meanmachine
Goto Top

Useranmeldung Domäne mit win 10 pro Client und win 2003 AD Controller-Funktionsebene

Hi,

ich bin kürzlich auf folgendes Problem gestoßen.

Es wurde neue Hardware bestellt, 2 Notebooks von Lenovo

Auf den Clients ist win 10 pro (1607) installiert

Auf dem DC läuft 2003

Ich konnte die Clients ohne Probleme in die Domäne heben und sie sind auch sauber um AD angekommen, nun folgendes Problem. Es ist nicht möglich sich mit einem Domänen Konto an den Clients anzumelden. Es kommt immer die Fehlermeldung Benutzername oder Passwort falsch.

Ich habe es mit mehreren Accounts getestet (DomänAdmin, Standarduser, test user (ohne Login Script) kommt immer auf das selbe Ergebnis.

Wenn ich mich jetzt lokal an den Client anmelde geht das ohne Probleme und ich kann auch per RDP auf die Server bzw. die Netzfreigaben sind auch alle erreichbar. Er fragt lediglich nach Zugangsdaten, trage ich dann dort meine Login Daten vom Domän Account ein geht es ohne Probleme.

Ipconfig und nslookup stimmen auch überein mit den standard settings.

Das einzige was mir aufgefallen ist, auf dem betreffenden DC wurde kein Logeintrag erzeugt bei dem Anmeldeversuch.


Irgendjemand ne Idee warum dieses Login Auth Problem besteht?

Content-Key: 317024

Url: https://administrator.de/contentid/317024

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 06.10.2016 um 12:27:46 Uhr
Goto Top
Moin,

steht denn evtl. was im Eventlog des Clients?
Sind die Domain-Users/Admins Mitglied der lokale Users/Admins Gruppe?

lg,
Slainte
Mitglied: meanmachine
meanmachine 06.10.2016 um 12:58:20 Uhr
Goto Top
Hi,

im eventlog ist leider auch nichts hilfreiches auf dem Client zu finden.

Win 10 Pro stellt leider kein Snap-In (lokale Gruppe und Benutzer) zur Verfügung, man kann nur noch auf die lokalen Benutzer über die Systemsteuerung zugreifen. So steht es zumindest im lusrmgr ;(
Mitglied: SlainteMhath
SlainteMhath 06.10.2016 um 13:07:35 Uhr
Goto Top
Über das Computer Management ( compmgmt.msc ) sollten die Local Groups verwaltet werden können.
Mitglied: Hajo2006
Hajo2006 06.10.2016 um 13:08:07 Uhr
Goto Top
Hast du mal für die Lokalen Gruppen und Benutzer die Computerverwaltung genutzt face-smile
Mitglied: emeriks
emeriks 06.10.2016 um 13:12:16 Uhr
Goto Top
Hi,
ist der Client am LAN oder WLAN? Oder VPN?

Falls WLAN: Ist das bereits vor der Anmeldung verfügbar?
Falls VPN: Gleiche Frage.

E.
Mitglied: meanmachine
meanmachine 06.10.2016 aktualisiert um 13:34:37 Uhr
Goto Top
@SlainteMhath Leider nicht mehr unter win 10 pro ;(

@Hajo2006 siehe oben ;)

@emeriks der Client befindet sich am Lan und identifiziert dieses auch richtig, Wlan war bereits vor der Anmeldung bei der Initialeinrichtung verfügbar wurde aber nicht genutzt sondern übersprungen.

@all ich habe den Client jetzt nochmal sauber aus der Domain entfernt und wieder hinzugefügt, er wurde auch wieder sauber im AD aufgenommen und besitzt exakt die selben settings wie die restlichen 1200 Clients (einzige Unterschied ist das hier kein Win 10 pro läuft, sondern noch win 7 pro)
Mitglied: SlainteMhath
SlainteMhath 06.10.2016 um 13:36:12 Uhr
Goto Top
Sicher das das ein Pro oder Enterprise ist, und kein Home?
Mitglied: emeriks
emeriks 06.10.2016 um 13:41:52 Uhr
Goto Top
Was immer "sauber" in diesem Zusammanhang auch bedeutet ...
Interessant wäre bei so einem "Spiel", dass vor dem Wiederbeitritt das Computer-Objekt im AD gelöscht wird.

Wenn ich mich jetzt lokal an den Client anmelde geht das ohne Probleme und ich kann auch per RDP auf die Server bzw. die Netzfreigaben sind auch alle erreichbar. Er fragt lediglich nach Zugangsdaten, trage ich dann dort meine Login Daten vom Domän Account ein geht es ohne Probleme.

Das einzige was mir aufgefallen ist, auf dem betreffenden DC wurde kein Logeintrag erzeugt bei dem Anmeldeversuch.

Diese beiden Aussage suggerieren mir, dass es auch nicht an der Authentifizierung bzw. der dafür benutzen Mechanismen liegen kann.
Ich nehme an, Du hast nur einen DC? Falls mehrere: Hast Du die Logs auf allen DC's geprüft?

Ansonsten würde Dir vielleicht noch das Mitschneiden z.B. mit Wireshark helfen.
Dazu müsstest Du aber von einem 2. PC aus mitschneiden und dafür einen Monitoring-Port am Switch einrichten (oder wie auch immer das fachlich korrekt heißt; Port-Spiegelung?).

Ist der Globale Katalog funktional? Vom Win10 aus auflösbar und erreichbar?
Mitglied: meanmachine
meanmachine 06.10.2016 aktualisiert um 14:29:09 Uhr
Goto Top
@SlainteMhath: jap ist 100% eine Pro version sowohl System als auch Store sagen das ich win 10 pro verwende. Ich muss dazu sagen, es war win 10 home auf den Kisten vorinstalliert (Einkauf hat mal wieder gepennt) jedenfalls habe ich dann von version 1511 auf 1607 upgegradet und via MS universal Key das Update auf Pro angestoßen, lief auch reibungslos. Nach dem Update hab ich den Pro Key eingegeben und Aktiviert, auch ohne Probleme. Was nur auffällt, ist zb. dass Dinge wie Lokale Gruppen und User fehlen ( was unter Home fehlt, aber nicht unter pro)

Als kleine Stütze, ohne Pro kein Domain Join ;) da dies aber ohne Probleme funktioniert hat und das AD den Computer auch direkt erkannt und eingeordnet hat bin ich langsam verwirrt. RDP und Netzfreigaben funktionieren wie gesagt auch ohne Probleme.

Noch ein merkwürdiges Verhalten ist, Windows kann seit dem Upgrade auf Pro keine Updates mehr ziehen, weil keine Verbindung zum Update Server hergestellt werden kann.

Auszug Problembehandlung:

Einige Sicherheitseinstellungen fehlen oder wurden geändert. -> Behoben
Die Dienstregistrierung fehlt oder ist beschädigt. -> Behoben
Es wurde ein Potentieller Fehler bei der Windows Update-Datenbank erkannt. -> Behoben
Windows Update-Komponenten müssen repariert werden.

Leider bringt das aber nichts, bei der nächsten Überprüfung stellt er genau die gleichen Fehler wieder fest.


@emeriks

object löschung vor widereintritt ist obligatorisch ;)

ja ich habe alle 25 Logs überprüft, alle ohne Ergebnis

hab mir auch schon den Traffic angeschaut, was dabei auffällt, ist das die vermeintliche Anmeldung vom Client an der Domäne deswegen nicht greif, weil er dem Client keine eindeutige ID zuordnen kann und somit auch nicht den Globalen Katalog Anweisungen folgen kann. Das scheint daran zu liegen, dass scheinbar beim Upgrade von Home auf Pro diverse Features runtergefallen sind wie unter anderem Dientsregistrierung / Gruppen und User Management und einiges mehr.
Mitglied: emeriks
emeriks 06.10.2016 um 14:45:08 Uhr
Goto Top
Wäre es nicht der einfachste Weg, wenn Du Win10 komplett neu installierst und dabei gleich den Pro-Key verwendest?
Mitglied: meanmachine
meanmachine 06.10.2016 um 14:58:58 Uhr
Goto Top
Wenn ich jetzt aber auf dem DC die Verwaltung für dieses Object öffne habe ich auf einmal Benutzer und Gruppen und die Gruppenmitgliedschaften wurden richtig gesetzt. Ich hab jetzt mal weitere Features überprüft die win 10 pro hat, aber win 10 home nicht.

Bitlocker -> funktioniert
Domänbeitritt -> funktioniert
RDP -> funktioniert

Ich werde die Kiste nochmal komplett neu aufsetzen diesmal mit dem Datenträger und nicht über die Upgrade funktion, sollte dies dann wieder Fehler produzieren, würde ich dringend von einem Einsatz von win 10 pro im Enterprise Umfeld abraten -> noch zu viele Kinderkrankheiten.