das sein könnte?
Vielleicht könnt Ihr mir ja helfen. Bis jetzt habe ich nämlich niemanden gefunden, der das gekonnt hätte.
Ausgangssituation
Kleines Firmennetzwerk: 2 Domänencontroller, ca. 30 Clients.
Die DCs sind windows Server 2012, die Clients Windows 10.
Prinzipiell läuft alles gut. Lediglich erhalte ich manchmal beim Login die Meldung "es existiert keine Vertrauensstellung für dieses Konto".
Es hilft dann nur, den Client runterzufahren und neu zu starten. Manchmal geht's auch, wenn man sich mit einem anderen Konto einloggt.
Das Problem tritt auf, seit ich begonnen habe, die Client PCs auszutauschen und in die Domäne zu hängen.
Computer- und Userkonten am PDC sind vorhanden.
Es taucht auch nicht regelmäßig auf, und es bessert sich mit der Zeit.
Habt ihr vielleicht eine Ahnung, was das sein könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6539047981
Url: https://administrator.de/contentid/6539047981
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
15 Kommentare
Neuester Kommentar
Guten Morgen.
Wie tauschst du denn die Clients, gibst du den neuen PC dieselben Namen, wie den alten?
Die 2012er DCs solltest du nach Möglichkeit bald ersetzen > EOL.
Gruß
Marc
Zitat von @Tannah:
Das Problem tritt auf, seit ich begonnen habe, die Client PCs auszutauschen und in die Domäne zu hängen.
Das Problem tritt auf, seit ich begonnen habe, die Client PCs auszutauschen und in die Domäne zu hängen.
Wie tauschst du denn die Clients, gibst du den neuen PC dieselben Namen, wie den alten?
Die 2012er DCs solltest du nach Möglichkeit bald ersetzen > EOL.
Gruß
Marc
1
Die Meldung deutet darauf hin das du wohl durch das Hinzufügen eines Neuen PC´s irgendeinen PC aus dem AD raus gekegelt hast.
Immer dran denken das es einen PC-Namen ( eigentlich die SID / GUID ) nur einmal im AD geben darf.
Wenn du den PC-10 hast welcher Aktiv ist und einen neuen PC in die Domäne hebst der ebenfalls PC-10 heißt fliegt der erste autom. Raus weil das Konto überschreiben wird vom neuen PC.
Wir vergeben daher immer nummern in Reihe.
1 Notebook im AD xx-DE-NB-001 ( Benutzer Müller )
neues Notebook im AD für Müller bekommt dann die xx-DE-NB-101
usw..... je generation neu Geräte wird vorne eins hochgezählt
und wenn wir
bei 9 Angekommen sind gehts mit der 0 wieder weiter. das dauert aber da Lebenserwartung
eines Notebooks mid. 4 / 5 Jahre ist
Immer dran denken das es einen PC-Namen ( eigentlich die SID / GUID ) nur einmal im AD geben darf.
Wenn du den PC-10 hast welcher Aktiv ist und einen neuen PC in die Domäne hebst der ebenfalls PC-10 heißt fliegt der erste autom. Raus weil das Konto überschreiben wird vom neuen PC.
Wir vergeben daher immer nummern in Reihe.
1 Notebook im AD xx-DE-NB-001 ( Benutzer Müller )
neues Notebook im AD für Müller bekommt dann die xx-DE-NB-101
usw..... je generation neu Geräte wird vorne eins hochgezählt
und wenn wirbei 9 Angekommen sind gehts mit der 0 wieder weiter. das dauert aber da Lebenserwartung
eines Notebooks mid. 4 / 5 Jahre ist
Ja, ich weiß, dass der 2012er bald ausgetauscht werden muss. Ist schon in Arbeit.
Die Namen der Clients habe ich erst gleich vergeben. Danach habe ich es mit unterschiedlichen Namen probiert. Keine Veränderung.
Die Namen der Clients habe ich erst gleich vergeben. Danach habe ich es mit unterschiedlichen Namen probiert. Keine Veränderung.
Moin,
ist denn die Netzwerkverbindung aktiv (und das Domain-Netzwerk wird auch erkannt?) beim Anmeldeversuch?
Gruß
Looser
ist denn die Netzwerkverbindung aktiv (und das Domain-Netzwerk wird auch erkannt?) beim Anmeldeversuch?
Gruß
Looser
Hallo,
überprüfe mal das DNS. Haben die PCs einen DC als DNS-Server eingetragen? Funktioniert die Replikation zwischen den DCs?
Grüße
lcer
überprüfe mal das DNS. Haben die PCs einen DC als DNS-Server eingetragen? Funktioniert die Replikation zwischen den DCs?
Grüße
lcer
Guten Morgen
Ich kenne das nur, wenn Du einen gleichnamigen PC in die Domäne hängst. Damit schießt Du den alten raus und somit gibt es für diesen kein Computerkonto mehr und auch keine Vertrauensstellung.
Das was ich nicht kenne ist, daß es sich "bessert". Entweder er ist drinnen oder draußen und dort bleibt er bis Du etwas aktiv änderst. Wenn Du den alten wieder in die Domäne hebst, dann schießt Du den neuen raus. 😂 Das "Highländerprinzip" .... es kann nur einen geben.
Die 2012er würde ich ersetzen.
Ich kenne das nur, wenn Du einen gleichnamigen PC in die Domäne hängst. Damit schießt Du den alten raus und somit gibt es für diesen kein Computerkonto mehr und auch keine Vertrauensstellung.
Das was ich nicht kenne ist, daß es sich "bessert". Entweder er ist drinnen oder draußen und dort bleibt er bis Du etwas aktiv änderst. Wenn Du den alten wieder in die Domäne hebst, dann schießt Du den neuen raus. 😂 Das "Highländerprinzip" .... es kann nur einen geben.
Die 2012er würde ich ersetzen.
Na ja was geht ist wenn der PC die Meldung Vertrauensstellung bla bla blubb bringt ist Netzwerkkabel raus
und mit dem letzen Account ( wird ja der Admin od. Deployment Account sein hoffentlich ) anmelden und nach der Anmeldung ( Desktop ) dann wieder einstecken und dann kann man´s gerade ziehen über diverse Wege.
Wenn der DNS nicht stimmt würde eigentlich die Meldung kommen das kein DC für die Anmeldung verfügbar ist.
Das vertrauenstellungs Ding kommt nur wenn man einen rausgekickt hat oder im ad gelöscht bzw. den Computer Account ( im Falle des TO wahrscheinlich den falschen ) zurückgesetzt/resettet hat.
Würde DNS nicht funktionieren würde der PC den DC ja garnicht fragen können.
Replikation wird ja wohl funktionieren zumindest hat er und nicht gesagt das es hier Probleme gibt. Er schreibt ja das nur mit dem Deployment neuer Systeme angefangen hat .....
tbc....
und mit dem letzen Account ( wird ja der Admin od. Deployment Account sein hoffentlich ) anmelden und nach der Anmeldung ( Desktop ) dann wieder einstecken und dann kann man´s gerade ziehen über diverse Wege.
Wenn der DNS nicht stimmt würde eigentlich die Meldung kommen das kein DC für die Anmeldung verfügbar ist.
Das vertrauenstellungs Ding kommt nur wenn man einen rausgekickt hat oder im ad gelöscht bzw. den Computer Account ( im Falle des TO wahrscheinlich den falschen ) zurückgesetzt/resettet hat.
Würde DNS nicht funktionieren würde der PC den DC ja garnicht fragen können.
Replikation wird ja wohl funktionieren zumindest hat er und nicht gesagt das es hier Probleme gibt. Er schreibt ja das nur mit dem Deployment neuer Systeme angefangen hat .....
tbc....
Zitat von @Mr-Gustav:
Na ja was geht ist wenn der PC die Meldung Vertrauensstellung bla bla blubb bringt ist Netzwerkkabel raus
und mit dem letzen Account ( wird ja der Admin od. Deployment Account sein hoffentlich ) anmelden und nach der Anmeldung ( Desktop ) dann wieder einstecken und dann kann man´s gerade ziehen über diverse Wege.
Wenn der DNS nicht stimmt würde eigentlich die Meldung kommen das kein DC für die Anmeldung verfügbar ist.
Das vertrauenstellungs Ding kommt nur wenn man einen rausgekickt hat oder im ad gelöscht bzw. den Computer Account ( im Falle des TO wahrscheinlich den falschen ) zurückgesetzt/resettet hat.
Würde DNS nicht funktionieren würde der PC den DC ja garnicht fragen können.
Replikation wird ja wohl funktionieren zumindest hat er und nicht gesagt das es hier Probleme gibt. Er schreibt ja das nur mit dem Deployment neuer Systeme angefangen hat .....
tbc....
Na ja was geht ist wenn der PC die Meldung Vertrauensstellung bla bla blubb bringt ist Netzwerkkabel raus
und mit dem letzen Account ( wird ja der Admin od. Deployment Account sein hoffentlich ) anmelden und nach der Anmeldung ( Desktop ) dann wieder einstecken und dann kann man´s gerade ziehen über diverse Wege.
Wenn der DNS nicht stimmt würde eigentlich die Meldung kommen das kein DC für die Anmeldung verfügbar ist.
Das vertrauenstellungs Ding kommt nur wenn man einen rausgekickt hat oder im ad gelöscht bzw. den Computer Account ( im Falle des TO wahrscheinlich den falschen ) zurückgesetzt/resettet hat.
Würde DNS nicht funktionieren würde der PC den DC ja garnicht fragen können.
Replikation wird ja wohl funktionieren zumindest hat er und nicht gesagt das es hier Probleme gibt. Er schreibt ja das nur mit dem Deployment neuer Systeme angefangen hat .....
tbc....
"... wird ja wohl ..." ist nett, aber Du solltest diese Dinge überprüfen. Auch ob durchgängig Netzwerkkonntektivität besteht ...
Wenn alles korrekt funktioniert wird es Deinen Fehler nicht geben können.
also: am Client:
ipconfig /allauf dem DC
repadmin /syncall /PAedsollte doch nicht zu viel sein.
Grüße
lcer
Wenn es mal geht und mal nicht (und ein "ich starte neu und dann geht es" deutet darauf hin), dann hast Du ein Replikationsproblem. Führe auf beiden DCs einmal dcdiag aus und schau dir die Resultate an.
1
Eigentlich sagen die Logs zuverlässig was los ist.
Bis dahin raten wir mal weiter: Ist die Uhrzeit der Clients mehr als 5 Minuten auseinander? Dann greift Kerberos nicht mehr.
Bis dahin raten wir mal weiter: Ist die Uhrzeit der Clients mehr als 5 Minuten auseinander? Dann greift Kerberos nicht mehr.
mhhh stimmt kann es auch sein aber da kommt soweit ich mich erinnere eine andere Meldung
Ist die Uhrzeit überall synchronisiert (client - dc's)?
Hi Leute,
Vielen Dank für eure Absätze. Also:
Urzeiten sind synchron, das Domänennetzwerk wird immer erkannt, Netzwerkonnektivität ist vorhanden.
Aber die Replikation werde ich mal überprüfen. Danke.
Vielen Dank für eure Absätze. Also:
Urzeiten sind synchron, das Domänennetzwerk wird immer erkannt, Netzwerkonnektivität ist vorhanden.
Aber die Replikation werde ich mal überprüfen. Danke.
Hatte ein ähnliches Problem im Zusammenhang mit Clients, welche ich über PXE Boot und einem Image betankt habe (inkl Domänenbeitritt). Es gibt im AD die default OU für Computer und jedes Computerkonto wird automatisch da reingesteckt. Sobald ein Computer, mit dem gleichen Hostnamen, in die Domäne aufgenommen werden sollte und in einer anderen OU war, gab es Probleme.
Ich würde folgendes machen: Computer sauber aus der Domäne rausnehmen (also am Client selbst den Austritt machen), im AD das Computerkonto löschen, auf Replizierung warten und den AD Join nochmals sauber durchführen. Dann sollte es klappen. Alles andere kostet Zeit, Nerven und es ist fraglich ob man die Ursache findet und beheben kann.
Ich würde folgendes machen: Computer sauber aus der Domäne rausnehmen (also am Client selbst den Austritt machen), im AD das Computerkonto löschen, auf Replizierung warten und den AD Join nochmals sauber durchführen. Dann sollte es klappen. Alles andere kostet Zeit, Nerven und es ist fraglich ob man die Ursache findet und beheben kann.
1
Mal so eine eventuell dumme Frage am Rande: Die /Das Image hast du aber mit Sysprep generalisiert ?
nicht das wir ein SID Problem haben und es deswegen zu diesem Fehler kommt
nicht das wir ein SID Problem haben und es deswegen zu diesem Fehler kommt
1
