12
SRV2012R Domänenbeitritt: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer
Hi zusammen,
wegen diverser Probleme wolle ich heute einen SRV 2012 R2 (kein DC) aus der domäne nehmen.
Ich habe ihn ganz normal aus der domäne genommen und dann neugestartet.
Wenn ich nun versuche ihn wieder in die Domäne aufzunehmen kommt die fehlermeldung:
"Bei dem Versuch der Domäne xyz.local Beizutreten trat folgender Fehler auf:
Anmeldung Fehlgeschlagen: Der Benutzer besitzt nicht den benötigten anmeldetyp auf diesem Computer"
Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.
Hat jemand einen schimmer was hier vorgeht?
ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg
In den Protokollen (Sicherheit) kann ich folgende drei ereignisse sehen:
Nummer1 mit ID 4672:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
- EventData
SubjectUserSid S-1-5-18
SubjectUserName SRV2012$
SubjectDomainName INTERN
SubjectLogonId 0x128b78
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege
Nummer2 ( ID 4624):
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmelde-GUID: {5a4b6fd1-7d93-5a7b-4814-eb075ca527f9}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 63589
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld "Identitätswechselebene" gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {5A4B6FD1-7D93-5A7B-4814-EB075CA527F9}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress ::1
IpPort 63589
ImpersonationLevel %%1833
Un hier nummer 3 mit ID 4634
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
EventData
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
wegen diverser Probleme wolle ich heute einen SRV 2012 R2 (kein DC) aus der domäne nehmen.
Ich habe ihn ganz normal aus der domäne genommen und dann neugestartet.
Wenn ich nun versuche ihn wieder in die Domäne aufzunehmen kommt die fehlermeldung:
"Bei dem Versuch der Domäne xyz.local Beizutreten trat folgender Fehler auf:
Anmeldung Fehlgeschlagen: Der Benutzer besitzt nicht den benötigten anmeldetyp auf diesem Computer"
Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.
Hat jemand einen schimmer was hier vorgeht?
ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg
In den Protokollen (Sicherheit) kann ich folgende drei ereignisse sehen:
Nummer1 mit ID 4672:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
- EventData
SubjectUserSid S-1-5-18
SubjectUserName SRV2012$
SubjectDomainName INTERN
SubjectLogonId 0x128b78
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege
Nummer2 ( ID 4624):
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmelde-GUID: {5a4b6fd1-7d93-5a7b-4814-eb075ca527f9}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: ::1
Quellport: 63589
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld "Identitätswechselebene" gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {5A4B6FD1-7D93-5A7B-4814-EB075CA527F9}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress ::1
IpPort 63589
ImpersonationLevel %%1833
Un hier nummer 3 mit ID 4634
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SRV2012$
Kontodomäne: INTERN
Anmelde-ID: 0x128B78
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
EventData
TargetUserSid S-1-5-18
TargetUserName SRV2012$
TargetDomainName INTERN
TargetLogonId 0x128b78
LogonType 3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249946
Url: https://administrator.de/contentid/249946
Printed on: April 25, 2024 at 21:04 o'clock
12 Comments
Latest comment
Moin,
Was laufen/liefen denn für Serverrollen auf dem Server?
Gruß,
Dani
Ich habe natürlich den Administrator verwendet um den server erneut hinzuzufügen.
Welchen? Den Domänen-admin oder den Lokalen? Einfach die Domäne voran stellen: test.local\administrator. ich hab auch schon mit den lokalen sicherheitseinstellungen gespielt aber bisher kein erfolg
Hoffentlich nicht auf dem Domain Controller sondern auf dem betroffenen Server. Wobei das nicht die Ursache sein kann.Was laufen/liefen denn für Serverrollen auf dem Server?
Gruß,
Dani
Hi.
Du hast doch eine Fehlermeldung. Was sagen denn die lokalen Sicherheitsrichtlinien dazu? Wer ist denn interaktiv anmeldeberechtigt? Sollte sein:
Admins
Benutzer
Gast
Sicherungs-Operatoren
und bei Deny Logon locally sollte auch keine Gruppe explizit ausgeschlossen sein.
Zudem wirst Du mit Sicherheit bei Google schnell Leidensgenossen finden, wenn Du nach der Meldung googelst. Und wo Leidensgenossen, ist eine Lösung nicht weit.
Du hast doch eine Fehlermeldung. Was sagen denn die lokalen Sicherheitsrichtlinien dazu? Wer ist denn interaktiv anmeldeberechtigt? Sollte sein:
Admins
Benutzer
Gast
Sicherungs-Operatoren
und bei Deny Logon locally sollte auch keine Gruppe explizit ausgeschlossen sein.
Zudem wirst Du mit Sicherheit bei Google schnell Leidensgenossen finden, wenn Du nach der Meldung googelst. Und wo Leidensgenossen, ist eine Lösung nicht weit.
1
Ich habe mich schon tot gegoogelt und keine Lösung gefunden.
An den Anmeldeberechtigungen hatte ich bis zu der Fehlermeldung nichts geändert.
Das ist ja das seltsame.
Ich habe meine Änderungen auch wieder rückgängig gemacht.
Was die Sicherheitslogs sagen habe ich oben mit gepostet.
Das sind die 3 Vorgänge die direkt nach meinem Beitrittsversuch zur domäne entstanden sind.
Ich habe natürlich versucht mit dem domänen admin beizutreten und es funktionierte nicht.
Eingeloggt war ich natürlich als lokaler admin (was auch sonst?)
In den Lokalen Sicherheitsrichtlinien des DC Unter "Hinzufügen von Arbeitsstationen zur Domäne" stehen "Authentifizierte Benutzer"
Ist wohl der einzige Standardwert soweit ich mich entsinne? Daran kann man auch keine Änderungen vornehmen
Untern "Lokal Anmelden zulassen" stehen die Administratoren "lokal anmelden verweigern" hat keine einträge
An den Anmeldeberechtigungen hatte ich bis zu der Fehlermeldung nichts geändert.
Das ist ja das seltsame.
Ich habe meine Änderungen auch wieder rückgängig gemacht.
Was die Sicherheitslogs sagen habe ich oben mit gepostet.
Das sind die 3 Vorgänge die direkt nach meinem Beitrittsversuch zur domäne entstanden sind.
Ich habe natürlich versucht mit dem domänen admin beizutreten und es funktionierte nicht.
Eingeloggt war ich natürlich als lokaler admin (was auch sonst?)
In den Lokalen Sicherheitsrichtlinien des DC Unter "Hinzufügen von Arbeitsstationen zur Domäne" stehen "Authentifizierte Benutzer"
Ist wohl der einzige Standardwert soweit ich mich entsinne? Daran kann man auch keine Änderungen vornehmen
Untern "Lokal Anmelden zulassen" stehen die Administratoren "lokal anmelden verweigern" hat keine einträge
Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich geschrieben habe? Wenn ja, und alles steht bei Dir wie bei mir, dann liegt ein Defekt vor. Eine Windowsreparatur (inplace-Upgrade) dürfte helfen.
Zitat von @DerWoWusste:
Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich
geschrieben habe?
Wenn Du an den Anmeldeberechtigungen nichts geändert hast, dann sollten Sie stimmen. Hast Du verglichen mit dem, was ich
geschrieben habe?
Ich sehe keine richtlinie in den lokalen Sicherheitsrichtlinien des DC die speziell auf die interaktive anmeldung abzielt (sollte doch die lokale anmeldung sein?)
Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.
Zitat von @DerWoWusste:
Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.
Ok, heißt in der Tat "Lokal anmelden zulassen", hatte das "interaktiv" falsch erinnert.
Auf dem DC steht:
Administratoren
Domänencontroller der Organisation
Druck-Operatoren
Konten-Operatoren
Server-Operatoren
Sicherungs-Operatoren
Änderungen kann ich natürlich nicht vornehmen...
Aber wie gesagt nochmal zur verdeutlichung:
Edit:
Aus den Logs:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Administrator
Kontodomäne: INTERN.LOCAL
Fehlerinformationen:
Fehlerursache: Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt.
Status: 0xC000015B
Unterstatus:: 0x0
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: XXX.XXX.XXX.XXX
Quellport: 49181
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Details:
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName Administrator
TargetDomainName XYZ.LOCAL
Status 0xc000015b
FailureReason %%2308
SubStatus 0x0
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName -
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress XXX.XXX.XXX.XXX
IpPort 49181
Benutzername und Kennwort habe ich jedoch korrekt angegeben
Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.Zitat von @DerWoWusste:
Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
> Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.
Also...
Schau nicht auf den DC, sondern auf den Server, den Du hinzufügen willst.
> Die Fehlermeldung kommmt NICHT bei der Anmeldung
Oh doch, beim Hinzufügen authentifizierst Du Dich doch...und das nennt man Anmeldung.
Es muss am DC liegen.
Ich habe gerade in einer VM ein 2012R2 aufgesetzt gleiche IP, gleicher SRV Name und habe versucht zu joinen. Ergebniss: gleiche fehlermeldung.
Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Nur... Warum? und was?
Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.Zitat von @DerWoWusste:
> Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
> Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.
> Es muss am DC liegen.
Richtig, das zeigt der Test. Oder ist an Deinen hinzuzufügenden Servern der 1. DNS-Eintrag nicht auf den DC gesetzt?
> Ich glaube das beim verlassen der Domäne sich irgendwas auf dem DC an den rechten zerschossen hat.
Das ist mit Sicherheit nicht so. Das Verlassen beeinflusst nur den Client, nicht den DC.
Aber warum kann ich dann mit dem Testserver (komplett frisch installiert) nicht joinen?
Erst recht mit der gleichen Fehlermeldung?
Ich habe nur die IP Eingestellt und den SRV Namen geändert.
Der DC muss ja das joinen bzw. den Login ablehnen
Was der DC da tut, ist unklar. Aber ein disjoin wird am DC nichts umkonfigurieren können.
Ich würde jetzt mit DCdiag.exe am Dc weitermachen, vielleicht findet der Fehler.
Ich würde jetzt mit DCdiag.exe am Dc weitermachen, vielleicht findet der Fehler.
