darklevi
Goto Top

Server 2012 R2 - Zugriff Verweigert bei jeglicher Tätigkeit

Hallo Kollegen,

ich habe hier ein furchtbares Problem bei dem ich keine Lösung finde außer einer Neuinstallation. -.-

Ich habe heute auf einem unserer Server die Updates installieren wollen. Der betreffende Server ist ein Hyper-V Host mit 5 virtuellen Maschinen. Darunter auch beide Domänencontroller, 2 Anwendungsserver und ein Exchange 2016 Postfachserver. Alles auf Windows Server 2012 R2.

Die virtuellen Maschinen wurden die letzten Tage geupdatet. Nun wurde diese heruntergefahren um auf dem Hyper-V Host die Updates zu installieren.
Beim obligatorischen Neustart nach den Updates kam ein Fehler mit der Meldung: "Änderungen werden rückgängig gemacht.". Nach 2 weiteren automatischen Neustarts der Maschine konnte ich mich wieder anmelden.

Doch jetzt das kuriose Problem: seit dem kann ich auf keinerlei Administrative Funktionen zurückgreifen.
Der Servermanager meldet: "Fehler beim Aktualisieren.", ping, ipconfig, powershell, net, etc. etc. wird mit "Zugriff verweigert" quittiert.

Über die mmc und das Snap-in "Lokale Benutzer und Gruppen" konnte ich einen Testaccount anlegen der mit lokalen Administrator-Rechten versehen wurde... kein Erfolg.

Ebenso die Anmeldung als lokaler sowie als Domänen-Admin machen keinen Unterschied. Auch andere Benutzerkonten aus der Domänen-Admin-Gruppe bekommen das selbe Phänomen.

Der Server wurde mehrmals neu gestartet, ebenso heruntergefahren, stromlos gemacht und wieder gebootet, kein Erfolg.

Zur Systemkonfiguration:

Installiert sind die Rollen Hyper-V sowie der iSCSI-Connector. Das wars. Des Weiteren sind außer den Treibern ESET File Security sowie pcVisit und TeamViewer 12 installiert. TeamViewer ist ein Überbleibsel bevor auf pcVisit umgestellt wurde. Jedoch kann ich diese nicht deinstallieren da, ihr ahnt es schon: "Zugriff verweigert. Fragen Sie Ihren Systemadministrator.".

Auch lassen sich die virtuellen Maschinen nicht mehr starten mit "Zugriff verweigert.".

Alles in allem bin ich echt ratlos und hatte eigentlich nicht vor mir die Nacht um die Ohren zu schlagen um das komplette System neu aufzusetzen...
Ich hoffe ihr könnt mir helfen sonst muss ich mir ein OneWay-Ticket nach Thailand holen und kann nie wieder zurück face-wink

Beste Grüße
DarkLevi

BTW: ich hänge hier noch ein paar Screenshots an zum Verständnis
zugriff_verweigert3
zugriff_verweigert1
system
zugriff_verweigert4
zugriff_verweigert2

Content-Key: 338540

Url: https://administrator.de/contentid/338540

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: tomolpi
tomolpi 21.05.2017 um 14:32:02 Uhr
Goto Top
Hallo,

ich glaube, wir kriegen dein problem schon gelöst. Oder zumindest so hin, das du nicht nach Thailand musst face-wink

1. Hast du ein Backup?
2. Gibt es noch mehr Domänencontroller oder Server bei dir, die nicht auf dem HV01 laufen?
3. Die Ereignisanzeige wird voll mit unschönen Fehlern sein, könntest du uns hier mit einigen Auszügen behilflich sein?

LG,

tomolpi
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 14:43:15 Uhr
Goto Top
Hi,

Danke für die schnelle Antwort.

zu 1. leider ist es Firmenpolitik Backups ausschließlich von Datendateien anzulegen
zu 2. Ja und nein. Es gibt keine weiteren DC's allerdings noch einen HV02 in der DMZ mit einem Reverse-Proxy-Server und dem Exchange-Edge Server... bei allen 3 keine Probleme
zu 3. log kommt in paar Minuten. Habe gerade die Temps geleert und einen weiteren Reboot
Mitglied: 132895
132895 21.05.2017 aktualisiert um 14:57:27 Uhr
Goto Top
Zitat von @DarkLevi:
zu 1. leider ist es Firmenpolitik Backups ausschließlich von Datendateien anzulegen
Und da machst du als Admin mit?? Selbst ans Bein gepisst face-wink, wenn man vor so einer Aktion kein Image macht.
zu 2. Ja und nein. Es gibt keine weiteren DC's allerdings noch einen HV02 in der DMZ mit einem Reverse-Proxy-Server und dem Exchange-Edge Server... bei allen 3 keine Probleme
zu 3. log kommt in paar Minuten. Habe gerade die Temps geleert und einen weiteren Reboot
Wenn auf der Kiste sowieso nur Hyper-V als Rolle läuft ist das Teil doch in ner Stunde wieder aufgesetzt, VMs zurückkopiert, fertig. Verstehe nicht was daran so "aufwendig" sein soll.

Gruß
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 15:07:31 Uhr
Goto Top
Windows-Protokolle Anwendungen:

Interner Fehler bei der MS DTC-Komponente. Der Prozess wird beendet. Fehler: DtcSystemShutdown (com\complus\dtc\dtc\msdtc\src\msdtc.cpp@2485): Shutting down with an error


Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Leeren der vorhandenen Ablaufverfolgungsdaten. Interne Informationen: none available.

Fehler:
Der Transaktions-Manager von MS DTC konnte nicht gestartet werden.

Fehler:
Der Transaktions-Manager von MS DTC konnte nicht gestartet werden. "LogInit" hat den Fehler 0x5 zurückgegeben. Wenn das entsprechende Volume wiederhergestellt wurde, ist dies das erwartete Verhalten (weitere Informationen finden Sie in den Knowledge Base-Artikeln zu diesem Thema). Wenden Sie sich in allen anderen Fällen an den Produktsupport.  

Fehler:
Die MS DTC-Protokolldatei wurde nicht gefunden. Stellen Sie sicher, dass alle von MS DTC koordinierten Ressourcen-Manager frei von unsicheren Transaktionen sind, und führen Sie dann "msdtc -resetlog" aus, um die Protokolldatei zu erstellen.  

Fehler:
Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren der Infrastruktur der Ablaufverfolgung. Interne Informationen: none available.

Warnung:
Der Anmeldebenachrichtigungsabonnent <GPClient> hat 119 Sekunden benötigt, um dieses Benachrichtigungsereignis (CreateSession) zu bearbeiten.
<- Ich denke dies liegt am fehlenden DC#

Die MS DTC relevanten Fehler wiederholen sich je reboot.

Windows-Protokolle System:

Warnung:
Der Terminalserver kann den Dienstprinzipalnamen "TERMSRV", der für die Serverauthentifizierung verwendet werden soll, nicht registrieren. Der folgende Fehler ist aufgetreten: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.  
.
<- ist klar, DC läuft ja nicht. Ebenso 2 DNS-Fehler auch klar.

Fehler:
Die Beschreibung für die Ereignis-ID "7024" aus der Quelle "Service Control Manager" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

Distributed Transaction Coordinator
%%3221229584

Das Ressourcenladeprogramm konnte die MUI-Datei nicht finden

Fehler:
Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.
<- auch klar, DC's und DNS laufen ja nicht.

Fehler:
Die Beschreibung für die Ereignis-ID "106" aus der Quelle "Microsoft-Windows-Hyper-V-VmSwitch" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

46
/DEVICE/{11D12630-1AA4-42B4-810A-3806E963E220}
47
Microsoft Network Adapter Multiplexor Driver #2
36
C3F0AFA5-2371-4957-9F57-A219AEB67E27
4
DC01
2
<- Dies ist für alle LBFO-Teams vorhanden

Fehler:
Vom Initiator konnte keine Verbindung mit dem Ziel hergestellt werden. Die Ziel-IP-Adresse und die TCP-Anschlussnummer sind in Sicherungsdaten angegeben.
<- Das iSCSI-Storage ist aber vorhanden und eingebunden. Zugriffe funktionieren.

Warnung:
Die Beschreibung für die Ereignis-ID "27" aus der Quelle "ixgbt" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

Intel(R) Ethernet Controller X540-AT2 #2
<- für 2 Ethernet Controller

Warnung:
Die Beschreibung für die Ereignis-ID "27" aus der Quelle "e1rexpress" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

Intel(R) Ethernet Server Adapter I350-T4 #6
<- für alle Ethernet Controller

Warnung:
Die Beschreibung für die Ereignis-ID "11" aus der Quelle "iANSMiniport" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

Intel(R) Ethernet Server Adapter I350-T4 #11
<- hier wiederum für 2 Controller

Warnung:
Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab. 

 Benutzeraktion 
 Wenn Sie den Dienst nicht unbeabsichtigt beendet haben, verwenden Sie folgenden Befehl, um die WinRM-Konfiguration anzuzeigen: 

 winrm enumerate winrm/config/listener
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 15:14:18 Uhr
Goto Top
Zitat von @132895:

Zitat von @DarkLevi:
zu 1. leider ist es Firmenpolitik Backups ausschließlich von Datendateien anzulegen
Und da machst du als Admin mit?? Selbst ans Bein gepisst face-wink, wenn man vor so einer Aktion kein Image macht.
zu 2. Ja und nein. Es gibt keine weiteren DC's allerdings noch einen HV02 in der DMZ mit einem Reverse-Proxy-Server und dem Exchange-Edge Server... bei allen 3 keine Probleme
zu 3. log kommt in paar Minuten. Habe gerade die Temps geleert und einen weiteren Reboot
Wenn auf der Kiste sowieso nur Hyper-V als Rolle läuft ist das Teil doch in ner Stunde wieder aufgesetzt, VMs zurückkopiert, fertig. Verstehe nicht was daran so "aufwendig" sein soll.

Gruß

Naja die Server sind damals vorinstalliert geliefert worden, sprich Treiber und Windows Server Image liegen auf dem Server. DVD-Laufwerk gibt es keines. Die VM's liegen auf dem iSCSI. Von daher, rein von der config her hast du recht. Aber angesichts dessen am Sonntag Nachmittag einen externen DVD-Brenner aufzutreiben, die Image zu brennen in der Hoffnung dass es hier keinen "Zugriff verweigert" gibt um dann erst mit der Neuinstallation anfangen zu können, sowie die 12 Ethernet Controller wieder zu konfigurieren wäre es mir natürlich lieber eine andere Lösung zu finden.

Und zu 1.... ja du hast Recht, aber mitgehangen mitgefangen...
Scheinbar hatten die früheren Admins immer wieder Probleme mit dem VSS weswegen auf reines Datenbackup umgestellt wurde -.-

LG
Mitglied: 132895
132895 21.05.2017 aktualisiert um 15:27:01 Uhr
Goto Top
Ihr habt zwei virtuelle DCs un der Host ist in der Domain, was soll das denn bringen? Warum kein extra Blech für mindestens einen DC wenn ihr keinen Failover Cluster betreibt?
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 15:27:25 Uhr
Goto Top
Frag mich bitte nicht, war schon so als ich übernommen habe. Vermute mal Sparpolitik, bringt mich jetzt aber auch nicht weiter.
Mitglied: 132895
132895 21.05.2017 aktualisiert um 15:32:14 Uhr
Goto Top
Bring einen der DCs woanders wieder online, denke das sollte erst mal einiges helfen.
Mit der Zeit für du hier schon damit verbracht hast hättest du die Kiste schon wieder am laufen face-wink.
Naja, dann noch viel Erfolg beim Zeit totschlagen face-wink, arbeite stattdessen mal für dein Geld face-smile.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2017 um 15:42:42 Uhr
Goto Top
Tipp:USB Sticks gehen auch bzw sogar besser, die letzte von CD Installation ist bei mir schon einige Jahre her.
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 15:52:43 Uhr
Goto Top
Also DC online bringen hat nichts genutzt. Bin gerade dabei einen Stick für die Installation vorzubereiten. Bleibt nichts mehr die Zeit steht nicht still face-sad

Ab Montag dann also Thailand ;)
Mitglied: tomolpi
tomolpi 21.05.2017 um 16:19:55 Uhr
Goto Top
Alternativ kannst du dir auch einen DC temporär auf einen Client mit installierter Hyper V Rolle ziehen und dann den Server Mal neustarten... Aber natürlich drauf achten das die VM die gleichen IPs usw. erhält...
Mitglied: DarkLevi
DarkLevi 21.05.2017 um 16:32:49 Uhr
Goto Top
So habe ich es gemacht tomolpi. Hat leider wie schon erwähnt nichts gebracht. Setze die Kiste gerade neu auf, dann sollte sich das erledigt haben.
Mitglied: Herbrich19
Herbrich19 21.05.2017 um 17:41:13 Uhr
Goto Top
Hallo,

Hast du den Host in der selben Domäne wo der DC Virtualisiert ist? Installiere einen neuen Server, lade die DC Files der VM auf diesen und versuche den DC zu booten. Wen ein Active Directory domänekontroller antworten kann dann sollte der Host auch wieder normal Arbeiten.

Ansonsten mit der Eingabehilfedas Passwort zurück setzen (schreibe ich jetzt aber hier nicht wie das geht weil man das auch Böswillig verwenden kann und die Scriptkiddys sollen kein weiteren input für blödsinn bekommen, via pn gerne).

So viel auch zu den Thema kein DC auf Hyper-V wen der Host mitglied der Domäne ist. Übrigens hatte ich mit 2012 ja auch mal das selbe Problem. Da hat nur geholfen den DC auf einen anderen System zum laufen zu bringen.

Merke: Firewalls und DC,s gehören nicht Virtualisiert (DCs unter bestimmten umständen wie diesen).

Gruß an die IT-Welt,
J Herbrich