Zum Inhalt wechseln


Foto

verweigert Anmeldung, kein Computerkonto für diese Arbeitsstationsvertrauensstellung


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 Sarek

Sarek

    Member

  • 307 Beiträge

 

Geschrieben 23. Juli 2010 - 05:50

Hallo zusammen,

erst mal sorry, wenn ich mein Anliegen hier noch einmal neu poste. So hoffe ich, daß eventuell auch Rückmeldungen von Leuten kommen, die den alten Thread nicht verfolgt haben.

Ausgangspunkt war die Situation, daß ich einen Win2000-DomainController durch einen Win2008R2x64-DC austauschen mußte. Da der neue DC den gleichen Namen und die gleiche IP-Adresse haben muß wie der alte, habe ich auf anraten dieses Boards den Umweg über einen temporären DomainController unter Win2003 gewählt. Der Übergang von Server 2000 auf Server 2003 funktionierte problemlos.

Was dann leider nicht mehr klappte war der Umzug von dem Server 2003 auf den Server 2008 R2 x64. Sobald ich den neuen Server zum DC hochgestuft habe und der Server neu gestartet ist, kann ich mich nicht mehr lokal anmelden. Ich bekomme vom Server die Meldung "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung".

Ich vermute, daß es etwas damit zu tun hat, daß es unter dem Computernamen schon mal einen DomainController gegeben hat (nämlich den alten, mittlerweile abgeschalteten Server 2000). Den habe ich vorher zwar aus dem AD gelöscht, aber während des DCPROMO-Durchlaufes bekam ich den Hinweis, daß es einen DomainController unter dem Namen schon gibt und daß dessen Einstellungen nun überschrieben werden. Das habe ich bestätigt, denn es ist ja ok, wenn eventuell noch vorhandene Reste des alten DC im AD überschrieben werden.

Nun meine Frage: Was bedeutet diese verflixte Fehlermeldung? Von welcher Sicherheitsdatenbank ist die Rede, und was ist eine Arbeitsstationsvertrauensstellung? Davon habe ich vor Server 2008 nie gehört. Naja, und vor allem natürlich, wie bekomme ich wieder Zugriff auf meinen Server 2008. Ich habe den Server bereits einmal platt gemacht und erneut aufgesetzt. Nach dem DCPROMO-Durchlauf wurde ich aber wieder mit dieser Meldung ausgesperrt.

Im AD (angeschaut auf dem Server2003-DC) taucht der neue Server übrigens ordnungsgemäß in der OU "Domänencontroller" auf und hat wird dort auch als Server 2008 angezeigt. Und ich kann auch auf die administrativen Freigaben des Server 2008 zugreifen. Nur lokal anmelden bleibt mir verwehrt, und da wir keine Windows7-Rechner haben, kann ich auch nirgend das AdminPak (bzw. RSAT) für den 2008er-Server installieren und diesen von außen verwalten.

Kann bitte jemand helfen???


DANKE!!!!!!!!!

#2 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 23. Juli 2010 - 05:57

Ein Domaincontroller hat keine lokale Anmeldung mehr, die lokale Sicherheitskontendatenbank wird mit dem Durchlauf von dcpromo deaktiviert.

Versuchst Du Dich mit einem Domain-Admin Konto anzumelden, wenn nein, dann ist genau das der Grund, da sich auf DC's standardmässig nur Mitglieder der Gruppe Domain-Admins anmelden können.

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#3 Sarek

Sarek

    Member

  • 307 Beiträge

 

Geschrieben 23. Juli 2010 - 06:03

Versuchst Du Dich mit einem Domain-Admin Konto anzumelden, wenn nein, dann ist genau das der Grund, da sich auf DC's standardmässig nur Mitglieder der Gruppe Domain-Admins anmelden können.


Ja, ich habe es sowohl mit dem Hauptadministrator (Domäne\Administrator) als auch mit unserem zweiten DomainAdmin-Account (Domäne\Benutzername) probiert.

Beim Versuch, mit mit dem ehemaligen lokalen Administratoraccount des Servers anzumelden, habe ich auch eine andere Fehlermeldung bekommen (Benutzername oder Kennwort falsch).

#4 Gulp

Gulp

    Expert Member

  • 3.969 Beiträge

 

Geschrieben 23. Juli 2010 - 07:45

DNS in Ordnung? Wird der neue DC korrekt aufgelöst? Wird auf dem neuen DC auch der DNS betrieben?

Was sagt die Ereignisanzeige?

Schon mal dcdiag in einer CMD ausgeführt? Was gibt es dort für Meldungen?

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#5 Sarek

Sarek

    Member

  • 307 Beiträge

 

Geschrieben 23. Juli 2010 - 08:06

DNS in Ordnung? Wird der neue DC korrekt aufgelöst?


Wie kann ich das testen?


Wird auf dem neuen DC auch der DNS betrieben?


Natürlich, der wird ja von DCPROMO gleich mit installiert


Was sagt die Ereignisanzeige?


Hm, das hatte ich bisher gar nicht probiert, da ich gelesen hatte, die 2003-MMC kann sich mit dem x64-Server 2008 nicht verbinden. Geht aber offenbar doch, und prompt finde ich auch zwei möglicherweise relevante Fehler:

Der erste tauchte auf, als ich versucht hatte, mich am 2008er-DC anzumelden:

Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 13:0:2.0000 7/22/2010 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: Domänenname.DE
Servername: host/DC-Name.Domänenname.de
Zielname: host/DC-Name.Domänenname@Domänenname.DE
Fehlertext:
Datei: 9
Zeile: efb
Die Fehlerdaten stehen in den Berichtdaten.



Und der zweite taucht einmal pro Stunde auf:

Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen cifs/DC-Name.Domänenname.de vorhanden.



Das kommt mir aber seltsam vor, denn eine Suche im AD hat kein zweites Computerkonto mit diesem Namen gefunden. Ich habe den alten DC nach dessen Herabstufung zum Mitgliedsserver auch umbenannt.


Schon mal dcdiag in einer CMD ausgeführt?


DCDIAG findet er auf meinem 2003er-Server nicht. Und am 2008er kann ich mich ja leider nicht lokal anmelden.

#6 tomdiver

tomdiver

    Member

  • 158 Beiträge

 

Geschrieben 23. Juli 2010 - 08:40

Hallo Sarek,

Wie kann ich das testen?


nslookup auf dem 2003 Server,

DCDIAG findet er auf meinem 2003er-Server nicht


mußt du nachinstallieren, befindet sich in den Support Tools.

Gruß Thomas
Das Leben ist hart aber ungerecht

#7 Sarek

Sarek

    Member

  • 307 Beiträge

 

Geschrieben 23. Juli 2010 - 09:01

nslookup auf dem 2003 Server


Einfach ein NSLOOKUP auf den Namen des 2008er-Servers? Da wird die richtige IP-Adresse zurückgegeben.


DCDIAG:

mußt du nachinstallieren, befindet sich in den Support Tools


Auf dem 2003er DC taucht folgende Meldung auf:

Starting test: frsevent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.


Beim 2008er DC gab es hier keine Probleme. Alle anderen Tests sind bei beiden DomainControllern glatt mit "passed" durchgegangen.

Daraufhin habe ich noch mal in die Ereignisanzeige des 2003er DC geschaut. Im Bereich "Dateireplikation" gibt es folgende Meldung:

Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Domänencontrollers "Name des 2003er-DC.Domänenname.de" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.

Das nTFRSMember-Objekt cn=Name des 2008er-DC,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=Domänenname,dc=de hat einen ungültigen Wert für das Attribut frsComputerReference.



Und ein weiterer:

Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Domänencontrollers "Name des 2003er-DC.Domänenname.de" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.

Das Computerobjekt wurde für diesen Computer nicht gefunden. Der Vorgang wird beim nächsten Abrufzyklus wiederholt.



Und dann noch dieser:

Der Dateireplikationsdienst konnte die Replikation von Name des 2008er-DC nach Name des 2003er-DC für c:\windows\sysvol\domain mit DNS-Namen Name des 2008er-DC.Domänenname.de nicht aktivieren. Es wird ein neuer Versuch gestartet.
Mögliche Ursachen für diese Warnung sind:

[1] Der DNS-Name Name des 2008er-DC.Domänenname.de von diesem Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf Name des 2008er-DC.Domänenname.de nicht ausgeführt.


Bearbeitet von Sarek, 23. Juli 2010 - 18:30.
Mehrere Ereignisanzeige-Meldungen hinzugefügt