Jump to content

Keine Verbindung zu Domain Controllern über WLAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen.

 

TL;DR: Seit einiger Zeit (genauer Zeitpunkt unbekannt) habe ich bei meinen WLAN-Clients keine Verbindung mehr zur AD-Domäne und damit auch keinen Zugriff mehr auf Shares. Bei allen LAN-Clients gibt es kein Problem. Wenn ich im laufenden Betrieb von WLAN auf LAN umschalte, funktioniert sofort alles. Und ich habe keine Idee mehr, woran das liegen könnte...

 

Switch/AccessPoint ist eine FB7530ax. Clients sind verschieden, mal Intel-Wifi, mal Realtek. Mal Win11 RTM, mal Insider Dev, einer bis gestern auch Win10 RTM 21H2. Firewall auf den Servern ist aus, auf einem Client testhalber auch mal, keine Änderung. Mehr Details zur Infrastruktur gerne, wenn's zielführend ist. Zugriffe auf Shares enden so:

grafik.png.3082d19dda9a632c457405f26f451b6c.png

 

Test mit "nltest /dsgetdc:" endet mit 0x54b ERROR_NO_SUCH_DOMAIN. Ein parallel laufender Trace auf dem Client liefert das als Ergebnis:

grafik.png.12ed9e7dceaa1272fda6f50171296e02.png

(Die ICMP-Pakete sind nur der Marker für Beginn und Ende)

Der Client bekommt also Antworten, aber er macht danach nichts mehr?!? Nach der Antwort auf die 2 LDAP-Pings sendet der Client keine weiteren Pakete mehr zu den Domain Controllern... Was ich auch nicht verstehe: In der LDAPMessage ist das als Searchfilter drin: (&(DnsDomain=domain.binder.local.)(Host=ZENBOOK-UX360)(DomainGuid={B3CF0610-DE22-F841-AACD-DD3F547A32DD})(NtVer=16:00:00:00)(DnsHostName=ZENBOOK-UX360.domain.binder.local)). Die Suche liefert natürlich keinen Treffer: SearchResultDone: Status: Success, MatchedDN: NULL, ErrorMessage: NULL. Aber vielleicht ist das ja korrekt so und dient nur dazu, dem DC ein paar Daten über den Client zu liefern?

 

Die "üblichen" DC-Ports (88,135,389,445,464,3268) sind alle erreichbar. Die DynRPC-Ports auch (https://devblogs.microsoft.com/scripting/testing-rpc-ports-with-powershell-and-yes-its-as-much-fun-as-it-sounds/). Die Security Eventlogs der DCs enthalten nichts, was mir irgendwie weiterhilft (ja, Auditing ist aktiv).

 

Ich hatte schon den Verdacht, daß die Fritte UDP-Pakete kaputt macht. Also kurz mit https://cloudbrothers.info/en/test-udp-connection-powershell/ geprüft, die vom Client gesendete Payload kommt bis 5.000 Byte am Server korrekt an und umgekehrt.

 

Internet, Browser-Zugriffe im internen Netz, RDP kreuz und quer - funktioniert alles. Nur domänenauthentifizierte Zugriffe von WLAN-Clients auf egal was gehen nicht. AD-Zugriff per ldp.exe geht auch, Bind als angemeldeter Benutzer aber nicht (klar, kann mich ja nicht authentifizieren). Bind mit User/Kennwort/Domäne geht sofort.

 

Den Win10-Client habe ich gestern komplett neu aufgezogen mit Win11 vom ISO - gleicher Fehler.
 

Und noch komischer: Ich hab einen einzigen WLAN-Client (Surface Go 2, das sich über einen Fritz Repeater 1200 mit der Fritte verbindet), der keinerlei Probleme erkennen läßt. Lege ich einen nicht funktionierenden daneben und gehe über den gleichen Repeater, funktioniert der aber weiterhin nicht.

 

Hat noch jemand eine spritzige Idee? Oder könnte nach Lieferung weiterer Informationen eine Idee haben?

 

 

Link zu diesem Kommentar

7.29 ist seit 2 Stunden installiert. Hat nichts geändert. Und es wird noch komischer - heute kam auch ein WLAN-Stick für weitere Diagnosen...

1. Stick eingesteckt an einem W10-Rechner, der noch nie WLAN hatte: Geht problemlos.

2. Gleichen Stick eingesteckt in einen der Clients, die nicht gehen: Geht immer noch nicht.

WTF?!?

Link zu diesem Kommentar

netsh int ipv4 reset

netsh int udp reset

Alles nix geholfen...

vor 6 Minuten schrieb MurdocX:

Hmm. Mal ein Schuss ins Blaue. Stimmt vielleicht irgendwas mit der MTU? Wurde mal an den Interface Kosten beim Routing was verändert?

 

Hm - MTU - wie könnte ich das prüfen? Wie oben geschrieben, hab UDP bis 5k Payload geprüft, kam korrekt an. Und Routing ist nicht im Spiel, das ist alles im gleichen IP-Netz. Natürlich über den internen Switch der Fritte, aber ich hab die nicht gerootet oder so :-)

Link zu diesem Kommentar
vor 1 Stunde schrieb djmaker:

IPv6 - Adressen liegen die die FB mit vegib

Grad geschaut, ist aus.

vor 3 Stunden schrieb Sunny61:

hast Du das installiert?

Nein, aber das Problem war schon vorher da. Das zieht sich schon ein paar Wochen, bis ich irgenwann beschlossen habe, daß ich mehr Expertise brauche als ich alleine habe :neutral2:

Was mich dabei wahnsinnig macht: LAN kein Problem, WLAN geht/geht nicht je nach Rechner. Aber alle Ports sind erreichbar, LDP mit User/PW/Domain geht. Und daß es einen (!) WLAN-Client gibt, der überhaupt keine Probleme hat, irritiert mich am meisten. Ich bin echt planlos...

bearbeitet von daabm
Link zu diesem Kommentar

Du hast nicht zufällig wieder NTLM dicht gemacht, wie damals das Problem mit dem WDS? :-)

vor 17 Stunden schrieb daabm:

Die "üblichen" DC-Ports (88,135,389,445,464,3268)

Port 53 DNS?

 

PS: Ich hatte auch schon mal ein Problem mit der Fritte als sie mir die Pakete auf Port 500, trotz expliziter Ausnahme, ohne Kommentare geschluckt hat.

Link zu diesem Kommentar

Ne hab ich nicht :lol3: "net view \\192.168.100.111" funktioniert, "net view \\dc01" bringt access denied - Kerberos-Tickets hab ich in dem Moment keine. Schalte ich WLAN aus und LAN ein, geht es sofort und ich hab meine Kerberos-Tickets.

vor 7 Stunden schrieb Sunny61:

Andere WLAN-Treiber Versionen probiert?

 

Welche sollte ich probieren? Betroffen sind verschiedene Laptops, einer mit Intel, einer mit Realtek, einer mit Qualcom. Kann das ein Treiberproblem sein?

bearbeitet von daabm
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...