weimer 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Hallo, ich stehe mal wieder vor einem Rätsel, dass mich verzweifeln lässt. Ausgangssituation: W2k Server als Domaincontroller mit AD eingerichtet, läuft stabil mit 8 weiteren XP-Pro Clients, die alle Mitglied der Domäne sind. Keine verwirrenden GPOs eingerichtet, keine Fehlermeldungen im log. Letzte Woche hat sich ein Client verabschiedet, also neuen Rechner ran, XP Pro installiert und versucht, wie immer zur Domäne hinzuzufügen. Beim Hinzufügen bekomme ich jetzt am Client folgende Fehlermeldung: Beim Versuch, der Domäne "xyz" beizutreten ist folgender Fehler aufgetreten: Der angegebene Server kann den angeforderten Vorgang nicht ausführen Kein Eintrag im Eventlog (weder beim Client, noch beim Server). DNS läuft, Client ist im AD im Container "Computer" angelegt, nach der Aktion ist regelmäßig der Eintrag deaktiviert. Ich habe nur feste IPs, keinen DHCP. Namensauflösung (ping, nslookup) funktioniert in beide Richtungen hervorragend. Ich bin jetzt langsam echt am Verzweifeln, denn ehrlich gesagt habe ich keine große Lust, den Client nochmal neu zu installieren (ist ja grad neu)... Ich habe schon google und die Suche bemüht, doch alle dort gegebenen Ratschläge haben nicht wirklich was gebracht. Weiß jemand weiter?? zu Hülf! :) Liebe Grüße weimer Zitieren Link zu diesem Kommentar
sysiphos 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Hallo, versuch es mal mit einer neuen SID, dieses Tool hilft dir dabei. Gruß Zitieren Link zu diesem Kommentar
jose 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Soweit ich dich verstehe hast du den Client neu aufgesetzt, aber der Computeraccount im AD ist noch vorhanden. Darüber wirst du ohne Tools den PC nicht wieder reinbekommen, weil die SID eine andere ist. Um den sicheren Kanal zwischen Server und Client erneut auszuhandeln würde ich einfach den Account aus dem AD löschen/rücksetzen und dann erst versuchen den Client in die Domäne einzubinden. Zitieren Link zu diesem Kommentar
Ritchie 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Soweit ich dich verstehe hast du den Client neu aufgesetzt, aber der Computeraccount im AD ist noch vorhanden. Darüber wirst du ohne Tools den PC nicht wieder reinbekommen, weil die SID eine andere ist. Um den sicheren Kanal zwischen Server und Client erneut auszuhandeln würde ich einfach den Account aus dem AD löschen/rücksetzen und dann erst versuchen den Client in die Domäne einzubinden. Jo, würde ich auch so machen Zitieren Link zu diesem Kommentar
weimer 10 Geschrieben 12. Mai 2007 Autor Melden Teilen Geschrieben 12. Mai 2007 hm, nunja, der Rechner ist ja vom Namen her neu, ist auch beim Anmelden neu angelegt worden. Den alten habe ich natürlich gelöscht. Problem dabei ist einfach, dass selbst wenn ich den Rechnername ändere keine Anmeldung möglich ist. In jedem Fall wird ein Computerkonto erstellt, welches aber automatisch beim Anmeldeversuch dekativiert wird bzw. bleibt. Neue SID habe ich schon ausprbiert - leider keine Lösung. Serverneustart - Rechnerneustart - hat alles nichts geholfen. Wenn da wenigstens eine Fehlermeldung im Log wäre, aber so Zitieren Link zu diesem Kommentar
mdinse 10 Geschrieben 13. Mai 2007 Melden Teilen Geschrieben 13. Mai 2007 Wie ist die Zeit auf Server und Rechner? Läuft die Anmeldung nicht über Kerberos?? Und hast Du mal versucht, das Passwort des Computer-Accounts zurück zu setzen? Zitieren Link zu diesem Kommentar
weimer 10 Geschrieben 13. Mai 2007 Autor Melden Teilen Geschrieben 13. Mai 2007 Also die Zeit auf Client und Server ist annähernd gleich, Client ist um ein paar Minuten zurück. Passwort des Computer-Accounts ?? M.E. hat nur ein User ein Passwort. Ich kann auch gut und gerne den Computeraccount löschen aus dem Container (wird ja normalerweise auch automatisch angelegt). Beim Anmeldeversuch wird dann tatsächlich ein neuer Account angelegt, dieser ist jedoch deaktiviert. Wenn ich den dann aktiviere funktioniert die Anmeldung trotzdem nicht. DNS-Einträge sind soweit ok, hab's mit unterschiedlicher SID und IP versucht, leider Fehlanzeige. Was meinst du mit "Anmeldung läuft über Kerberos" ? Ich werd nochmal die GPOs checken, obwohl die sich wohl kaum einfach magisch umkonfigurieren. Wahrscheinlich werde ich den Client morgen einfach mal neu installieren *grummel*, wenn's dann nicht geht, dann :suspect: Wenn noch jemand ne Idee hat dann her damit ;) Zitieren Link zu diesem Kommentar
Squire 262 Geschrieben 13. Mai 2007 Melden Teilen Geschrieben 13. Mai 2007 paar Minuten? Wenn mehr als 12 Min klappt die Kerberos Authentifizierung nicht mehr ... und dann klappt auch der Domänenbeitritt nicht Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 13. Mai 2007 Melden Teilen Geschrieben 13. Mai 2007 paar Minuten? Wenn mehr als 12 Min klappt die Kerberos Authentifizierung nicht mehr ... und dann klappt auch der Domänenbeitritt nicht Ich dachte 5 Minuten. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Mai 2007 Melden Teilen Geschrieben 13. Mai 2007 Das habe ich hier schon mal gehört, woher kommen die 12 Minuten ? Zitieren Link zu diesem Kommentar
weimer 10 Geschrieben 13. Mai 2007 Autor Melden Teilen Geschrieben 13. Mai 2007 na das werde ich doch gleich mal morgen früh checken :) Wenn's daran liegt dann :shock: Vielen DAnk erst einmal für eure gute Unterstützung, ich melde mich morgen früh wieder mit News. Liebe Grüße weimer Zitieren Link zu diesem Kommentar
Squire 262 Geschrieben 13. Mai 2007 Melden Teilen Geschrieben 13. Mai 2007 @ITHome ... hast Recht hab grad nochmal nachgeschaut ... MaxClockSkew: 5 Minuten Zitieren Link zu diesem Kommentar
weimer 10 Geschrieben 14. Mai 2007 Autor Melden Teilen Geschrieben 14. Mai 2007 So, Uhrzeit gecheckt, ausprobiert und.... nüschte Allerdings habe ich jetzt einen interessanten Log: 1000er Userenv, GPO.ini kann nicht gelesen werden. Na das wird sicherlich noch spannend, eventid.net ist gerade mein Freund, Ergebnis werde ich selbstverständlich posten. Liebe Grüße weimer btw: Die Tiefen des WK2 Server sind unergründlich... :wink2: Zitieren Link zu diesem Kommentar
mdinse 10 Geschrieben 14. Mai 2007 Melden Teilen Geschrieben 14. Mai 2007 Also die Zeit auf Client und Server ist annähernd gleich, Client ist um ein paar Minuten zurück.Passwort des Computer-Accounts ?? M.E. hat nur ein User ein Passwort. Kerberos funktioniert standardmäßig nur bis 5 Minuten Zeitdifferenz. Und : Ja auch Computerkonten haben im AD ein Passwort, dass Du allerdings nicht selber setzen kannst. Das machen die unter sich aus. ABER: Du kannst den Account resetten, was dem gleich kommt. [Edit] Dann hat sich das mit meinen Tipps wohl erledigt... [/Edit] Zitieren Link zu diesem Kommentar
weimer 10 Geschrieben 14. Mai 2007 Autor Melden Teilen Geschrieben 14. Mai 2007 So, der Vollständigkeit halber hier noch die Lösung (zumindest bei mir): Der Server hatte 2 NICs verbaut. NIC1 war zuerst installiert und hatte Netz 192.168.2.x NIC2 ist später dazugekommen, Netz 192.168.117.x und ist eigentlich nur für Backup-Zwecke eingerichtet worden. Nach Deaktivierung der NIC2 ging die Anmeldung des Clients problemlos. Frage: Warum? Wieso gibt's keine Fehler-Logs? Warum läuft der DNS ohne Fehler (inklusive Auflösung aller Namen), obwohl offensichtlich ein Konflikt vorliegt? Fragen über Fragen... nunja, wenigstens läuft's jetzt wieder. Wenn jemand mir ne Lösung präsentieren kann für das Phänomen, dann bin ich vollends begeistert ;) Liebe Grüße und danke nochmal an alle, die sich die Mühe gemacht haben um mir zu antworten weimer Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.