doquentin 10 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Hallo, ich wollte auf einen ähnlichen Beitrag antworten, leider hat dies nicht funktioniert, da der Beitrag sehr alt war und ich eine Antwort nicht bestätigen konnte. Daher ein neues Thema von mir. Es wird immer häufiger an mich heran getragen, dass sich Clients nicht mehr an der Domäne anmelden können. Wenn ich dann nachgucke, sehe ich, dass das entsprechende Computerkonto nicht mehr existiert. Angeblich hat aber niemand das Konto gelöscht. Im Eventlog erscheint folgende Netlogon-Meldung: " Quelle: Netlogon Ereigniskennung: 5723 Die Sitzung konnte vom Computer "Hostname" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "Hostname$" entsprechend dem angegebenen Computer enthält. BENUTZERAKTION Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zur Zeit nicht geachtet werden muss. Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden: Wenn "Hostname$" das legitime Computerkonto für den Computer "Hostname" ist, dann sollte "Hostname" dieser Domäne angeschlossen werden. Wenn "Hostname$" das legitime domänenübergreifende Vertrauenskonto ist, sollte die Vertrauensstellung neu erstellt werden. Im Falle das "Hostname$" kein legitimes Konto ist, sollte folgendes für "Hostname" veranlasst werden: ..." Und darauf folgend diese Meldung: " Quelle: Netlogon Ereigniskennung: 5805 Die Sitzungseinrichtung von Computer WIK39260 konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Zugriff verweigert " Seit kurzem Klonen wir Rechner, könnte da ein Problem bestehen? Allerdings hatten wir das Problem sogar schon mit produktiven Serversystemen gehabt, welche logischerweise nicht geklont werden. ;-) Ich habe das Gefühl, dass es am DNS o.ä. liegt. Hier ist Scavenging aktiv. Aber dadurch dürften auch keine Computerkonten verloren gehen oder?! Wir nutzen eine Windows 2000 native AD-Umgebung. Auf den Domain Controllern läuft auch der DNS Dienst sowie DHCP. Ich hoffe, mir kann jemand einen Tipp geben. Viele Grüße, Doquentin Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Hallo, ich wollte auf einen ähnlichen Beitrag antworten, leider hat dies nicht funktioniert, da der Beitrag sehr alt war und ich eine Antwort nicht bestätigen konnte. Daher ein neues Thema von mir. Es wird immer häufiger an mich heran getragen, dass sich Clients nicht mehr an der Domäne anmelden können. Wenn ich dann nachgucke, sehe ich, dass das entsprechende Computerkonto nicht mehr existiert. Angeblich hat aber niemand das Konto gelöscht. Ein DC löscht ein Computerkonto aber auch nicht einfach so. ;) Also tippe ich erstmal auf einen Bedienerfehler. Seit kurzem Klonen wir Rechner, könnte da ein Problem bestehen? Könnten. Wie clont ihr denn? Allerdings hatten wir das Problem sogar schon mit produktiven Serversystemen gehabt, welche logischerweise nicht geklont werden. ;-)Ich habe das Gefühl, dass es am DNS o.ä. liegt. DNS löscht aber keine Computerkonten. Was sagen denn die Eventlogs auf deinen DCs? Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Angeblich hat aber niemand das Konto gelöscht. Hm, die Informationen sehen aber leider etwas anders aus. Wenn es den Rechner vorher gab und der sich auch sauber anmelden konnte, muss ihn jemand gelöscht haben. Denn scheinbar ist der Rechner selber nachwievor selber der Meinung, das er zur Domäne gehört, auch wenn das die Domäne mittlerweile anders sieht. Ansonsten ist das AD aber sauber und repliziert korrekt? Nicht das die Objekte sich durch Replikationskonflikte "wegrepliziert" haben? Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Also der Rechner war vorher definitiv in der Domäne und der Benutzer konnte wochenlang arbeiten. Wir müssen den Rechner dann neu in die Domäne heben, damit ein neues Computerkonto erstellt wird. Danach funktioniert alles wieder. Im Eventlog gibt es keine Fehler im Replizierungslog. Ich kriege lediglich die Fehlermeldungen im Systemlog. (die beiden beschriebenen Netlogon-Einträge) Wir haben ein Image erzeugt mit dem Sysprep-Tool. D.h. wenn wir einen Rechner aufsetzen mit dem Image wird ein Mini-Setup durchlaufen wo Sachen abgefragt werden und auch eine neue SID erzeugt wird. Dies war auch mal eine Vermutung von mir, habe dies aber geprüft. Sollte ich anders prüfen, ob es Replizierungsprobleme gibt oder sollte alles in Ordnung sein, wenn der Log keine Fehler anzeigt? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Sollte ich anders prüfen, ob es Replizierungsprobleme gibt oder sollte alles in Ordnung sein, wenn der Log keine Fehler anzeigt? Wenn die Logs keine Fehler aufzeigen, sieht das erstmal soweit sauber aus. Kannst du die Objektüberwachung einschalten, um mitzuprotokollieren, wer wann was macht? Damit kann man für den nächsten Fall den möglichen Schuldigen finden. Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Haben Sie vielleicht eine Seite mit einer Beschreibung, wie ich dies für die Computers-OU einschalten kann? (Die Objektüberwachung) Dann würde ich dies mal einstellen und beobachten. Hinweis: Wir nutzen den Default Container für Computerkonten! Zitieren Link zu diesem Kommentar
mikewi 10 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Das könnte durchaus damit zu tun haben! Wie geht ihr beim Klonen vor? Ist der zu klonende Rechner Mitglied in der Domäne oder nicht? Falls ja, vergebt ihr beim Klone dann eine neue Computer-ID -mir fällt gerade nicht ein wie die genau heißt- ? Anhand dieser ID wird der Rechner nämlich vom DC identifiziert, und nicht anhand des Computernamens. Wenn die selbe ID - die der Quellmaschine und die des Klons- mehrmals auftritt dann kann es zu solchen Phänomenen kommen. Nur sollte da das Computerkonto eher deaktiviert, anstatt gelöscht sein. Wird der Klon hingegen erst nachträglich in die Domäne aufgenommen, wird automatisch eine neue Computer-ID erzeugt. Seit kurzem Klonen wir Rechner, könnte da ein Problem bestehen? Allerdings hatten wir das Problem sogar schon mit produktiven Serversystemen gehabt, welche logischerweise nicht geklont werden. ;-) Ich habe das Gefühl, dass es am DNS o.ä. liegt. Hier ist Scavenging aktiv. Aber dadurch dürften auch keine Computerkonten verloren gehen oder?! Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Falls ja, vergebt ihr beim Klone dann eine neue Computer-ID -mir fällt gerade nicht ein wie die genau heißt- ? Das Ding heißt SID. ;) Wird der Klon hingegen erst nachträglich in die Domäne aufgenommen, wird automatisch eine neue Computer-ID erzeugt. Falsch. Die geclonten Maschinen müssen mittels sysprep bearbeitet werden (ok eventuell noch andere Tools die allerdings nicht supportet sind), unabhängig davon, ob sie in der Domain sind oder nicht. Wobei ersteres sowieso BS ist. Bye Norbert Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Bei der SID habe ich mal geschaut, dass sieht OK aus. Momentan läuft es so: Der Rechner, von dem ein Image gezogen wird ist Mitglied einer Domäne. Dann wird sysprep durchgeführt. Wenn ein neuer Rechner aufgesetzt wird, läuft ein Mini-Setup durch, wo man den PC in eine Domäne heben kann. Somit wird auch ein Computer-Account mit einer neuen SID erzeugt. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 Bei der SID habe ich mal geschaut, dass sieht OK aus. Momentan läuft es so: Der Rechner, von dem ein Image gezogen wird ist Mitglied einer Domäne. Ihr solltet euren Imageprozess überdenken. Man clont keine Rechner die bereits Domänenmitglied sind. den PC in eine Domäne heben kann. Somit wird auch ein Computer-Account mit einer neuen SID erzeugt. Hmm. ;) Bye Norbert Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Danke schonmal für die zahlreichen Tipps! Ich habe mal die Kontenüberwachung eingeschaltet und werde den Imageprozess anpassen lassen. Grüße, Doquentin Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 9. September 2008 Autor Melden Teilen Geschrieben 9. September 2008 Hallo nochmal! Also ich hatte heute den nächsten Fall, wo ein Computer sich nicht mehr an der Domäne anmelden konnte. Der Support musste den PC aus der Domäne rausnehmen und neu reinheben, damit das anmelden wieder möglich war. Ich habe nun nach dem Erstellungsdatum des Computeraccounts geschaut und scheinbar wurde das Computerkonto nicht gelöscht sondern war noch vorhanden als das Problem auftrat. Aufgrund der eingeschalteten Kontoüberwachung habe ich nun mehr Informationen. Zu dem entsprechenden Hostnamen habe ich folgende Informationen gefunden (zeitlich nacheinander): ---------------------------------- Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 629 Deaktiviertes Benutzerkonto: Zielkontenname: Hostname$ Zieldomäne: DOM Zielkontokennung: DOM\HOSTNAME$ Benutzername des Aufrufers: UserName Domäne des Aufrufers: DOM Anmeldekennung des Aufrufers: (0x0,0x44387F83) Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 646 Geändertes Computerkonto: - Neuer Kontenname: HOSTNAME$ Neue Domäne: DOM Neue Kontokennung: DOM\HOSTNAME$ Benutzername des Aufrufers: UserName Domäne des Aufrufers: DOM Anmeldekennung des Aufrufers: (0x0,0x44387F83) Rechte: - Geänderte Attribute: SAM-Kontoname: - Anzeigename: - Benutzerprinzipalname: - Stammverzeichnis: - Stammlaufwerk: - Skriptpfad: - Profilpfad: - Benutzerworkstations: - Kennwort zuletzt gesetzt: - Konto läuft ab: - Primäre Gruppenkennung: - DelegierenAnZulässig: - Alter UAC Wert: 0x80 Neuer UAC Wert: 0x81 Benutzerkontensteuerung: Konto Deaktiviert Benutzerparameter: - Sid-Verlauf: - Anmeldestunden: - DNS-Hostname: - Dienstprinzipalnamen: - Daraufhin gab es scheinbar einen Neustart des Computers, da dann der andere DC mitgeloggt hat. (darum auch weiter in Englisch) Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 646 Computer Account Changed: Account Enabled. Target Account Name: HOSTNAME$ Target Domain: DOM Target Account ID: DOM\HOSTNAME$ Caller User Name: UserName Caller Domain: DOM Caller Logon ID: (0x0,0x13D64CE4) Privileges: - Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 646 Computer Account Changed: Account Disabled. Target Account Name: HOSTNAME$ Target Domain: DOM Target Account ID: DOM\HOSTNAME$ Caller User Name: UserName Caller Domain: DOM Caller Logon ID: (0x0,0x13D64CE4) Privileges: - Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 646 Computer Account Changed: Account Enabled. Target Account Name: HOSTNAME$ Target Domain: DOM Target Account ID: DOM\HOSTNAME$ Caller User Name: UserName Caller Domain: DOM Caller Logon ID: (0x0,0x13D64CE4) Privileges: - Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 646 Computer Account Changed: - Target Account Name: HOSTNAME$ Target Domain: DOM Target Account ID: DOM\HOSTNAME$ Caller User Name: UserName Caller Domain: DOM Caller Logon ID: (0x0,0x13D64CE4) Privileges: - Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 628 User Account password set: Target Account Name: HOSTNAME$ Target Domain: DOM Target Account ID: DOM\HOSTNAME$ Caller User Name: Username Caller Domain: DOM Caller Logon ID: (0x0,0x13D64CE4) ------------------------------------- Diese Ereignisse sind innerhalb von ca. 1 Minute nacheinander aufgetreten. Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 9. September 2008 Autor Melden Teilen Geschrieben 9. September 2008 Ich habe schonmal was davon gelesen, dass es zu Problemen kommen kann bzgl. des Kennwortes des Computer-Accounts. Könnte dies hier der Fall sein?! Es scheint mir, als sei das Benutzerkonto deaktiviert worden (evtl. durch ein Kennwort was abgelaufen ist) und mit ihm auch das Computerkonto. Kann das sein? Ich hoffe, dass jemanden das Problem etwas sagt. Viele Grüße, Doquentin Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 9. September 2008 Melden Teilen Geschrieben 9. September 2008 Es scheint mir, als sei das Benutzerkonto deaktiviert worden (evtl. durch ein Kennwort was abgelaufen ist) und mit ihm auch das Computerkonto. Kann das sein? Negativ. Dazwischen gibt es im AD keinerlei Kopplung. Der PC handelt selber mit dem beteiligten DC sein neues Kennwort aus. Tut er das nicht, kann es sein, das er sich nach einer größeren Zeitspanne nicht mehr an der Domäne anmelden kann. Stichwort: TOMBSTONE Kann es sein, das der Client längere Zeit aus war? Zitieren Link zu diesem Kommentar
doquentin 10 Geschrieben 9. September 2008 Autor Melden Teilen Geschrieben 9. September 2008 Hmm nein, der Benutzer hat gestern noch mit dem Computer ohne Probleme arbeiten können, den Freitag davor auch. Länger ausgeschaltet war der Computer also nicht. – Ich muss mich korrigieren. Der Computer wurde das letzte Mal am 01.09.2008 genutzt, da der Benutzer krank war. Evtl. doch ein Problem hier?! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.