conquestador
Goto Top

Nach Hochstufen zum DC keine Anmeldung an diesem Server möglich

Hey Gemeinschaft!

aktuell habe ich 2 DC's (in der Zentrale) aber mehrere Standorte. Da jetzt ein Hardwareserver inkl. Windows Server Lizenz frei wurde, wollte ich zumindest für die größte Filiale einen eigenen DC und einen WSUS einrichten.
Also Hyper-V installiert und Regelkonform 2 vituelle Maschinen aufgesetzt. WSUS läuft bereits. Leider stellt sich der DC aber quer.

In dem Moment, in dem ich nach dem Hochstufen zu einem DC den Server neu starte, kann ich mich nicht mehr anmelden. Ich hab den genauen Wortlaut leider nicht mehr da, lautete aber in etwa so:

Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem computer nicht zugelassen ist. Wenden sie sich an einen Netzwerkadministrator um weitere Informationen zu erhalten

Auch die Anmeldung als lokaler Admin funktioniert nicht, da heißt es plötzlich Benutzername oder Passwort falsch.
Dies bezieht sich zum Glück nur auf diesen Server, nicht auf irgendein anderes Gerät im Verbund.
Im Netz hab ich gelesen, man solle sich remote anmelden, das geht aber auch nicht, genausowenig geht, dass man einen anderen Server nimmt, in den Servermanager geht und diesen DC als zusätzlich zu verwaltenden Server hinzufügt.

An der GPO zum lokalen Anmelden habe ich nicht geschraubt, an die anderen DC's kann ich mich ja auch anmelden.
Hab das jetzt schon 2 Mal durchexerziert. Beide Versuche gingen schief.

Kann mir eventuell jemand einen Tip geben, was ich vielleicht falsch mache.

Content-Key: 665480

Url: https://administrator.de/contentid/665480

Printed on: June 1, 2023 at 01:06 o'clock

Member: Looser27
Looser27 Apr 07, 2021 at 12:03:43 (UTC)
Goto Top
Moin,

das klingt für mich danach, dass der frisch hochgestufte DC "readonly" ist und ein anderer DC nicht erreichbar scheint.
Netzwerk-Einstellungen hast Du sicher vor dem Hochstufen angepaßt, so dass ein anderer DC als erster DNS-Server drin steht?

Gruß

Looser
Member: conquestador
conquestador Apr 07, 2021 at 12:23:27 (UTC)
Goto Top
Als Primärer und sekundärer DNS stehen die anderen beiden Kollegen drin.
Als readonly habe ich ihn nicht installiert.
Ich bin ratlos...
Member: tikayevent
tikayevent Apr 07, 2021 at 12:51:02 (UTC)
Goto Top
Ein normaler DC hat keine lokale Benutzerverwaltung. Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
Member: conquestador
conquestador Apr 07, 2021 at 13:27:24 (UTC)
Goto Top
Hey tikayevent!


Zitat von @tikayevent:

Ein normaler DC hat keine lokale Benutzerverwaltung.
Das wusste ich nicht, danke für den Tip!

Zitat von @tikayevent:

Also einen Domänenbenutzer nehmen, der entsprechend berechtigt ist, also z.B. ein Domänen-Administrator.
und genau das geht eben nicht, ich bekomme die o.g. Fehlermeldung.
Wir haben mehrere Domänen-Administratoren, keiner geht.
Member: emeriks
emeriks Apr 07, 2021 updated at 14:07:28 (UTC)
Goto Top
@conquestador
Melde Dich an einem anderen Domänen-Mitglied mit einem Domänen-Administrator an (oder auf einem DC). Starte dann die MMC Computerverwaltung und verbinde diese mit dem neuen DC.
Hat dieser neue DC die Freigaben SYSVOL und NETLOGON automatisch erstellt? (Wenn nein, nicht manuell erstellen!)
Wenn ja, dann ist das ein gutes Zeichen - er hält sich für voll funktionstüchtig.

Weiterhin in dieser MMC:
Was sagen die diversen Eventlogs dieses DC's? ("System", "DFS-Replikation", "DNS Server", "Directory Service")

E.
Member: em-pie
em-pie Apr 07, 2021 updated at 14:19:50 (UTC)
Goto Top
Moin,

auch wenn ich glaube, dass du das richtig gemacht hast, aber nur auf Nummer sicher zu gehen.

  • (Der zukünftige DC war vorher ein Member des ADs)
  • Dann ist er als weiterer DC der bestehenden Domain hochgestuft worden und nicht als NEUE Domain mit dem selben Namen, richtig?

Prüfen kannst du das, in dem folgenden PS-Befehl mal startest:
(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ } | Select Name

Dort sollte dann auch der neue DC enthalten sein.

Gruß
em-pie
Member: conquestador
conquestador Apr 07, 2021 at 14:54:09 (UTC)
Goto Top
Hallo emeriks,

SYSVOL und NETLOGON wurden angelegt.

Die Eventlogs sagen das Folgende:

SYSTEM:

Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig

Die Beschreibung für die Ereignis-ID "5802" aus der Quelle "NETLOGON" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
<StandortName>
<IP vom DC>
Das Handle ist ungültig

Die Beschreibung für die Ereignis-ID "6038" aus der Quelle "LsaSrv" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig


DFS:

Die Beschreibung für die Ereignis-ID "2212" aus der Quelle "DFSR" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
6E289670-913C-4FA1-AA6A-810601940FE6
C:
Das Handle ist ungültig


DNS Server:

"nix"

Directory Service:

Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren.
Festplatte:
c:
Möglicherweise gehen Daten bei einem Systemfehler verloren.


Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.

Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.

Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
Member: DerWoWusste
DerWoWusste Apr 07, 2021 at 16:07:16 (UTC)
Goto Top
Die Fehlermeldung sagt alles. Ich vermute: Ihr habt, genau wie man es machen sollte, den Domänenadmuns die Anmeldung an 0815 Servern verboten. Nur habt ihr lediglich vergessen, den neuen DC in die Gruppe der PCs aufzunehmen, wo sie sich anmelden dürfen. Prüfe also nach, welche GPOs auf diesen Server wirken und was bezüglich lokal anmelden gilt.
Member: conquestador
conquestador Apr 08, 2021 at 06:51:55 (UTC)
Goto Top
Ja, das stimmt, Domainadmins dürfen sich nur an DCs anmelden. Beim Hochstufen verschiebt das System den DC automatisch in die OU "Domain Controllers", wo die anderen DCs schon zu Hause sind. Hier wirken nur die "Default Domain Policy" und die "Default Domain Controller Policy", welche kein lokales anmelden verbieten. Dies steht in der default DC Policy:

Lokal anmelden zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION, VORDEFINIERT\Druck-Operatoren, VORDEFINIERT\Server-Operatoren, VORDEFINIERT\Konten-Operatoren, VORDEFINIERT\Sicherungs-Operatoren, VORDEFINIERT\Administratoren

Ein explizites Hinzufügen der Domänenadmins war auch erfolglos.
Ich hab ihn jetzt testweise in eine Server-OU verschoben. jetzt war es möglich, mich als Server-Admin anzumelden. Zurück in der DC-OU und das Anmelden geht nicht mehr.
Member: conquestador
conquestador Apr 08, 2021 updated at 06:55:40 (UTC)
Goto Top
@em-pie
Danke für den Hinweis, allerdings ist es so, wie du schon vermutet hast...
(Get-ADForest) hat fein alle 3 aufgelistet.
Member: DerWoWusste
DerWoWusste Apr 08, 2021 at 07:31:36 (UTC)
Goto Top
Dann Pack ihn in die Server-OU, meld dich an, mach ein
gpresult /h output.html
Studiere den output, Pack ihn zurück in die dc ou und dann nochmal gpupdate und dann wieder gpresult.
Member: conquestador
conquestador Apr 08, 2021 updated at 08:19:24 (UTC)
Goto Top
@DerWoWusste
Ich hatte gerade eine Erleuchtung. Ich war die Sache falsch angegangen.
Mit deinem Post von gestern Abend hast du mich in die richtige Richtung gelenkt.
Ich habe Administratoren-Richtlinien. PC-Admin darf sich nicht an Servern und DC anmelden, Server-Admin nicht am PC oder DC und der DC-Admin nicht an Member-Servern oder PCs.
Den neuen DC hab ich nach der Installation in eine Server-OU verschoben und dann konfiguriert (hier lag der Fehler). Beim Hochstufen zum DC wurde er automatisch in die DC-OU verschoben, hat sich aber gemerkt, dass sich ein DC-Admin nicht anmelden darf. Allerdings durfte sich der Server-Admin auch nicht mehr anmelden. Warum das alles so ist, kann ich nicht sagen...
Die Lösung war jetzt sehr einfach:
  • Den DC hab ich gelöscht und aus dem Backup (vor Hochstufung zum DC) wiederhergestellt.
  • Auf einem DC aus der OU gelöscht.
  • Lokal aus der Domäne geschmissen und wieder hinzugefügt, er erscheint im Ordner "Computers", wo ich ihn gelassen habe.
  • Anmelden auf dem neuen DC als Domänen-Admin, Installation AD DS und hochstufen zum DC
  • Als Domänen-Admin anmelden und freuen...

Danke an alle, die geholfen haben!