Aufnahme von Clients in AD-Domäne nicht mehr möglich

[Dragonfly 0]

Guten Tag,

ich muss aus betriebsinternen Gründen noch einen Win2k-Server am Laufen halten.

Der Server ist DC. Der Versuch, einen neu installierten Client in die Domäne aufzunehmen scheitert mit der Fehlermeldung "Der angegebene Server kann den angeforderten Vorgang nicht ausführen." Serverseitig entstehen keine Events zu diesem Vorgang, clientseitig die oben erwähnte Meldung.

 

Server: Win2k Server als DC, DHCP-Server, DNS, WINS
Client: Win XP

 

Ich habe mehrere Forenbeiträge hier und anderswo gefunden, die das Verhalten zumindest teilweise beschreiben, leider greifen die Vorschläge bei meinem Problem nicht. Besonders stutzig macht mich die Tatsache, dass die Clientmaschine im AD zunächst erfolgreich angelegt wird, also es existiert ein entsprechendes Konto (das war bei allen anderen Hilfestellungen nicht der Fall, soweit das beschrieben wurde). Dieses Konto wird aber im Zuge der Aufnahme in die Domain sofort deaktiviert, danach erscheint o.g. Fehlermeldung.

 

Das Konto händisch anzulegen/zu aktivieren/zurückzusetzen habe ich versucht, immer mit dem gleichen Ergebnis, dass das Konto beim Aufnahmeversuch gesperrt wird. Bereits bestehende Clients können sich problemlos anmelden und die User normal arbeiten.

 

Getestet habe ich dann auch mit anderen Systemen, das Verhalten ist auch bei Win7 so.

 

Systeminterne Firewall ist deaktiviert.

 

Da das Anlegen des Kontos funktioniert und auf dem Konto auch die USN hochgestuft wird, hatte ich die Vermutung, dass die Zertifizierung zwischen Client und Server vielleicht scheitert.

 

Ich hoffe inständig auf Hilfe und bedanke mich schon mal im Voraus für alle Lösungsansätze.

 

MfG

Thomas Grahl

bearbeitet 29. April 2013 von punk-t

[testperson 1.729]

Hi,

 

was findet sich zu diesem Zeitpunkt im Eventlog des Servers/Clients?

Ggfs. mal dcdiag aus dem Server 2000 Ressource Kit laufen lassen.

 

Gruß

Jan

[Dragonfly 0]

Hallo Jan,

 

weder Client noch Server protokollieren Ereignisse in den Eventlogs - keine Fehler und auch keine Warnungen. Auch die geloggten Informationen habe ich mir angesehen, sie weisen nicht auf Probleme hin.

 

Die SecEvents sehe ich mir sicherheitshalber noch einmal detailliert an, aber bei der ersten Sichtung habe ich auch dort nichts gefunden, dass Zugriffe verweigert werden o.ä. Gescheiterte Anmeldungen werden extra mit geloggt.

 

dcdiag liefert folgendes:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Dresden\MAINFRAME
Starting test: Connectivity
......................... MAINFRAME passed test Connectivity

Doing primary tests

Testing server: Dresden\MAINFRAME
Starting test: Replications
......................... MAINFRAME passed test Replications
Starting test: NCSecDesc
......................... MAINFRAME passed test NCSecDesc
Starting test: NetLogons
......................... MAINFRAME passed test NetLogons
Starting test: Advertising
......................... MAINFRAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MAINFRAME passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MAINFRAME passed test RidManager
Starting test: MachineAccount
......................... MAINFRAME passed test MachineAccount
Starting test: Services
Could not open IISADMIN Service on [MAINFRAME]:failed with 1060: Der angegebene Dienst ist kein installierter Dienst.
Could not open SMTPSVC Service on [MAINFRAME]:failed with 1060: Der angegebene Dienst ist kein installierter Dienst.
......................... MAINFRAME failed test Services
Starting test: ObjectsReplicated
......................... MAINFRAME passed test ObjectsReplicated
Starting test: frssysvol
......................... MAINFRAME passed test frssysvol
Starting test: kccevent
......................... MAINFRAME passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00004E8A
Time Generated: 04/30/2013 13:11:22
(Event String could not be retrieved)
......................... MAINFRAME failed test systemlog

Running enterprise tests on : PrivateSchule.lcl
Starting test: Intersite
......................... PrivateSchule.lcl passed test Intersite
Starting test: FsmoCheck
......................... PrivateSchule.lcl passed test FsmoCheck

 

IISADMIN bzw. IIS ist nicht installiert, ebenso SMTP.

 

Event 4e8a habe ich identifiziert als "Die Schnittstelle "Intern" kann nicht zu dem Router-Manager für das Protokoll IP hinzugefügt werden." und kann lt. MS KB für allein laufende DCs (ohne Replikation) ignoriert werden. Der Fehler ist bekannt und stellte in der Vergangenheit kein Problem in irgendeiner Weise dar, auch nicht bei der Clientaufnahme.

 

Ich installiere gerade testhalber eine W2K-Maschine und werde sehen, ob sich diese in die Domain aufnehmen lässt, außerdem werde ich an Client und Server testweise das Datum um ein Jahr nach hinten drehen und einen weiteren Aufnahmeversuch unternehmen, da ich immer noch irgendwelche abgelaufenen Stammzertifikate im Verdacht habe. 

 

Bin für weitere Schandtaten und jede Art von Ratschlägen offen.

 

Herzlichen Dank

Thomas

Nachtrag:

 

Ich habe die Lösung durch einen Zufall gefunden: Das Problem scheint mit WINS zusammenzuhängen. Der Server verfügt über mehrere NICs und ich konnte den Client über eine andere (offenbar richtig konfigurierte) Karte problemlos in die Domain integrieren.