Kerberos Fehler - Rechner können sich nicht an DC anmelden

[simonak 10]

Hallo!

 

Habe folgendes Netzwerk: 1 Windows 2003 Std. Server als DC mit ca. 10 lokal angeschlossenen Clients XP Pro und 2 Windows 2003 Std. Server die an anderen Standorten stehen, auch DC im gleichen Netzwerk sind und sich zu dem Haupt-DC über VPN einwählen um über DFS Daten abzugleichen. Das ganze lief schon lange einwandfrei. Doch auf einmal habe ich folgendes Problem:

 

Der eine DC der über VPN sich einwählt und 2 - 3 Rechner im lokalen angeschlossenen Netzwerk können sich nicht mehr an der Domäne anmelden. Melde ich mich an einem der Rechner lokal an und ändere die IP-Adresse ab und starte den Rechner neu, kann ich mich meistens wieder anmelden und alles funktioniert. Aber in ein paar Tagen muss ich das gleiche Spiel wiederholen, da er mir sagt, dass er keinen DC finden kann.

 

Auf dem Haupt-DC finde ich im Eventlog folgenden Fehler, der wohl das Problem darstellt:

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername:

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Kerberos

Authentifizierungspaket: Kerberos

Name der Arbeitsstation: -

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.100.235

Quellport: 4107

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Habe bisher noch nichts in den Weiten des Internets gefunden. Kann mir vielleicht jemand sagen, woran das liegt und was ich dagegen tun kann? Wenn ihr mehr Informationen benötigt, sagt mir nur was ihr wissen wollt.

[CoolAce 17]

Hy,

 

also spontan würde ich sagen das du entweder ein DNS Problem hast, am besten mal DCDIAG,NETDIAG durchlaufen lassen sowie NSLOOKUP.

 

2. was wurde in letzter Zeit geändert

 

3. Kann es vielleicht sein das der client Zeittechnisch zu weit mit dem DC auseinanderliegt und deshalb die Kerberos Authentifizierungspackete als nicht gültig anerkennt.

 

Gurß

 

coolAce

[Velius 10]

DNS, Kerberos, LDAP ....

 

Das kann alles mögliche sein. Könnte auch ein Port-Filter des VPN Routers sein. Leider sind die Details etwas dürftig. Wie ist das dail-up VPN denn konfiguriert?

[simonak 10]

Also, letzte Zeit wurde nichts geändert. Was meinst du mit zeittechnisch zu weit auseinander? Meinst du Uhrzeit am Rechner und DC oder wie? Oder das er lange schon nicht mehr angemeldet war?

 

Port-Filter in VPN ist es auf keinen Fall. Daran wurde auch seit längerem nichts geändert. Startet der Replika-DC verbindet er sich automatisch über eine Dialup VPN-Verbindung die über ein Kix-Script überwacht wird. Die VPN-Verbindung besteht auch und der Haupt-DC kann angepingt werden. Allerdings komme ich nicht mehr auf die freigegebenen Laufwerke, da ich scheinbar keine Berechtigung mehr habe, sprich er erkennt den Haupt-DC wohl nicht als seinen DC, so wie es mit den Clients ist, wo das Problem aufgetreten war. Er erkennt meinen Zielkontennamen nicht mehr und sagt, dass ich keine Berechtigung mehr habe. Replizieren wird über die VPN-Verbindung Daten und die ADS.

 

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

Das kann doch auch nicht normal sein oder?

 

Edit2:/ bei dcdiag gab es auch einen Fehler

klick mich für Screenshot

[Squire 272]

Hi,

 

check mal die Uhrzeit auf den Clients und Server ... wenn die mehr als 5min Differenz haben mag der Kerberos die nicht mehr

[simonak 10]

Uhrzeit hab ich nachgeschaut passt. Ich komme durch nslookup und dcdiag zum Entschluss, dass ein DNS-Problem vorliegt. Aber was kann ich nun dagegen machen? Hab mich mit diesem Gebiet noch nicht so auseinandersetzen können.

[Velius 10]

Startet der Replika-DC verbindet er sich automatisch über eine Dialup VPN-Verbindung die über ein Kix-Script überwacht wird.[/url]

 

Was bedeutet das? Läuft der nicht immer? Du weisst, dass die Dinger (PC, Server, DC's, usw.) auch Passwörter haben, die ablaufen können....

[Velius 10]

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

[Velius 10]

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

[simonak 10]

Doch, der Replika-DC läuft schon immer. Hier hatte sich aber einmal für ca. 2 Wochen die VPN-Verbindung aufgehängt und niemand hatte es bemerkt. Die Passwörter laufen nie ab und stimmen. Aber jetzt mal vom Replika-DC abgesehen, 2-3 Rechner im lokalen Netzwerk haben ja genau das gleiche Problem.

[Velius 10]

Die Passwörter laufen nie ab und stimmen.

 

 

Ich rede nicht von den User Passwörtern.

[simonak 10]

Was meinst du dann für Passwörter?? Wo kann ich da nachsehen?

[Velius 10]

Das soll nur eine Ansatz für die Lösungsfindung sein: http://support.microsoft.com/default.aspx?scid=kb;en-us;325850

http://support.microsoft.com/default.aspx?scid=kb;de;325850

 

Der genannte Artikel gilt auch für Versionen vor XP/2003.

[simonak 10]

Ok, habs mal hiermit versucht, hat leider nichts gebracht. Sonst noch jemand einen Tipp was ich einmal versuchen sollte?

[simonak 10]

<Beitrag nach oben hol>:)

Hat wirklich keiner mehr eine Ahnung was ich probieren sollte?

Ich bin zwar noch am Testen, aber langsam gehn mir echt die Ideen aus.