jensba
Goto Top

Vertrauenstellung Computerkonto verloren

Hi zusammen,

ich habe einen sehr seltsamen Fehler und bevor ich nach viel Versuch&Fehler den Rechner neu aufsetze, dachte ich, ich frage mal nach, ob jemand hier noch eine Idee hat, wie man das ohne Neuinstallation hinbekommt.

Ausgangslage: Unbeabsichtigterweise wurde in eine Domäne ein zweiter Laptop mit dem selben Namen hinzugefügt. Das fiel zunächst nicht auf, bis der zunächst hinzugefügte, plötzlich über VPN nicht mehr auf die Netzlaufwerke zugreifen konnte (Name nicht verfügbar). Zunächst wurden andere Fehlerquellen gesucht und es wurde herausgefunden, dass in dem Virtuellen Netzwerkadapter ein falscher DNS eingetragen war. Nach löschen dieses ging es erstmal für eine Woche wieder.

Jetzt kann der Rechner aber konstant, wenn über VPN verbunden , nicht mehr auf die NEtzlaufwerke zugreifen unabhängig vom Benutzer.

Folgende Schritte wurden zunächst unternommen:
Erst der "Problem-"Rechner wurde aus der Domäne entfernt, umbenannt und wieder in die DOmäne geholt. => Kein Unterschied (SID hat sich geändert)
Dann wurden beide Rechner aus der Domäne entfernt, umbenannt und wieder in die Domäne geholt. => Kein Unterschied (SID haben sich geändert)

Beide Rechner finden sich im AD wieder, werden also hinzugefügt. Mir ist aber aufgefallen, dass ich den Problemrechner nur über die Computerdomäne "Firma.local" nicht über "Firma" hinzufügen kann. Bei "Firma" als Computerdomäne kommt eine Fehlermeldung, dass der DNS nicht vorhanden ist obwohl er einen korrekten DNS unten anzeigt. Alle anderen Rechner lassen sich über die Computerdomäne "Firma" hinzufügen.

Nachdem das neu hinzufügen keinen Unterschied gemacht hat, habe ich beschlossen tiefer in der Ereignisanzeige zu suchen: Dort gibt es die Fehlermeldung "Netlogon ID 3210"
"This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests.

This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator."

Daraufhin habe ich mit Test-ComputerSecureChannel in der Powershell herausgefunden, dass keine Vertrauensstellung zwischen Rechner und Domäne besteht, wenn die Verbindung über VPN erfolgt (Es gibt aber eine Vertrauensstellung wenn im lokalen Netzwerk). Jegliche Reperaturversuche über "Test-ComputerSecureChannel -repair" (mit entsprechenden Logindaten, oder Reset-ComputerMachinePassword schlagen ohne Fehlermeldung fehl. AUch ein Zurücksetzen des COmputerkontos auf dem zweiten DC hat nichts gebracht.

Ich habe jetzt noch versucht mit sfc /scannow und dism Fehler im System zu beheben, aber auch das hat auch nichts gebracht.

ipconfig /all zeigt mir den richtigen DNS an
ipconfig /displaydns zeigt auch alle für unser internes Netzwerk relevanten DNS-Einträge an

nslookup funktioniert auch soweit
ping geht sowohl DC.Firma.local als auch auf die IP Adresse

Die Rechner werden alle über einen DHCP versorgt. Das geht auch und weist korrekt zu.

Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.

Ich bin ehrlicherweise recht ratlos, was ich noch probieren kann, damit dem Computerkonto wieder in der Domäne vertraut wird.

Notfalls werde ich den Rechner komplett neu installieren, aber das würde ich gerne vermeiden, wenn es geht.

Vielen Dank!

Jens

Content-ID: 32983441148

Url: https://administrator.de/forum/vertrauenstellung-computerkonto-verloren-32983441148.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

lcer00
lcer00 15.09.2023 um 15:27:31 Uhr
Goto Top
Hallo,

das Computerkonto ist nicht zufällig deaktiviert?

Ansonsten lies mal https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderun ...

Grüße

lcer
Cleanairs
Cleanairs 15.09.2023 aktualisiert um 15:28:52 Uhr
Goto Top
Hi.

Was ergibt denn
Get-ADComputer <ComputerName> -Properties dNSHostName,OperatingSystem,OperatingSystemVersion 
im Bereich dNSHostName? Wenn du im Abschnitt dNSHostName einen anderen DNS-Eintrag siehst als den, der auf dem Computer konfiguriert ist, ist das Computerkonto in der Domäne beschädigt.
JensBa
JensBa 15.09.2023 um 15:51:39 Uhr
Goto Top
Hi, danke für die Schnellen Antworten.

Das Computerkonto ist nicht deaktiviert. Es wird auch ein neues angelegt, wenn ich mit neuem Computernamen verbinde.
get ad-computer
Der DNSHostname ist bei dem Problem-Rechner der gleiche, wie bei anderen Rechnern der DOmäne
Grüße

Jens
Cleanairs
Cleanairs 15.09.2023 um 16:08:07 Uhr
Goto Top
Hm. Sonst führe doch Systemwiederherstellung auf dem Problemrechner aus, um den Computer auf einen früheren Zeitpunkt vor dem Auftreten des Problems zurückzusetzen?
mayho33
mayho33 15.09.2023 um 18:21:22 Uhr
Goto Top
Hi,

Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...
JensBa
JensBa 18.09.2023 um 09:29:46 Uhr
Goto Top
Zitat von @mayho33:

Hi,

Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...

Auch das habe ich schon gemacht, hat nichts gebracht.

Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
lcer00
lcer00 18.09.2023 um 09:58:11 Uhr
Goto Top
Hallo,

hattest Du mal versucht, den Rechner mit einem anderen Namen in die Domäne zu nehmen?

Und hattest Du meine Link oben gelesen? https://support.microsoft.com/de-de/topic/kb5020276-netjoin-%C3%A4nderun ...

Grüße

lcer
mayho33
mayho33 18.09.2023 um 10:05:41 Uhr
Goto Top
Zitat von @JensBa:
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe

Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.

Im Notfall könntest du beide Rechner
  • nochmal aus der Domäne werfen
  • Computerobject recursiv löschen (Frage ob Subs auch gelöscht werden sollen mit JA bestätigen)
  • Beide Rechner umbenennen
  • Nach dem Neustart die interne SSID ändern
  • Wieder in die Domäne joinen

Gutes Gelingen!
JensBa
JensBa 18.09.2023 um 10:07:52 Uhr
Goto Top
Ja umbenannt hatte ich. Den Link habe ich gelesen, aber ich glaube nicht, dass mich das betrifft, wenn ich es richtig verstehe.
mayho33
mayho33 18.09.2023 um 10:17:55 Uhr
Goto Top
DNS, DHCP auch nachgeschaut?
JensBa
JensBa 18.09.2023 um 10:31:17 Uhr
Goto Top
Zitat von @mayho33:

DNS, DHCP auch nachgeschaut?

Ja, da ist nur ein Eintrag drinnen und keine doppelten Ips
JensBa
JensBa 18.09.2023 um 10:32:57 Uhr
Goto Top
Zitat von @mayho33:

Zitat von @JensBa:
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe

Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.

Da sind keine (mehr) drinnen, soweit ich erkennen kann.


Im Notfall könntest du beide Rechner
  • nochmal aus der Domäne werfen
  • Computerobject recursiv löschen (Frage ob Subs auch gelöscht werden sollen mit JA bestätigen)
  • Beide Rechner umbenennen
  • Nach dem Neustart die interne SSID ändern
  • Wieder in die Domäne joinen

Gutes Gelingen!

Ich schau mal ob das was bringt ;)

Danke auf jeden Fall für alle Vorschläge schonmal!
lcer00
lcer00 18.09.2023 um 10:39:13 Uhr
Goto Top
nächster Versuch:

Hast Du vielleicht den AD-Papierkorb aktiviert? https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-star ... Gelöscht wäre dann nicht gleich gelöscht

Grüße

lcer
erikro
erikro 18.09.2023 um 10:46:28 Uhr
Goto Top
Moin,

Zitat von @JensBa:

Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.

Das scheint mir der entscheidende Hinweis zu sein. Lokal geht und VPN nicht deutet auf ein Problem mit dem Tunnel hin. Schau mal auf der Firewall, ob es dort einen Eintrag für den Rechner gibt und lösche den. Dann würde ich einfach mal alles auf dem Laptop, was mit VPN zu tun hat, runterwerfen und frisch machen. Evtl. ist hier noch ein Rest vorhanden.

hth

Erik