Jan 01, 2014, updated at 13:34:30 (UTC)

5429

Windows 8.1 an 2008 R2 Domain - Auth. Probleme

Hallo zusammen.
Erstmal ein Gesundes und frohes neues Jahr 2014

Folgende Umgebung:
Server: Windows 2008 R2 (aktuellste Updates installiert)
PC: Laptop mit Windows 8.1

folgendes Problem:
Das Laptop authentifiziert sich nicht korrekt an der Domain.
Kennwortänderungen etc. funktionierten. Genau so wie DNS und DHCP. Es sieht also so aus, dass alles korrekt funktioniert. Bis auf die Tatsache, dass der PC sich nicht korrekt am Server Authentifiziert.

Das Netzwerk (vom NLA) wird nicht korrekt erkannt (Nicht authentifiziert). Somit funktionieren auch keine Gruppenrichtlinien.
Das Problem liegt anscheinend in der Authentifizierung. Aber ich bekomme es leider nicht eingrenzen. Ich habe das Laptop auch schon aus der Domain raus genommen und wieder neu hinzugefügt, jedoch ohne Erfolg.
Aber irgendeine Verbindung gibt es ja, da neue Kennwörter etc. an Laptop ankommen.
Bin für jeden Tipp dankbar.

Gruß

Please also mark the comments that contributed to the solution of the article

Content-Key: 225646

Url: https://administrator.de/contentid/225646

Printed on: April 18, 2024 at 08:04 o'clock

19 Comments

Latest comment

Hallo,

Zitat von @killtec:
Das Laptop authentifiziert sich nicht korrekt an der Domain.

Sehr genaue Fehlermeldung mit der wir diese Jahr anfangen müssen unsere Weihnachtskugeln wieder ganz schnell als Kristallkugel oder als Orakel nutzen.

Kennwortänderungen etc. funktionierten.

Vom Cllient aus der sich nicht am AD Authentifizieren kann? Unglaublcih.

auf die Tatsache, dass der PC sich nicht korrekt am Server Authentifiziert.

Genuer: Der PC oder Anwender?

Das Netzwerk (vom NLA)

Du meinst hier tatsächlich NLA und nicht LAN, oder? Wie ist deine IP Konfiguration? Ein IPConfig /All verrät es uns ob da etwas fehlt (in code tags posten bitte). Wo ist dein Gateway und ist es erreichbar?

Gruß,
Peter

Hallo killtec,

was sagt denn dcdiag und die Grundlegenden Netzanalysen?

Hi,
ja, das ist ja das komische! Es geht halt nur teilweise. Ein Windows 7 Client funktioniert problemlos.
Hier die Ausgaben:

ipconfig:

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : laptop
   Prim„res DNS-Suffix . . . . . . . : mydom.lan
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : mydom.lan

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: mydom.lan
   Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100-integrierter Controller
   Physische Adresse . . . . . . . . : 00-19-B9-70-3A-77
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::f1cc:d34b:f00b:1ecf%2(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 172.17.2.20(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 1. Januar 2014 19:16:36
   Lease l„uft ab. . . . . . . . . . : Donnerstag, 9. Januar 2014 19:16:35
   Standardgateway . . . . . . . . . : 172.17.1.1
   DHCP-Server . . . . . . . . . . . : 172.17.0.1
   DHCPv6-IAID . . . . . . . . . . . : 251664825
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-19-25-89-35-00-19-B9-70-3A-77
   DNS-Server  . . . . . . . . . . . : 172.17.0.1
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.mydom.lan:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: mydom.lan
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

dcdiag:

Verzeichnisserverdiagnose

Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   Homeserver = srv01

   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.

   Server wird getestet: lokal\SRV01

      Starting test: Connectivity

         ......................... SRV01 hat den Test Connectivity bestanden.

Prim„rtests werden ausgefhrt.

   Server wird getestet: lokal\SRV01

      Starting test: Advertising

         ......................... SRV01 hat den Test Advertising bestanden.

      Starting test: FrsEvent

         ......................... SRV01 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         ......................... SRV01 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         ......................... SRV01 hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         ......................... SRV01 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... SRV01 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... SRV01 hat den Test MachineAccount bestanden.

      Starting test: NCSecDesc

         ......................... SRV01 hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         ......................... SRV01 hat den Test NetLogons bestanden.

      Starting test: ObjectsReplicated

         ......................... SRV01 hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         ......................... SRV01 hat den Test Replications bestanden.

      Starting test: RidManager

         ......................... SRV01 hat den Test RidManager bestanden.

      Starting test: Services

         ......................... SRV01 hat den Test Services bestanden.

      Starting test: SystemLog

         ......................... SRV01 hat den Test SystemLog bestanden.

      Starting test: VerifyReferences

         ......................... SRV01 hat den Test VerifyReferences

         bestanden.

   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   Partitionstests werden ausgefhrt auf: mydom

      Starting test: CheckSDRefDom

         ......................... mydom hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... mydom hat den Test CrossRefValidation

         bestanden.

   Unternehmenstests werden ausgefhrt auf: mydom.lan

      Starting test: LocatorCheck

         ......................... mydom.lan hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         ......................... mydom.lan hat den Test Intersite

         bestanden.

Gruß

Tippe darauf:
IPv4-Adresse . . . . . . . . . . : 172.17.2.20(Bevorzugt)
20.
Subnetzmaske . . . . . . . . . . : 255.255.0.0
21.
Lease erhalten. . . . . . . . . . : Mittwoch, 1. Januar 2014 19:16:36
22.
Lease l„uft ab. . . . . . . . . . : Donnerstag, 9. Januar 2014 19:16:35
23.
Standardgateway . . . . . . . . . : 172.17.1.1
24.
DHCP-Server . . . . . . . . . . . : 172.17.0.1

Routing oder so bei dem Netzwerk wird eine Komponente auf /24 stehen...

Über Sinnhaftigkeit streiten wir jetzt besser nicht.

Routing => gibt nur ein VPN zu einem 172.16.0.0/16er Netz.
Komponente auf /24 ? Wüsste nicht welche, da die Clients alle per DHCP die IP's bekommen und das einzige was fest ist ist Server, Drucker, Router und Switch.

Die /16 hat hier einen Sinn. Gut es könnte auch größer sein als /16. Von der Anzahl der Hosts auch /24. Aber das ist etwas anderes

Gruß

Hi.

Gibt es einen Grund dafür, dass Du das Fehlerbild geheim hältst, selbst nach Peters Nachfrage?

Hi,
nein, gibt es nicht. Wie gesagt, der PC zeiht sich keine GPO's. Ich vermute dass hier was mit dem NLA nicht stimmt, da er im Netzwerk und Freigabeenter das Netzwerk als "mydom.lan 2 (nicht Authentifiziert)" erkennt. Hierbei ist es egal ob der Laptop via WLAn oder normalem LAN angeschlossen ist.
Wie auch schon gesagt, es funktioniert alles, bis auf die Tatsache, dass das Net auf nicht Authentifiziert ist und daher keine GPO's etc. gezogen werden. Das Arbeiten als solches funktioniert normal.

Gruß

Wie gesagt, der PC zeiht sich keine GPO's

Das ist kein vollständiges Fehlerbild. Wo liest Du das denn ab? Versuch mal die Aussage durch gpresult oder rsop zu untermauern und gib Auffälligkeiten des Eventlogs wieder.

Die gpresult und rsop kann ich erst nachher raussuchen, genau wie das eventlog. Wenn ich jedoch über die Console ein gpupdate /force mache, dann kommt der Fehler während des laufes Zugriff verweigert. -> Daraus schließe ich, dass der Laptop ein Problem mit der Authentifizierung an der Domain hat, was man im Netzwerk + Freigabecenter sehen kann.

Werde das aber nachher noch posten.

Was mir noch Einfällt im Bezug auf die Ereignisanzeige:
Fehler 1006 Code 5:
http://technet.microsoft.com/en-us/library/cc727283%28v=ws.10%29.aspx
das hat leider nicht geholfen.

Edit: Ich habe auch schon vom Server aus ein netdom reset laptop /server:srv01 /domain:mydom.lan ausgeführt -> Ohne Erfolg.

Gruß

Nimm den Laptop interaktiv aus der Domäne und wieder rein.

Habe ich schon getan, bevor ich den Thread eröffnet habe -> Ohne Erfolg

So, da bin ich wieder mal

Habe jetzt nochmal folgendes getestet: PC aus der Domain raus -> Reboot -> PC rein -> reboot. Ohne erfolg.
Das Problem scheint irgendwo beim NLA zu liegen.
Ist der PC nicht in der Domain zeigt er mir das Netzwerk als "mydom.lan" an, ist der PC in der Domain aufgenommen zeit ger "mydom.lan 2 (nicht Authentifiziert)" an.

Habe auch das Computerkonto gelöscht bevor ich Ihn wieder hinzugefügt habe.
der gpresult /h zeigt auch nichts auffälliges an.
gpupdate /force sagt folgendes:

C:\Users\myuser>gpupdate /force
Die Richtlinie wird aktualisiert...

Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Win
dows war für den Active Directory-Dienst auf einem Domänencontroller nicht mögli
ch. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine
Beschreibung finden Sie auf der Registerkarte "Details".  
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "  
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge  
bnisse zuzugreifen.

Ereignisanzeige:
Fehlercode 1006

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".  

Hab keine Idee mehr

Alle anderen Clients laufen problemlos (W7P)

Gruß

Ich wäre an Deiner Stelle nun schon mit meinem Backup dabei.

Meinst du neu aufsetzten? Also das Laptop? Weil alle anderen Clients laufen ohne Probleme.

Hast Du kein Backup? Neu Aufsetzen würde ich, wenn kein Backup da ist, ja.
Kannst natürlich auch eine Reparaturinstallation (="inplace upgrade") zunächst versuchen.

Nee, Backup ist nicht vorhanden. (Ich weiß, schande über mein Haupt ...) Es isteine "fast" neu installation vorhanden, auf einer SSD. Die könnte ich nochmal rein schrauben und schauen. Aber ansonsten ist wohl Neuinstallieren angesagt.
DaSi geht eigentlich auch. Ist nicht so viel drauf.

Gruß

Hallo,
ich kämpfe grad mit Problemen, die durch fehlende DNS suffixe verursacht werden.
Dadurch werden dann auch keine GPOs angewendet.
Der DHCP Server gibt die suffixe sauber bei allen anderen OS Versionen mit, aber bei 8.1 gibts damit wohl ein Problem.
Bei dir ist aber alles in einer Zone? mydom.lan

mfg
Stefan

Der DNS löst sauber auf. sowohl intern als auch extern. Ich schaue aber nochmal nach.

Gruß

Hallo zusammen,
ich habe eine Vermutung, wo das Problem ist.
Ich habe das Laptop neu aufgesetzt (auf einer separaten HDD). Domainbeitritt, alles prima.

Dann war ich mit dem Gerät bei meinen Eltern und habe einen Eintrag in die Hosts Datei vorgenommen, dass er meinen Server findet.
Als ich das Laptop dann wieder zuhause am Netz hatte war wieder "Nicht authentifiziert". Ich habe den Eintrag aus der Hosts gelöst und mich neu mit dem LAN verbunden.
Tada, auf einmal hat er es wieder korrekt erkannt...
Werde das noch mit der alten HDD gegenprüfen.

Gruß

German solved Question Windows 8 Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment