Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SRV2012R Domänenbeitritt: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer

Frage Microsoft Windows Server

Mitglied: d3x1984

d3x1984 (Level 1) - Jetzt verbinden

23.09.2014, aktualisiert 24.09.2014, 5632 Aufrufe, 12 Kommentare, 1 Danke

Hi zusammen,
wegen diverser Probleme wolle ich heute einen SRV 2012 R2 (kein DC) aus der domäne nehmen.
Ich habe ihn ganz normal aus der domäne genommen und dann neugestartet.
Wenn ich nun versuche ihn wieder in die Domäne aufzunehmen kommt die fehlermeldung:

"Bei dem Versuch der Domäne xyz.local Beizutreten trat folgender Fehler auf:
Anmeldung Fehlgeschlagen: Der Benutzer besitzt nicht den benötigten anmeldetyp auf diesem Computer"

Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.


Hat jemand einen schimmer was hier vorgeht?

ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg

In den Protokollen (Sicherheit) kann ich folgende drei ereignisse sehen:


Nummer1 mit ID 4672:

Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

- EventData

SubjectUserSid S-1-5-18
SubjectUserName SRV2012$
SubjectDomainName INTERN
SubjectLogonId 0x128b78
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege





Nummer2 ( ID 4624):
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Identitätswechselebene: Identitätswechsel

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmelde-GUID: {5a4b6fd1-7d93-5a7b-4814-eb075ca527f9}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 63589

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld "Identitätswechselebene" gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.


- EventData

SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {5A4B6FD1-7D93-5A7B-4814-EB075CA527F9}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress ::1
IpPort 63589
ImpersonationLevel %%1833





Un hier nummer 3 mit ID 4634

Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.

EventData

TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3


Mitglied: Dani
23.09.2014 um 17:03 Uhr
Moin,
Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.
Welchen? Den Domänen-admin oder den Lokalen? Einfach die Domäne voran stellen: test.local\administrator.

ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg
Hoffentlich nicht auf dem Domain Controller sondern auf dem betroffenen Server. Wobei das nicht die Ursache sein kann.

Was laufen/liefen denn für Serverrollen auf dem Server?


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 23.09.2014, aktualisiert 24.09.2014
Hi.

Du hast doch eine Fehlermeldung. Was sagen denn die lokalen Sicherheitsrichtlinien dazu? Wer ist denn interaktiv anmeldeberechtigt? Sollte sein:
Admins
Benutzer
Gast
Sicherungs-Operatoren
und bei Deny Logon locally sollte auch keine Gruppe explizit ausgeschlossen sein.

Zudem wirst Du mit Sicherheit bei Google schnell Leidensgenossen finden, wenn Du nach der Meldung googelst. Und wo Leidensgenossen, ist eine Lösung nicht weit.
Bitte warten ..
Mitglied: d3x1984
24.09.2014, aktualisiert um 09:42 Uhr
Ich habe mich schon tot gegoogelt und keine Lösung gefunden.
An den Anmeldeberechtigungen hatte ich bis zu der Fehlermeldung nichts geändert.
Das ist ja das seltsame.
Ich habe meine Änderungen auch wieder rückgängig gemacht.

Was die Sicherheitslogs sagen habe ich oben mit gepostet.
Das sind die 3 Vorgänge die direkt nach meinem Beitrittsversuch zur domäne entstanden sind.

Ich habe natürlich versucht mit dem domänen admin beizutreten und es funktionierte nicht.
Eingeloggt war ich natürlich als lokaler admin (was auch sonst?)

In den Lokalen Sicherheitsrichtlinien des DC Unter "Hinzufügen von Arbeitsstationen zur Domäne" stehen "Authentifizierte Benutzer"
Ist wohl der einzige Standardwert soweit ich mich entsinne? Daran kann man auch keine Änderungen vornehmen

Untern "Lokal Anmelden zulassen" stehen die Administratoren "lokal anmelden verweigern" hat keine einträge
Bitte warten ..
Mitglied: DerWoWusste
24.09.2014, aktualisiert um 09:41 Uhr
Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich geschrieben habe? Wenn ja, und alles steht bei Dir wie bei mir, dann liegt ein Defekt vor. Eine Windowsreparatur (inplace-Upgrade) dürfte helfen.
Bitte warten ..
Mitglied: d3x1984
24.09.2014 um 09:48 Uhr
Zitat von DerWoWusste:

Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich
geschrieben habe?

Ich sehe keine richtlinie in den lokalen Sicherheitsrichtlinien des DC die speziell auf die interaktive anmeldung abzielt (sollte doch die lokale anmeldung sein?)
Bitte warten ..
Mitglied: DerWoWusste
24.09.2014 um 09:59 Uhr
Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.
Bitte warten ..
Mitglied: d3x1984
24.09.2014, aktualisiert um 10:37 Uhr
Zitat von DerWoWusste:

Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.

Auf dem DC steht:

Administratoren
Domänencontroller der Organisation
Druck-Operatoren
Konten-Operatoren
Server-Operatoren
Sicherungs-Operatoren

Änderungen kann ich natürlich nicht vornehmen...

Aber wie gesagt nochmal zur verdeutlichung:


Edit:

Aus den Logs:

Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Administrator
Kontodomäne: INTERN.LOCAL

Fehlerinformationen:
Fehlerursache: Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt.
Status: 0xC000015B
Unterstatus:: 0x0

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: XXX.XXX.XXX.XXX
Quellport: 49181

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.




Details:


- EventData

SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName Administrator
TargetDomainName XYZ.LOCAL
Status 0xc000015b
FailureReason %%2308
SubStatus 0x0
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName -
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress XXX.XXX.XXX.XXX
IpPort 49181



Benutzername und Kennwort habe ich jedoch korrekt angegeben
Bitte warten ..
Mitglied: DerWoWusste
24.09.2014 um 10:32 Uhr
Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.
Bitte warten ..
Mitglied: d3x1984
24.09.2014 um 11:16 Uhr
Zitat von DerWoWusste:

Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
> Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.


Es muss am DC liegen.
Ich habe gerade in einer VM ein 2012R2 aufgesetzt gleiche IP, gleicher SRV Name und habe versucht zu joinen. Ergebniss: gleiche fehlermeldung.

Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.

Nur... Warum? und was?
Bitte warten ..
Mitglied: DerWoWusste
24.09.2014 um 11:40 Uhr
Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.
Bitte warten ..
Mitglied: d3x1984
24.09.2014, aktualisiert um 11:44 Uhr
Zitat von DerWoWusste:

> Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
> Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.

Aber warum kann ich dann mit dem Testserver (komplett frisch installiert) nicht joinen?
Erst recht mit der gleichen Fehlermeldung?
Ich habe nur die IP Eingestellt und den SRV Namen geändert.

Der DC muss ja das joinen bzw. den Login ablehnen
Bitte warten ..
Mitglied: DerWoWusste
24.09.2014 um 12:40 Uhr
Was der DC da tut, ist unklar. Aber ein disjoin wird am DC nichts umkonfigurieren können.
Ich würde jetzt mit DCdiag.exe am Dc weitermachen, vielleicht findet der Fehler.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Domänen-Benutzer können AD Benutzer und Computer öffnen (4)

Frage von PietH96 zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...