Keine Verbindung zu Domain Controllern über WLAN

[daabm 1.377]

Hallo zusammen.

 

TL;DR: Seit einiger Zeit (genauer Zeitpunkt unbekannt) habe ich bei meinen WLAN-Clients keine Verbindung mehr zur AD-Domäne und damit auch keinen Zugriff mehr auf Shares. Bei allen LAN-Clients gibt es kein Problem. Wenn ich im laufenden Betrieb von WLAN auf LAN umschalte, funktioniert sofort alles. Und ich habe keine Idee mehr, woran das liegen könnte...

 

Switch/AccessPoint ist eine FB7530ax. Clients sind verschieden, mal Intel-Wifi, mal Realtek. Mal Win11 RTM, mal Insider Dev, einer bis gestern auch Win10 RTM 21H2. Firewall auf den Servern ist aus, auf einem Client testhalber auch mal, keine Änderung. Mehr Details zur Infrastruktur gerne, wenn's zielführend ist. Zugriffe auf Shares enden so:

 

Test mit "nltest /dsgetdc:" endet mit 0x54b ERROR_NO_SUCH_DOMAIN. Ein parallel laufender Trace auf dem Client liefert das als Ergebnis:

(Die ICMP-Pakete sind nur der Marker für Beginn und Ende)

Der Client bekommt also Antworten, aber er macht danach nichts mehr?!? Nach der Antwort auf die 2 LDAP-Pings sendet der Client keine weiteren Pakete mehr zu den Domain Controllern... Was ich auch nicht verstehe: In der LDAPMessage ist das als Searchfilter drin: (&(DnsDomain=domain.binder.local.)(Host=ZENBOOK-UX360)(DomainGuid={B3CF0610-DE22-F841-AACD-DD3F547A32DD})(NtVer=16:00:00:00)(DnsHostName=ZENBOOK-UX360.domain.binder.local)). Die Suche liefert natürlich keinen Treffer: SearchResultDone: Status: Success, MatchedDN: NULL, ErrorMessage: NULL. Aber vielleicht ist das ja korrekt so und dient nur dazu, dem DC ein paar Daten über den Client zu liefern?

 

Die "üblichen" DC-Ports (88,135,389,445,464,3268) sind alle erreichbar. Die DynRPC-Ports auch (https://devblogs.microsoft.com/scripting/testing-rpc-ports-with-powershell-and-yes-its-as-much-fun-as-it-sounds/). Die Security Eventlogs der DCs enthalten nichts, was mir irgendwie weiterhilft (ja, Auditing ist aktiv).

 

Ich hatte schon den Verdacht, daß die Fritte UDP-Pakete kaputt macht. Also kurz mit https://cloudbrothers.info/en/test-udp-connection-powershell/ geprüft, die vom Client gesendete Payload kommt bis 5.000 Byte am Server korrekt an und umgekehrt.

 

Internet, Browser-Zugriffe im internen Netz, RDP kreuz und quer - funktioniert alles. Nur domänenauthentifizierte Zugriffe von WLAN-Clients auf egal was gehen nicht. AD-Zugriff per ldp.exe geht auch, Bind als angemeldeter Benutzer aber nicht (klar, kann mich ja nicht authentifizieren). Bind mit User/Kennwort/Domäne geht sofort.

 

Den Win10-Client habe ich gestern komplett neu aufgezogen mit Win11 vom ISO - gleicher Fehler.
 

Und noch komischer: Ich hab einen einzigen WLAN-Client (Surface Go 2, das sich über einen Fritz Repeater 1200 mit der Fritte verbindet), der keinerlei Probleme erkennen läßt. Lege ich einen nicht funktionierenden daneben und gehe über den gleichen Repeater, funktioniert der aber weiterhin nicht.

 

Hat noch jemand eine spritzige Idee? Oder könnte nach Lieferung weiterer Informationen eine Idee haben?

 

 

[NorbertFe 2.110]

Gibt seit dieser Woche die 7.29 für die fritzbox. Wär evtl. einen Versuch wert. 

[daabm 1.377]

7.29 ist seit 2 Stunden installiert. Hat nichts geändert. Und es wird noch komischer - heute kam auch ein WLAN-Stick für weitere Diagnosen...

1. Stick eingesteckt an einem W10-Rechner, der noch nie WLAN hatte: Geht problemlos.

2. Gleichen Stick eingesteckt in einen der Clients, die nicht gehen: Geht immer noch nicht.

WTF?!?

[NorbertFe 2.110]

Wlan Profil mal gelöscht? Aber vermutlich schon und würde ja bei einer Neuinstallation egal sein. Leider keine wirklichen Ideen mehr. :/

bearbeitet 20. November 2021 von NorbertFe

[MurdocX 959]

Hmm. Mal ein Schuss ins Blaue. Stimmt vielleicht irgendwas mit der MTU? Wurde mal an den Interface Kosten beim Routing was verändert?

[daabm 1.377]

netsh int ipv4 reset

netsh int udp reset

Alles nix geholfen...

vor 6 Minuten schrieb MurdocX:

Hmm. Mal ein Schuss ins Blaue. Stimmt vielleicht irgendwas mit der MTU? Wurde mal an den Interface Kosten beim Routing was verändert?

 

Hm - MTU - wie könnte ich das prüfen? Wie oben geschrieben, hab UDP bis 5k Payload geprüft, kam korrekt an. Und Routing ist nicht im Spiel, das ist alles im gleichen IP-Netz. Natürlich über den internen Switch der Fritte, aber ich hab die nicht gerootet oder so

[MurdocX 959]

Vergiss das mit der MTU. Hab nachgelesen, dass das bei der Fitte nicht zu verstellen geht.

 

Kommt bei Nslookup gleich der DC vor eingestellt? Interessanter Fehler 

[Sunny61 812]

Dieses Update hier gibt es nur über den Katalog, hast Du das installiert? https://support.microsoft.com/de-de/topic/14-november-2021-kb5008601-betriebssystem-build-14393-4771-out-of-band-c8cd33ce-3d40-4853-bee4-a7cc943582b9

 

[djmaker 95]

Das Problem könnte an IPv6 - Adressen liegen die die FB mit vegibt.

 

https://praxistipps.chip.de/fritzbox-ipv6-aktivieren-und-deaktivieren-so-gehts_91461

[daabm 1.377]

vor 1 Stunde schrieb djmaker:

IPv6 - Adressen liegen die die FB mit vegib

Grad geschaut, ist aus.

vor 3 Stunden schrieb Sunny61:

hast Du das installiert?

Nein, aber das Problem war schon vorher da. Das zieht sich schon ein paar Wochen, bis ich irgenwann beschlossen habe, daß ich mehr Expertise brauche als ich alleine habe

Was mich dabei wahnsinnig macht: LAN kein Problem, WLAN geht/geht nicht je nach Rechner. Aber alle Ports sind erreichbar, LDP mit User/PW/Domain geht. Und daß es einen (!) WLAN-Client gibt, der überhaupt keine Probleme hat, irritiert mich am meisten. Ich bin echt planlos...

bearbeitet 20. November 2021 von daabm

[teletubbieland 190]

Ich eiß, es geht Dir mit Sicherheit darum den eigentlichen Fehler zu finden.

Aber hast Du mal nen anderen AP ausprobiert ?

Nur um  festzustellen, ob es an der MS Seite oder eben an der FB liegt.

 

[Sunny61 812]

Andere WLAN-Treiber Versionen probiert?

[MurdocX 959]

Du hast nicht zufällig wieder NTLM dicht gemacht, wie damals das Problem mit dem WDS? 

vor 17 Stunden schrieb daabm:

Die "üblichen" DC-Ports (88,135,389,445,464,3268)

Port 53 DNS?

 

PS: Ich hatte auch schon mal ein Problem mit der Fritte als sie mir die Pakete auf Port 500, trotz expliziter Ausnahme, ohne Kommentare geschluckt hat.

[daabm 1.377]

Ne hab ich nicht "net view \\192.168.100.111" funktioniert, "net view \\dc01" bringt access denied - Kerberos-Tickets hab ich in dem Moment keine. Schalte ich WLAN aus und LAN ein, geht es sofort und ich hab meine Kerberos-Tickets.

vor 7 Stunden schrieb Sunny61:

Andere WLAN-Treiber Versionen probiert?

 

Welche sollte ich probieren? Betroffen sind verschiedene Laptops, einer mit Intel, einer mit Realtek, einer mit Qualcom. Kann das ein Treiberproblem sein?

bearbeitet 21. November 2021 von daabm

[cj_berlin 1.361]

Hmmm. Ich bin da bei @teletubbieland - auch wenn's nicht die Lösung ist, aber hast Du die Möglichkeit, wenigstens kurz einen anderen AP zu benutzen, der am LAN-Port der FB hängt? Mit der dann gewonnenen Erkenntnis könnte man ja an AVM herantreten. Die Jungs und Mädels sind an sowas eigentlich immer interessiert.