Ben1804 0 Geschrieben 1. August 2019 Melden Teilen Geschrieben 1. August 2019 (bearbeitet) Hallo Liebe MCSE-Community, ich versuche seit über einer Woche eine 2FA mittels Smartcard in meinem Netzwerk einzurichten und stoße immer wieder auf neue Hindernisse. Es liegt ziemlich sicher daran, dass etwas mit den DNS Einstellungen nicht passt. Aktuell komme ich selbst mit meinem Freund Google und anderen Foren nicht mehr weiter. Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt. Vorab die technischen Eckdaten (Server): OS: Windows Server 2012R2 (64 Bit) Modell: Server PER730 CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz RAM: 64GB Technische Eckdaten (Clienten): OS: Windows 7 Professional (64 Bit) Modell: Dell Precision 7720 CPU: Intel(R) Core(TM) i7-6920HQ @ 2,90Ghz RAM: 32GB Smartcards/Reader: 2x MD830 FIPS Lvl 2 Operator cards f. Vsec 1x CT40 Reader per USB (alle Laptops verfügen zusätzlich über eigene Reader) 5x MD830 FIPS Lvl 2 Smartcards Mein aktueller Stand ist, dass ich eine Karte mit einem Zertifikat beschreiben konnte, aber Windows die Anmeldung nach der PIN-Eingabe nicht zulässt. Fehler: "Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist." AD DS Übersicht mit Fehlermeldungen Warnung 4013: "Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde." Fehler: 1202: Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen. Verzeichnisinstanz: NTDS LDAP-Port der Verzeichnisinstanz: 389 SSL-Port der Verzeichnisinstanz: 636 Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. Weitere Informationen: Fehler: 160 (Ein oder mehrere Argumente sind ungültig.) AD CS zeigt Fehler 91: Fehler 91: Es konnte keine Verbindung mit Active Directory hergestellt werden. Der Vorgang wird wiederholt, sobald der Zugriff auf Active Directory während der Verarbeitung erneut erforderlich ist. Gerne liefere ich bei Bedarf noch mehr CMD-Ergebnisse oder andere Informationen. Windows PowerShell Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten. PS C:\Users\cseidl> dcdiag /all Ungültige Syntax: ungültige Option /all. Hilfe erhalten Sie mithilfe von "dcdiag.exe /h". PS C:\Users\cseidl> dcdiag /fix Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = ASPSERVER01 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Connectivity ......................... ASPSERVER01 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Advertising ......................... ASPSERVER01 hat den Test Advertising bestanden. Starting test: FrsEvent ......................... ASPSERVER01 hat den Test FrsEvent bestanden. Starting test: DFSREvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... Der Test DFSREvent für ASPSERVER01 ist fehlgeschlagen. Starting test: SysVolCheck ......................... ASPSERVER01 hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... ASPSERVER01 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... ASPSERVER01 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... ASPSERVER01 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... ASPSERVER01 hat den Test NCSecDesc bestanden. Starting test: NetLogons [ASPSERVER01] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs. Das für diesen Test verwendete Konto muss für die Domäne dieses Computers über Netwerkanmelderechte verfügen. ......................... Der Test NetLogons für ASPSERVER01 ist fehlgeschlagen. Starting test: ObjectsReplicated ......................... ASPSERVER01 hat den Test ObjectsReplicated bestanden. Starting test: Replications [Replikationsüberprüfung, ASPSERVER01] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105 "Der Replikationszugriff wurde verweigert." ......................... Der Test Replications für ASPSERVER01 ist fehlgeschlagen. Starting test: RidManager ......................... ASPSERVER01 hat den Test RidManager bestanden. Starting test: Services Der Dienst NTDS auf ASPSERVER01 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert" ......................... Der Test Services für ASPSERVER01 ist fehlgeschlagen. Starting test: SystemLog Warnung. Ereignis-ID: 0x000727AA Erstellungszeitpunkt: 08/01/2019 09:39:08 Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/ASPSERVER01.ASPSERVER01.ADDS; WSMAN/ASPSERVER01. Warnung. Ereignis-ID: 0x0000000C Erstellungszeitpunkt: 08/01/2019 09:39:08 Ereigniszeichenfolge: Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Compute r in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls wird dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie aus geführt. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden. Warnung. Ereignis-ID: 0x00002724 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewähr leisten. Fehler. Ereignis-ID: 0x00000423 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden. Fehler. Ereignis-ID: 0x00000423 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden. Warnung. Ereignis-ID: 0x00001696 Erstellungszeitpunkt: 08/01/2019 09:39:24 Ereigniszeichenfolge: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler: Warnung. Ereignis-ID: 0x00000937 Erstellungszeitpunkt: 08/01/2019 09:39:37 Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider: Physical Disk 0:1:6 Controller 0, Connector 0 Warnung. Ereignis-ID: 0x00000937 Erstellungszeitpunkt: 08/01/2019 09:39:37 Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider: Physical Disk 0:1:7 Controller 0, Connector 0 Warnung. Ereignis-ID: 0x0000091F Erstellungszeitpunkt: 08/01/2019 09:39:42 Ereigniszeichenfolge: Controller event log: PD 06(e0x20/s6) is not a certified drive: Controller 0 (PERC H730 Mini) Warnung. Ereignis-ID: 0x0000091F Erstellungszeitpunkt: 08/01/2019 09:39:42 Ereigniszeichenfolge: Controller event log: PD 07(e0x20/s7) is not a certified drive: Controller 0 (PERC H730 Mini) Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 08/01/2019 09:43:12 Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID 1810 (C:\Windows\system32\dcdiag.exe). Fehler. Ereignis-ID: 0x0000900A Erstellungszeitpunkt: 08/01/2019 09:53:41 Ereigniszeichenfolge: Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, v om Server unterstützt. Fehler bei der SSL-Verbindungsanforderung. Fehler. Ereignis-ID: 0x00009018 Erstellungszeitpunkt: 08/01/2019 09:53:41 Ereigniszeichenfolge: Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205. Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 08/01/2019 09:55:33 Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID 16bc (C:\Windows\system32\dcdiag.exe). ......................... Der Test SystemLog für ASPSERVER01 ist fehlgeschlagen. Starting test: VerifyReferences ......................... ASPSERVER01 hat den Test VerifyReferences bestanden. Partitionstests werden ausgeführt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: ASPSERVER01 Starting test: CheckSDRefDom ......................... ASPSERVER01 hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ASPSERVER01 hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS Starting test: LocatorCheck ......................... ASPSERVER01.ADDS hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... ASPSERVER01.ADDS hat den Test Intersite bestanden. PS C:\Users\cseidl> Windows PowerShell Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten. PS C:\Users\cseidl> dcdiag /test:dns Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = ASPSERVER01 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Connectivity ......................... ASPSERVER01 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: DNS DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten... ......................... Der Test DNS für ASPSERVER01 ist fehlgeschlagen. Partitionstests werden ausgeführt auf: ForestDnsZones Partitionstests werden ausgeführt auf: DomainDnsZones Partitionstests werden ausgeführt auf: Schema Partitionstests werden ausgeführt auf: Configuration Partitionstests werden ausgeführt auf: ASPSERVER01 Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS Starting test: DNS Testergebnisse für Domänencontroller: Domänencontroller: ASPSERVER01.ASPSERVER01.ADDS Domäne: ASPSERVER01.ADDS TEST: Basic (Basc) Achtung: Adapter [00000024] Microsoft Network Adapter Multiplexor Driver besitzt einen ungültigen DNS-Server: 192.168.5.1 (<name unavailable>) Warning: The A record for this DC was not found Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden. Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running) Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server: DNS-Server: 192.168.5.1 (<name unavailable>) 1 Testfehler auf diesem DNS-Server Name resolution is not functional. _ldap._tcp.ASPSERVER01.ADDS. failed on the DNS server 192.168.5.1 Zusammenfassung der DNS-Testergebnisse: Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw. _________________________________________________________________ Domäne: ASPSERVER01.ADDS ASPSERVER01 PASS FAIL n/a n/a n/a n/a n/a ......................... Der Test DNS für ASPSERVER01.ADDS ist fehlgeschlagen. PS C:\Users\cseidl> Vielen Dank im Voraus! Gruß Bene bearbeitet 1. August 2019 von Ben1804 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. August 2019 Melden Teilen Geschrieben 1. August 2019 Wer ist 192.168.5.1? Und es hilft, wenn Du sowas nicht einfach ungefiltert hier reinwirfst, sondern sinnvoll selektierst... Die "Ok-Meldungen" von DCDiag interessieren ja hier nicht Zitieren Link zu diesem Kommentar
Ben1804 0 Geschrieben 2. August 2019 Autor Melden Teilen Geschrieben 2. August 2019 Guten Morgen daabm, 192.168.5.1 ist der Router und ich mach es beim nächsten Mal besser :S Gruß, Ben Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.