Problem mit der Anmeldung an einer Domäne

[nonickatall 0]

Ich habe ein seltsames Problem mit der Anmeldung von Benutzern einer Domäne mit Windows 10 Rechnern (Server Win 2012) und hoffe auf gute Ideen.

 

Hintergrund ist folgender. Ich habe vom Chef die Aufgabe bekommen an einem bestehenden Netz dessen ursprüngliche Admin leider verstorben ist, einen neuen PC`s für einen neuen Mitarbeiter einzurichten.

 

Ich habe also einen Windows 10 Pro Rechner beschafft und diesen in die Domäne eingebunden. Das klappte problemlos. Habe dann auf dem Server im Active Directory einen neuen User angelegt. Orientiert habe ich mich an einem bestehenden User.

 

Wenn ich nun versuche mich an der Domäne am neuen Rechner anzumelden, bekomme ich die Fehlermeldung:

„Sie konnten mit diesen Informationen nicht angemeldet werden, weil ihre Domäne nicht verfügbar ist.“

 

Melde ich mich aber mit dem Domänen Administrator an, klappt es. Grundsätzlich klappt die Domänenanmeldung an dem PC also.

 

Auch mit einem bestehenden User, der auf einer anderen bereits existierenden Win 10 Arbeitstation arbeitet, kann ich mich nicht an diesem Rechner anmelden?! Es sind keine Beschränkungen (Zeitlich/Computer) für die Anmeldung im Userprofil eingestellt.

 

Es geht sowohl die Anmeldung mit Domäne\User als auch User@Domäne.tld nicht.

 

DNS scheint zu funktioniert, Rechner hat IP bekommen und auch Gateway und DNS zeigen auf den Server.

 

Mit dem neuen User kann ich mich aber auch nicht an einer existierenden Arbeitsstation (Win 10 Pro) anmelden, dafür aber an allen noch existierenden Win7 Arbeitsstationen.

 

?!

 

Nach langem Hin und Her habe ich folgendes herausgefunden. Alle User können sich auf allen Win 7 Rechnern anmelden, aber nur die entsprechenden User auf ihren Win 10 Arbeitstationen. Der Domänenadmin kann sich überall anmelden. 

 

Also noch mal zusammenfassend, was auf drei getesteten Rechnern mit drei verschiedene Usern passiert, falls ich mich zu kompliziert ausgedrückt habe:

 

Neue Station (Win 10 Pro)

Ich kann mich weder mit dem neuen, noch mit dem bestehenden User anmelden, aber mit dem Domänenadmin. Grundsätzlich klappt also die Anmeldung an der Domäne, aber nicht mit Userkonten, nur mit dem Domänenadmin.

 

Bestehende Station (Win 10 Pro)

Ich kann mich mit dem bestehendem User und dem Domändenadmin anmelden, nicht aber mit dem neuen User und auch nicht mit anderen bestehenden Usern?!

 

Bestehende Stationen (Win 7)

Hier kann ich mich mit allen Usern anmelden.

 

Alle Rechner (Win 10) sind auf aktuellem Stand, das Abschalten von Defender/Virenschutz brachte keine Änderung. User habe ich, was Einstellungen und Gruppen angeht, verglichen und auch mal als Kopie von einem funktionierenden angelegt. Keine Änderung.

 

Ich habe dem User mal in alle Gruppen genommen in denen der Domänen Admin ist. Keine Änderung

 

Und ich bin die Gruppenrichtlinien durchgegangen, konnte aber nichts ungewöhnliches entdecken. Ich habe die Gruppenrichtlinien auch mal testweise deaktiviert und mit gpupdate /force aktualisiert. Keine Änderung. 

 

Hat jemand eine Idee wo das her kommen kann? Bzw. wo man es einstellen kann, das man sich explizit an der Windows 10 Arbeitstationen NICHT anmelden kann?

Hat jemand eine Idee, wo ich weiter suchen kann?

 

Vielen Dank im Voraus

Ralf

[Mr_Marple 15]

Kannst du die Domäne anpingen? Also "ping domain.local"

 

Ist der Rechner im gleichen Subnetz?

[djmaker 95]

Gibt es eine GPO die die Anmeldung von Usern auf bestimmte PCs beschränkt? GGF. gibt es entsprechende PC / User-Gruppen im AD.

[Tektronix 21]

Moin,

auf dem Client ist nur der DC als DNS-Server eingetragen?

 

[nonickatall 0]

Hallo und vielen Dank erstmal für die Antworten. 

 

@Mr_Marple

Das mit dem Domäne pingen kann ich gerade nicht testen, da ich heute nicht in der Firma bin. Werde ich nachholen. Wenn ich fragen darf. Was ist der Hintergrund deiner Frage? Denn es gehen ja grundsätzlich auf allen besagten Rechnern die Logins, nur eben auf den Win10 Maschinen unterschiedliche nicht. Der DNS ist sauber eingetragen, zumindest zeigt ipconfig das so an.  

 

@djmaker Das war auch meine Annahme ich bin die GPOs alle durchgegangen, auch wenn ich mich damit nicht wirklich auskenne. Ich habe nichts gefunden. Die zwei GPO die es gibt, hatte ich auch mal deaktiviert und auch das hatte keine Änderung gebracht. Es gibt bei den Usern keine besondern Gruppen die sind alle nur in "Administratoren" und "Domänen Benutzer " und ich habe meinen neu angelegten User, der sich an allen Win 10 Maschinen nicht anmelden kann, mal in alle Gruppen gepackt, in der auch der "Domänen Admin" ist. Das hat nichts gebracht. PC Gruppen konnte ich nicht entdecken. Es handelt sich auch um ein kleines Netz mit nur 5 Clients. 

 

@Tektronix Ja, da ist nur ein DNS und der zeigt auf den Server

 

Grundsätzlich:

Liege ich richtig in der Annahme, das wenn der PC sich in die Domäne aufnehmen lässt und der Domänen Admin sich anmelden kann, sich "normale User" auch anmelden können müssten, solange sie nicht eine Zugriffsbeschränkung haben weil: 

1. Ihnen Rechte fehlen (Also die entsprechende Gruppe),

2. sie eine Zugriffsbeschränkung (zeitlich oder auf Maschinen) im Benutzer haben oder

3. es eine entsprechende GPO gibt die die Anmeldung restriktiert?

 

Oder gibt es weiter Möglichkeiten das zu verhindern?

 

Ich möchte mich nochmal bedanken das Ihr Euch Zeit nehmt mir zu helfen... 

 

LG
Ralf

 

 

[Tektronix 21]

Schon hier nachgesehen?

 

[nonickatall 0]

Danke, zu meinem Verständnis.. Du spricht von den Gruppenrichtlinien auf dem Server?

[nonickatall 0]

 

So sieht das bei mir aus... Ich erkenne da nix außergewöhnliches...

[nonickatall 0]

Übrigens, das steht im Ereignisprotokoll.

 

[nonickatall 0]

So, nachdem ich mir das heute alles noch mal angeschaut habe, habe ich festgestellt, dass der Server gar nicht die 192.168.0.1 im Netzwerk ist, sondern die 200. 

 

Ich hatte im Ipconfig gesehen, dass sowohl das Gateway als auch der DNS auf 192.168.0.1 gesetzt ist und einfach angenommen, das sei der Server.

 

Damit zeigt DNS natürlich nicht auf den Server, sondern auf die FRITZ!Box.

 

Vielleicht kommt da das Problem her. Ich habe nun nämlich auch mal probiert die Domain zu pingen, wie Mr_Marple gefragt hatte und das geht nicht. 

 

Ich werde mir jetzt am Wochenende mal den DNS anschauen. 

 

Vielleicht ist das ein Seiteneffekt und  neu angelegte User haben da irgendein Problem durch. 

 

Auf jeden Fall schon mal vielen Dank für die Hilfe bis hierhin, ich werde berichten.. 

 

[Sunny61 809]

Innerhalb einer Windows Domain muss der Windows DNS auf den Clients und Servern immer als DNS-Server im ipconfig eingetragen sein. Das GW kann natürlich der Router sein, aber als DNS immer den Windows DNS eintragen. Auf dem DNS-Server kannst Du natürlich eine Weiterleitung auf das GW machen.

[Nobbyaushb 1.484]

Ergänzend - woher bekommt der Client seine IP?

 

DHCP auf einem Windows Server oder die Fritzbox?

[nonickatall 0]

Der DHCP läuft auf der FRITZ!Box, aber das werde ich umstellen, und in dem Zuge werde ich auch den DNS auf dem Server mal gerade richten. 

 

Danach werde ich die Arbeitsstationen mal neu in die Domäne nehmen und schauen was passiert.

 

Das ist immer wenn man in Netzen rum fuhrwerken muss, die irgendeiner mal irgendwann eingerichtet hat. 

 

 

[NorbertFe 2.089]

vor 47 Minuten schrieb nonickatall:

Das ist immer wenn man in Netzen rum fuhrwerken muss, die irgendeiner mal irgendwann eingerichtet hat

Naja das sind bisher aber noch absolute Basics, also kein Grund zu „heulen“. ;)

[daabm 1.366]

Am 6.3.2020 um 18:21 schrieb nonickatall:

Der DHCP läuft auf der FRITZ!Box, aber das werde ich umstellen

 

Das  MUSST Du umstellen, vorher ist alles nix