14
Vertrauenstellung Computerkonto verloren
Hi zusammen,
ich habe einen sehr seltsamen Fehler und bevor ich nach viel Versuch&Fehler den Rechner neu aufsetze, dachte ich, ich frage mal nach, ob jemand hier noch eine Idee hat, wie man das ohne Neuinstallation hinbekommt.
Ausgangslage: Unbeabsichtigterweise wurde in eine Domäne ein zweiter Laptop mit dem selben Namen hinzugefügt. Das fiel zunächst nicht auf, bis der zunächst hinzugefügte, plötzlich über VPN nicht mehr auf die Netzlaufwerke zugreifen konnte (Name nicht verfügbar). Zunächst wurden andere Fehlerquellen gesucht und es wurde herausgefunden, dass in dem Virtuellen Netzwerkadapter ein falscher DNS eingetragen war. Nach löschen dieses ging es erstmal für eine Woche wieder.
Jetzt kann der Rechner aber konstant, wenn über VPN verbunden , nicht mehr auf die NEtzlaufwerke zugreifen unabhängig vom Benutzer.
Folgende Schritte wurden zunächst unternommen:
Erst der "Problem-"Rechner wurde aus der Domäne entfernt, umbenannt und wieder in die DOmäne geholt. => Kein Unterschied (SID hat sich geändert)
Dann wurden beide Rechner aus der Domäne entfernt, umbenannt und wieder in die Domäne geholt. => Kein Unterschied (SID haben sich geändert)
Beide Rechner finden sich im AD wieder, werden also hinzugefügt. Mir ist aber aufgefallen, dass ich den Problemrechner nur über die Computerdomäne "Firma.local" nicht über "Firma" hinzufügen kann. Bei "Firma" als Computerdomäne kommt eine Fehlermeldung, dass der DNS nicht vorhanden ist obwohl er einen korrekten DNS unten anzeigt. Alle anderen Rechner lassen sich über die Computerdomäne "Firma" hinzufügen.
Nachdem das neu hinzufügen keinen Unterschied gemacht hat, habe ich beschlossen tiefer in der Ereignisanzeige zu suchen: Dort gibt es die Fehlermeldung "Netlogon ID 3210"
"This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests.
This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator."
Daraufhin habe ich mit Test-ComputerSecureChannel in der Powershell herausgefunden, dass keine Vertrauensstellung zwischen Rechner und Domäne besteht, wenn die Verbindung über VPN erfolgt (Es gibt aber eine Vertrauensstellung wenn im lokalen Netzwerk). Jegliche Reperaturversuche über "Test-ComputerSecureChannel -repair" (mit entsprechenden Logindaten, oder Reset-ComputerMachinePassword schlagen ohne Fehlermeldung fehl. AUch ein Zurücksetzen des COmputerkontos auf dem zweiten DC hat nichts gebracht.
Ich habe jetzt noch versucht mit sfc /scannow und dism Fehler im System zu beheben, aber auch das hat auch nichts gebracht.
ipconfig /all zeigt mir den richtigen DNS an
ipconfig /displaydns zeigt auch alle für unser internes Netzwerk relevanten DNS-Einträge an
nslookup funktioniert auch soweit
ping geht sowohl DC.Firma.local als auch auf die IP Adresse
Die Rechner werden alle über einen DHCP versorgt. Das geht auch und weist korrekt zu.
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Ich bin ehrlicherweise recht ratlos, was ich noch probieren kann, damit dem Computerkonto wieder in der Domäne vertraut wird.
Notfalls werde ich den Rechner komplett neu installieren, aber das würde ich gerne vermeiden, wenn es geht.
Vielen Dank!
Jens
ich habe einen sehr seltsamen Fehler und bevor ich nach viel Versuch&Fehler den Rechner neu aufsetze, dachte ich, ich frage mal nach, ob jemand hier noch eine Idee hat, wie man das ohne Neuinstallation hinbekommt.
Ausgangslage: Unbeabsichtigterweise wurde in eine Domäne ein zweiter Laptop mit dem selben Namen hinzugefügt. Das fiel zunächst nicht auf, bis der zunächst hinzugefügte, plötzlich über VPN nicht mehr auf die Netzlaufwerke zugreifen konnte (Name nicht verfügbar). Zunächst wurden andere Fehlerquellen gesucht und es wurde herausgefunden, dass in dem Virtuellen Netzwerkadapter ein falscher DNS eingetragen war. Nach löschen dieses ging es erstmal für eine Woche wieder.
Jetzt kann der Rechner aber konstant, wenn über VPN verbunden , nicht mehr auf die NEtzlaufwerke zugreifen unabhängig vom Benutzer.
Folgende Schritte wurden zunächst unternommen:
Erst der "Problem-"Rechner wurde aus der Domäne entfernt, umbenannt und wieder in die DOmäne geholt. => Kein Unterschied (SID hat sich geändert)
Dann wurden beide Rechner aus der Domäne entfernt, umbenannt und wieder in die Domäne geholt. => Kein Unterschied (SID haben sich geändert)
Beide Rechner finden sich im AD wieder, werden also hinzugefügt. Mir ist aber aufgefallen, dass ich den Problemrechner nur über die Computerdomäne "Firma.local" nicht über "Firma" hinzufügen kann. Bei "Firma" als Computerdomäne kommt eine Fehlermeldung, dass der DNS nicht vorhanden ist obwohl er einen korrekten DNS unten anzeigt. Alle anderen Rechner lassen sich über die Computerdomäne "Firma" hinzufügen.
Nachdem das neu hinzufügen keinen Unterschied gemacht hat, habe ich beschlossen tiefer in der Ereignisanzeige zu suchen: Dort gibt es die Fehlermeldung "Netlogon ID 3210"
"This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests.
This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator."
Daraufhin habe ich mit Test-ComputerSecureChannel in der Powershell herausgefunden, dass keine Vertrauensstellung zwischen Rechner und Domäne besteht, wenn die Verbindung über VPN erfolgt (Es gibt aber eine Vertrauensstellung wenn im lokalen Netzwerk). Jegliche Reperaturversuche über "Test-ComputerSecureChannel -repair" (mit entsprechenden Logindaten, oder Reset-ComputerMachinePassword schlagen ohne Fehlermeldung fehl. AUch ein Zurücksetzen des COmputerkontos auf dem zweiten DC hat nichts gebracht.
Ich habe jetzt noch versucht mit sfc /scannow und dism Fehler im System zu beheben, aber auch das hat auch nichts gebracht.
ipconfig /all zeigt mir den richtigen DNS an
ipconfig /displaydns zeigt auch alle für unser internes Netzwerk relevanten DNS-Einträge an
nslookup funktioniert auch soweit
ping geht sowohl DC.Firma.local als auch auf die IP Adresse
Die Rechner werden alle über einen DHCP versorgt. Das geht auch und weist korrekt zu.
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Ich bin ehrlicherweise recht ratlos, was ich noch probieren kann, damit dem Computerkonto wieder in der Domäne vertraut wird.
Notfalls werde ich den Rechner komplett neu installieren, aber das würde ich gerne vermeiden, wenn es geht.
Vielen Dank!
Jens
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32983441148
Url: https://administrator.de/contentid/32983441148
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
das Computerkonto ist nicht zufällig deaktiviert?
Ansonsten lies mal https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderun ...
Grüße
lcer
das Computerkonto ist nicht zufällig deaktiviert?
Ansonsten lies mal https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderun ...
Grüße
lcer
Hi.
Was ergibt denn
im Bereich dNSHostName? Wenn du im Abschnitt dNSHostName einen anderen DNS-Eintrag siehst als den, der auf dem Computer konfiguriert ist, ist das Computerkonto in der Domäne beschädigt.
Was ergibt denn
Get-ADComputer <ComputerName> -Properties dNSHostName,OperatingSystem,OperatingSystemVersion 
Hi, danke für die Schnellen Antworten.
Das Computerkonto ist nicht deaktiviert. Es wird auch ein neues angelegt, wenn ich mit neuem Computernamen verbinde.
get ad-computer
Der DNSHostname ist bei dem Problem-Rechner der gleiche, wie bei anderen Rechnern der DOmäne
Grüße
Jens
Das Computerkonto ist nicht deaktiviert. Es wird auch ein neues angelegt, wenn ich mit neuem Computernamen verbinde.
get ad-computer
Der DNSHostname ist bei dem Problem-Rechner der gleiche, wie bei anderen Rechnern der DOmäne
Grüße
Jens
Hm. Sonst führe doch Systemwiederherstellung auf dem Problemrechner aus, um den Computer auf einen früheren Zeitpunkt vor dem Auftreten des Problems zurückzusetzen?
Hi,
Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...
Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...
Zitat von @mayho33:
Hi,
Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...
Hi,
Und wenn du, nachdem beide Rechner aus der Domäne genommen wurden, zusätzlich auch die entsprechenden Computerobjekte löschst bevor du sie von neuem joinst? Hat natürlich auch Nachteile...
Auch das habe ich schon gemacht, hat nichts gebracht.
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Hallo,
hattest Du mal versucht, den Rechner mit einem anderen Namen in die Domäne zu nehmen?
Und hattest Du meine Link oben gelesen? https://support.microsoft.com/de-de/topic/kb5020276-netjoin-%C3%A4nderun ...
Grüße
lcer
hattest Du mal versucht, den Rechner mit einem anderen Namen in die Domäne zu nehmen?
Und hattest Du meine Link oben gelesen? https://support.microsoft.com/de-de/topic/kb5020276-netjoin-%C3%A4nderun ...
Grüße
lcer
Zitat von @JensBa:
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.
Im Notfall könntest du beide Rechner
- nochmal aus der Domäne werfen
- Computerobject recursiv löschen (Frage ob Subs auch gelöscht werden sollen mit JA bestätigen)
- Beide Rechner umbenennen
- Nach dem Neustart die interne SSID ändern
- Wieder in die Domäne joinen
Gutes Gelingen!
Ja umbenannt hatte ich. Den Link habe ich gelesen, aber ich glaube nicht, dass mich das betrifft, wenn ich es richtig verstehe.
DNS, DHCP auch nachgeschaut?
Ja, da ist nur ein Eintrag drinnen und keine doppelten Ips
Zitat von @mayho33:
Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.
Zitat von @JensBa:
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Ich habe so ein wenig die Befürchtung, dass auch eine Neuinstallation nichts bringen wird, weil sich irgendwo am DC irgendeine Info zu diesem Rechner befindet, die verhindert, dass der eine Vertrauensstellung über die VPN Verbindung erhält... Deshalb hoffe ich hier auch auf Hilfe
Na so super kenne ich mich jetzt auch nicht aus auf Server, aber halte mal am DNS nach doppelten IPs und doppelten Computernames ausschau.
Wenn ihr die IP via Hostname verteilt, dann hat sich vielleicht auch was am DHCP in den Reservations verwickelt.
Da sind keine (mehr) drinnen, soweit ich erkennen kann.
Im Notfall könntest du beide Rechner
- nochmal aus der Domäne werfen
- Computerobject recursiv löschen (Frage ob Subs auch gelöscht werden sollen mit JA bestätigen)
- Beide Rechner umbenennen
- Nach dem Neustart die interne SSID ändern
- Wieder in die Domäne joinen
Gutes Gelingen!
Ich schau mal ob das was bringt ;)
Danke auf jeden Fall für alle Vorschläge schonmal!
nächster Versuch:
Hast Du vielleicht den AD-Papierkorb aktiviert? https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-star ... Gelöscht wäre dann nicht gleich gelöscht
Grüße
lcer
Hast Du vielleicht den AD-Papierkorb aktiviert? https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/get-star ... Gelöscht wäre dann nicht gleich gelöscht
Grüße
lcer
Moin,
Das scheint mir der entscheidende Hinweis zu sein. Lokal geht und VPN nicht deutet auf ein Problem mit dem Tunnel hin. Schau mal auf der Firewall, ob es dort einen Eintrag für den Rechner gibt und lösche den. Dann würde ich einfach mal alles auf dem Laptop, was mit VPN zu tun hat, runterwerfen und frisch machen. Evtl. ist hier noch ein Rest vorhanden.
hth
Erik
Zitat von @JensBa:
Der Problemrechner macht keine Probleme, wenn er im internen Netz hängt. DOrt ist ein Zugriff auf die Netzlaufwerke Problemlos möglich. Der Laptop wird aber "on the road" benötigt.
Das scheint mir der entscheidende Hinweis zu sein. Lokal geht und VPN nicht deutet auf ein Problem mit dem Tunnel hin. Schau mal auf der Firewall, ob es dort einen Eintrag für den Rechner gibt und lösche den. Dann würde ich einfach mal alles auf dem Laptop, was mit VPN zu tun hat, runterwerfen und frisch machen. Evtl. ist hier noch ein Rest vorhanden.
hth
Erik
