Jump to content
Sign in to follow this  
KNL

Error: Zielprinzipalname falsch

Recommended Posts

Hallo zusammen,

 

ich hoffe ich bin hier richtig.

 

Ich bekomme bei dem Versuch einen Domänen-User an einem Rechner lokal zur Gruppe der Administratoren hinzuzufügen folgenden Fehler.

 

image.png.2db2a5c0aa0fc01da8dbbdc615097567.png

 

Dieser Fehler tritt nicht bei allen Usern auf. Andere User kann ich problemlos hinzufügen.

 

Erste Google-Ergebnisse bringen mich nicht weiter.

 

Was ist hier los? Ich hoffe Ihr könnt mir weiterhelfen.

 

Vielen Dank schon vorab für Eure Hilfe / Meinungen / Beiträge.

 

Mfg KNL

 

P.S. Das OS des DCs ist Win2012 R2 Essentials und des Client-PCs Win10 1803

Share this post


Link to post
Share on other sites

Moin,

 

bitte beschreibe dein Vorgehen noch mal genauer. Was exakt tust du und wann kommt dieser Fehler? Mit was für einen Account bist du in dem Moment selbst angemeldet?

 

Was heißt "Dieser Fehler tritt nicht bei allen Usern auf. Andere User kann ich problemlos hinzufügen."? Du fügst mehrere User im selben Schritt hinzu, einige werden akzeptiert, andere nicht? Du fügst in mehreren Schritten, aber in derselben Session mehrere dieser Vorgänge aus? Du machst das an verschiedenen Rechnern, zu verschiedenen Zeitpunkten, ...?

 

Gruß, Nils

 

Edited by NilsK

Share this post


Link to post
Share on other sites

hmm... dass ist alles sehr komisch. Offensichtlich scheint es ein temporäres Problem zu sein...

 

Was mache ich? Ich bin jetzt an meinem eigenen Rechner und "untersuche" hier das Phänomen indem ich versuche Step by Step, d.h. jeweils immer nur einen Benutzer zur Zeit zur Gruppe der Administratoren (lokal) hinzuzufügen. Ich füge Benutzer der Gruppe hinzu indem ich auf die Gruppe Doppelklicke und im anschließenden Dialog Erweitert -> Jetzt suchen. Dann selektiere ich einen User und bestätige mit OK. Benutzer bei denen vorhin der obige Fehlerdialog (auch an meinem Rechner) auftrat, konnte ich jetzt hinzufügen.

 

Bei den Tests ist mir aber noch was anderes aufgefallen, wo ich nicht genau weiß wieso weshalb warum. Und zwar habe ich einen bestimmten User bei dem das Verhalten wie folgt war (mehrfach wiederholt). Ich fügte den User wie oben beschrieben hinzu. alles ist ok. der User wurde "ordnungsgemäß" in der Mitgliederliste angezeigt. D.h. <DomainName>\<UserName>(User-ID). Wenn ich anschliessend "Übernehmen" gesagt habe, dann wurde für den User nur noch die User-ID angezeigt. Das IconSymbol das typische User-Symbol mit einem blauen Fragezeichen. Jetzt aufeinmal ist der User wieder OK. D.h. er wird in der Form <DomainName>\<UserName> in der Mitgliederliste angezeigt. Manchmal sind die User-ID sichtbar und manchmal nicht. hmm...

 

So richtig Wohl ist mir bei dem allen irgendwie nicht

Share this post


Link to post
Share on other sites

Hi,

 

im Allgemeinen empfehle ich dir keine direkte Zuordnung von Domainusern in die lokale Admingruppe eines Client-PCs! Hier mal im AD eine globale oder domainlokale Gruppe erstellen (gescheiten Namen vergeben, diese mit Mitgliedern befüllen und dann die neu erstellte AD-Gruppe in die lokale Admingruppe aufnehmen. Geht auch bequem in einer GPO. Schön, wenn's wieder funktioniert.

 

 

Gruß

Share this post


Link to post
Share on other sites

ja, wenn ich dass aber richtig verstehen, dann sind diese Domainuser an allen PCs lokale Admins. Also auch an anderen Rechnern, sobald sie sich dort mit Ihrem Domain-Konto anmelden. Dies soll so aber nicht sein. Es soll immer nur der jeweilige User lokaler Admin seines eigenen Rechners / seiner eigenen Rechner sein.

Edited by KNL

Share this post


Link to post
Share on other sites

Moin,

 

deine Probleme deuten für mich auf Kommunikationsprobleme im Netzwerk oder sowas hin. Ist die DNS-Konfiguration korrekt? Gibt es evtl. Probleme beim Zeitabgleich in der Domäne?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Also jeder User nur Admin auf "seinem PC", das geht mit Gruppen, in denen der Rechnername steckt und in der dann der User ist. Die Gruppe mit GPP in die lokalen Admins stecken und %computername% im Gruppennamen eintragen, dann reicht eine einzige Zuordnung.

Und wrong target SPN: Da stimmt was mit Kerberos nicht. krbtgt Kennwort out of sync, vermute ich mal...

Share this post


Link to post
Share on other sites

Moin,

 

ich habe den TO so verstanden, dass es nur einen DC gibt. Replikationsprobleme können es dann nicht sein.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Moin,

 

ein kurze Rückmeldung meinerseits.

 

ja, es ist korrekt dass es bei uns atm nur einen DC gibt.

IPv6 sollte eigentl. überall deaktiviert sein.

 

darüberhinaus war der Hinweis mit dem Netzwerkproblem und DNS denke ich ganz richtig. Ich hab die DNS-Einträge geprüft und dabei festgestellt, dass für den DC zwei Einträge vorhanden waren. Einmal die korrekte IP und dann noch eine IP eines virtuellen Netzwerkadapters. Ich habe anschliessend folgende Dinge getan:

  1. unter Verbindungseigenschaften Netzwerk: Unerwünschte Eigenschaften der Netzwerkkarte TCP/IP -> Erweitert-DNS - > "Adresse dieser Verbindung in DNS registrieren" deaktiviert

  2. die unerwünschte IP mittels der DNS-Serverkonsole aus der Liste der überwachten IP-Adressen entfernt und anschliessend die DNS-Einträge mit der unerwünschten IP gelöscht

seitdem sind die oben geschilderten Phänomene bisher nicht mehr aufgetreten. Die User, welche in irgendwelchen Gruppen sind, werden bisher allesamt richtig angezeigt. D.h. die SID z.B. ist auch nicht mehr sichtbar.

 

Darüber hinaus hab ich auch Eure Empfehlung bezügl. der Zuordnung von Domain-Usern zu lokalen Gruppen per GPP umgesetzt.

 

Nochmal vielen Dank @ll ... ihr habt mir sehr geholfen :-)

 

Ein schönes WE

 

Mfg KNL

 

P.S. Im Ereignisprotokoll des DCs habe ich auch nach Kerberos-Fehlern geschaut, aber nichts gefunden.

Share this post


Link to post
Share on other sites

Moin,

danke für die Rückmeldung.

IPv6 solltest du wieder an der Netzwerkkarte aktivieren, das es nur dann wirklich abgeschaltet ist, wenn man einen Reg-Key setzt.

Außerdem "redet" Windows seit Server 2008R2 intern nur IPv6 spricht (s.o.)

Lieber Stateless-Mode als aus.

Wenn du einen Speedport von der T hast, muss man was beachten. :D

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...