18
Die NLA kann jedoch nicht ausgeführt werden, da der Windows-Domänencontroller nicht erreicht wird
Guten Morgen Zusammen,
auf einem Windows Client
Windows 10 / 1909 / 18363.900
habe ich folgenden Fehler:
Dieser Client ist eigentlich in der Domäne, war aber längere Zeit ausgeschaltet.
Im Forum hier hatte ich ähnliches mit WS2012 gefunden, leider brachte es mich nicht weiter. Ich dreh mich gerade im Kreis, ggf. kann mir jemand einen Denkanstoß geben welchen in praktikabel aus der Ferne umsetzen kann.
Im Eventlog stoße ich auf ID 3210 NETLOGON
Vielen Dank im Voraus.
Bisherige Ansätze
Mein letzter Schritt wäre die Kiste platt zu machen... aber ggf. hat noch jemand eine Idee was ich probieren könnte.
Dankschön.
auf einem Windows Client
Windows 10 / 1909 / 18363.900
habe ich folgenden Fehler:
Dieser Client ist eigentlich in der Domäne, war aber längere Zeit ausgeschaltet.
Im Forum hier hatte ich ähnliches mit WS2012 gefunden, leider brachte es mich nicht weiter. Ich dreh mich gerade im Kreis, ggf. kann mir jemand einen Denkanstoß geben welchen in praktikabel aus der Ferne umsetzen kann.
Im Eventlog stoße ich auf ID 3210 NETLOGON
Dieser Computer konnte sich nicht mit \\DOMAINCONTROLLER, einem Windows-Domänencontroller für Domäne ABC, authentifizieren.
Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen.
Die Ursache hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen,
oder das Kennwort für dieses Computerkonto wird nicht erkannt.Vielen Dank im Voraus.
Bisherige Ansätze
- Verbindung per IP über lokalen Administrator möglich
- PC in der Domäne umbenannt, erfolgreich, jedoch dann wieder gleicher Fehler
- Verbindung mit anderem Domain-Admin-Konto schlägt auch fehl (gleicher Fehler)
- Updates ausgeführt (auf 18363.900 wie viele andere baugleiche Clients im Netzwerk auch)
- NLA Dienst lässt sich nicht neu starten; Fehler 1061: Der Dienst kann zurzeit keine Steuerungsmeldungen annehmen.
- Registerkarte „Remote“ des Dialogfelds „Systemeigenschaften“: Gleiche Einstellung wie andere PCs, es fällt jedoch auf das alle Benutzerprofile "Konto unbekannt" eingetragen haben
- Ping des Domaincontrollers über Name und IP erfolgreich; ebenso nslookup
Mein letzter Schritt wäre die Kiste platt zu machen... aber ggf. hat noch jemand eine Idee was ich probieren könnte.
Dankschön.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 581210
Url: https://administrator.de/contentid/581210
Printed on: April 23, 2024 at 14:04 o'clock
18 Comments
Latest comment
Hi,
Domäne verlassen und wieder beitreten schon probiert?
Manchmal ist es so simpel.
Grüße
tomolpi
Domäne verlassen und wieder beitreten schon probiert?
Manchmal ist es so simpel.
Grüße
tomolpi
moin...
Grüße
tomolpi
Frank
Zitat von @tomolpi:
Hi,
Domäne verlassen und wieder beitreten schon probiert?
Manchmal ist es so simpel.
jo.. das ist es.. Hi,
Domäne verlassen und wieder beitreten schon probiert?
Manchmal ist es so simpel.
Grüße
tomolpi
Moin,
sagt schon alles bzgl. abgelaufenes Computerkontokennwort auf dem DC. tomolpi hat die Lösung schon gegeben.
Dieser Client ist eigentlich in der Domäne, war aber längere Zeit ausgeschaltet
sagt schon alles bzgl. abgelaufenes Computerkontokennwort auf dem DC. tomolpi hat die Lösung schon gegeben.
Vielen Dank,
aber lässt sich das
ausüben, d.h. DNS/IP wird aufgelöst und ich die neue IP nicht mehr im DNS finde. Wie also komme ich dann remote auf den Client?
aber lässt sich das
ausüben, d.h. DNS/IP wird aufgelöst und ich die neue IP nicht mehr im DNS finde. Wie also komme ich dann remote auf den Client?
Zitat von @chgorges:
sagt schon alles bzgl. abgelaufenes Computerkontokennwort auf dem DC. tomolpi hat die Lösung schon gegeben.
Danke,sagt schon alles bzgl. abgelaufenes Computerkontokennwort auf dem DC. tomolpi hat die Lösung schon gegeben.
für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
Hallo
Zuerst sicherstellen, daß die Computerzeit/Datum synchron zum DC ist, dann mal das hier versuchen:
https://www.windowspro.de/wolfgang-sommergut/loesung-fuer-vertrauensstel ...
MfG
MacLeod
Zuerst sicherstellen, daß die Computerzeit/Datum synchron zum DC ist, dann mal das hier versuchen:
https://www.windowspro.de/wolfgang-sommergut/loesung-fuer-vertrauensstel ...
MfG
MacLeod
1
Zitat von @nachgefragt:
für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
Neben dem Benutzerzugangsdaten gibt es auch ein Kennwort für die Computer zur Domäne.für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
Dies wird regelmäßig vom AD-Server geändert und an die PCs verteilt.
Wenn Jemand jetzt zu lange nicht verbunden war besteht keine Verbindung mehr.
Einzige Möglichkeit ist den PC aus der Domäne zu entfernen und neu hinzuzufügen.
Dazu muss man den PC nicht neu starten.
- Lokalen Admin anlegen
- Mit diesem lokalen Admin anmelden
- PC aus der Domäne entfernen und NICHT neu starten
- PC zur Domäne hinzufügen
- Neustarten
1
Moin,
Gruß,
Dani
für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
Das Computerobjekt hat ebenfalls ein Passwort, welches vom Windows bzw. Active Directory verwaltet wird. Da hast du erst einmal keinen administrativen Aufwand. Das geschieht zu 99% der Fälle im Hintergrund und bedarf keinen Eingriff. Ist der Computer, der Mitglieder der Domäne ist, längere Zeit verliert sozusagen die Verbindung zu der Domäne. Einzige Möglichkeit ist den PC aus der Domäne zu entfernen und neu hinzuzufügen.
Das ist so nicht korrekt. Es gibt dazu seit langem auch ein PowerShell cmdlet: Reset-ComputerMachinePasswordGruß,
Dani
Danke Stefan,
du hast es extra in Großbuchstaben verfasst, berechtig.
I.d.R. wird ein Domainbeitritt/-austritt mit einem Neustart erledigt. Nun rate mal welches Spielkind wieder nicht warten konnte und nun aus der Ferne die Kiste nicht mehr findet
du hast es extra in Großbuchstaben verfasst, berechtig.
I.d.R. wird ein Domainbeitritt/-austritt mit einem Neustart erledigt. Nun rate mal welches Spielkind wieder nicht warten konnte und nun aus der Ferne die Kiste nicht mehr findet
Moin Nachgefragt,
Wenn du einen Rechner oder auch Server in die Domäne "hägst" dann wird für diesen im AD ein Computer-Object unter "Computers" angelegt.
Das Computerkontokennwort ist das Kennwort von dem entsprechenden Computer-Objekt.
Was den Lösungsansatz angeht, so würde ich dir auch nichts anderes wie tomolpi empfehlen.
Das passiert bei meinen Kunden öfters, vor allem mit Geräten die meistens im Schrank liegen und nur 1-2 Mal im Jahr das Tageslicht erblicken dürfen. Wenn mich nicht alles täuscht, dann läuft das Kennwort nach 30 Tagen aus. Die Gültigkeitsdauer kannst du aber per GPO noch nachjustieren.
Siehe folgenden Artikel.
https://docs.microsoft.com/de-de/windows/security/threat-protection/secu ...
Grüsse aus BaWü
Alex
für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
Wenn du einen Rechner oder auch Server in die Domäne "hägst" dann wird für diesen im AD ein Computer-Object unter "Computers" angelegt.
Das Computerkontokennwort ist das Kennwort von dem entsprechenden Computer-Objekt.
Was den Lösungsansatz angeht, so würde ich dir auch nichts anderes wie tomolpi empfehlen.
Das passiert bei meinen Kunden öfters, vor allem mit Geräten die meistens im Schrank liegen und nur 1-2 Mal im Jahr das Tageslicht erblicken dürfen. Wenn mich nicht alles täuscht, dann läuft das Kennwort nach 30 Tagen aus. Die Gültigkeitsdauer kannst du aber per GPO noch nachjustieren.
Siehe folgenden Artikel.
https://docs.microsoft.com/de-de/windows/security/threat-protection/secu ...
Grüsse aus BaWü
Alex
2Zitat von @MysticFoxDE:
Danke,für mein Verständnis: Was meinst du mit dem "abgelaufenes Computerkontokennwort"?
hier wollte ich nur wissen ob chgorges ebenso das gleiche meint. Mit dem lokalen Admin konnte ich mich ja verbinden, hatte dann einfach mal nur einen Domänennamen geändert; scheinbar aber zu wenig.
Was den Lösungsansatz angeht, so würde ich dir auch nichts anderes wie tomolpi empfehlen.
Also... ich jetzt schon 
StefanKittel hatte es extra groß geschrieben.
Ich komme ja nun nicht mehr auf die Kiste, vermutlich Firewall außerhalb der Domäne an.
Macht nix, dann setz ich mich halt ins Auto.
Danke für die Hilfe!
Moin nachgefragt,
musst du nicht unbedingt, lass sich jemand vertrauenswürdiges mit dem lokalen Administrator auf dem betroffenen Rechner anmelden und anschliessend einfach nur z.B. Teamviewer starten und schon kannst du auf die Kiste drauf.
Wir richten bei externen Rechner für solche Fälle immer einen lokalen Admin extra ein und setzen dann das Passwort wenn "verbraucht" einfach wieder neu, nachdem das Problem behoben wurde.
Gruss Alex
Macht nix, dann setz ich mich halt ins Auto.
musst du nicht unbedingt, lass sich jemand vertrauenswürdiges mit dem lokalen Administrator auf dem betroffenen Rechner anmelden und anschliessend einfach nur z.B. Teamviewer starten und schon kannst du auf die Kiste drauf.
Wir richten bei externen Rechner für solche Fälle immer einen lokalen Admin extra ein und setzen dann das Passwort wenn "verbraucht" einfach wieder neu, nachdem das Problem behoben wurde.
Gruss Alex
1
richten... einen lokalen Admin extra ein
Danke, das wäre eine Option wenn sich das Thema häufiger aufzeigt.
Moin,
Wozu ein lokaler Admin? Ein einfacher User reicht. Die Rechte hole ich mir dann schon, wenn ich remote auf der Kiste bin.
Liebe Grüße
Erik
Zitat von @MysticFoxDE:
musst du nicht unbedingt, lass sich jemand vertrauenswürdiges mit dem lokalen Administrator auf dem betroffenen Rechner anmelden und anschliessend einfach nur z.B. Teamviewer starten und schon kannst du auf die Kiste drauf.
musst du nicht unbedingt, lass sich jemand vertrauenswürdiges mit dem lokalen Administrator auf dem betroffenen Rechner anmelden und anschliessend einfach nur z.B. Teamviewer starten und schon kannst du auf die Kiste drauf.
Wozu ein lokaler Admin? Ein einfacher User reicht. Die Rechte hole ich mir dann schon, wenn ich remote auf der Kiste bin.
Liebe Grüße
Erik
Moin Erik,
Vorsorge ist besser als Nachsorge. 😉
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können. Ausser, dies wurde vorher geplant und berücksichtigt und das entsprechende in der Firma eingesetzte Tool ist explizit freigegeben. Bei allem Anderen würde ich das Sicherheitskonzept des entsprechenden Unternehmens leicht anzweifeln und den Verantwortlichen bitten sich unter anderem auch mal mit seinem DSBler zu unterhalten.
Grüsse aus BaWü
Alex
Wozu ein lokaler Admin? Ein einfacher User reicht. Die Rechte hole ich mir dann schon, wenn ich remote auf der Kiste bin.
Vorsorge ist besser als Nachsorge. 😉
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können. Ausser, dies wurde vorher geplant und berücksichtigt und das entsprechende in der Firma eingesetzte Tool ist explizit freigegeben. Bei allem Anderen würde ich das Sicherheitskonzept des entsprechenden Unternehmens leicht anzweifeln und den Verantwortlichen bitten sich unter anderem auch mal mit seinem DSBler zu unterhalten.
Grüsse aus BaWü
Alex
Moin,
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Liebe Grüße
Erik
Zitat von @MysticFoxDE:
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Liebe Grüße
Erik
Zitat von @erikro:
Moin,
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Moin,
Zitat von @MysticFoxDE:
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Dann umdenken, MysticFox ist auf der richtigen Spur, >msra.exe /offerra< mehr braucht es nicht.
Zitat von @chgorges:
Dann umdenken, MysticFox ist auf der richtigen Spur, >msra.exe /offerra< mehr braucht es nicht.
Zitat von @erikro:
Moin,
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Moin,
Zitat von @MysticFoxDE:
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Wenn der Unternehmens-PC & Co auf den man drauf möchte, sicherheitstechnisch richtig eingerichtet ist, dann sollte der User von alleine kein Fernwartungstools starten können.
Na wenn das so wäre, könnte ich nicht arbeiten oder bräuchte einen Diensthubschrauber. Fernwartung ist bei uns tägliches Geschäft.
Dann umdenken, MysticFox ist auf der richtigen Spur, >msra.exe /offerra< mehr braucht es nicht.
Aha. Und wie machst Du das, wenn der Rechner nicht in Deinem Netz und auch kein VPN-Tunnel vorhanden ist?
