Vertrauenstellung Computerkonto verloren
Hi zusammen,
ich habe einen sehr seltsamen Fehler und bevor ich nach viel Versuch&Fehler den Rechner neu aufsetze, dachte ich, ich frage mal nach, ob jemand hier noch eine Idee hat, wie man das ohne Neuinstallation hinbekommt.
Ausgangslage: Unbeabsichtigterweise wurde in eine Domäne ein zweiter Laptop mit dem selben Namen hinzugefügt. Das fiel zunächst nicht auf, bis der zunächst hinzugefügte, plötzlich über VPN nicht mehr auf die Netzlaufwerke zugreifen konnte (Name nicht verfügbar). Zunächst wurden andere Fehlerquellen gesucht und es wurde herausgefunden, dass in dem Virtuellen Netzwerkadapter ein falscher DNS eingetragen war. Nach löschen dieses ging es erstmal für eine Woche wieder.
Jetzt kann der Rechner aber konstant, wenn über VPN verbunden , nicht mehr auf die NEtzlaufwerke zugreifen unabhängig vom Benutzer.
Folgende Schritte wurden zunächst unternommen:
Erst der "Problem-"Rechner wurde aus der Domäne entfernt, umbenannt und wieder in die DOmäne geholt. => Kein Unterschied (SID hat sich geändert)
Dann wurden beide Rechner aus der Domäne entfernt, umbenannt und wieder in die Domäne geholt. => Kein Unterschied (SID haben sich geändert)
Beide Rechner finden sich im AD wieder, werden also hinzugefügt. Mir ist aber aufgefallen, dass ich den Problemrechner nur über die Computerdomäne "Firma.local" nicht über "Firma" hinzufügen kann. Bei "Firma" als Computerdomäne kommt eine Fehlermeldung, dass der DNS nicht vorhanden ist obwohl er einen korrekten DNS unten anzeigt. Alle anderen Rechner lassen sich über die Computerdomäne "Firma" hinzufügen.
Nachdem das neu hinzufügen keinen Unterschied gemacht hat, habe ich beschlossen tiefer in der Ereignisanzeige zu suchen: Dort gibt es die Fehlermeldung "Netlogon ID 3210"
"This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests.
This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator."
Daraufhin habe ich mit Test-ComputerSecureChannel in der Powershell herausgefunden, dass keine Vertrauensstellung zwischen Rechner und Domäne besteht, wenn die Verbindung über VPN erfolgt (Es gibt aber eine Vertrauensstellung wenn im lokalen Netzwerk). Jegliche Reperaturversuche über "Test-ComputerSecureChannel -repair" (mit entsprechenden Logindaten, oder Reset-ComputerMachinePassword schlagen ohne Fehlermeldung fehl. AUch ein Zurücksetzen des COmputerkontos auf dem zweiten DC hat nichts gebracht.
Ich habe jetzt noch versucht mit sfc /scannow und dism Fehler im System zu beheben, aber auch das hat auch nichts gebracht.
ipconfig /all zeigt mir den richtigen DNS an
ipconfig /displaydns zeigt auch alle für unser internes Netzwerk relevanten DNS-Einträge an
nslookup funktioniert auch soweit
ping geht sowohl DC.Firma.local als auch auf die IP Adresse
Die Rechner werden alle über einen DHCP versorgt. Das geht auch und weist korrekt zu.
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Ich bin ehrlicherweise recht ratlos, was ich noch probieren kann, damit dem Computerkonto wieder in der Domäne vertraut wird.
Notfalls werde ich den Rechner komplett neu installieren, aber das würde ich gerne vermeiden, wenn es geht.
Vielen Dank!
Jens
ich habe einen sehr seltsamen Fehler und bevor ich nach viel Versuch&Fehler den Rechner neu aufsetze, dachte ich, ich frage mal nach, ob jemand hier noch eine Idee hat, wie man das ohne Neuinstallation hinbekommt.
Ausgangslage: Unbeabsichtigterweise wurde in eine Domäne ein zweiter Laptop mit dem selben Namen hinzugefügt. Das fiel zunächst nicht auf, bis der zunächst hinzugefügte, plötzlich über VPN nicht mehr auf die Netzlaufwerke zugreifen konnte (Name nicht verfügbar). Zunächst wurden andere Fehlerquellen gesucht und es wurde herausgefunden, dass in dem Virtuellen Netzwerkadapter ein falscher DNS eingetragen war. Nach löschen dieses ging es erstmal für eine Woche wieder.
Jetzt kann der Rechner aber konstant, wenn über VPN verbunden , nicht mehr auf die NEtzlaufwerke zugreifen unabhängig vom Benutzer.
Folgende Schritte wurden zunächst unternommen:
Erst der "Problem-"Rechner wurde aus der Domäne entfernt, umbenannt und wieder in die DOmäne geholt. => Kein Unterschied (SID hat sich geändert)
Dann wurden beide Rechner aus der Domäne entfernt, umbenannt und wieder in die Domäne geholt. => Kein Unterschied (SID haben sich geändert)
Beide Rechner finden sich im AD wieder, werden also hinzugefügt. Mir ist aber aufgefallen, dass ich den Problemrechner nur über die Computerdomäne "Firma.local" nicht über "Firma" hinzufügen kann. Bei "Firma" als Computerdomäne kommt eine Fehlermeldung, dass der DNS nicht vorhanden ist obwohl er einen korrekten DNS unten anzeigt. Alle anderen Rechner lassen sich über die Computerdomäne "Firma" hinzufügen.
Nachdem das neu hinzufügen keinen Unterschied gemacht hat, habe ich beschlossen tiefer in der Ereignisanzeige zu suchen: Dort gibt es die Fehlermeldung "Netlogon ID 3210"
"This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests.
This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator."
Daraufhin habe ich mit Test-ComputerSecureChannel in der Powershell herausgefunden, dass keine Vertrauensstellung zwischen Rechner und Domäne besteht, wenn die Verbindung über VPN erfolgt (Es gibt aber eine Vertrauensstellung wenn im lokalen Netzwerk). Jegliche Reperaturversuche über "Test-ComputerSecureChannel -repair" (mit entsprechenden Logindaten, oder Reset-ComputerMachinePassword schlagen ohne Fehlermeldung fehl. AUch ein Zurücksetzen des COmputerkontos auf dem zweiten DC hat nichts gebracht.
Ich habe jetzt noch versucht mit sfc /scannow und dism Fehler im System zu beheben, aber auch das hat auch nichts gebracht.
ipconfig /all zeigt mir den richtigen DNS an
ipconfig /displaydns zeigt auch alle für unser internes Netzwerk relevanten DNS-Einträge an
nslookup funktioniert auch soweit
ping geht sowohl DC.Firma.local als auch auf die IP Adresse
Die Rechner werden alle über einen DHCP versorgt. Das geht auch und weist korrekt zu.
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Ich bin ehrlicherweise recht ratlos, was ich noch probieren kann, damit dem Computerkonto wieder in der Domäne vertraut wird.
Notfalls werde ich den Rechner komplett neu installieren, aber das würde ich gerne vermeiden, wenn es geht.
Vielen Dank!
Jens
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32983441148
Url: https://administrator.de/forum/vertrauenstellung-computerkonto-verloren-32983441148.html
Ausgedruckt am: 26.12.2024 um 14:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
das Computerkonto ist nicht zufällig deaktiviert?
Ansonsten lies mal https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderun ...
Grüße
lcer
das Computerkonto ist nicht zufällig deaktiviert?
Ansonsten lies mal https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderun ...
Grüße
lcer
Hallo,
hattest Du mal versucht, den Rechner mit einem anderen Namen in die Domäne zu nehmen?
Und hattest Du meine Link oben gelesen? https://support.microsoft.com/de-de/topic/kb5020276-netjoin-%C3%A4nderun ...
Grüße
lcer
hattest Du mal versucht, den Rechner mit einem anderen Namen in die Domäne zu nehmen?
Und hattest Du meine Link oben gelesen? https://support.microsoft.com/de-de/topic/kb5020276-netjoin-%C3%A4nderun ...
Grüße
lcer
Zitat von @JensBa:
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.
Im Notfall könntest du beide Rechner
- nochmal aus der Domäne werfen
- Computerobject recursiv löschen (Frage ob Subs auch gelöscht werden sollen mit JA bestätigen)
- Beide Rechner umbenennen
- Nach dem Neustart die interne SSID ändern
- Wieder in die Domäne joinen
Gutes Gelingen!
nächster Versuch:
Hast Du vielleicht den AD-Papierkorb aktiviert? https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-star ... Gelöscht wäre dann nicht gleich gelöscht
Grüße
lcer
Hast Du vielleicht den AD-Papierkorb aktiviert? https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-star ... Gelöscht wäre dann nicht gleich gelöscht
Grüße
lcer
Moin,
Das scheint mir der entscheidende Hinweis zu sein. Lokal geht und VPN nicht deutet auf ein Problem mit dem Tunnel hin. Schau mal auf der Firewall, ob es dort einen Eintrag für den Rechner gibt und lösche den. Dann würde ich einfach mal alles auf dem Laptop, was mit VPN zu tun hat, runterwerfen und frisch machen. Evtl. ist hier noch ein Rest vorhanden.
hth
Erik
Zitat von @JensBa:
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Das scheint mir der entscheidende Hinweis zu sein. Lokal geht und VPN nicht deutet auf ein Problem mit dem Tunnel hin. Schau mal auf der Firewall, ob es dort einen Eintrag für den Rechner gibt und lösche den. Dann würde ich einfach mal alles auf dem Laptop, was mit VPN zu tun hat, runterwerfen und frisch machen. Evtl. ist hier noch ein Rest vorhanden.
hth
Erik