PC "fliegt" immer wieder aus dem AD

[Seppim 14]

Hallo!

 

Bei 2 PCs habe ich das Problem, das das Konto am Server plötzlich nimmer existiert. Ich vermute ein Problem beim Klonen damals.

Jedoch, alle anderen 24 haben kein Problem.

 

Die Ausgabe von PC 8 ist:

whoami /all:

S-1-5-21-430117723-3717751725-2221657776-3151

 

Die Ausgabe von PC 24 ist:

whoami /all:

 S-1-5-21-967744721-3642191328-261844899-500

 

Die SID ist also unterschiedlich (vom eingeloggten Benutzer ist die nicht abhängig)

 

Wenn ich versuche am Server eine doppelte SID zu finden:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/ntdsutil-find-clean-duplicate-security-identifiers

da komme ich nicht weiter .. wenn ich ntdsutil eingebe, erwartet er eine Eingabe.

Die Eingabe von:

• security account management

führt zu

• Wartung des Sicherheitskontos

 

 

Danke!

 

[testperson 1.533]

Hi,

 

"whoami /all" liefert dir an der Stelle nur die SID des angemeldeten Benutzers. Die Computer SID kannst du unter anderem mit PSGetSid auslesen: https://docs.microsoft.com/en-us/sysinternals/downloads/psgetsid

Zitat

If you want to see a computer's SID just pass the computer's name as a command-line argument. If you want to see a user's SID, name the account (e.g. "administrator") on the command-line and an optional computer name.

 

Gruß

Jan

[cj_berlin 1.137]

Beide Maschinen aus dem AD rausnehmen, umbenennen und nochmal zum AD joinen. Selbst wenn sie ohne newSID/sysprep geklont wurden, dürfte ich das nicht auf die Accounts im AD auswirken.

[Seppim 14]

vor 52 Minuten schrieb cj_berlin:

Beide Maschinen aus dem AD rausnehmen, umbenennen und nochmal zum AD joinen. Selbst wenn sie ohne newSID/sysprep geklont wurden, dürfte ich das nicht auf die Accounts im AD auswirken.

eben, aber das habe ich schon gemacht.

[NilsK 2.785]

Moin,

 

dann wäre es jetzt der richtige Zeitpunkt, noch mal genau das Problem zu beschreiben, das zu lösen ist. Sinnvollerweise ergänzt um Angaben, was du schon getan hast und was dort jeweils das genaue Ergebnis war.

 

Gruß, Nils

 

[Seppim 14]

Hallo Nils!

 

Das Problem ist, das (scheinbar) sporadisch 2 PCs kein Konto mehr am Server 2019 für die Anmeldung haben.

Beim Versuch sich einzuloggen, erhalte ich den Fehler das kein Konto dafür existiert (nicht Userkonto sondern Gerätekonto. Hab den genauen Text nicht mehr vor mir).

 

Ich logge mich als lokaler Admin, nimm ihn aus der Domäne, benenne ihn um und hänge ihn wieder rein ... klappt dann wieder.

 

Das rausnehmen, umbennen und reinhängen habe ich zeitgleich damals gemacht ... letztes mal nur den betroffenen PC

 

[NilsK 2.785]

Moin,

 

vor 16 Minuten schrieb Seppim:

Das Problem ist, das (scheinbar) sporadisch 2 PCs kein Konto mehr am Server 2019 für die Anmeldung haben.

was heißt jetzt "scheinbar"? Und was heißt "sporadisch"?

 

Netzwerkprobleme kannst du bei den beiden Rechnern ausschließen? DNS ist richtig konfiguriert?

 

vor 18 Minuten schrieb Seppim:

Das rausnehmen, umbennen und reinhängen habe ich zeitgleich damals gemacht ... letztes mal nur den betroffenen PC

Was heißt "damals", was heißt "letztes Mal"?

 

Im Gegensatz zu dir wissen wir den Zusammenhang nicht. Den müsstest du also erläutern, besonders, wenn man dich danach fragt.

 

Gruß, Nils

 

[Seppim 14]

vor 4 Minuten schrieb NilsK:

was heißt jetzt "scheinbar"? Und was heißt "sporadisch"?

Scheinbar heißt, das es so aussieht aber es einen logischen Ablauf geben muss.

Sporadisch in Verbindung mit Scheinbar: Ich kanns nicht erklären, warum erst nach einer gewissen Zeit. Sehe aktuell keinen Zusammenhang beider PCs.

 

vor 6 Minuten schrieb NilsK:

Netzwerkprobleme kannst du bei den beiden Rechnern ausschließen? DNS ist richtig konfiguriert?

 

Was heißt "damals", was heißt "letztes Mal"?

DNS, Netzwerk: Werden per DNS zugeteilt und klappt sonst alles.

 

damals: Als ich beide Rechner Zeitgleich aus der Domäne raus genommen habe, umbenennt und wieder reingehängt.

letztes mal: Als es wieder bei einem aufgetreten ist, habe ich nur diesen einen rausgenommen, umbenannt und wieder reingenommen, damit er wieder läuft

[NilsK 2.785]

Moin,

 

hast du in der betreffenden Situation geprüft, ob die Konten wirklich weg sind?

 

Und ich verstehe es richtig, dass dies bei denselben Rechnern schon mehrfach aufgetreten ist? Du hast diese also neu hinzugefügt, und dann war die Verbindung nach einiger Zeit wieder weg?

 

Was sagt das Eventlog der Rechner zu den jeweiligen Zeitpunkten?

 

vor 17 Minuten schrieb Seppim:

DNS, Netzwerk: Werden per DNS zugeteilt und klappt sonst alles.

Du meinst sicher DHCP ... trotzdem würde ich das mal prüfen. Die Fehlermeldung kann nämlich auch kommen, wenn nur kein Netzwerkkontakt zum DC besteht. (Ja, eigentlich kommt dann eine andere Meldung, aber die, um die es hier geht, kann auch durch fehlende Konnektivität ausgelöst werden.)

 

Gruß, Nils

 

[Seppim 14]

vor 1 Minute schrieb NilsK:

hast du in der betreffenden Situation geprüft, ob die Konten wirklich weg sind?

Da bin ich mir nicht mehr so sicher. Liegt schon etwas zurück.

vor 4 Minuten schrieb NilsK:

Und ich verstehe es richtig, dass dies bei denselben Rechnern schon mehrfach aufgetreten ist? Du hast diese also neu hinzugefügt, und dann war die Verbindung nach einiger Zeit wieder weg?

Ja genau

vor 4 Minuten schrieb NilsK:

Was sagt das Eventlog der Rechner zu den jeweiligen Zeitpunkten?

Das konnte ich nicht wirklich prüfen, da die User einfach zum nächsten PC gehen und nicht gleich rückmelden.

Daher kann ich den Zeitraum des Problems nur so auf 1 Woche eingrenzen

vor 6 Minuten schrieb NilsK:

Du meinst sicher DHCP ... trotzdem würde ich das mal prüfen. Die Fehlermeldung kann nämlich auch kommen, wenn nur kein Netzwerkkontakt zum DC besteht. (Ja, eigentlich kommt dann eine andere Meldung, aber die, um die es hier geht, kann auch durch fehlende Konnektivität ausgelöst werden.)

Ja sorry. Tippfehler.

Werde ich mir anschauen. Was grundsätzlich hatte, ist das sich User einloggen bevor sich der PC an der Domäne komplett authentifiziert.

Das habe ich per GPO geändert, das das Login nun entsprechend lange wartet.

 

Ich werde beim erneuten Auftreten dann genauer Infos sammeln.

 

Aktuell ist mir aufgefallen, das der PC, denn ich raus genommen habe und wieder rein gehängt habe, in der von mir angelegten OU ist und nicht unter "Computers" ... wo ich neue PCs finden würde.

[NilsK 2.785]

Moin,

 

OK, verstehe. Ja, dann wäre es gut, wenn du beim nächsten Mal noch die Details prüft. So, wie du es beschreibst, vermute ich eher, dass das AD-Computerkonto nicht das eigentliche Problem ist. 

 

Gruß, Nils

 

[Weingeist 157]

Also ich kenne das bis jetzt nur von PC's mit Netzwerkproblemen. Sprich einer zu schlechten Leitung mit zu vielen Paketverlusten. Auch wenn das heute nicht mehr vorkommen sollte, es gibt noch einge LAN-Leitungen da draussen, die gar kein 1Gbit können, sondern nur 100Mbit. Die fliegen dann zwar nicht richtig raus in dem Sinne, dass das AD-Konto entfernt wird, sondern sie können einfach nicht mehr im AD verwendet werden weil der ganze Sicherheitskrempel nicht sauber ausgehandelt werden kann.

 

Ich würde z.Bsp:

- Traffic auf Paketverluste analysieren oder Leitung prüfen durch Elektriker mit entsprechendem Gerät (vorzugsweise beides)

- Funktionierenden mit fehlerhaftem PC tauschen

- 100 Mbit Switch in betreffende Leitung hängen oder sofern möglich den Port am Switch limitieren

 

So kannst die vermutlich wahrscheinlichste Variante ausschliessen.

[NorbertFe 1.800]

vor 9 Minuten schrieb Weingeist:

weil der ganze Sicherheitskrempel nicht sauber ausgehandelt werden kann.

Weil dafür 100Mbit/s nicht ausreichen? Ich wage zu bezweifeln, dass AD damit ein Problem hat, und wenn mans hinbekommt geht das garantiert auch noch über 10MBit ;)

Und wenn die Leitung fehlerhaft ist, dann ist das der Auslöser für Probleme und nicht das AD mit Securitykrempel.

[Weingeist 157]

vor 6 Minuten schrieb NorbertFe:

Weil dafür 100Mbit/s nicht ausreichen? Ich wage zu bezweifeln, dass AD damit ein Problem hat, und wenn mans hinbekommt geht das garantiert auch noch über 10MBit ;)

Und wenn die Leitung fehlerhaft ist, dann ist das der Auslöser für Probleme und nicht das AD mit Securitykrempel.

Nö, weil bei der 1Gbit Frequenz zu viele Pakete verloren gehen und der DC dann eben die Sicherheitsfreigabe nicht mehr erteilt. Dann wird der Arbeitstation nicht mehr vertraut und man kann sich nicht mehr an der Domäne anmelden. Bei 100Mbit funktioniert es aber oft, weil die Frequenz toleranter ist und somit weniger Paketverluste auftreten.

Oft genug erlebt bei alten Installationen wo der 100Mbit Switch durch 1 Gbit ersetzt wurde ohne die Kabel zu ersetzen. ;)

[daabm 1.185]

Naja, wer sein LAN mit Telefonstrippen realisiert (das ist ja quasi die Analogie zu Gigabit über CAT5), der darf sich hinterher nicht beschweren.. Und mit "Sicherheitskrempel aushandeln" hat das nur sekundär zu tun - bei http merkt man's halt nicht so arg und drückt notfalls mal F5