Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Domäne - Kennwort Reset funktioniert nicht mehr

Mitglied: Shardas

Shardas (Level 1) - Jetzt verbinden

25.04.2016 um 10:09 Uhr, 4131 Aufrufe, 20 Kommentare

Werte Admingemeinde,

seit letzter Woche funktioniert in unserer Domäne der Kennwortreset der Benutzeraccounts nicht mehr.
Ist ein Kennwort abgelaufen oder der Flag "Benutzer muss das Kennwort vor nächster Änderung ändern" gesetzt kommt der Benutzer über diesen Schritt nicht mehr hinaus.

Das zeigt sich folgender maßen:
  • Der Benutzer versucht sich an der Domäne mit seinem bisherigen Passwort anzumelden
  • Es kann sich hier um das OWA, einen der Terminalserver oder auch ein Windows Client handeln
  • Es wird aufgefordert das Passwort zu ändern
  • Gibt man nun das alte gefolgt vom neuen Passwort ein und bestätigt dies, sollte man erwartungsgemäß die Meldung bekommen, dass
    • Das Passwort geändert wurde oder
    • Das Passwort aufgrund von Kennwortrichtlinien nicht übernommen werden konnte

In unserem Fall erscheint aber einfach die oben stehende Meldung erneut. Man befindet sich in einem Loop
Weder am Domaincontroller (Server 2003 R2) oder an der Maschine an welcher der Benutzer versucht sich anzumelden wird etwas geloggt.

Kann uns jemand verraten welcher Dienst da fehlerhaft sein könnte? Wir haben keinen Anhaltspunkt.

Vielen Dank
verschneite Grüße
Mitglied: 114757
25.04.2016 um 10:39 Uhr
Moin,
bekommen die Clients die korrekte Zeit vom DC, als stimmen die Uhrzeiten der Clients alle mit dem DC überein?

Was wurde letzte Woche alles geändert/vorgenommen?

Schau auf dem Server ob alle Dienste gestartet sind die auf automatisch stehen.

Gruß jodel32
Bitte warten ..
Mitglied: Chonta
25.04.2016 um 11:26 Uhr
Hallo,

ist der 2003 der eintige DC oder gibt es auch 2012R2 DC in der Domäne? (evtl anderer Standort).

Wenn Das Passwort ab Server selber über die AD Konsole gesetzt wird, gehts aber oder?

Gruß

Chonta
Bitte warten ..
Mitglied: DerWoWusste
25.04.2016 um 11:27 Uhr
Hi.

Ist den Usern das Recht, Ihre Kennwörter zu ändern, evtl. genommen worden?
Bitte warten ..
Mitglied: ribiku.sith
25.04.2016 um 18:34 Uhr
Hallo Chonta,

gibt es da Probleme in dieser Mischumgebung? Oder geht es da um das Problem mit Kerberos von 2014?

Viele Grüße,

Ribiku
Bitte warten ..
Mitglied: Shardas
26.04.2016 um 10:56 Uhr
Danke für eure Hilfe.
Folgende Umgebung:

Server 2003 R2 - Domaincontroller
Server 2008 R2 - Exchange 2010 R3
2x Server 2008 R2 - Terminalserver
Es gibt noch einen Server 2012 R2, welcher die AD Rolle installiert hat, aber noch nicht zum Controller heraufgestuft wurde. Dieses Setup läuft aber schon so seit ein paar Monaten. Das beschriebene Problem ist das erste Mal vor 2 Wochen aufgetreten.

Das Zurücksetzen der Passwörter über die AD Console funktioniert, solange man den Haken "Benutzer muss beim nächsten Login das Kennwort ändern" nicht setzt.

Uhrzeiten stimmen, auf dem DC laufen alle Dienste die auf automatisch stehen.

Das Recht wurde den Usern nicht entzogen, Konfigurationsänderungen wurden meines Wissens nicht durchgeführt.
Bitte warten ..
Mitglied: Chonta
26.04.2016, aktualisiert um 11:49 Uhr
@ribiku.sith
Ich hatte das Problem als ich noch den 2003er hatte, das Windows 8 Clinets und glaube auch Windows 7 (bin mir da aber nicht sicher) nicht das Passwort neu setzen konnten.
Ist schon etwas her.
Der 2003er war auch ein SBS gewesen also hatte alle FMSO.

Wenn ich über die AD Konsole direkt auf dem 2012R2 das Passwort setzen lassen habe ging alles gut.
Was ich 100% weiß ist das es Probleme mit einer Gemischten Umgebung von 2003 und 2012R2 DCs gibt in Bezug auf die Passwortspeicherung von Computerkonten.
Bei Cleints fällt da snicht weiter groß auf aber bei Servern war das so dass bei einer Passwortänderung der 2012R2 Server der 2003 DC gesagt hat mag ich nicht und dann durfte der Server bis zum Neustart nicht mitspielen (keinerlei login möglich), dan gings wieder...
Könnte für die Benutzer ähnlich sein, Passwort wird von neuem Windows in einem anderen Format übermittelt/gespeichert und der 2003er sagt kann damit nix anfangen.

@Shardas
Dieses Setup läuft aber schon so seit ein paar Monaten. Das beschriebene Problem ist das erste Mal vor 2 Wochen aufgetreten.
Dan sind erst jetzt die ersten Passwörter abgelaufen.
Passiert es auch wenn man einfach so das Passwort ändert?

iSt der 2003er ein SBS oder hat der FMSO?
Wie kann man die AD Rolle installiert haben ohne DC zu sein?
Wenn der 2003 kein SBS ist mal die PDC FMSO auf den neuesten DC schieben, evtl ist es damit schon erledigt.

Gruß

Chonta
Bitte warten ..
Mitglied: 114757
26.04.2016, aktualisiert um 11:52 Uhr
Wie kann man die AD Rolle installiert haben ohne DC zu sein?
So lange man DCPROMO auf so einem Server nicht laufen lässt hat er zwar die nötige Rolle installiert ist aber dann noch kein DC, quasi ein "vorbereiter" aber noch nicht aktivierter DC. Sollte hier also keine Rolle spielen.

Gruß jodel32
Bitte warten ..
Mitglied: Chonta
26.04.2016 um 11:53 Uhr
@114757
Danke für die Info, auf so eine idee bin ich bisher nie gekommen
Habe bisher immer durchgemacht, wieder was gelernt

Gruß

Chonta
Bitte warten ..
Mitglied: ribiku.sith
26.04.2016 um 12:08 Uhr
Hallo Chonta,

danke Dir mal wieder für die reichlichen Infos.

Viele Grüße,

Ribiku
Bitte warten ..
Mitglied: Shardas
27.04.2016 um 09:47 Uhr
Hier nochmal die Fakten:

  • Der Domänencontroller ist der 2003 R2 (kein SBS)
  • Die Active Directory Console ist auf drei Servern installiert. Über jede installierte AD Console (2003, 2012 und 2008) können die Passwörter seitens der Admins zurück gesetzt werden.
  • Nur Können es die Benutzer nicht mehr eigenständig machen wenn das Passwort
    • abgelaufen ist oder
    • Der Haken bei "Benutzer muss das Passwort beim nächsten Login ändern" gesetzt ist
  • Vor ein paar Wochen wurde der letzte Mitarbeiter angelegt, dieser Konnte beim ersten Login wie gewohnt sein Passwort selber setzen
  • Der Fehler ist Serverunabhängig. Alle Terminalserver, OWA und normale Windows Clients lassen alle das abgelaufene Passwort nicht ändern
  • Der Loop:
    • Benutzer versucht sich anzumelden
    • das aktuelle Passwort wird eingegeben, es wird aufgefordert das Passwort zu ändern (screenshot)
    • nachdem das aktuelle Passwort und das neue Passwort eingegeben wurde erscheint die Meldung aus dem Screenshot erneut

2016-04-27 09_41_04-192.168.110.14 - remotedesktopverbindung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 114757
27.04.2016, aktualisiert um 10:08 Uhr
Führe mal folgenden Befehl in einer elevated Shell mit Domain-Admin Rechten aus und poste hier das Ergebnis:
Namen des DC und DN der Domain bitte anpassen
Bitte warten ..
Mitglied: Shardas
27.04.2016 um 12:35 Uhr
Hier das Ergebnis:

Bitte warten ..
Mitglied: 114757
28.04.2016 um 08:46 Uhr
OK, dann hat sich meine Vermutung nicht bestätigt, hier liegt der Fehler also auch nicht.
Bitte warten ..
Mitglied: Chonta
28.04.2016, aktualisiert um 09:37 Uhr
Hallo,

ist eine Anmeldung nach Passwortänderum im OWA möglich? (mit dem neuen)
Schonmal probiert einen der DC kurz vom Netz zu nehmen und dann den Passwortänderungsvorgang durchzuführen?
Ist egal welcher DC nicht erreichbar ist das Problem immer noch da?
Wenn der 2003 noch FMSO hat, alle auf den 2008ter übertragen.

Gruß

Chonta
Bitte warten ..
Mitglied: 114757
28.04.2016, aktualisiert um 09:48 Uhr
Zitat von Chonta:
ist eine Anmeldung nach Passwortänderum im OWA möglich? (mit dem neuen)
Geht ja nicht, wie er oben schreibt.
Schonmal probiert einen der DC kurz vom Netz zu nehmen und dann den Passwortänderungsvorgang durchzuführen?
So wie er das geschrieben hat, hat er nur eine DC und das ist der 2003er
Wenn der 2003 noch FMSO hat, alle auf den 2008ter übertragen.
Dann müsste er diese erst mal zu DCs machen
Laut seiner Aussage haben die nur die AD-Rolle installiert sind aber nicht zu DCs hochgestuft worden, warum auch immer?? ..., denn nur für die Verwaltung braucht es die AD-Rolle ja gar nicht, sondern nur die Verwaltungstools.
Bitte warten ..
Mitglied: Chonta
28.04.2016 um 10:07 Uhr
Hallo,

Der Fehler ist Serverunabhängig. Alle Terminalserver, OWA und normale Windows Clients lassen alle das abgelaufene Passwort nicht ändern

Bedeutet das man darüber nix ändern kann.
Aber ich wollte wissen ob man am Client das Passwort ändert und der Loop kommt isch von nem anderen Rechner über OWA einloggen kann. (mit dem neuen Passwort oder dem alten)
Jeh nachdem würde man sehen ob das neue Passwort überhaupt irgendwie an den DC gesendet wurde.

Was das andere betrifft, soll er den 2003er endlich einmotten, wenn er noch andere Server rumstehen hat die das machen können.

Sind noch XP Clients im Einsatz und ist das bei denen auch so?
Ich gehe mal davon aus das die Clients die das Problem haben mindestens Vsita und höher sind.

Wurden bevor es nicht m mehr ging wie normal irgendwelche Updates eingespielt?

Gruß

Chonta
Bitte warten ..
Mitglied: Shardas
28.04.2016 um 13:12 Uhr
Hallo Chonta,

ja der 2003er soll auch baldigst vom 2012er abgelöst werden, daher wurde dort schon die AD Rolle installiert. Für die Heraufstufung fehlt mir allerdings noch etwas Hintergrundwissen, daher wurde das noch aufgeschoben.

Über einen anderen Rechner kann man sich nicht über das OWA anmelden. Allerdings ist mir bei dem versuch etwas aufgefallen:
  • Benutzername und Passwort wird eingegeben
  • Es wird aufgefordert das Passwort zu ändern, da abgelaufen
  • Benutzername, Passwort und neues Passwort wird eingegeben
  • Laut OWA sind Benutzername und (altes?) Passwort falsch?
2016-04-28 13_01_42-outlook web app - Klicke auf das Bild, um es zu vergrößern

Ich habe das mehrere Male geprüft, die Eingaben sind natürlich korrekt.

Sehr mysteriös
Bitte warten ..
Mitglied: 114757
28.04.2016 um 13:30 Uhr
Welche Anmeldename-Variante wird benutzt DOMAIN\Username oder der UPN user@domain.de ? Beide Varianten schon probiert?
Bitte warten ..
Mitglied: Shardas
28.04.2016, aktualisiert um 14:10 Uhr
Keine davon. Da wir nur über eine Domain verfügen wurde die Standarddomain im Exchange konfiguriert. Dadurch wird nur der benutzername benötigt.
2016-04-28 14_07_32-msg-exchange - remote desktop connection manager v2.7 - Klicke auf das Bild, um es zu vergrößern

Wir haben es aber auch schon mit domain\user versucht
Bitte warten ..
Mitglied: Chonta
28.04.2016 um 14:28 Uhr
Ok,

dann mach Dir Doch mal den Spaß nach einer Passwortänderung die Daten abzufragen.
Ist das Passwort abgelaufen, wann geändert und so weiter.
Ich hatte es das Problem das meine nueen Windows8 Benutzer das Passwort nicht bei sich setzen konnten musste immer bei mir am Server gemacht werden.
XP hatte kein Problem.
Nachdem der 2003 endlich weg war, war das Problem weg.

ja der 2003er soll auch baldigst vom 2012er abgelöst werden, daher wurde dort schon die AD Rolle installiert. Für die Heraufstufung fehlt mir allerdings noch etwas Hintergrundwissen, daher wurde das noch aufgeschoben.

Und was genau fehlt Dir da an Wissen?
Solange Exchange auf dem aktuelsten CU läuft macht der keine Probleme.
Bei den Terminalservern musst Du schauen ob die einen Server 2012R2 DC erlauben.

Forest und Domainleel auf 2003 anheben den 2012R2 zum DC machen und die FMS auf den bringen.
Dann kann der 2003er raus (vorrausgesetzt der 2012R2 ist auch DNS und auf dem 2003 läuft sonst kein wichtiger Dienst aber selbt dann kann der als DC demotet werden)
Das DNS gradebiegen und fertig.

Das einzige was passieren wird, wenn die Server ihr Passwprt ändern wollen wird das einen Neustart mitsich brignen, und die sind dann ggf kurzzeitig nicht arbeitsfähig.
Man kann das auch manuel anstoßen das die sich ein neues Passwort geben, dann bist Du live dabei.
(2012R2 DC speichern die AD Passwörter anders und das gibt bei einer Migration von 2003 Probleme)
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10: Kennwort funktioniert plötzlich nicht mehr

Frage von Stefan007Windows 108 Kommentare

Hi zusammen, ich habe bei einem Bekannten folgendes Problem vorgefunden: Win10 Home, lok. User (kein Microsoft Konto). Das System ...

Notebook & Zubehör

Windows 10 Tablet BIOS reset

gelöst Frage von MettGurkeNotebook & Zubehör11 Kommentare

Hallo Admins, ich habe von der Verwandtschaft ein Intel Tablet von "one.de" bekommen (Typ und co steht leider nicht ...

Exchange Server

Outlook 2019 verlangt Kennwort welches aber nicht funktioniert

gelöst Frage von liptoniceExchange Server5 Kommentare

Hab eine Windows 2019 Domäne und einen Exchange Server 2019. Einen Windows 10 Client mit Office 2019. Somit auch ...

Windows 7

Lokale Kennwort Policy funktioniert nicht, keine Domäne vorhanden

gelöst Frage von pitamericaWindows 77 Kommentare

Hallo zusammen, ich bekomme es nicht hin, wenn ich auf einem W7 Pro System in gpedit gehe und dort ...

Neue Wissensbeiträge
Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 34 MinutenInstant Messaging

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 20 StundenRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 23 StundenRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Informationsdienste

RKI - Corona-Datenspende App zur Erfassung von Informationen und Ausbreitung des Coronavirus (SARS-CoV-2) in Deutschland

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Das Robert Koch-Institut stellt ab sofort eine App zur Verfügung, die ergänzende Informationen dazu liefern soll, wo und wie ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen35 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware22 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux20 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Ubuntu
Suche nach einer Moeglichkeit im AWK oder cut die Inhalte von einer bestimmten Spalte bis Zeilenende anzeigen zu lassen
gelöst Frage von takitanoUbuntu18 Kommentare

Hallo geehrte Mitsreiter/innen, als erstes wünsche ich Euch allen in diese Zeit viel Gesundheit, Optimismus und Freude! Ich habe ...