Scharping-FVB 11 Geschrieben 24. Juli Melden Teilen Geschrieben 24. Juli Liebes Forum, ein seltsames Phänomen: Ein Domain-Admin versucht sich an einem Remote-Server anzumelden, die Anmeldung wird abgewiesen: "Mit diesen Benutzerdaten kann keine Verbindung hergestellt werden". An allen anderen Servern der Domäne ist eine Anmeldung mit "diesen Benutzerdaten" allerdings möglich. Da dies nicht umgehend kommt, sind die Anmeldedaten korrekt, auch würde das mit "Benutzername oder Kennwort falsch" quittiert werden. Ein anderer Domain-Admin (allerdings auch Enterprise Admin) kann sich problemlos anmelden, RDP-User ebenso. Im lokalen und DC Event-Log wird Ereignis 4643 geloggt, also eine Abmeldung, die nicht von Benutzer initiiert wurde. Scheint so, dass erst eine Verbindung aufgebaut, die dann abgewiesen wird. - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4634</EventID> <Version>0</Version> <Level>0</Level> <Task>12545</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2024-07-24T06:57:22.589326800Z" /> <EventRecordID>10976596</EventRecordID> <Correlation /> <Execution ProcessID="712" ThreadID="6160" /> <Channel>Security</Channel> <Computer>dc1.xx.xxxxx.de</Computer> <Security /> </System> - <EventData> <Data Name="TargetUserSid">S-1-5-21-1565xxxx-40xxx176-1xxx25-xxxx</Data> <Data Name="TargetUserName">xxxxxxx</Data> <Data Name="TargetDomainName">CS</Data> <Data Name="TargetLogonId">0x9xxxe2</Data> <Data Name="LogonType">3</Data> </EventData> </Event> Auch ein explizites Hinzufügen des Dom-Admins zur lokalen Gruppe der Administratoren und Remote Desktop Users hat keine Besserung gebracht. Was läuft da schief? Viele Grüße Davorin Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 24. Juli Melden Teilen Geschrieben 24. Juli (bearbeitet) Moin, Ob der User, bei dem die Anmeldung klappt, Domain oder Enterprise Admin ist, dürfte egal sein. Wichtig ist, dass er lokale Rechte zur Anmeldung hat. Tritt das Phänomen auch nach einem Reboot des betreffenden Servers auf? Und: es geht um RDP-Anmeldung? Sind andere Zugriffe mit dem User möglich? Gruß, Nils bearbeitet 24. Juli von NilsK Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. Juli Melden Teilen Geschrieben 24. Juli vor 16 Minuten schrieb Scharping-FVB: Was läuft da schief? Deny logon bzw rdp logon für domänenadmin? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 24. Juli Melden Teilen Geschrieben 24. Juli (bearbeitet) Ich würde im Eventlog mal etwas "früher" schauen - 4634 ist sicher nicht relevant, das kommt "danach" (wonach auch immer, das ist ja was Du grad suchst). NLA könnte ein Problem sein. Protected Users könnte ein Problem sein. @NorbertFe Deny ist es nicht, da kriegst Du eindeutig auf die Finger. bearbeitet 24. Juli von daabm Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 25. Juli Melden Teilen Geschrieben 25. Juli Logon Type 3 ist Network, daher ist NLA durchaus eine Möglichkeit. Ist da evtl. Remote Credential Guard konfiguriert? Kannst Du von einem anderen Server, wo dieser User sich anmelden kann, RDP zum problematischen Server herstellen, ohne explizite Anmeldung? Zitieren Link zu diesem Kommentar
Scharping-FVB 11 Geschrieben 25. Juli Autor Melden Teilen Geschrieben 25. Juli Tut mir leid, ich komme erst Montag wieder dazu, das zu testen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.