20
Server und VMs(Server) : Authentifizierung schlägt fehl: keine Autorität erreichbar
Liebe Leute -
hoff in diesem Forum Rat zu finden ..
Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen; eine davon ist der (einzige) DC dieser Domäne.
Nach einem Sicherheitsupdate am 12.8 am DC können Gruppenrichtlinien nicht mehr ausgeführt werden , auch VEEAM Backup klappt nicht mehr (Task failed. Error: Für die Authentifizierung war keine Autorität erreichbar.)
Alle Server sind Server2019
Am FS und auch den anderen virtualisierte Servern hab ich jetzt diese Meldungen:
GPupdate /force bringt diese Meldung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
weiters kommen im Eventlog (System) die Warnung:
LSA (LsaSrv) ID40961
Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/DC/xxx.LOCAL@xxx.LOCAL herstellen. Es war kein Authentifizierungsprotokoll verfügbar.
und:
Dieser Computer konnte sich nicht mit \\DC.xxx.local, einem Windows-Domänencontroller für Domäne xxx, authentifizieren. Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen. Die Ursache hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen, oder das Kennwort für dieses Computerkonto wird nicht erkannt. Wenn Sie diese Meldung nochmals erhalten, sollten Sie sich an den Systemadministrator wenden.
Mit DCdiag kommt kein Fehler des DCs, nslookup klappt nach allen Richtungen - und mit Google werd ich net schlau weil ich leider bei Authentifizierung & AD ein Nackerpatzl bin..
Das einzig gute: ich hab ein paar Tage Zeit , weil die Firma Urlaub hat...
Eine Idee WO ich ansetzen kann ? WAS ich tun kann ?
Danke für jede Anregung!
Benedikt
hoff in diesem Forum Rat zu finden ..
Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen; eine davon ist der (einzige) DC dieser Domäne.
Nach einem Sicherheitsupdate am 12.8 am DC können Gruppenrichtlinien nicht mehr ausgeführt werden , auch VEEAM Backup klappt nicht mehr (Task failed. Error: Für die Authentifizierung war keine Autorität erreichbar.)
Alle Server sind Server2019
Am FS und auch den anderen virtualisierte Servern hab ich jetzt diese Meldungen:
GPupdate /force bringt diese Meldung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
weiters kommen im Eventlog (System) die Warnung:
LSA (LsaSrv) ID40961
Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/DC/xxx.LOCAL@xxx.LOCAL herstellen. Es war kein Authentifizierungsprotokoll verfügbar.
und:
Dieser Computer konnte sich nicht mit \\DC.xxx.local, einem Windows-Domänencontroller für Domäne xxx, authentifizieren. Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen. Die Ursache hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen, oder das Kennwort für dieses Computerkonto wird nicht erkannt. Wenn Sie diese Meldung nochmals erhalten, sollten Sie sich an den Systemadministrator wenden.
Mit DCdiag kommt kein Fehler des DCs, nslookup klappt nach allen Richtungen - und mit Google werd ich net schlau weil ich leider bei Authentifizierung & AD ein Nackerpatzl bin..
Das einzig gute: ich hab ein paar Tage Zeit , weil die Firma Urlaub hat...
Eine Idee WO ich ansetzen kann ? WAS ich tun kann ?
Danke für jede Anregung!
Benedikt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 598944
Url: https://administrator.de/contentid/598944
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
20 Kommentare
Neuester Kommentar
Prüfe an allen Nicht-DCs (Clients wie Servers, die betroffen sind):
- ist die IP des DCs noch als erster DNS-Server eingetragen?
- Sind folgenden Ports des DCs erreichbar (test mittels telnet dcname portnummer): 53, 88, 445, 389, 636
Firewallregeln schon kontrolliert?
🖖
🖖
jaja - das is tiefösterreichisch - und meint sowas wie : wenig informiert )
)
ja, das passt alles; die Firewalls der Server sind deaktiviert
FW ist deaktiviert
Wie hast Du es denn kontrolliert, das alles passt? Wirklich telnet genutzt?
Auch die Ansage dcdiag liefere keine Fehler (nicht mal Eventlogfehler) ist eher nicht zu erwarten.
Auch die Ansage dcdiag liefere keine Fehler (nicht mal Eventlogfehler) ist eher nicht zu erwarten.
telnet:
nö, kann ich aber noch machen ( bis heut abend is das System aber offline)
nur ohne FW ? brauchts da noch den Test der Ports?
dadiag:
vielleicht nicht mit den richtigen Parametern aufgerufen?
Das steht am Ende:
Zusammenfassung der DNS-Testergebnisse:
Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw.
_________________________________________________________________
Dom„ne: xxx.local
DC01 PASS PASS PASS PASS PASS PASS n/a
.........................xxx.local hat den Test DNS bestanden.
nö, kann ich aber noch machen ( bis heut abend is das System aber offline)
nur ohne FW ? brauchts da noch den Test der Ports?
dadiag:
vielleicht nicht mit den richtigen Parametern aufgerufen?
Das steht am Ende:
Zusammenfassung der DNS-Testergebnisse:
Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw.
_________________________________________________________________
Dom„ne: xxx.local
DC01 PASS PASS PASS PASS PASS PASS n/a
.........................xxx.local hat den Test DNS bestanden.
brauchts da noch den Test der Ports?
Ja natürlich.A steht zwischen den Clients und dem DC noch ein Router, der eventuell filtert
B ist doch gar nicht gesagt, dass der DC auf diesen überhaupt korrekt lauscht
OK, ich test das mal -
Allerdings gehts in meiner Konfiguration um einen Host , auf dem 3 VM Server laufen. kein Router dazwischen und mit nslookup wird der DC gefunden; auch reverse..
Allerdings gehts in meiner Konfiguration um einen Host , auf dem 3 VM Server laufen. kein Router dazwischen und mit nslookup wird der DC gefunden; auch reverse..
(System is wieder ON)
mit telnet getestet, alle Ports offen
mit telnet getestet, alle Ports offen
Weiterer Test: starte auf einem Problemclient einmal ADExplorer von https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer und verbinde dich anonym (nur ok drücken) - was sagt der, oder zeigt er die AD-Struktur problemlos an?
und guck zusätzlich zu @DerWoWusste mal ob du über den UNC Pfad auf das Sysvol kommst:
\\domain.local\sysvol
Falls nein, wäre der Fehler interessant. Wiederhole das mit dem gleichen Pfad auch nochmal am DC selbst.
/Edit: Auf dem DC musst du auch in die ganzen AD/DNS/DFSR Logs schauen. Nicht nur in die Systemlogs.
\\domain.local\sysvol
Falls nein, wäre der Fehler interessant. Wiederhole das mit dem gleichen Pfad auch nochmal am DC selbst.
/Edit: Auf dem DC musst du auch in die ganzen AD/DNS/DFSR Logs schauen. Nicht nur in die Systemlogs.
Danke für Eure Unterstützung @ @DerWoWusste und @Ex0r2k16!
Es geht wieder nach dem xten Neustart (wie gesagt, System wird gesiedelt..)
Ich hab ein SicherheitsUpdate vom 12.8 (KB4566424) in Verdacht - da fing der Zirkus an.
Jetzt klappts wieder - was mich halbfroh macht ; ich weiuss noch immer net was genau nicht richtig gelaufen ist....
Aber für jetzt passt mal, jetzt wird der Serverschrank mal neu hochgezogen und alles hübsch verkabelt
Danke nochmal fürs mitdenken und die Tipps !!
Benedikt
Es geht wieder nach dem xten Neustart (wie gesagt, System wird gesiedelt..)
Ich hab ein SicherheitsUpdate vom 12.8 (KB4566424) in Verdacht - da fing der Zirkus an.
Jetzt klappts wieder - was mich halbfroh macht ; ich weiuss noch immer net was genau nicht richtig gelaufen ist....
Aber für jetzt passt mal, jetzt wird der Serverschrank mal neu hochgezogen und alles hübsch verkabelt
Danke nochmal fürs mitdenken und die Tipps !!
Benedikt
1
Moin,
gut, dass es wieder rennt.
Ich weiss, das DCs mit zu großen Zeitversätzen Probleme haben.
Prüfe ich Nachgang mal über das Eventlog, ob sich die Zeit aktualisiert hat und wenn ja um wieviele Sekunden/ Minuten/ Stunden.
Ggf. was das auch schon das Problem...
Gruß
em-pie
gut, dass es wieder rennt.
Ich weiss, das DCs mit zu großen Zeitversätzen Probleme haben.
Prüfe ich Nachgang mal über das Eventlog, ob sich die Zeit aktualisiert hat und wenn ja um wieviele Sekunden/ Minuten/ Stunden.
Ggf. was das auch schon das Problem...
Gruß
em-pie
ja, das mach ich noch - hab net gewusst das die Zeitkorrektur ins Eventlog schreibt!
Danke
Danke
Zitat von @piBaer:
Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen
Alle Server sind Server2019
Guten Abend,Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen
Alle Server sind Server2019
betrifft dies die Windows Server 2019 Standard Edition?
Ja, alle 4 sind WS2019 Standard
Dann überprüfe mal Deine Lizenzen und ob Du das so überhaupt darfst. Siehe diese Diskussion: Lizenzierung Windows Server 2019 Standard - 1x Host und 2x VM
🖖
🖖
Wieder was dazugelernt..
Ich nehm's mal so zur Kenntnis - die Sinnhaftigkeit dieser Lizenzpolitik lass ich mal aussen vor
Bei den 2 erworbenen Lizenzen , die 2 x phys. + 4 xVM erlauben sollte eigentlich 1xphys +3xVM gedeckt sein....
Benedikt
Ich nehm's mal so zur Kenntnis - die Sinnhaftigkeit dieser Lizenzpolitik lass ich mal aussen vor
Bei den 2 erworbenen Lizenzen , die 2 x phys. + 4 xVM erlauben sollte eigentlich 1xphys +3xVM gedeckt sein....
Benedikt
