pibaer
Goto Top

Server und VMs(Server) : Authentifizierung schlägt fehl: keine Autorität erreichbar

Liebe Leute -


hoff in diesem Forum Rat zu finden ..

Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen; eine davon ist der (einzige) DC dieser Domäne.
Nach einem Sicherheitsupdate am 12.8 am DC können Gruppenrichtlinien nicht mehr ausgeführt werden , auch VEEAM Backup klappt nicht mehr (Task failed. Error: Für die Authentifizierung war keine Autorität erreichbar.)
Alle Server sind Server2019


Am FS und auch den anderen virtualisierte Servern hab ich jetzt diese Meldungen:

GPupdate /force bringt diese Meldung:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".



weiters kommen im Eventlog (System) die Warnung:

LSA (LsaSrv) ID40961

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/DC/xxx.LOCAL@xxx.LOCAL herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

und:

Dieser Computer konnte sich nicht mit \\DC.xxx.local, einem Windows-Domänencontroller für Domäne xxx, authentifizieren. Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen. Die Ursache hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen, oder das Kennwort für dieses Computerkonto wird nicht erkannt. Wenn Sie diese Meldung nochmals erhalten, sollten Sie sich an den Systemadministrator wenden.



Mit DCdiag kommt kein Fehler des DCs, nslookup klappt nach allen Richtungen - und mit Google werd ich net schlau weil ich leider bei Authentifizierung & AD ein Nackerpatzl bin..


Das einzig gute: ich hab ein paar Tage Zeit , weil die Firma Urlaub hat... face-smile


Eine Idee WO ich ansetzen kann ? WAS ich tun kann ?

Danke für jede Anregung!


Benedikt

Content-ID: 598944

Url: https://administrator.de/forum/server-und-vmsserver-authentifizierung-schlaegt-fehl-keine-autoritaet-erreichbar-598944.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

Dr.Bit
Dr.Bit 25.08.2020 um 14:28:26 Uhr
Goto Top
Zitat von @piBaer:

ein Nackerpatzl bin..


Watt bist Du für´n Ding?

🖖
DerWoWusste
DerWoWusste 25.08.2020 aktualisiert um 14:44:10 Uhr
Goto Top
Prüfe an allen Nicht-DCs (Clients wie Servers, die betroffen sind):

  • ist die IP des DCs noch als erster DNS-Server eingetragen?
  • Sind folgenden Ports des DCs erreichbar (test mittels telnet dcname portnummer): 53, 88, 445, 389, 636
Dr.Bit
Dr.Bit 25.08.2020 um 14:48:38 Uhr
Goto Top
Firewallregeln schon kontrolliert?

🖖
piBaer
piBaer 25.08.2020 um 14:51:56 Uhr
Goto Top
jaja - das is tiefösterreichisch - und meint sowas wie : wenig informiert face-smile)
piBaer
piBaer 25.08.2020 um 14:53:19 Uhr
Goto Top
ja, das passt alles; die Firewalls der Server sind deaktiviert
piBaer
piBaer 25.08.2020 um 14:54:28 Uhr
Goto Top
FW ist deaktiviert
DerWoWusste
DerWoWusste 25.08.2020 um 14:55:58 Uhr
Goto Top
Wie hast Du es denn kontrolliert, das alles passt? Wirklich telnet genutzt?
Auch die Ansage dcdiag liefere keine Fehler (nicht mal Eventlogfehler) ist eher nicht zu erwarten.
piBaer
piBaer 25.08.2020 um 15:04:46 Uhr
Goto Top
telnet:
nö, kann ich aber noch machen ( bis heut abend is das System aber offline)
nur ohne FW ? brauchts da noch den Test der Ports?

dadiag:
vielleicht nicht mit den richtigen Parametern aufgerufen?
Das steht am Ende:

Zusammenfassung der DNS-Testergebnisse:


Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw.
_________________________________________________________________
Dom„ne: xxx.local

DC01 PASS PASS PASS PASS PASS PASS n/a

.........................xxx.local hat den Test DNS bestanden.
DerWoWusste
DerWoWusste 25.08.2020 um 15:11:07 Uhr
Goto Top
brauchts da noch den Test der Ports?
Ja natürlich.

A steht zwischen den Clients und dem DC noch ein Router, der eventuell filtert
B ist doch gar nicht gesagt, dass der DC auf diesen überhaupt korrekt lauscht
piBaer
piBaer 25.08.2020 um 15:35:05 Uhr
Goto Top
OK, ich test das mal -
Allerdings gehts in meiner Konfiguration um einen Host , auf dem 3 VM Server laufen. kein Router dazwischen und mit nslookup wird der DC gefunden; auch reverse..
piBaer
piBaer 25.08.2020 um 15:47:03 Uhr
Goto Top
(System is wieder ON)
mit telnet getestet, alle Ports offen
DerWoWusste
Lösung DerWoWusste 25.08.2020 um 16:00:53 Uhr
Goto Top
Weiterer Test: starte auf einem Problemclient einmal ADExplorer von https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer und verbinde dich anonym (nur ok drücken) - was sagt der, oder zeigt er die AD-Struktur problemlos an?
Ex0r2k16
Lösung Ex0r2k16 25.08.2020 aktualisiert um 16:20:30 Uhr
Goto Top
und guck zusätzlich zu @DerWoWusste mal ob du über den UNC Pfad auf das Sysvol kommst:

\\domain.local\sysvol

Falls nein, wäre der Fehler interessant. Wiederhole das mit dem gleichen Pfad auch nochmal am DC selbst.

/Edit: Auf dem DC musst du auch in die ganzen AD/DNS/DFSR Logs schauen. Nicht nur in die Systemlogs.
piBaer
piBaer 25.08.2020 um 17:10:56 Uhr
Goto Top
Danke für Eure Unterstützung @ @DerWoWusste und @Ex0r2k16!
Es geht wieder nach dem xten Neustart (wie gesagt, System wird gesiedelt..)

Ich hab ein SicherheitsUpdate vom 12.8 (KB4566424) in Verdacht - da fing der Zirkus an.

Jetzt klappts wieder - was mich halbfroh macht ; ich weiuss noch immer net was genau nicht richtig gelaufen ist.... face-sad

Aber für jetzt passt mal, jetzt wird der Serverschrank mal neu hochgezogen und alles hübsch verkabelt

Danke nochmal fürs mitdenken und die Tipps !!

Benedikt
em-pie
em-pie 25.08.2020 um 20:14:58 Uhr
Goto Top
Moin,

gut, dass es wieder rennt.

Ich weiss, das DCs mit zu großen Zeitversätzen Probleme haben.
Prüfe ich Nachgang mal über das Eventlog, ob sich die Zeit aktualisiert hat und wenn ja um wieviele Sekunden/ Minuten/ Stunden.

Ggf. was das auch schon das Problem...

Gruß
em-pie
piBaer
piBaer 26.08.2020 um 22:16:43 Uhr
Goto Top
ja, das mach ich noch - hab net gewusst das die Zeitkorrektur ins Eventlog schreibt!
Danke
nachgefragt
nachgefragt 26.08.2020 um 22:26:33 Uhr
Goto Top
Zitat von @piBaer:
Ich hab bei einen Kunden auf einer physischen Maschine als Fileserver FS und Hyper-V-Host auf dem 3 VMs laufen
Alle Server sind Server2019
Guten Abend,
betrifft dies die Windows Server 2019 Standard Edition?
piBaer
piBaer 26.08.2020 um 22:41:11 Uhr
Goto Top
Ja, alle 4 sind WS2019 Standard
Dr.Bit
Dr.Bit 27.08.2020 um 10:00:00 Uhr
Goto Top
Zitat von @piBaer:

Ja, alle 4 sind WS2019 Standard

Dann überprüfe mal Deine Lizenzen und ob Du das so überhaupt darfst. Siehe diese Diskussion: Lizenzierung Windows Server 2019 Standard - 1x Host und 2x VM

🖖
piBaer
piBaer 27.08.2020 um 11:16:22 Uhr
Goto Top
Wieder was dazugelernt..

Ich nehm's mal so zur Kenntnis - die Sinnhaftigkeit dieser Lizenzpolitik lass ich mal aussen vor
Bei den 2 erworbenen Lizenzen , die 2 x phys. + 4 xVM erlauben sollte eigentlich 1xphys +3xVM gedeckt sein....


Benedikt