Error: Zielprinzipalname falsch

[KNL 0]

Hallo zusammen,

 

ich hoffe ich bin hier richtig.

 

Ich bekomme bei dem Versuch einen Domänen-User an einem Rechner lokal zur Gruppe der Administratoren hinzuzufügen folgenden Fehler.

 

 

Dieser Fehler tritt nicht bei allen Usern auf. Andere User kann ich problemlos hinzufügen.

 

Erste Google-Ergebnisse bringen mich nicht weiter.

 

Was ist hier los? Ich hoffe Ihr könnt mir weiterhelfen.

 

Vielen Dank schon vorab für Eure Hilfe / Meinungen / Beiträge.

 

Mfg KNL

 

P.S. Das OS des DCs ist Win2012 R2 Essentials und des Client-PCs Win10 1803

[NilsK 2.781]

Moin,

 

bitte beschreibe dein Vorgehen noch mal genauer. Was exakt tust du und wann kommt dieser Fehler? Mit was für einen Account bist du in dem Moment selbst angemeldet?

 

Was heißt "Dieser Fehler tritt nicht bei allen Usern auf. Andere User kann ich problemlos hinzufügen."? Du fügst mehrere User im selben Schritt hinzu, einige werden akzeptiert, andere nicht? Du fügst in mehreren Schritten, aber in derselben Session mehrere dieser Vorgänge aus? Du machst das an verschiedenen Rechnern, zu verschiedenen Zeitpunkten, ...?

 

Gruß, Nils

 

bearbeitet 7. Juni 2018 von NilsK

[KNL 0]

hmm... dass ist alles sehr komisch. Offensichtlich scheint es ein temporäres Problem zu sein...

 

Was mache ich? Ich bin jetzt an meinem eigenen Rechner und "untersuche" hier das Phänomen indem ich versuche Step by Step, d.h. jeweils immer nur einen Benutzer zur Zeit zur Gruppe der Administratoren (lokal) hinzuzufügen. Ich füge Benutzer der Gruppe hinzu indem ich auf die Gruppe Doppelklicke und im anschließenden Dialog Erweitert -> Jetzt suchen. Dann selektiere ich einen User und bestätige mit OK. Benutzer bei denen vorhin der obige Fehlerdialog (auch an meinem Rechner) auftrat, konnte ich jetzt hinzufügen.

 

Bei den Tests ist mir aber noch was anderes aufgefallen, wo ich nicht genau weiß wieso weshalb warum. Und zwar habe ich einen bestimmten User bei dem das Verhalten wie folgt war (mehrfach wiederholt). Ich fügte den User wie oben beschrieben hinzu. alles ist ok. der User wurde "ordnungsgemäß" in der Mitgliederliste angezeigt. D.h. <DomainName>\<UserName>(User-ID). Wenn ich anschliessend "Übernehmen" gesagt habe, dann wurde für den User nur noch die User-ID angezeigt. Das IconSymbol das typische User-Symbol mit einem blauen Fragezeichen. Jetzt aufeinmal ist der User wieder OK. D.h. er wird in der Form <DomainName>\<UserName> in der Mitgliederliste angezeigt. Manchmal sind die User-ID sichtbar und manchmal nicht. hmm...

 

So richtig Wohl ist mir bei dem allen irgendwie nicht

[junioradm 1]

Hi,

 

im Allgemeinen empfehle ich dir keine direkte Zuordnung von Domainusern in die lokale Admingruppe eines Client-PCs! Hier mal im AD eine globale oder domainlokale Gruppe erstellen (gescheiten Namen vergeben, diese mit Mitgliedern befüllen und dann die neu erstellte AD-Gruppe in die lokale Admingruppe aufnehmen. Geht auch bequem in einer GPO. Schön, wenn's wieder funktioniert.

 

 

Gruß

[KNL 0]

ja, wenn ich dass aber richtig verstehen, dann sind diese Domainuser an allen PCs lokale Admins. Also auch an anderen Rechnern, sobald sie sich dort mit Ihrem Domain-Konto anmelden. Dies soll so aber nicht sein. Es soll immer nur der jeweilige User lokaler Admin seines eigenen Rechners / seiner eigenen Rechner sein.

bearbeitet 7. Juni 2018 von KNL

[NorbertFe 1.799]

Dann viele Gruppen für viele PCs.

[NilsK 2.781]

Moin,

 

deine Probleme deuten für mich auf Kommunikationsprobleme im Netzwerk oder sowas hin. Ist die DNS-Konfiguration korrekt? Gibt es evtl. Probleme beim Zeitabgleich in der Domäne?

 

Gruß, Nils

 

[mba 133]

Ein Speedport oder was ähnliches spielt sicher auch nicht ipv6 dns

[daabm 1.184]

Also jeder User nur Admin auf "seinem PC", das geht mit Gruppen, in denen der Rechnername steckt und in der dann der User ist. Die Gruppe mit GPP in die lokalen Admins stecken und %computername% im Gruppennamen eintragen, dann reicht eine einzige Zuordnung.

Und wrong target SPN: Da stimmt was mit Kerberos nicht. krbtgt Kennwort out of sync, vermute ich mal...

[NilsK 2.781]

Moin,

 

ich habe den TO so verstanden, dass es nur einen DC gibt. Replikationsprobleme können es dann nicht sein.

 

Gruß, Nils

 

[KNL 0]

Moin,

 

ein kurze Rückmeldung meinerseits.

 

ja, es ist korrekt dass es bei uns atm nur einen DC gibt.

IPv6 sollte eigentl. überall deaktiviert sein.

 

darüberhinaus war der Hinweis mit dem Netzwerkproblem und DNS denke ich ganz richtig. Ich hab die DNS-Einträge geprüft und dabei festgestellt, dass für den DC zwei Einträge vorhanden waren. Einmal die korrekte IP und dann noch eine IP eines virtuellen Netzwerkadapters. Ich habe anschliessend folgende Dinge getan:

1. unter Verbindungseigenschaften Netzwerk: Unerwünschte Eigenschaften der Netzwerkkarte TCP/IP -> Erweitert-DNS - > "Adresse dieser Verbindung in DNS registrieren" deaktiviert

2. die unerwünschte IP mittels der DNS-Serverkonsole aus der Liste der überwachten IP-Adressen entfernt und anschliessend die DNS-Einträge mit der unerwünschten IP gelöscht

seitdem sind die oben geschilderten Phänomene bisher nicht mehr aufgetreten. Die User, welche in irgendwelchen Gruppen sind, werden bisher allesamt richtig angezeigt. D.h. die SID z.B. ist auch nicht mehr sichtbar.

 

Darüber hinaus hab ich auch Eure Empfehlung bezügl. der Zuordnung von Domain-Usern zu lokalen Gruppen per GPP umgesetzt.

 

Nochmal vielen Dank @ll ... ihr habt mir sehr geholfen

 

Ein schönes WE

 

Mfg KNL

 

P.S. Im Ereignisprotokoll des DCs habe ich auch nach Kerberos-Fehlern geschaut, aber nichts gefunden.

[Nobbyaushb 1.355]

Moin,

danke für die Rückmeldung.

IPv6 solltest du wieder an der Netzwerkkarte aktivieren, das es nur dann wirklich abgeschaltet ist, wenn man einen Reg-Key setzt.

Außerdem "redet" Windows seit Server 2008R2 intern nur IPv6 spricht (s.o.)

Lieber Stateless-Mode als aus.

Wenn du einen Speedport von der T hast, muss man was beachten.