Jump to content

Keine Verbindung zu Domain Controllern über WLAN


Recommended Posts

Hallo zusammen.

 

TL;DR: Seit einiger Zeit (genauer Zeitpunkt unbekannt) habe ich bei meinen WLAN-Clients keine Verbindung mehr zur AD-Domäne und damit auch keinen Zugriff mehr auf Shares. Bei allen LAN-Clients gibt es kein Problem. Wenn ich im laufenden Betrieb von WLAN auf LAN umschalte, funktioniert sofort alles. Und ich habe keine Idee mehr, woran das liegen könnte...

 

Switch/AccessPoint ist eine FB7530ax. Clients sind verschieden, mal Intel-Wifi, mal Realtek. Mal Win11 RTM, mal Insider Dev, einer bis gestern auch Win10 RTM 21H2. Firewall auf den Servern ist aus, auf einem Client testhalber auch mal, keine Änderung. Mehr Details zur Infrastruktur gerne, wenn's zielführend ist. Zugriffe auf Shares enden so:

grafik.png.3082d19dda9a632c457405f26f451b6c.png

 

Test mit "nltest /dsgetdc:" endet mit 0x54b ERROR_NO_SUCH_DOMAIN. Ein parallel laufender Trace auf dem Client liefert das als Ergebnis:

grafik.png.12ed9e7dceaa1272fda6f50171296e02.png

(Die ICMP-Pakete sind nur der Marker für Beginn und Ende)

Der Client bekommt also Antworten, aber er macht danach nichts mehr?!? Nach der Antwort auf die 2 LDAP-Pings sendet der Client keine weiteren Pakete mehr zu den Domain Controllern... Was ich auch nicht verstehe: In der LDAPMessage ist das als Searchfilter drin: (&(DnsDomain=domain.binder.local.)(Host=ZENBOOK-UX360)(DomainGuid={B3CF0610-DE22-F841-AACD-DD3F547A32DD})(NtVer=16:00:00:00)(DnsHostName=ZENBOOK-UX360.domain.binder.local)). Die Suche liefert natürlich keinen Treffer: SearchResultDone: Status: Success, MatchedDN: NULL, ErrorMessage: NULL. Aber vielleicht ist das ja korrekt so und dient nur dazu, dem DC ein paar Daten über den Client zu liefern?

 

Die "üblichen" DC-Ports (88,135,389,445,464,3268) sind alle erreichbar. Die DynRPC-Ports auch (https://devblogs.microsoft.com/scripting/testing-rpc-ports-with-powershell-and-yes-its-as-much-fun-as-it-sounds/). Die Security Eventlogs der DCs enthalten nichts, was mir irgendwie weiterhilft (ja, Auditing ist aktiv).

 

Ich hatte schon den Verdacht, daß die Fritte UDP-Pakete kaputt macht. Also kurz mit https://cloudbrothers.info/en/test-udp-connection-powershell/ geprüft, die vom Client gesendete Payload kommt bis 5.000 Byte am Server korrekt an und umgekehrt.

 

Internet, Browser-Zugriffe im internen Netz, RDP kreuz und quer - funktioniert alles. Nur domänenauthentifizierte Zugriffe von WLAN-Clients auf egal was gehen nicht. AD-Zugriff per ldp.exe geht auch, Bind als angemeldeter Benutzer aber nicht (klar, kann mich ja nicht authentifizieren). Bind mit User/Kennwort/Domäne geht sofort.

 

Den Win10-Client habe ich gestern komplett neu aufgezogen mit Win11 vom ISO - gleicher Fehler.
 

Und noch komischer: Ich hab einen einzigen WLAN-Client (Surface Go 2, das sich über einen Fritz Repeater 1200 mit der Fritte verbindet), der keinerlei Probleme erkennen läßt. Lege ich einen nicht funktionierenden daneben und gehe über den gleichen Repeater, funktioniert der aber weiterhin nicht.

 

Hat noch jemand eine spritzige Idee? Oder könnte nach Lieferung weiterer Informationen eine Idee haben?

 

 

Link to post

7.29 ist seit 2 Stunden installiert. Hat nichts geändert. Und es wird noch komischer - heute kam auch ein WLAN-Stick für weitere Diagnosen...

1. Stick eingesteckt an einem W10-Rechner, der noch nie WLAN hatte: Geht problemlos.

2. Gleichen Stick eingesteckt in einen der Clients, die nicht gehen: Geht immer noch nicht.

WTF?!?

Link to post

netsh int ipv4 reset

netsh int udp reset

Alles nix geholfen...

vor 6 Minuten schrieb MurdocX:

Hmm. Mal ein Schuss ins Blaue. Stimmt vielleicht irgendwas mit der MTU? Wurde mal an den Interface Kosten beim Routing was verändert?

 

Hm - MTU - wie könnte ich das prüfen? Wie oben geschrieben, hab UDP bis 5k Payload geprüft, kam korrekt an. Und Routing ist nicht im Spiel, das ist alles im gleichen IP-Netz. Natürlich über den internen Switch der Fritte, aber ich hab die nicht gerootet oder so :-)

Link to post
vor 1 Stunde schrieb djmaker:

IPv6 - Adressen liegen die die FB mit vegib

Grad geschaut, ist aus.

vor 3 Stunden schrieb Sunny61:

hast Du das installiert?

Nein, aber das Problem war schon vorher da. Das zieht sich schon ein paar Wochen, bis ich irgenwann beschlossen habe, daß ich mehr Expertise brauche als ich alleine habe :neutral2:

Was mich dabei wahnsinnig macht: LAN kein Problem, WLAN geht/geht nicht je nach Rechner. Aber alle Ports sind erreichbar, LDP mit User/PW/Domain geht. Und daß es einen (!) WLAN-Client gibt, der überhaupt keine Probleme hat, irritiert mich am meisten. Ich bin echt planlos...

Edited by daabm
Link to post

Du hast nicht zufällig wieder NTLM dicht gemacht, wie damals das Problem mit dem WDS? :-)

vor 17 Stunden schrieb daabm:

Die "üblichen" DC-Ports (88,135,389,445,464,3268)

Port 53 DNS?

 

PS: Ich hatte auch schon mal ein Problem mit der Fritte als sie mir die Pakete auf Port 500, trotz expliziter Ausnahme, ohne Kommentare geschluckt hat.

Link to post

Ne hab ich nicht :lol3: "net view \\192.168.100.111" funktioniert, "net view \\dc01" bringt access denied - Kerberos-Tickets hab ich in dem Moment keine. Schalte ich WLAN aus und LAN ein, geht es sofort und ich hab meine Kerberos-Tickets.

vor 7 Stunden schrieb Sunny61:

Andere WLAN-Treiber Versionen probiert?

 

Welche sollte ich probieren? Betroffen sind verschiedene Laptops, einer mit Intel, einer mit Realtek, einer mit Qualcom. Kann das ein Treiberproblem sein?

Edited by daabm
Link to post

Hmmm. Ich bin da bei @teletubbieland - auch wenn's nicht die Lösung ist, aber hast Du die Möglichkeit, wenigstens kurz einen anderen AP zu benutzen, der am LAN-Port der FB hängt? Mit der dann gewonnenen Erkenntnis könnte man ja an AVM herantreten. Die Jungs und Mädels sind an sowas eigentlich immer interessiert.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...