thomasgr
Goto Top

Anmeldung direkt am DC nicht möglich

Hallo,

ich habe bei unserem Server 2016 Standard ein Problem.
Keine Ahnung wie das auf einmal passiert ist.
Ich kann mich direkt am DC nicht mehr anmelden.
Als Fehlermeldung kommt:

Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für
diese Arbeitsstationsvertauenssstellung.

Ab und zu kenn ich das wohl von Clients, aber direkt am Server??
Das ganze hat ca. 2 Monate ohne Probleme funktioniert.

Ich weiß hier keinen Rat m ehr und auch im Internet finde ich nur etwas, was mit
den Clients zu tun hat.

Vielen Dank

Thomas

Content-Key: 358218

Url: https://administrator.de/contentid/358218

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: keine-ahnung
keine-ahnung 14.12.2017 um 17:00:19 Uhr
Goto Top
Moin,
mit welcher Syntax versuchst Du Dich auf der Büchse anzumelden?
DNS funktioniert?

LG, Thomas
Mitglied: ThomasGr
ThomasGr 14.12.2017 um 17:11:01 Uhr
Goto Top
Naja, ich stehe direkt vor dem Server und gebe das Administratorpasswort ein,
dann kommt die Fehlermeldung.
Das Gleiche ist auch per RDP vom Client, oder wie meinst du das?

Gruß

Thomas
Mitglied: emeriks
emeriks 14.12.2017 um 17:18:41 Uhr
Goto Top
Hi,
er meint sicher, in welcher Schreibweise Du den Anmeldenamen eingibst.

E.
Mitglied: keine-ahnung
keine-ahnung 14.12.2017 um 17:20:12 Uhr
Goto Top
Das Gleiche ist auch per RDP vom Client, oder wie meinst du das?
Ich hole gleich den Hammer raus ... face-sad

user@domina.porno oder domina.porn\user oder domina\user .... bin mir nicht sicher, ob ich das dom...wort richtig geschrieben habe, bin ja auch nur ein Mensch face-smile
DNS?

LG, Thomas
Mitglied: ThomasGr
ThomasGr 14.12.2017 um 17:27:21 Uhr
Goto Top
Achso, bin gerade schwer von Begriff, habe da schon eine Weile rumprobiert.

Also
Domäne\Administrator
Adminstrator@domäne
domäne.local\Administrator
Administrator@domäne.local
habe ich alle durch.

Egal ob per RDP oder direkt vor dem Server

dns scheint OK
Wenn ich nslookup am Clients eingeben bekomme ich das richtig angezeigt.

Auch wenn ich z.B. nslookup srv-app eintippe bekomme ich vom DC die beiden richtigen IP´s aufgelöst

Gruß
Thomas
Mitglied: keine-ahnung
keine-ahnung 14.12.2017 um 17:35:42 Uhr
Goto Top
Auch wenn ich z.B. nslookup srv-app
Nachtigall, ick hör ... srv-app? Klingt für mich umgangssprachlich nach Anwendungserver? Und das ist Dein DC? Steht da noch ein DC in der Bude rum?
Das ganze hat ca. 2 Monate ohne Probleme funktioniert.
Ist das Teil migriert worden?

Beschreib mal ein bisschen Dein setup ausführlicher, sonst kommen wir hier keinen Schritt weiter ... ich muss eh gleich wieder in die Stadt reinfahren, schXXss Weihnachten ... face-sad

LG, Thomas
Mitglied: ThomasGr
ThomasGr 14.12.2017 um 17:57:31 Uhr
Goto Top
Also gut, von Anfang an

Wir hatten noch einen alten SBS 2003 ohne Exchange am laufen wegen älterer Software,
diese wurde nun erneuert und es wurde ein neuer Server angeschafft
Es gab insgesamt 3 Server 1x DC (SBS 2003), 1x srv-app (Server 2008R2), 1x srv-db (Server 2008R2)

Ich habe im Internet rumgesucht und auch gelesen, dass man direkt eine Migration von 2003 auf
2016 machen kann, was ich auch gemacht habe.
Der 2003 wurde nach allem kopieren auch aus der Domäne entfernt.
Auf dem neuen Server (2016) wurde dann alles soweit getestet, lief ja auch ohne Probleme
Client Anmeldung war OK, Internet lief, DNS läuft.


Mmmh, wenn du noch mehr wissen musst.....
Mitglied: departure69
departure69 14.12.2017 aktualisiert um 18:27:30 Uhr
Goto Top
Hallo.

Wenn das kein DC wäre, würde ich erstmal dazu raten, sich mit einem lokalen Account anzumelden und die Kiste mal zu rebooten. Geht hier aber nicht, auf DCs gibt's keine lokalen Konten.

Hmmm, schwierig.

Machst Du an dem Server regelmäßig Windows Updates? WUs haben mir an unseren W2K16 schon manchmal die lokale Firewall (die bei uns eigentlich per GPO abgeschaltet ist) eingeschaltet. Wenn dann keine Kerberos-Auth. mehr durchging, hatte ich auch diese Fehlermeldung. Sind/waren aber Member-Server, so daß ich die Firewall mit einem lokalen Admin-Account wieder ausknipsen konnte, diese Möglichkeit hast Du an dem DC nicht ...

Stichwort GPO: An bestehenden GPOs was gefummelt oder neue GPOs, die was damit zu tun haben könnten, hinzugekommen?


Viele Grüße

von

departure69
Mitglied: nEmEsIs
nEmEsIs 14.12.2017 um 19:21:33 Uhr
Goto Top
Hi

Kannst du den Server Neustarten ?
Ist ja jetzt bald Wochenende.

Kommst du per RSAT auf Sachen wie DNS AD etc. von deinem Client ?
Wenn ja schon mal gut.

Dann schau mal deine GPOs durch nicht das du da was verändert hast und z.b auf den ganzen AD Baum angewendet hast oder die default (Domain)Controller Policy verändert hast ?


Wenn nein dann Versuch mal den Abgesicherten Modus beim Boot und schau was z.b die Ereignisanzeige dir ausgibt.

Hast du einen Backup Domain Administrator ?
Geht vll der ?

Mit freundlichen Grüßen Nemesis
Mitglied: emeriks
emeriks 14.12.2017 um 19:29:07 Uhr
Goto Top
Kannst Du den Server remote administrieren?
Kommst Du mit Deinem Benutzer ans AD ran mit den MMC's? Wenn ja, gibt s dort das Computerkonto für den DC noch und ist dieses nicht deaktiviert?
Kannst Du auf C$ und ADMIN$ des DC zugreifen?
Kannst Du die Zeit des DC abfragen? Wenn ja, ist diese aktuell?
net time \\dc
Kannst Du z.B. mit
shutdown /m \\dc -r -f
diesen durchstarten?
Mitglied: keine-ahnung
keine-ahnung 14.12.2017 um 19:54:28 Uhr
Goto Top
Ich habe im Internet rumgesucht und auch gelesen, dass man direkt eine Migration von 2003 auf 2016 machen kann, was ich auch gemacht habe.
Lass mich bitte weiter im Trüben fischen ... der neue DC ist namensgleich mit dem alten?

LG, Thomas
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.12.2017 aktualisiert um 20:11:25 Uhr
Goto Top
Hallo Thomas,

du kennst das ab und zu wohl von Clients? Dann ist da ein größeres Problem vorhanden. Wenn du willst, schreib gerne mal ne PM.

VG
Mitglied: ThomasGr
ThomasGr 14.12.2017 um 21:36:04 Uhr
Goto Top
Nabend, an den GPO´s habe ich nicht rumgefummelt, außer
die Benutzeranmeldung beim Domain Policy, so dass man nicht
solche komplizierten Kennwörter hat. Mehr nicht
Dann habe ich noch ein neue erstellt wo das Netzlaufwerk verbunden wird.


Per RSAT werde ich morgen probieren.

Der Server hat einen anderen Namen als der alte Server.

Ich hoffe, morgen bekomme ich mehr raus und habe per RSAT die
Möglichkeit darauf zuzugreifen. Danach kann ich bestimmt mehr sagen.

Gruß
Thomas
Mitglied: ThomasGr
ThomasGr 15.12.2017 um 16:28:50 Uhr
Goto Top
UPDATE

Hatte mal versucht, mich mit einem Laptop an die Domäne anzumelden, klappte aber auch nicht.

Per RSAT kam ich leider nicht auf die Domäne drauf, sie wurde zwar gefunden aber der Aufbau hat nicht funktioniert.
Dann habe ich die NTDS Datei geprüft und festgestellt, dass diese defekt ist.


Nach den Anleitung im Internet konnte ich diese reparieren und es wurde auch kein Fehler mehr angezeigt.
Danach Server neu gestartet und zack, er fährt nicht mehr hoch, Fehler c00002e2, wie toll.

Danach noch ein wenig im Internet geguckt, man soll die .log Dateien löschen, brachte auch nix.

Stand jetzt, der Server fährt nicht mehr hoch, ich bin total fertig, werde Montag wohl die Domäne neu
einrichten müssen und dann alle Clients wieder neu einrichten müssen.

So hatte ich mir den Wochenstart nicht vorgestellt.

Die Domäne würde ich gerne gleich benennen, trotzdem muss ich die Clients wieder neu einbinden, richtig?


Wenn jetzt noch einer einen goldenen Tipp für mich hat, dann wäre ich echt dankbar.
Vielleicht ist aber auch schon alles in den Brunnen gefallen.....

Gruß
Thomas
Mitglied: nEmEsIs
nEmEsIs 15.12.2017 um 17:24:51 Uhr
Goto Top
Hi

Ganz ehrlich:
Such dir ein Systemhaus deines Vertauens!
Du hast nicht zufälligerweise ein Backup das du einspielen kannst?

Ist der Server nur DC ?
Ist es der einzige DC ?
Wenn ja viel Spaß wenn du auf einem anderen Server noch Filesystemberechtigungen hast oder deine Datenbank berechtigt ist.
Das musst du alles neu machen, weil deine Sicherheitsgruppen nicht mehr existieren.
Alle User neu anlegen ...
Also sehr sehr viel Arbeit...

Setz zukünftig bitte zwei DCs (auch wenn es Geld kostet) auf und lass diese bitte nur als DCs laufen!

Und richte ein vernünftiges Backup ein!!!!!

Mit freundlichen Grüßen Nemesis
Mitglied: Hubert.N
Hubert.N 16.12.2017 um 01:44:51 Uhr
Goto Top
Moin

Also bevor ich gleich die ganze Domäne neu aufsetze, würde ich doch erst mal
- den Server im Modus "Verzeicnisdienstwiedeherstllung" starten
- die Ereignisprotokolle sichten
- und wenn das alles nichts nützt eine Wiederherstellung des Systemstate aus meinem Backup durhführen.


Gruß

Dye
Mitglied: ThomasGr
ThomasGr 19.12.2017 um 20:36:29 Uhr
Goto Top
So nun nach zwei Tagen habe ich alles neu gemacht
Domäne neu eingerichtet mit DNS und DHCP
Clients wieder neu eingebunden und erstmal ne Systemstate Sicherung erstellt.

Sicherungsserver wird ebenfalls installiert worauf alle 3 Server jeden Tag gesichert werden.
Ich hoffe, dass mir sowas nicht nochmal passiert.

Gruß

Thomas