2K3 - krbtgt/0x18 Fehlercode - Domänenauth klappt teils nicht

[SmellyCat]

Hallo Leute,

weiss nicht ob ich im richtigen Unterforum poste, hoffe es aber mal

Unser Problem ist folgendes:

Seit gut zwei Wochen bekomme ich im Schnitt über 1000 Fehlermeldungen im Log pro Tag, diese Meldung (Serverseitig) lautet wie folgt:

Benutzername: <username>
Benutzerkennung: <domain>\<username>
Dienstname: krbtgt/<domain>
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x18
Clientadresse: <IP-Adresse>

Es gibt 3 Benutzer bei denen dies auftritt:

Beim ersten (einen Win XP Client) ist es ein Laptop bei dem der User auch als lokaler Administrator angelegt ist und sich idR nur ein bis zwei mal pro Woche an der Domäne anmeldet, den Rest der Zeit arbeitet er lokal, ohne Domänen-Authenzifizierung.

Hier bekomme ich den Fehler mit seiner Clientadresse. Weiter lustig: Ich habe den Benutzer recht eingeschränkt was die Rechte angeht (mittels Gruppen), bei anderen Usern klappt die gleiche Einschränkung aber ohne Problem. Meldet sich der User an, klappt die Anmeldung am PC problemlos, sobald er aber versucht auf Netzwerkressourcen des Servers zuzugreifen verlangt Windows komischerweise die Eingabe des Benutzernamens und Passwort. Wir haben rumgespielt: Passwort zurückgesetzt/geändert (bei der Windowsanmeldung am Client wird jeweils das neue Passwort verlangt, die Synchronisation scheint also zu klappen), Rechte geändert, etc. ppp. Das einzige was half war dem Benutzer in die Gruppe Administratoren (serverseitig) zu stecken, aber das ist keine Lösung.

Dann habe ich noch zwei weitere User bei denen dies auftrat aber hier tauchte nicht die Clientadresse beim Punkt „Clientadresse“ in der Fehlermeldung auf sondern die unseres Terminalservers der zugleich der 2. DC im Netz ist.

Was ich bis dato ausschliessen kann ist:
Abgelaufenes Passwort (da z. B. die Exchangeanmeldung klappt)
Synch-Probleme mit dem Server (da bei der Windowsanmeldung immer das neueste Passwort abgefragt und korrekt authentifiziert wird)
Rechteprobleme (klingt komisch wg. erst geschilderten Fall aber andere User mit den gleichen Rechte bewegen sich problemlos in der Domäne)

Auch habe ich das Problem (erfolglos) gegoogelt, es taucht zwar mehrmals auf und es werden Ansätze zur Lösung beschrieben, aber nichts was mir weiterhilft. Als Lösung wird eine Löschung und Neuanlage des Users bzw. des PCs. Das sehe ich zwar teils als praktikabel an aber zwei der drei User mit diesen Problemen arbeiten seit mehr als einem Jahr (mit der selben Hardware unter gleichen Bedienungen) problemlos, erst seit kurzem tritt dieses Problem auf. Daher denke ich es wäre gut die Ursache zu wissen und zu beheben anstatt mich mit der Symptomatik herumzuschlagen.

Kann mir irgendwer helfen? Bin mit meinem Latein am Ende…

Ach ja – Hard und Software:

PDC: Windows Server 2003 Small Bu.
2. DC: Windows Server 2003 Standard Terminal
Workstationen: Windows XP SP 2, Laptops mit dem jeweiligen User als lokalen Admin

Danke und beste Grüße
Mats

[olc]

Hallo,

schau doch einmal in die folgenden beiden Artikel, unter Umständen bringt es Dich weiter?

Kerberos authentication is unsuccessful in the Local System security context when the computer account password has recently changed on a computer that is running Windows Server 2003
Active Directory Blog : Unusual Kerberos Failure...User to User to What?

Gruß olc

[SmellyCat]

Hallo,

danke für das Feedback... die Links helfen leider nicht. Das angesprochende Hotfix kann ich nicht installieren, die auf meinem System installierte Version der entsprechenden Dateien scheint aktueller als das Hotfix zu sein, damit begründet er auch den Abbruch der Installation.

Heute ist ein neuer User ausgeflippt. Wie ich schrieb hatte ich ein paar User bei denen das in schöner regelmäßigkeit passiert, heute kam ein neuer dazu.

Was mich in der Annahme bestätigt, dass es nichts bringen würde die Benutzer zu löschen und neu anzulegen.

Das Problem scheint wirklich der 2. Domänencontroller zu sein, bei ihm fand ich auch folgendes im Ereignislog:

Code:

Ereignistyp:	Fehlerüberw.
Ereignisquelle:	Security
Ereigniskategorie:	Kontoanmeldung 
Ereigniskennung:	675
Datum:		17.06.2008
Zeit:		09:02:56
Benutzer:		NT-AUTORITÄT\SYSTEM
Computer:	SERVER-KWP
Beschreibung:
Fehlgeschlagene Vorbestätigung:
 	Benutzername:	r.brunnhuber
 	Benutzerkennung:		<domäne>\<user>
 	Dienstname:	krbtgt/<domäne>.LOCAL
 	Vorauthentifizierungstyp:	0x2
 	Fehlercode:	0x18
 	Clientadresse:	<Client IP>

Ich bin echt mit meinem Latein am Ende.

Vielleich (hoffentlich!) kann jemand helfen und weiss Rat.

Danke!
Mats

[twiki]

Hi,

installiere doch mal die Support-Tools und führe in der Eingabeaufforderung DCDIAG und NETDIAG aus.

Werden da Fehler angezeigt?

Gibt es sonst irgendwelche Fehler in den Eventlogs?

Gruss
twiki

[SmellyCat]

Hallo,

andere Fehler im Eventlog:
joa - ab und an, SQLISP und vor 8 - 10 Wochen ein paar mal die .NET Runtime, sonst nichts. Bei dem SQL Server Fehler weiss ich woran es liegt (kann nicht automatisch alte Backups löschen, muss gepatcht werden, kam aber noch nicht dazu), beim .NET war es unsere Buchhaltungssoftware.

Ansonsten... am 12.04. konnte der ne Gruppenrichtlinie nicht lesen, aber das war lang vor den beschriebenen Fehlern.

Im Sicherheitslog ist bis auf das beschriebenes nix dolles. Teilweise kam ne Meldung im System-Log, er könne die Zeit nicht synchronisieren. Liegt aber, wenn ich es richtig sehe, daran dass zu diesem Zeitpunkt der PDC (unser Zeitserver) nicht im Netz war. Habe ich insgesamt 4x in den letzten 3 Monaten gehabt, also nix beunruhigendes denke ich.

DCDIAG sagt:

<- nächster Post

Besten dank und bis gleich,
Mats

[SmellyCat]

Code:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests
   
   Testing server: Standardname-des-ersten-Standorts\<SERVER-NAME>
      Starting test: Connectivity
         ......................... <SERVER-NAME> passed test Connectivity

Doing primary tests
   
   Testing server: Standardname-des-ersten-Standorts\<SERVER-NAME>
      Starting test: Replications
         ......................... <SERVER-NAME> passed test Replications
      Starting test: NCSecDesc
         ......................... <SERVER-NAME> passed test NCSecDesc
      Starting test: NetLogons
         ......................... <SERVER-NAME> passed test NetLogons
      Starting test: Advertising
         ......................... <SERVER-NAME> passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... <SERVER-NAME> passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... <SERVER-NAME> passed test RidManager
      Starting test: MachineAccount
         ......................... <SERVER-NAME> passed test MachineAccount
      Starting test: Services
         ......................... <SERVER-NAME> passed test Services
      Starting test: ObjectsReplicated
         ......................... <SERVER-NAME> passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... <SERVER-NAME> passed test frssysvol
      Starting test: frsevent
         ......................... <SERVER-NAME> passed test frsevent
      Starting test: kccevent
         ......................... <SERVER-NAME> passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0x00000457
            Time Generated: 06/17/2008   14:00:50
            (Event String could not be retrieved)
         ......................... <SERVER-NAME> failed test systemlog
      Starting test: VerifyReferences
         ......................... <SERVER-NAME> passed test VerifyReferences
   
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
   
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
   
   Running partition tests on : <domäne>
      Starting test: CrossRefValidation
         ......................... <domäne> passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... <domäne> passed test CheckSDRefDom
   
   Running enterprise tests on : <domäne>.local
      Starting test: Intersite
         ......................... <domäne>.local passed test Intersite
      Starting test: FsmoCheck
         ......................... <domäne>.local passed test FsmoCheck

EventID: 0x00000457? Directoy Replications Error? Sehe es gerade (zum ersten mal) und kann auf anhieb nicht viel damit anfangen. Weiss was es meint, kann das ein Problem wie meiniges verursachen? Werde des Fehler gleich googeln, aber evtl. kann jemand dennoch was dazu sagen (...meint der Autor hoffend )


NETDIAG sagt nix besonderes:
<- nächster Post

[SmellyCat]

Code:

........................................

    Computer Name: <NAME>
    DNS Host Name: <name>.<domäne>.local
    System info : Microsoft Windows Server 2003 (Build 3790)
    Processor : x86 Family 15 Model 4 Stepping 7, GenuineIntel
    List of installed hotfixes : 
[...]


Netcard queries test . . . . . . . : Passed
    GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.
    [WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.
    [WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.
    GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

    Adapter : LAN-Verbindung

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : server-kwp
        IP Address . . . . . . . . : <ip>
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . : <gateway>
        Primary WINS Server. . . . : <PDC>
        Dns Servers. . . . . . . . : <PDC>


        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Passed

        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

        WINS service test. . . . . : Passed


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{5EBAF7AA-CB3C-4838-8309-BEF241236F00}
    1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
    PASS - All the DNS entries for DC are registered on DNS server '<IP PDC>' and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{5EBAF7AA-CB3C-4838-8309-BEF241236F00}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{5EBAF7AA-CB3C-4838-8309-BEF241236F00}
    The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Passed
    Secure channel for domain 'DOMÄNE' is to '\\<server>.<domäne>.local'.


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

    Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

vielen Dank & Grüße
Mats

[twiki]

schau DIr mal diesen Link an

EventID.Net

unter anderem wird da der Systemzeit-Unterschied zw. Client und Server erwähnt! Ist diese bei Dir gleich?

Gruss
twiki

[olc]

Hi,

ich hatte an dieser Stelle auch einmal auf die Systemzeit getippt wie twiki, prüf das doch einmal. Die Kennwörter der Benutzer sind jedoch definitiv korrekt, ja?

Ansonsten kannst Du ggf. noch einmal prüfen, ob die DCs replikationstechnisch korrekt laufen, also z.B. mittels "repadmin /showrepl" oder "repadmin /replsum" gegenprüfen. Starte einmal den KDC Dienst auf beiden DCs neu und prüfe, ob immer noch einer der beiden DCs die falschen Logons bemängelt.

Viele Grüße
olc