Nach Hochstufen zum DC keine Anmeldung an diesem Server möglich

Mitglied: conquestador

conquestador (Level 1) - Jetzt verbinden

07.04.2021 um 12:58 Uhr, 984 Aufrufe, 12 Kommentare, 2 Danke

Hey Gemeinschaft!

aktuell habe ich 2 DC's (in der Zentrale) aber mehrere Standorte. Da jetzt ein Hardwareserver inkl. Windows Server Lizenz frei wurde, wollte ich zumindest für die größte Filiale einen eigenen DC und einen WSUS einrichten.
Also Hyper-V installiert und Regelkonform 2 vituelle Maschinen aufgesetzt. WSUS läuft bereits. Leider stellt sich der DC aber quer.

In dem Moment, in dem ich nach dem Hochstufen zu einem DC den Server neu starte, kann ich mich nicht mehr anmelden. Ich hab den genauen Wortlaut leider nicht mehr da, lautete aber in etwa so:

Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem computer nicht zugelassen ist. Wenden sie sich an einen Netzwerkadministrator um weitere Informationen zu erhalten

Auch die Anmeldung als lokaler Admin funktioniert nicht, da heißt es plötzlich Benutzername oder Passwort falsch.
Dies bezieht sich zum Glück nur auf diesen Server, nicht auf irgendein anderes Gerät im Verbund.
Im Netz hab ich gelesen, man solle sich remote anmelden, das geht aber auch nicht, genausowenig geht, dass man einen anderen Server nimmt, in den Servermanager geht und diesen DC als zusätzlich zu verwaltenden Server hinzufügt.

An der GPO zum lokalen Anmelden habe ich nicht geschraubt, an die anderen DC's kann ich mich ja auch anmelden.
Hab das jetzt schon 2 Mal durchexerziert. Beide Versuche gingen schief.

Kann mir eventuell jemand einen Tip geben, was ich vielleicht falsch mache.
Mitglied: Looser27
07.04.2021 um 14:03 Uhr
Moin,

das klingt für mich danach, dass der frisch hochgestufte DC "readonly" ist und ein anderer DC nicht erreichbar scheint.
Netzwerk-Einstellungen hast Du sicher vor dem Hochstufen angepaßt, so dass ein anderer DC als erster DNS-Server drin steht?

Gruß

Looser
Bitte warten ..
Mitglied: conquestador
07.04.2021 um 14:23 Uhr
Als Primärer und sekundärer DNS stehen die anderen beiden Kollegen drin.
Als readonly habe ich ihn nicht installiert.
Ich bin ratlos...
Bitte warten ..
Mitglied: tikayevent
07.04.2021 um 14:51 Uhr
Ein normaler DC hat keine lokale Benutzerverwaltung. Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
Bitte warten ..
Mitglied: conquestador
07.04.2021 um 15:27 Uhr
Hey tikayevent!


Zitat von @tikayevent:

Ein normaler DC hat keine lokale Benutzerverwaltung.
Das wusste ich nicht, danke für den Tip!

Zitat von @tikayevent:

Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
und genau das geht eben nicht, ich bekomme die o.g. Fehlermeldung.
Wir haben mehrere Domänen-Administratoren, keiner geht.
Bitte warten ..
Mitglied: emeriks
07.04.2021, aktualisiert um 16:07 Uhr
@conquestador
Melde Dich an einem anderen Domänen-Mitglied mit einem Domänen-Administrator an (oder auf einem DC). Starte dann die MMC Computerverwaltung und verbinde diese mit dem neuen DC.
Hat dieser neue DC die Freigaben SYSVOL und NETLOGON automatisch erstellt? (Wenn nein, nicht manuell erstellen!)
Wenn ja, dann ist das ein gutes Zeichen - er hält sich für voll funktionstüchtig.

Weiterhin in dieser MMC:
Was sagen die diversen Eventlogs dieses DC's? ("System", "DFS-Replikation", "DNS Server", "Directory Service")

E.
Bitte warten ..
Mitglied: em-pie
07.04.2021, aktualisiert um 16:19 Uhr
Moin,

auch wenn ich glaube, dass du das richtig gemacht hast, aber nur auf Nummer sicher zu gehen.

  • (Der zukünftige DC war vorher ein Member des ADs)
  • Dann ist er als weiterer DC der bestehenden Domain hochgestuft worden und nicht als NEUE Domain mit dem selben Namen, richtig?

Prüfen kannst du das, in dem folgenden PS-Befehl mal startest:

Dort sollte dann auch der neue DC enthalten sein.

Gruß
em-pie
Bitte warten ..
Mitglied: conquestador
07.04.2021 um 16:54 Uhr
Hallo emeriks,

SYSVOL und NETLOGON wurden angelegt.

Die Eventlogs sagen das Folgende:

SYSTEM:

Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig

Die Beschreibung für die Ereignis-ID "5802" aus der Quelle "NETLOGON" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
<StandortName>
<IP vom DC>
Das Handle ist ungültig

Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig


DFS:

Die Beschreibung für die Ereignis-ID "2212" aus der Quelle "DFSR" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
6E289670-913C-4FA1-AA6A-810601940FE6
C:
Das Handle ist ungültig


DNS Server:

"nix"

Directory Service:

Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren.
Festplatte:
c:
Möglicherweise gehen Daten bei einem Systemfehler verloren.


Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.

Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.

Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.

Bitte warten ..
Mitglied: DerWoWusste
07.04.2021 um 18:07 Uhr
Die Fehlermeldung sagt alles. Ich vermute: Ihr habt, genau wie man es machen sollte, den Domänenadmuns die Anmeldung an 0815 Servern verboten. Nur habt ihr lediglich vergessen, den neuen DC in die Gruppe der PCs aufzunehmen, wo sie sich anmelden dürfen. Prüfe also nach, welche GPOs auf diesen Server wirken und was bezüglich lokal anmelden gilt.
Bitte warten ..
Mitglied: conquestador
08.04.2021 um 08:51 Uhr
Ja, das stimmt, Domainadmins dürfen sich nur an DCs anmelden. Beim Hochstufen verschiebt das System den DC automatisch in die OU "Domain Controllers", wo die anderen DCs schon zu Hause sind. Hier wirken nur die "Default Domain Policy" und die "Default Domain Controller Policy", welche kein lokales anmelden verbieten. Dies steht in der default DC Policy:

Lokal anmelden zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION, VORDEFINIERT\Druck-Operatoren, VORDEFINIERT\Server-Operatoren, VORDEFINIERT\Konten-Operatoren, VORDEFINIERT\Sicherungs-Operatoren, VORDEFINIERT\Administratoren

Ein explizites Hinzufügen der Domänenadmins war auch erfolglos.
Ich hab ihn jetzt testweise in eine Server-OU verschoben. jetzt war es möglich, mich als Server-Admin anzumelden. Zurück in der DC-OU und das Anmelden geht nicht mehr.
Bitte warten ..
Mitglied: conquestador
08.04.2021, aktualisiert um 08:55 Uhr
@em-pie
Danke für den Hinweis, allerdings ist es so, wie du schon vermutet hast...
(Get-ADForest) hat fein alle 3 aufgelistet.
Bitte warten ..
Mitglied: DerWoWusste
08.04.2021 um 09:31 Uhr
Dann Pack ihn in die Server-OU, meld dich an, mach ein
gpresult /h output.html
Studiere den output, Pack ihn zurück in die dc ou und dann nochmal gpupdate und dann wieder gpresult.
Bitte warten ..
Mitglied: conquestador
08.04.2021, aktualisiert um 10:19 Uhr
@DerWoWusste
Ich hatte gerade eine Erleuchtung. Ich war die Sache falsch angegangen.
Mit deinem Post von gestern Abend hast du mich in die richtige Richtung gelenkt.
Ich habe Administratoren-Richtlinien. PC-Admin darf sich nicht an Servern und DC anmelden, Server-Admin nicht am PC oder DC und der DC-Admin nicht an Member-Servern oder PCs.
Den neuen DC hab ich nach der Installation in eine Server-OU verschoben und dann konfiguriert (hier lag der Fehler). Beim Hochstufen zum DC wurde er automatisch in die DC-OU verschoben, hat sich aber gemerkt, dass sich ein DC-Admin nicht anmelden darf. Allerdings durfte sich der Server-Admin auch nicht mehr anmelden. Warum das alles so ist, kann ich nicht sagen...
Die Lösung war jetzt sehr einfach:
  • Den DC hab ich gelöscht und aus dem Backup (vor Hochstufung zum DC) wiederhergestellt.
  • Auf einem DC aus der OU gelöscht.
  • Lokal aus der Domäne geschmissen und wieder hinzugefügt, er erscheint im Ordner "Computers", wo ich ihn gelassen habe.
  • Anmelden auf dem neuen DC als Domänen-Admin, Installation AD DS und hochstufen zum DC
  • Als Domänen-Admin anmelden und freuen...

Danke an alle, die geholfen haben!
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 17 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...