12
Kein Betritt zur Domäne möglich?
Nachdem mich mein Win2003 Server nichtmal mehr die GPO der Domäne ändern lassen wollte sah ich mich gezwungen das komplette AD zu löschen und neu zu installieren, als ich nun versuchte deinen Client wieder an der Domäne anzumelden kam das übliche: Eingabe von Benutzernamen und Passwort und der Domäne --> Computerkonto in Domäne gefunden --> wolle Sie es nutzen --> Ja--> Eingabe von Benutzername und PW des berechtigten Kontos ---> Computer konnte nicht zur Domäne *** beitreten --> Zugriff verweigert.
Das ist nun mein Problem und ich weis nicht wie ich es lösen soll, hatte auch einmal das zw. Client und Server keine Vertrauensstellung aufgebaut werden konnte, aber das kam nur einmal.
Wie kann ich dieses Problem lösen? Als berechtigtes Konto nehme ich natürlich das des Domänen-Admins.
Das ist nun mein Problem und ich weis nicht wie ich es lösen soll, hatte auch einmal das zw. Client und Server keine Vertrauensstellung aufgebaut werden konnte, aber das kam nur einmal.
Wie kann ich dieses Problem lösen? Als berechtigtes Konto nehme ich natürlich das des Domänen-Admins.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22814
Url: https://administrator.de/contentid/22814
Printed on: April 24, 2024 at 16:04 o'clock
12 Comments
Latest comment
Ich versteh da nur Bahnhof.
du hast deine komplette domain platt gemacht ohne vorher einen BDC zu erstellen ? egal...
also du hast dienen DC "platt" gemacht, wie ? wo meldest du denn deine pcs an ? an der neuen domain ? das kann ja nicht funzen, die neue domain kennt die clients doch gar nicht ?!....
du hast deine komplette domain platt gemacht ohne vorher einen BDC zu erstellen ? egal...
also du hast dienen DC "platt" gemacht, wie ? wo meldest du denn deine pcs an ? an der neuen domain ? das kann ja nicht funzen, die neue domain kennt die clients doch gar nicht ?!....
Hallo Mindmaster,
wenn du den Rechner neu hochgestuft hast, sind erstmal keine Maschinenkonten vorhanden.
Ich nehme also an, dass du diese manuell erstellt hast.
Deine Beschreibung nach hast du versucht, die Rechner über 'Netzwerkkennung' in die Domäne zu bringen.
Stand in der Fehlermeldung die du erhalten hast etwas von SRV-Einträgen?
Dann stimmt etwas mit dem DNS nicht.
Du könntest noch versuchen, die Rechner mittels des Button 'Ändern' zum joinen zu überreden.
Wenn das nicht funktioniert solltest du mal die Fehlermeldung posten.
Gruß
gemini
wenn du den Rechner neu hochgestuft hast, sind erstmal keine Maschinenkonten vorhanden.
Ich nehme also an, dass du diese manuell erstellt hast.
Deine Beschreibung nach hast du versucht, die Rechner über 'Netzwerkkennung' in die Domäne zu bringen.
Stand in der Fehlermeldung die du erhalten hast etwas von SRV-Einträgen?
Dann stimmt etwas mit dem DNS nicht.
Du könntest noch versuchen, die Rechner mittels des Button 'Ändern' zum joinen zu überreden.
Wenn das nicht funktioniert solltest du mal die Fehlermeldung posten.
Gruß
gemini
Weiß nicht, ob Du clientseitig vielleicht eine Firewall installiert hast, aber:
Ich war vor knapp 3 Monaten bei einem Kunden, Notfall.
Besagte Problematik:
- DC gefunden
- Zugriff möglich
- Wizard startet, Username des Admins verwendet
Zugriff verweigert!
Okay, ich habe auch erst mal geguckt, noch dazu, weil ja schon 4 Firmen an diesem Server herumgedoktert haben.
Jedoch:
Wenn auf dem Client bei der Anmeldung ZoneAlarm lief, Fehler.
Anschließendes Reaktivieren der Firewall war kein Problem.
Vielleicht...
Lonesome Walker
Ich war vor knapp 3 Monaten bei einem Kunden, Notfall.
Besagte Problematik:
- DC gefunden
- Zugriff möglich
- Wizard startet, Username des Admins verwendet
Zugriff verweigert!
Okay, ich habe auch erst mal geguckt, noch dazu, weil ja schon 4 Firmen an diesem Server herumgedoktert haben.
Jedoch:
Wenn auf dem Client bei der Anmeldung ZoneAlarm lief, Fehler.
Anschließendes Reaktivieren der Firewall war kein Problem.
Vielleicht...
Lonesome Walker
Aus diesem Grund deaktivieren wir per Policy intern jedwede Firewall.
Habe die Domain per dcpromo gelöscht und anschliessend (nach neustart) mit dcpromo wieder erstellt, das läuft alles noch Testweise, alles kein problem es soll ja erstmal alles ohne Probleme funktionieren, das mit der Firewall (Norton internet Sec. 2006) werde ich morgen mal testen. Das von mir manuell erstellte Computerkonto wird ja auch ohne Problem gefunden, also schließe ich DNS Fehler aus. Das Benutzerkonto hatte ich auch vorher auf dem DC manuell erstellt.
Warum legst du die Computer Konten per Hand an ?
Hi Mindmaster,
In der DNS-Verwaltung findest du unter den Forward-Zonen auch eine namens _msdcs.< domäne >.< ext >
Darin sind die SRV-Records die dem Client sagen, wer für was im Netz zuständig ist.
Beim Joinen sucht der Client diese Einträge.
Die Namensauflösung kann funktionieren, trotzdem hier ein Fehler vorliegt.
Die Fehlermeldung wäre also schon ganz interessant.
Ebenso, ob es mit dem 'Ändern'-Button evtl. klappt.
In der Testumgebung würde ich erstmal alles deinstallieren was zum Betrieb der Domäne nicht grundlegend wichtig ist. Eine Firewall ist es nicht, genausowenig ein Virenscanner.
Das kann, wenn nötig, alles nachinstalliert werden, momentan erschwert es nur die Fehlersuche.
Auch gehört auf einen DC keine Firewall, der Punkt der Netzabsicherung muss vorher liegen.
Entweder auf einem Firewallrechner, einer Appliance oder notfalls auf dem Router. my 2c
Gruß
gemini
auch ohne Problem gefunden, also schließe ich DNS Fehler aus.
Ganz so einfach ist es nicht.In der DNS-Verwaltung findest du unter den Forward-Zonen auch eine namens _msdcs.< domäne >.< ext >
Darin sind die SRV-Records die dem Client sagen, wer für was im Netz zuständig ist.
Beim Joinen sucht der Client diese Einträge.
Die Namensauflösung kann funktionieren, trotzdem hier ein Fehler vorliegt.
Die Fehlermeldung wäre also schon ganz interessant.
Ebenso, ob es mit dem 'Ändern'-Button evtl. klappt.
In der Testumgebung würde ich erstmal alles deinstallieren was zum Betrieb der Domäne nicht grundlegend wichtig ist. Eine Firewall ist es nicht, genausowenig ein Virenscanner.
Das kann, wenn nötig, alles nachinstalliert werden, momentan erschwert es nur die Fehlersuche.
Auch gehört auf einen DC keine Firewall, der Punkt der Netzabsicherung muss vorher liegen.
Entweder auf einem Firewallrechner, einer Appliance oder notfalls auf dem Router. my 2c
Gruß
gemini
Warum legst du die Computer Konten per Hand an ?
Wenn sie beim joinen angelegt werden, sind sie erstmal im Comtainer Computers.Legt man sie dagegen per Hand gleich in der richtigen OU an, werden sie beim joinen gefunden und alle Policies greifen sofort.
Ist bspw. dann sinnvol, wenn die Rechner von Usern gejoined werden, was ja auch machbar ist.
> Warum legst du die Computer Konten per
Hand an ?
Wenn sie beim joinen angelegt werden, sind
sie erstmal im Comtainer Computers.
Legt man sie dagegen per Hand gleich in der
richtigen OU an, werden sie beim joinen
gefunden und alle Policies greifen sofort.
Ist bspw. dann sinnvol, wenn die Rechner von
Usern gejoined werden, was ja auch machbar
ist.
Hand an ?
Wenn sie beim joinen angelegt werden, sind
sie erstmal im Comtainer Computers.
Legt man sie dagegen per Hand gleich in der
richtigen OU an, werden sie beim joinen
gefunden und alle Policies greifen sofort.
Ist bspw. dann sinnvol, wenn die Rechner von
Usern gejoined werden, was ja auch machbar
ist.
hmmm, auf die idee wuerde ich nie kommen, wuerde niemandem das recht geben ,
aber gut zu wissen, werds zwar nie so machen aber jut
auch nutzen wir keinen wizard dafuer, unter systemeigenschaften auf aendern und domain eintragen, domain pass rein und den rechner der domain beitreten lassen, danach in die OU....
Auch gehört auf einen DC keine
Firewall, der Punkt der Netzabsicherung muss
vorher liegen.
Entweder auf einem Firewallrechner, einer
Appliance oder notfalls auf dem Router. my
2c
Firewall, der Punkt der Netzabsicherung muss
vorher liegen.
Entweder auf einem Firewallrechner, einer
Appliance oder notfalls auf dem Router. my
2c
ich bin der meinung das auf den domain controller absolut gar nichts gehoert was MS nicht selbst mitbringt. sicherheit etc muss wie du schon sagtest davor gewaehleistet sein.
Auf dem DC selber ist keine Firewall installiert, dachte eher an die Firewall auf dem Client. Wenn ich es mit ändern versuche kommt wieder Zugriff verweigert.
Habe den Server heute nochmal neugestartet (man weis ja nie) und habe es nochmal versucht, diesmal ging es sofort ohne Probleme, aber trotzdem Danke für die vielen hilfreichen Antworten.
