Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kerberos Probleme - Zielkontoname ungültig

Mitglied: RicoPausB

RicoPausB (Level 1) - Jetzt verbinden

08.01.2020, aktualisiert 09:22 Uhr, 763 Aufrufe, 23 Kommentare

Moin zusammen ...

... ich stoße hier so langsam an meine fachlichen Grenzen bei der Suche nach einer Lösung für unser Problem:

In fast allen Standorten bei uns kommt es aktuell zu dem Problem, dass Druckerzuordnungen via GPO nicht funktionieren und dass Freigaben nicht verfügbar sind.
Als Meldung kommt im Explorer z.B. beim Aufruf von \\DC1 immer die Meldung "Zielkontoname ist ungültig".

Ein Versuch auf DC2 über CMD mit
fragt nach Benutzername und Kennwort
Umgekehrt von DC1 über
sehe ich die Freigaben.

"Zielkontoname ungültig" hängt ja meines Wissens nach fast immer irgendwie mit Kerberos zusammen.

Da ich im Explorer und in der CMD über die IP an die Freigaben komme, scheint sich das zu bestätigen, da ja über die IP NTLM statt Kerberos verwendet wird, wenn ich das richtig in Erinnerung habe.

Also habe ich zuerst über repadmin in den META-Daten die Versionen der ntPwdHistory und das Datum von pwdLastSet überprüft.
und
Beide Angaben auf beiden Servern identisch.
Also sollte es ja eigentlich nicht daran liegen.

DNS Einstellungen sind auch korrekt, denke ich.
DC2 hat DC1 als primary DNS und sich selber als secondary DNS

Jedenfalls zeigt nslookup die korrekten Daten an und ein ping ist sowohl über die IP, den netBIOS-Namen und den FQDN machbar.

Wenn ich allerdings manuell den Kerberosdienst auf DC2 stoppe und deaktiviere und das Computerkennwort zurücksetze über
kommt die Bestätigung, dass das Kennwort zurückgesetzt wurde.
Und ab diesem Moment funktioniert wieder alles.
In den META-Daten steht dann auch die korrekten Werte und das korrekte Datum drin.

Allerdings funktioniert es nicht lange. Spätestens am nächsten Morgen ist alles wieder bei "Zielkontoname ungültig".

Hoffe, jmd. hat eine rettende Idee.

Grüße

Der Rico
Mitglied: emeriks
08.01.2020 um 10:24 Uhr
Hi,
die Uhrzeiten der beteiligten Computer in der Domäne sind synchron? (Abweichung <= +/- 5 min)

E.
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 10:46 Uhr
Sind sie.
DC1 bekommt seine Zeit von de.pool.ntp.org
DC2 bekommt sie von DC1
liefert eine Stammabweichung von 0.3079982s
Bitte warten ..
Mitglied: lcer00
08.01.2020 um 11:13 Uhr
Hallo,
Zitat von RicoPausB:

Sind sie.
DC1 bekommt seine Zeit von de.pool.ntp.org
DC2 bekommt sie von DC1
liefert eine Stammabweichung von 0.3079982s
ist das gemessen, wenn "alles Läuft" oder wenn der Fehler kommt?

und dann noch: IPv4 oder IPv6? wenn IPv6 - wird hier korrekt aufgelöst?

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 11:58 Uhr
Wurde gerade vorhin gemessen.
Zu dem Zeitpunkt war der Fehler gerade nicht da.

Verbindung läuft ausschließlich über IPv4.
Bitte warten ..
Mitglied: lcer00
08.01.2020 um 12:18 Uhr
Hallo,
Zitat von RicoPausB:

Wurde gerade vorhin gemessen.
Zu dem Zeitpunkt war der Fehler gerade nicht da.

Dann messen, wenn der Fahler auftritt

Verbindung läuft ausschließlich über IPv4.
dass heißt, nslookup liefert auf keinem der Server eine ipv6 Adresse aus? (sicherheitshalber auf beiden Server prüfen!) und die Server haben keine IPv6-Zonen bzw. AAAA-records gespeichert?

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
08.01.2020, aktualisiert um 13:02 Uhr
nslookup liefert nur den fqdn und die IPv4 IP.
IPv6 Zonen haben wir hier noch nicht verwendet.

Allerdings habe ich gerade gesehen, dass DC2 eine Abweichung von rund 2 Minuten hatte, obwohl laut query gerade aktualisiert wurde.

Habe dann via
durchgeführt und die Zeit passte wieder.

Allerdings hat DC2 nun diese Einträge:
Die Quelle ist nicht mehr DC1 ?!
Bitte warten ..
Mitglied: lcer00
08.01.2020 um 13:31 Uhr
reden wir von einer VM?
Bitte warten ..
Mitglied: emeriks
08.01.2020, aktualisiert um 13:43 Uhr
Als Du die externe Zeitquelle am DC1 eingetragen hast, hast Du hoffentlich nicht die NTP-Konfiguration irgendwelcher anderen DC's oder Member dieser Gesamtstruktur geändert (vom Standard abweichend)?
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 14:24 Uhr
Tun wir ...
Läuft auf PROXMOX5
"use local time for RTC" ist aber deaktiviert.

Auf jeden Fall passt jedoch die Uhrzeit
Bitte warten ..
Mitglied: RicoPausB
08.01.2020, aktualisiert um 14:42 Uhr
Zitat von emeriks:

Als Du die externe Zeitquelle am DC1 eingetragen hast, hast Du hoffentlich nicht die NTP-Konfiguration irgendwelcher anderen DC's oder Member dieser Gesamtstruktur geändert (vom Standard abweichend)?
Ich hoffe nicht!
Habe auf dem PDC folgendes eingerichtet:
Das steht dort auch immer noch drin:

An den Standort-DC wurde es dann so gemacht:
Wobei ich aktuell wie gesagt einen DC als VM habe, der immer auf "Local CMOS clock" steht. (Uhrzeit ist aber korrekt)
Bitte warten ..
Mitglied: emeriks
08.01.2020, aktualisiert um 15:07 Uhr
Zitat von RicoPausB:
An den Standort-DC wurde es dann so gemacht:
Und warum nicht nichts? So, wie es korrekt gewesen wäre?

Edit:
Schau mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Da muss "NT5DS" drin stehen.
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 15:06 Uhr
Zitat von emeriks:
Und warum nicht nichts? So, wie es korrekt gewesen wäre?

Weil fast alles VM sind, die auf "Local CMOS clock" standen.
Jedenfalls besteht das Problem aktuell nur bei einem. Alle anderen haben aktuell den DC1 als source drin.
Bitte warten ..
Mitglied: emeriks
08.01.2020, aktualisiert um 15:08 Uhr
https://docs.microsoft.com/en-us/windows-server/networking/windows-time- ...
Abschnitt "Time Synchronization in an AD DS Hierarchy"
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 16:23 Uhr
Zitat von emeriks:
Schau mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Da muss "NT5DS" drin stehen.
steht drin
Bitte warten ..
Mitglied: RicoPausB
08.01.2020, aktualisiert um 16:43 Uhr
Zitat von lcer00:
Wurde gerade vorhin gemessen.
Zu dem Zeitpunkt war der Fehler gerade nicht da.

Dann messen, wenn der Fahler auftritt

auf DC2 ist der Fehler nach einem Neustart wieder da ...
Im Explorer kommt wieder "Zielkontoname ist ungültig"

Check der META-Daten via Repadmin zeigt identische Einträge auf DC1 und DC2, wobei ich mir die Einträge für DC1 auf DC2 nicht ansehen kann.
auf DC2 ausgeführt liefert als Ergebnis:
Bitte warten ..
Mitglied: lcer00
08.01.2020, aktualisiert um 16:48 Uhr
Hallo
Ist das eigentlich das System mit dem 6MonateToten DC? Wenn ja, wer ist denn nun der FSMO-Rolleninhaber?

Gibt das Eventlog nach dem Neustart noch andere Fehler aus?

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 17:03 Uhr
Zitat von lcer00:

Hallo
Ist das eigentlich das System mit dem 6MonateToten DC? Wenn ja, wer ist denn nun der FSMO-Rolleninhaber?

Gibt das Eventlog nach dem Neustart noch andere Fehler aus?
Ja, das ist die Umgebung, die mal einen "6MonateToten DC" hatte.
Der ist aber mittlerweile komplett raus und nicht wieder in Betrieb gegangen. Gab auch lange keine Probleme.
FSMO Rollen hat jetzt komplett der DC1.

Das Eventlog checke ich ...
Bitte warten ..
Mitglied: lcer00
08.01.2020 um 18:01 Uhr
Sind noch irgendwelche vom alten dc ausgrstellte Computerzertifikate auf den Neuen Servern installiert?

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
08.01.2020 um 19:25 Uhr
Nicht das ich wüsste ...
Jedenfalls finde ich weder ausgestellte in der aktuellen Zertifizierungsstelle noch irgendwelche in certmgr.msc auf DC1 /DC2
Bitte warten ..
Mitglied: lcer00
09.01.2020 um 08:14 Uhr
Hallo,
Zitat von RicoPausB:

Nicht das ich wüsste ...
Jedenfalls finde ich weder ausgestellte in der aktuellen Zertifizierungsstelle noch irgendwelche in certmgr.msc auf DC1 /DC2
der DC sollte ein gültiges Domänencontrollerzertifikat haben - ab besten auch nur eins unter Computerzertifikate->Eigene..

Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
09.01.2020 um 08:39 Uhr
Zitat von lcer00:
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.

DC2 hat von unserer CA auf DC1 vier Zertifikate erhalten.
Aus vier Zertifikatsvorlagen:
- Domänencontroller (DomainController)
- Domänencontrollerauthentifizierung
- Kerberos-Authentifizierung
- Verzeichnis-E-Mail-Replikation

Keine alten /ungültigen Zertifikate vorhanden.
Bitte warten ..
Mitglied: lcer00
09.01.2020 um 09:04 Uhr
Zitat von RicoPausB:

Zitat von lcer00:
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.

DC2 hat von unserer CA auf DC1 vier Zertifikate erhalten.
Aus vier Zertifikatsvorlagen:
- Domänencontroller (DomainController)
- Domänencontrollerauthentifizierung
- Kerberos-Authentifizierung
- Verzeichnis-E-Mail-Replikation

meiner kommt mit einem Zertifikat nach Vorlage "Domänencontroller" (Original, Zertifizierungsstelle Server 2012R2). Also habt ihr selbst Zertifikate zusätzliche erstellt.

Dann würde ich die Zertifikate einzeln überprüfen, ob der jeweilige Verwendungszweck passt, ob die Sperrlisten erreichbar sind und so weiter.

Grüße

lcer
Bitte warten ..
Mitglied: RicoPausB
09.01.2020, aktualisiert um 09:31 Uhr
Zitat von lcer00:

Zitat von RicoPausB:

Zitat von lcer00:
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.

DC2 hat von unserer CA auf DC1 vier Zertifikate erhalten.
Aus vier Zertifikatsvorlagen:
- Domänencontroller (DomainController)
- Domänencontrollerauthentifizierung
- Kerberos-Authentifizierung
- Verzeichnis-E-Mail-Replikation

meiner kommt mit einem Zertifikat nach Vorlage "Domänencontroller" (Original, Zertifizierungsstelle Server 2012R2). Also habt ihr selbst Zertifikate zusätzliche erstellt.

Ich habe kein einziges Zertifikat zusätzlich erstellt.
Alle diese Vorlagen haben von vorn herein existiert (Original, Zertifizierungsstelle Server 2016).

Die DC haben von der CA alle am gleichen Tag ein Cert vom Typ DomainController erhalten.
Und ein paar Tage später haben alle DC die anderen drei erhalten.
Warum, wenn nicht nötig ?! Keine Ahnung ...

Sperrlisten gibt es jedenfalls keine und gültig sind auch alle noch bis 04/2020.
Bitte warten ..
Ähnliche Inhalte
Firewall
NGINX mit Kerberos
Frage von helldunkelFirewall8 Kommentare

Hi, kennt sich hier jemand mit erweiterter NGINX Konfiguration aus? Unser Ziel ist es einen Reverse Proxy zu bauen ...

Windows Server
Exchange Kerberos-Auth
Frage von Philipp711Windows Server

Hallo Leute, wir haben unseren Exchange nach dieser Anleitung auf die Kerberos-Authentifizierung vorbereitet: Soweit sollte alles funktioniert haben - ...

Samba
CUPS - Kerberos und Verständnis
Frage von WaishonSamba1 Kommentar

Hallo, ich arbeite mich aktuell etwas in die Kerberos Thematik ein. Dazu nutze ich einen Samba4 4.7.3. Ich muss ...

Firewall

Defender Firewall IPSec Kerberos Sicherheitszuordnungen

Frage von NastnatFirewall

Hallo zusammen, habe hier ein Problem zu dem ich einfach keine Lösung finde Kurz gesagt authentifiziert sich der Windows ...

Neue Wissensbeiträge
Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 7 StundenWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 8 StundenInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Windows 10
Windows2Go ist nun scheintot
Information von DerWoWusste vor 11 StundenWindows 10

Microsoft hat mit Win10 v2004 Windows to go entfernt (sprich: der eingebaute Wizard zur Erstellung wurde entfernt). Wer weiterhin ...

iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 18 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Heiß diskutierte Inhalte
Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste61 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen20 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office20 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

LAN, WAN, Wireless
Mehrere SSIDs auf einem AP
gelöst Frage von yamaha0815LAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich stoße im Moment mit den APs von Unifi/Ubiquity an Grenzen. Es geht um folgendes: In einem ...