d3x1984
Goto Top

SRV2012R Domänenbeitritt: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer

Hi zusammen,
wegen diverser Probleme wolle ich heute einen SRV 2012 R2 (kein DC) aus der domäne nehmen.
Ich habe ihn ganz normal aus der domäne genommen und dann neugestartet.
Wenn ich nun versuche ihn wieder in die Domäne aufzunehmen kommt die fehlermeldung:

"Bei dem Versuch der Domäne xyz.local Beizutreten trat folgender Fehler auf:
Anmeldung Fehlgeschlagen: Der Benutzer besitzt nicht den benötigten anmeldetyp auf diesem Computer"

Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.


Hat jemand einen schimmer was hier vorgeht?

ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg

In den Protokollen (Sicherheit) kann ich folgende drei ereignisse sehen:


Nummer1 mit ID 4672:

Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

- EventData

SubjectUserSid S-1-5-18
SubjectUserName SRV2012$
SubjectDomainName INTERN
SubjectLogonId 0x128b78
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege


Nummer2 ( ID 4624):
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Identitätswechselebene: Identitätswechsel

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmelde-GUID: {5a4b6fd1-7d93-5a7b-4814-eb075ca527f9}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 63589

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld "Identitätswechselebene" gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.


- EventData

SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {5A4B6FD1-7D93-5A7B-4814-EB075CA527F9}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress ::1
IpPort 63589
ImpersonationLevel %%1833


Un hier nummer 3 mit ID 4634

Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.

EventData

TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3

Content-ID: 249946

Url: https://administrator.de/forum/srv2012r-domaenenbeitritt-der-benutzer-besitzt-nicht-den-benoetigten-anmeldetyp-auf-diesem-computer-249946.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

Dani
Dani 23.09.2014 um 17:03:06 Uhr
Goto Top
Moin,
Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.
Welchen? Den Domänen-admin oder den Lokalen? Einfach die Domäne voran stellen: test.local\administrator.

ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg
Hoffentlich nicht auf dem Domain Controller sondern auf dem betroffenen Server. Wobei das nicht die Ursache sein kann.

Was laufen/liefen denn für Serverrollen auf dem Server?


Gruß,
Dani
DerWoWusste
Lösung DerWoWusste 23.09.2014, aktualisiert am 24.09.2014 um 09:28:42 Uhr
Goto Top
Hi.

Du hast doch eine Fehlermeldung. Was sagen denn die lokalen Sicherheitsrichtlinien dazu? Wer ist denn interaktiv anmeldeberechtigt? Sollte sein:
Admins
Benutzer
Gast
Sicherungs-Operatoren
und bei Deny Logon locally sollte auch keine Gruppe explizit ausgeschlossen sein.

Zudem wirst Du mit Sicherheit bei Google schnell Leidensgenossen finden, wenn Du nach der Meldung googelst. Und wo Leidensgenossen, ist eine Lösung nicht weit.
d3x1984
d3x1984 24.09.2014 aktualisiert um 09:42:11 Uhr
Goto Top
Ich habe mich schon tot gegoogelt und keine Lösung gefunden.
An den Anmeldeberechtigungen hatte ich bis zu der Fehlermeldung nichts geändert.
Das ist ja das seltsame.
Ich habe meine Änderungen auch wieder rückgängig gemacht.

Was die Sicherheitslogs sagen habe ich oben mit gepostet.
Das sind die 3 Vorgänge die direkt nach meinem Beitrittsversuch zur domäne entstanden sind.

Ich habe natürlich versucht mit dem domänen admin beizutreten und es funktionierte nicht.
Eingeloggt war ich natürlich als lokaler admin (was auch sonst?)

In den Lokalen Sicherheitsrichtlinien des DC Unter "Hinzufügen von Arbeitsstationen zur Domäne" stehen "Authentifizierte Benutzer"
Ist wohl der einzige Standardwert soweit ich mich entsinne? Daran kann man auch keine Änderungen vornehmen

Untern "Lokal Anmelden zulassen" stehen die Administratoren "lokal anmelden verweigern" hat keine einträge
DerWoWusste
DerWoWusste 24.09.2014 aktualisiert um 09:41:32 Uhr
Goto Top
Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich geschrieben habe? Wenn ja, und alles steht bei Dir wie bei mir, dann liegt ein Defekt vor. Eine Windowsreparatur (inplace-Upgrade) dürfte helfen.
d3x1984
d3x1984 24.09.2014 um 09:48:45 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich
geschrieben habe?

Ich sehe keine richtlinie in den lokalen Sicherheitsrichtlinien des DC die speziell auf die interaktive anmeldung abzielt (sollte doch die lokale anmeldung sein?)
DerWoWusste
DerWoWusste 24.09.2014 um 09:59:59 Uhr
Goto Top
Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.
d3x1984
d3x1984 24.09.2014 aktualisiert um 10:37:45 Uhr
Goto Top
Zitat von @DerWoWusste:

Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.

Auf dem DC steht:

Administratoren
Domänencontroller der Organisation
Druck-Operatoren
Konten-Operatoren
Server-Operatoren
Sicherungs-Operatoren

Änderungen kann ich natürlich nicht vornehmen...

Aber wie gesagt nochmal zur verdeutlichung:


Edit:

Aus den Logs:

Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Administrator
Kontodomäne: INTERN.LOCAL

Fehlerinformationen:
Fehlerursache: Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt.
Status: 0xC000015B
Unterstatus:: 0x0

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: XXX.XXX.XXX.XXX
Quellport: 49181

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.


Details:


- EventData

SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName Administrator
TargetDomainName XYZ.LOCAL
Status 0xc000015b
FailureReason %%2308
SubStatus 0x0
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName -
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress XXX.XXX.XXX.XXX
IpPort 49181


Benutzername und Kennwort habe ich jedoch korrekt angegeben
DerWoWusste
DerWoWusste 24.09.2014 um 10:32:49 Uhr
Goto Top
Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.
d3x1984
d3x1984 24.09.2014 um 11:16:11 Uhr
Goto Top
Zitat von @DerWoWusste:

Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
> Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.


Es muss am DC liegen.
Ich habe gerade in einer VM ein 2012R2 aufgesetzt gleiche IP, gleicher SRV Name und habe versucht zu joinen. Ergebniss: gleiche fehlermeldung.

Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.

Nur... Warum? und was?
DerWoWusste
DerWoWusste 24.09.2014 um 11:40:40 Uhr
Goto Top
Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.
d3x1984
d3x1984 24.09.2014 aktualisiert um 11:44:00 Uhr
Goto Top
Zitat von @DerWoWusste:

> Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
> Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.

Aber warum kann ich dann mit dem Testserver (komplett frisch installiert) nicht joinen?
Erst recht mit der gleichen Fehlermeldung?
Ich habe nur die IP Eingestellt und den SRV Namen geändert.

Der DC muss ja das joinen bzw. den Login ablehnen
DerWoWusste
DerWoWusste 24.09.2014 um 12:40:30 Uhr
Goto Top
Was der DC da tut, ist unklar. Aber ein disjoin wird am DC nichts umkonfigurieren können.
Ich würde jetzt mit DCdiag.exe am Dc weitermachen, vielleicht findet der Fehler.