Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein Login als Domain-Admin mehr möglich

Frage Microsoft Windows Server

Mitglied: jsysde

jsysde (Level 2) - Jetzt verbinden

25.07.2011 um 22:07 Uhr, 9489 Aufrufe, 11 Kommentare

Moin moin,

mich treibt gerade ein merkwürdiges Phänomen um: Mit einem Schlag kann ich mich auf einem Windows 7 Prof nicht mehr als Domain-Admin anmelden, als lokaler Administrator bzw. als Domain-User hingegen schon.

Unser Netz mal kurz umrissen:
Mehrere Standorte deutschlandweit, LAN-LAN-Kopplung via IPSEC, Full-Mesh-Szenario. Domain läuft im 2003er Modus, als DCs kommen 2003R2 bzw. 2008R2 zum Einsatz. An Kleinststandorten mit nur einem oder zwei Usern existiert kein DC, an allen anderen Standorten schon. Im AD sind die Standorte ohne DC dem nächstgelegenen Standort zugeordnet (Subnetz). DNS, WINS, DHCP etc. alles zentral über die DCs/Server im RZ. Funktioniert soweit alles prima.

Heute fiel mir auf, das ein Windwos 7 Pro an einem der Standorte ohne DC die Updates unserer Security-Suite verweigert, also wollte ich mich -nachdem die Kollegin Feierabend gemacht hat- mal via RDP als Domain-Admin anmelden. Wir haben mehrere Domain-Admin Accounts, wobei die alle eine Kopie des ursprünglichen "Administrator"-Accounts sind, quasi pro Standort ein Account. Es dürfen auch nur Domain-Admins Rechner in die Domäne heben.

Aber: Die Anmeldung wird mir mit "Benutzername oder Kennwort sind falsch" verweigert!
Einmal vertippt hätte sein können, zweimal vielleicht grad noch so, aber ich bin mir zu 1000% sicher, dass ich Benutzernamen und Kennwort korrekt eingegeben habe.Trotzdem gelingt die Anmeldung nicht, Eventid 4625 in Kombination mit 4673 wird geloggt.

Client aus der Domain genommen, Computerkonto zurückgesetzt - beim Re-Join selbe Fehlermeldung: Benutzername oder Kennwort falsch bzw. unbekannt.

Also Client umbenannt, neu gestartet, und voilá, ich konnte ihn mit den vorher nicht funktionierenden Credentials wieder der Domain hinzufügen. Kiste hat auch brav die via GPO verteilte Software installiert und zieht auch alle sonstigen GPOs einwandfrei und ohne Fehler. Und nun kommts: Zwei Neustarts später wieder der gleiche Fehler, kein Login als Domain-Admin möglich, als Domain-User (mit lokalen Adminrechten via GPO) und lokaler Administrator hingegen schon.

Der Client zieht auch seine Loginskripts einwandfrei, Drucker und Laufwerke werden verbunden bei Benutzeranmeldung. Ich warte nun mal bis morgen die Replikation vollständig durch ist, fürchte aber, dass das nicht das Problem ist - der Client war ja vorher schon ne Weile in der Domäne und sein Computerkonto wurde sauber repliziert.

Ich stehe echt vor nem Rätsel und bin für Denkanstösse wirklich dankbar.

Cheers,
jsysde
Mitglied: clSchak
25.07.2011 um 22:26 Uhr
hast du es mal mit dem globalen Administrator-Account probiert - evtl. wird der "zuständige" Admin-Account nicht repliziert (hatten ein ähnliches Problem mit einem User-Account in Italien)
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 07:03 Uhr
hast du es mal mit dem globalen Administrator-Account probiert
Na sicher dat. Ich bin mal alle Domain-Admin-Accounts durchgegangen, nicht einer funktioniert.

Cheers,
jsysde
Bitte warten ..
Mitglied: holli.zimmi
26.07.2011 um 08:29 Uhr
Hi jsysde,

Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.

PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.

Gruss

Holli
Bitte warten ..
Mitglied: DerWoWusste
26.07.2011 um 11:20 Uhr
Hi.

Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout bei der Anmeldemaske (und evtl. auch in Windows) auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:24 Uhr
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.
Genau das habe ich ja bereits gemacht.


PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Diese Weisheit teile ich nicht.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:25 Uhr
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout (und evtl. auch in Windows)
bei der Anmeldemaske auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Die Idee hatte ich als erstes, dem ist nicht so, denn

Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
auf diese Weise wird das Kennwort korrekt angezeigt.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 20:29 Uhr
Ich bin mittlerweile echt ratlos - bis vorgestern habe ich behauptet, wenn man bei der Windows-Anmeldung Benutzername und Kennwort richtig einbgibt, kann man sich auch anmelden. Dieses Phänomen revidiert diese Aussage, denn trotz zu 1000% richtiger Anmeldedaten erhalte ich die Fehlermeldung, das Benutzername und/oder Kennwort unbekannt sind.

Da dies "nur" die Anmeldung eines Domain-Admins betrifft, stellt sich die Frage:
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?

Wireshark hat mir nicht wirklich weitergeholfen, auch die Eventlogeinträge bringen mich nicht weiter, zumal die sowieso nicht immer zutreffen. Help, anyone?

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 20:51 Uhr
Ein paar Tests sind naheliegend:
-Nimm den User aus der Domänenadmingruppe raus
-Mach einen bestehenden, funktionierenden zum Dom-Admin
-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut

Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)

Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 21:52 Uhr
-Nimm den User aus der Domänenadmingruppe raus
Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),

-Mach einen bestehenden, funktionierenden zum Dom-Admin
Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Das könnte ich noch probieren - wobei das bisherige Kennwort keine Sonderzeichen erhält, nur ASCII-Zeichen.

> Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)
Ja, zu dieser Aussage habe ich mich auch schon mehrfach durchgegoogled.


Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Das hatte ich noch nicht auf dem Radar: Ein defekter Rechner und damit wg. defekter Hardware auftretende Zickereien. Eigenlich naheliegend, aber wie das so ist, der Wald, die Bäume...

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 21:57 Uhr
-Nimm den User aus der Domänenadmingruppe raus

Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),
-Mach einen bestehenden, funktionierenden zum Dom-Admin

Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

Hammer. Dennoch ist es ein Einzelfall, zum Glück. Keinen Kopf machen um sowas.

... wg. defekter Hardware auftretende Zickereien
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Bitte warten ..
Mitglied: jsysde
05.09.2011 um 12:19 Uhr
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Späte Rückmeldung, sorry. Neu-Installation war dann der letzte Ausweg, keine Probleme mehr mit der Büchse.

Cheers,
jsysde
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Java Ausführung nur als lokaler Admin möglich? (1)

Frage von crack24 zum Thema Windows Userverwaltung ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Windows Server
Domain Admin GPOs (4)

Frage von winlin zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...