Hallo zusammen,
ich bin ein Kollege von Cooper83 / Daniel. Habe mit raufgeschaut und wir haben eine Lösung gefunden. (nach zahlreichen grauen Haaren mehr)
Vielen Dank an Euch alle für Eure tatkräftige Unterstützung. Ihr seid echt super ! :)
Da wir bei anderen Problem schon oft gute Hilfen hier im Board gefunden haben, tragen wir mal alle Fehler, Symptome und Lösungsschritte zusammen. Vielleicht nützt es ja irgendwann jemand anderem.
Symptome:
Login mit Domain-User dauert ca 20 Minuten. Login auf lokaler Maschine ist schnell.
Netzwerkumgebung zeigt alle Rechner, aber ein Zugriff auf einen Rechner der Domain bringt ein Loginfenster (ebenfalls erst nach ner Ewigkeit). Der Login schlägt dann aber fehl.
(Login Daten sind korrekt, Konto nicht gesperrt)
Client ist Win XP SP2, alle Updates.
Server ist Win 2k3.
Diagnose:
DNS und Reverse Lookup sind OK. (DNS-Einstellung des Clients zeigt auf den DNS vom DC.)
Vergabe der IP-Adressen bei den Clients läuft mit DHCP (DHCP ist auch auf einem Windows-Server)
Namensauflösung
ping dc-name.domain.local geht prima
ping clientname.domain.local ist auch prima
Bei nslookup meldet sich der DNS vom DC.
- Eingabe von 'clientname' ergibt korrekte IP
- Eingabe von 'dc-name' ergibt korrekte IP
Soweit so gut, Blick ins Event-Log:
Im Eventlog tauchen folgende Fehler auf:
LSASRV 40960
Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/<Computername> festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. (0xc000005e)". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.
LSASRV 40961
Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/<Computername> herstellen. Es war kein Authentifizierungsprotokoll verfügbar. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kerberos 10
Das Kerberos-Subsystem kann die Tickets vom Domänencontrollermit dem UDP-Netzwerkprotokoll nicht abrufen. Häufige Ursache hierfür sind Netzwerkprobleme. Wenden Sie sich an denSystemadministrator
USERENV 1053
Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Also Support Tools (Windows CD) installiert und netdiag an der Kommandozeile ausgeführt:
Unter anderem sieht man:
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for host/thehost.DOMAIN.NAME
(den Rest laß ich weg)
Da Suchen nach Event ID 40960 nix Helfendes bringt, haben wir uns auf Kerberos und die Ereignis ID 10 konzentriert:
http://www.eventid.net/display.asp?eventid=10&eventno=5657&source=Kerberos&phase=1
bringt die Lösung mit dem Link auf:
http://support.microsoft.com/kb/244474/en-us
How to force Kerberos to use TCP instead of UDP
Der Client kann anscheinend den KDC nicht per UDP erreichen. Stellt man wie im KB-Artikel beschrieben die MaxPacketSize auf 1, versucht er es per TCP.
Nun klappt die Anmeldung superschnell und die Fehler sind weg.
Nur Gott weiss, warum Microsoft diese Info dermaßen gut versteckt... :-)
Gruss und nochmals Danke an alle,
Mario