12
Nach Hochstufen zum DC keine Anmeldung an diesem Server möglich
Hey Gemeinschaft!
aktuell habe ich 2 DC's (in der Zentrale) aber mehrere Standorte. Da jetzt ein Hardwareserver inkl. Windows Server Lizenz frei wurde, wollte ich zumindest für die größte Filiale einen eigenen DC und einen WSUS einrichten.
Also Hyper-V installiert und Regelkonform 2 vituelle Maschinen aufgesetzt. WSUS läuft bereits. Leider stellt sich der DC aber quer.
In dem Moment, in dem ich nach dem Hochstufen zu einem DC den Server neu starte, kann ich mich nicht mehr anmelden. Ich hab den genauen Wortlaut leider nicht mehr da, lautete aber in etwa so:
Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem computer nicht zugelassen ist. Wenden sie sich an einen Netzwerkadministrator um weitere Informationen zu erhalten
Auch die Anmeldung als lokaler Admin funktioniert nicht, da heißt es plötzlich Benutzername oder Passwort falsch.
Dies bezieht sich zum Glück nur auf diesen Server, nicht auf irgendein anderes Gerät im Verbund.
Im Netz hab ich gelesen, man solle sich remote anmelden, das geht aber auch nicht, genausowenig geht, dass man einen anderen Server nimmt, in den Servermanager geht und diesen DC als zusätzlich zu verwaltenden Server hinzufügt.
An der GPO zum lokalen Anmelden habe ich nicht geschraubt, an die anderen DC's kann ich mich ja auch anmelden.
Hab das jetzt schon 2 Mal durchexerziert. Beide Versuche gingen schief.
Kann mir eventuell jemand einen Tip geben, was ich vielleicht falsch mache.
aktuell habe ich 2 DC's (in der Zentrale) aber mehrere Standorte. Da jetzt ein Hardwareserver inkl. Windows Server Lizenz frei wurde, wollte ich zumindest für die größte Filiale einen eigenen DC und einen WSUS einrichten.
Also Hyper-V installiert und Regelkonform 2 vituelle Maschinen aufgesetzt. WSUS läuft bereits. Leider stellt sich der DC aber quer.
In dem Moment, in dem ich nach dem Hochstufen zu einem DC den Server neu starte, kann ich mich nicht mehr anmelden. Ich hab den genauen Wortlaut leider nicht mehr da, lautete aber in etwa so:
Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem computer nicht zugelassen ist. Wenden sie sich an einen Netzwerkadministrator um weitere Informationen zu erhalten
Auch die Anmeldung als lokaler Admin funktioniert nicht, da heißt es plötzlich Benutzername oder Passwort falsch.
Dies bezieht sich zum Glück nur auf diesen Server, nicht auf irgendein anderes Gerät im Verbund.
Im Netz hab ich gelesen, man solle sich remote anmelden, das geht aber auch nicht, genausowenig geht, dass man einen anderen Server nimmt, in den Servermanager geht und diesen DC als zusätzlich zu verwaltenden Server hinzufügt.
An der GPO zum lokalen Anmelden habe ich nicht geschraubt, an die anderen DC's kann ich mich ja auch anmelden.
Hab das jetzt schon 2 Mal durchexerziert. Beide Versuche gingen schief.
Kann mir eventuell jemand einen Tip geben, was ich vielleicht falsch mache.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665480
Url: https://administrator.de/contentid/665480
Ausgedruckt am: 17.11.2024 um 23:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
das klingt für mich danach, dass der frisch hochgestufte DC "readonly" ist und ein anderer DC nicht erreichbar scheint.
Netzwerk-Einstellungen hast Du sicher vor dem Hochstufen angepaßt, so dass ein anderer DC als erster DNS-Server drin steht?
Gruß
Looser
das klingt für mich danach, dass der frisch hochgestufte DC "readonly" ist und ein anderer DC nicht erreichbar scheint.
Netzwerk-Einstellungen hast Du sicher vor dem Hochstufen angepaßt, so dass ein anderer DC als erster DNS-Server drin steht?
Gruß
Looser
Als Primärer und sekundärer DNS stehen die anderen beiden Kollegen drin.
Als readonly habe ich ihn nicht installiert.
Ich bin ratlos...
Als readonly habe ich ihn nicht installiert.
Ich bin ratlos...
Ein normaler DC hat keine lokale Benutzerverwaltung. Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
1
Hey tikayevent!
Das wusste ich nicht, danke für den Tip!
Wir haben mehrere Domänen-Administratoren, keiner geht.
Das wusste ich nicht, danke für den Tip!
Zitat von @tikayevent:
Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
und genau das geht eben nicht, ich bekomme die o.g. Fehlermeldung.Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
Wir haben mehrere Domänen-Administratoren, keiner geht.
@conquestador
Melde Dich an einem anderen Domänen-Mitglied mit einem Domänen-Administrator an (oder auf einem DC). Starte dann die MMC Computerverwaltung und verbinde diese mit dem neuen DC.
Hat dieser neue DC die Freigaben SYSVOL und NETLOGON automatisch erstellt? (Wenn nein, nicht manuell erstellen!)
Wenn ja, dann ist das ein gutes Zeichen - er hält sich für voll funktionstüchtig.
Weiterhin in dieser MMC:
Was sagen die diversen Eventlogs dieses DC's? ("System", "DFS-Replikation", "DNS Server", "Directory Service")
E.
Melde Dich an einem anderen Domänen-Mitglied mit einem Domänen-Administrator an (oder auf einem DC). Starte dann die MMC Computerverwaltung und verbinde diese mit dem neuen DC.
Hat dieser neue DC die Freigaben SYSVOL und NETLOGON automatisch erstellt? (Wenn nein, nicht manuell erstellen!)
Wenn ja, dann ist das ein gutes Zeichen - er hält sich für voll funktionstüchtig.
Weiterhin in dieser MMC:
Was sagen die diversen Eventlogs dieses DC's? ("System", "DFS-Replikation", "DNS Server", "Directory Service")
E.
Moin,
auch wenn ich glaube, dass du das richtig gemacht hast, aber nur auf Nummer sicher zu gehen.
Prüfen kannst du das, in dem folgenden PS-Befehl mal startest:
Dort sollte dann auch der neue DC enthalten sein.
Gruß
em-pie
auch wenn ich glaube, dass du das richtig gemacht hast, aber nur auf Nummer sicher zu gehen.
- (Der zukünftige DC war vorher ein Member des ADs)
- Dann ist er als weiterer DC der bestehenden Domain hochgestuft worden und nicht als NEUE Domain mit dem selben Namen, richtig?
Prüfen kannst du das, in dem folgenden PS-Befehl mal startest:
(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ } | Select NameDort sollte dann auch der neue DC enthalten sein.
Gruß
em-pie
Hallo emeriks,
SYSVOL und NETLOGON wurden angelegt.
Die Eventlogs sagen das Folgende:
SYSTEM:
Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
Die Beschreibung für die Ereignis-ID "5802" aus der Quelle "NETLOGON" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
<StandortName>
<IP vom DC>
Das Handle ist ungültig
Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
DFS:
Die Beschreibung für die Ereignis-ID "2212" aus der Quelle "DFSR" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
6E289670-913C-4FA1-AA6A-810601940FE6
C:
Das Handle ist ungültig
DNS Server:
"nix"
Directory Service:
Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren.
Festplatte:
c:
Möglicherweise gehen Daten bei einem Systemfehler verloren.
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
SYSVOL und NETLOGON wurden angelegt.
Die Eventlogs sagen das Folgende:
SYSTEM:
Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
Die Beschreibung für die Ereignis-ID "5802" aus der Quelle "NETLOGON" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
<StandortName>
<IP vom DC>
Das Handle ist ungültig
Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
DFS:
Die Beschreibung für die Ereignis-ID "2212" aus der Quelle "DFSR" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
6E289670-913C-4FA1-AA6A-810601940FE6
C:
Das Handle ist ungültig
DNS Server:
"nix"
Directory Service:
Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren.
Festplatte:
c:
Möglicherweise gehen Daten bei einem Systemfehler verloren.
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
Die Fehlermeldung sagt alles. Ich vermute: Ihr habt, genau wie man es machen sollte, den Domänenadmuns die Anmeldung an 0815 Servern verboten. Nur habt ihr lediglich vergessen, den neuen DC in die Gruppe der PCs aufzunehmen, wo sie sich anmelden dürfen. Prüfe also nach, welche GPOs auf diesen Server wirken und was bezüglich lokal anmelden gilt.
3
Ja, das stimmt, Domainadmins dürfen sich nur an DCs anmelden. Beim Hochstufen verschiebt das System den DC automatisch in die OU "Domain Controllers", wo die anderen DCs schon zu Hause sind. Hier wirken nur die "Default Domain Policy" und die "Default Domain Controller Policy", welche kein lokales anmelden verbieten. Dies steht in der default DC Policy:
Lokal anmelden zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION, VORDEFINIERT\Druck-Operatoren, VORDEFINIERT\Server-Operatoren, VORDEFINIERT\Konten-Operatoren, VORDEFINIERT\Sicherungs-Operatoren, VORDEFINIERT\Administratoren
Ein explizites Hinzufügen der Domänenadmins war auch erfolglos.
Ich hab ihn jetzt testweise in eine Server-OU verschoben. jetzt war es möglich, mich als Server-Admin anzumelden. Zurück in der DC-OU und das Anmelden geht nicht mehr.
Lokal anmelden zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION, VORDEFINIERT\Druck-Operatoren, VORDEFINIERT\Server-Operatoren, VORDEFINIERT\Konten-Operatoren, VORDEFINIERT\Sicherungs-Operatoren, VORDEFINIERT\Administratoren
Ein explizites Hinzufügen der Domänenadmins war auch erfolglos.
Ich hab ihn jetzt testweise in eine Server-OU verschoben. jetzt war es möglich, mich als Server-Admin anzumelden. Zurück in der DC-OU und das Anmelden geht nicht mehr.
@em-pie
Danke für den Hinweis, allerdings ist es so, wie du schon vermutet hast...
(Get-ADForest) hat fein alle 3 aufgelistet.
Danke für den Hinweis, allerdings ist es so, wie du schon vermutet hast...
(Get-ADForest) hat fein alle 3 aufgelistet.
Dann Pack ihn in die Server-OU, meld dich an, mach ein
gpresult /h output.html
Studiere den output, Pack ihn zurück in die dc ou und dann nochmal gpupdate und dann wieder gpresult.
gpresult /h output.html
Studiere den output, Pack ihn zurück in die dc ou und dann nochmal gpupdate und dann wieder gpresult.
@DerWoWusste
Ich hatte gerade eine Erleuchtung. Ich war die Sache falsch angegangen.
Mit deinem Post von gestern Abend hast du mich in die richtige Richtung gelenkt.
Ich habe Administratoren-Richtlinien. PC-Admin darf sich nicht an Servern und DC anmelden, Server-Admin nicht am PC oder DC und der DC-Admin nicht an Member-Servern oder PCs.
Den neuen DC hab ich nach der Installation in eine Server-OU verschoben und dann konfiguriert (hier lag der Fehler). Beim Hochstufen zum DC wurde er automatisch in die DC-OU verschoben, hat sich aber gemerkt, dass sich ein DC-Admin nicht anmelden darf. Allerdings durfte sich der Server-Admin auch nicht mehr anmelden. Warum das alles so ist, kann ich nicht sagen...
Die Lösung war jetzt sehr einfach:
Danke an alle, die geholfen haben!
Ich hatte gerade eine Erleuchtung. Ich war die Sache falsch angegangen.
Mit deinem Post von gestern Abend hast du mich in die richtige Richtung gelenkt.
Ich habe Administratoren-Richtlinien. PC-Admin darf sich nicht an Servern und DC anmelden, Server-Admin nicht am PC oder DC und der DC-Admin nicht an Member-Servern oder PCs.
Den neuen DC hab ich nach der Installation in eine Server-OU verschoben und dann konfiguriert (hier lag der Fehler). Beim Hochstufen zum DC wurde er automatisch in die DC-OU verschoben, hat sich aber gemerkt, dass sich ein DC-Admin nicht anmelden darf. Allerdings durfte sich der Server-Admin auch nicht mehr anmelden. Warum das alles so ist, kann ich nicht sagen...
Die Lösung war jetzt sehr einfach:
- Den DC hab ich gelöscht und aus dem Backup (vor Hochstufung zum DC) wiederhergestellt.
- Auf einem DC aus der OU gelöscht.
- Lokal aus der Domäne geschmissen und wieder hinzugefügt, er erscheint im Ordner "Computers", wo ich ihn gelassen habe.
- Anmelden auf dem neuen DC als Domänen-Admin, Installation AD DS und hochstufen zum DC
- Als Domänen-Admin anmelden und freuen...
Danke an alle, die geholfen haben!
