Anmeldeprobleme - Benutzername / Passwort falsch

[stevenki 2]

Hallo zusammen,

 

wir haben aktuell "massive" Probleme mit Anmeldeproblemen, die ich einfach nicht nachvollziehen kann.
Ich würde behaupten, dass die Probleme auftreten, seit dem wir einen Windows Server 2025 DC mit im System haben, 12 Jahre davor hatten wir keinerlei diese Probleme.

 

Die Probleme äußern sich wie folgt:

Einige Rechner melden bei der Anmeldung "Benutzername oder Kennwort falsch".

Wenn wir in dem Moment uns dann lokal Anmelden und Test-SecureComputerChannel machen, bekomme ich ein True.

NSLookup hat auch die Domain sowie alle Domaincontroller aufgelöst usw.

Zeit passt auch mit den DCs überein.

 

Nach einem Neustart des Clients gehts dann immer wieder.

Das Problem haben wir auch im gesperrten Modus, also wenn ein Benutzer seinen Rechner sperrt und wieder entsperren will.

 

Im Log des Clients wird folgendes gemeldet: 

 

EventID 4625

MachineName TA-CLPC20005.xxx.local

EntryType FailureAudit

 

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        TA-CLPC20005$
    Kontodomäne:        [DOMAINNAME]
    Anmelde-ID:        0x3e7

Anmeldetyp:            2

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        S-1-0-0
    Kontoname:        [Anmeldename]
    Kontodomäne:        [DOMAINNAME]

Fehlerinformationen:
    Fehlerursache:        %%2304
    Status:            0xc000006d
    Unterstatus::        0x0

Prozessinformationen:
    Aufrufprozess-ID:    0x9e8
    Aufrufprozessname:    C:\Windows\System32\svchost.exe

Netzwerkinformationen:
    Arbeitsstationsname:    TA-CLPC20005
    Quellnetzwerkadresse:    127.0.0.1
    Quellport:        0

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        User32 
    Authentifizierungspaket:    Negotiate
    ?bertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schl?ssell?nge:        0
 

zur gleichen Zeit wird auf dem DC folgendes protokolliert:

 

Ein Kerberos-Dienstticket wurde angefordert. 

Kontoinformationen:
    Kontoname:         [Anmeldename]@[DOMAINNAME]
    Kontodomäne:        [DOMAINNAME]
    Anmelde- GUID:        {8ceb624b-4a79-43d5-9f30-fc3eacf3d33c}
    MSDS-SupportedEncryptionTypes:    0x0 (N/A)
    Verfügbare Schlüssel:    N/A

Dienstinformationen:
    Dienstname:        TA-CLPC20005$
    Dienst-ID:         [DOMAINNAME]\TA-CLPC20005$
    MSDS-SupportedEncryptionTypes:    0x1C (RC4, AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Domaincontrollerinformationen:
    MSDS-SupportedEncryptionTypes:    0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Netzwerkinformationen:
    Clientadresse:         ::ffff:10.1.10.38
    Clientport:        53570
    Angekündigte ETYPEs:    
        AES256-CTS-HMAC-SHA1-96
        AES128-CTS-HMAC-SHA1-96
        RC4-HMAC-NT
        DES-CBC-MD5
        DES-CBC-CRC
        RC4-HMAC-NT-EXP
        RC4-HMAC-OLD-EXP

Zusätzliche Informationen:
    Ticketoptionen:        0x40810000
    Ticketverschlüsselungstyp:    0x12
    Sitzungsverschlüsselungstyp:    0x12
    Fehlercode:        0x0
    Übertragene Dienste:    -

Ticketinformationen
    Hash des Anforderungstickets:        s5yh1FJP7/QGNfIseWEklJBJwrWgI6rnxxwBYFb82qw=

    Hash des Antworttickets:        Kd0//U3zlF76OWCXt/dK468UjDOx3yRqjxSDZW6014E=

 

 

Es wurde ein Kerberos-Authentifizierungsticket (TGT) angefordert.

Kontoinformationen:
    Kontoname:         [Anmeldename]
    Bereitgestellter Bereichsname:    [DOMAINNAME]
    Benutzer-ID:            [DOMAINNAME]\ [Anmeldename]
    MSDS-SupportedEncryptionTypes:    0x24 (RC4, AES-SK)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Dienstinformationen:
    Dienstname:        krbtgt
    Dienst-ID:        [DOMAINNAME]\krbtgt
    MSDS-SupportedEncryptionTypes:     0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Domaincontrollerinformationen:
    MSDS-SupportedEncryptionTypes:    0x18 (AES128-SHA96, AES256-SHA96)
    Verfügbare Schlüssel:    DES, RC4, AES128-SHA96, AES256-SHA96

Netzwerkinformationen: 
    Clientadresse:        ::ffff:10.1.10.38
    Clientport:        53569
    Angekündigte ETYPEs:    
        AES256-CTS-HMAC-SHA1-96
        AES128-CTS-HMAC-SHA1-96
        RC4-HMAC-NT
        DES-CBC-MD5

Zusätzliche Informationen:
    Ticketoptionen:        0x40810010
    Ergebniscode:         0x0
    Ticketverschlüsselungstyp:    0x12
    Sitzungsverschlüsselungstyp:    0x12
    Vorauthentifizierungstyp:    2
    Vorauthentifizierungsverschlüsselungstyp:    0x12

Zertifikatinformationen:
    Name des Zertifikatausstellers:        
    Seriennummer des Zertifikats:    
    Fingerabdruck des Zertifikats:        

Ticketinformationen
    Hash des Antworttickets:        s5yh1FJP7/QGNfIseWEklJBJwrWgI6rnxxwBYFb82qw=

 

 

ich weiß leider nicht mehr wo wir ansetzen sollen, es betrifft aktuell nur "wenige" einzelne Rechner, gefühlt werden es aber mehr.

Hat jemand Ideen wo ich noch ansetzen könnte?

 

Interessanterweise meldet der Client auch folgendes:

13:15:21 Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne DOMAINNAME aufgrund der folgenden Ursache nicht einrichten: 
Interner Fehler.

 

Was interner Fehler hier bedeutet weiß ich nicht - ABER, dieser Fehler kommt erst eine ganze Weile nach den Meldungen oben.

Auch finde ich im Log, dass er erfolgreich die Zeit mit dem DC synchronisiert usw.

 

Ich wäre glücklich, wenn jemand eine Idee hat.

 

Liebe Grüße

bearbeitet vor 1 Stunde von stevenki

[cj_berlin 1.482]

Moin,

 

ich dachte, das wäre weggepatcht worden, aber versucht mal, RC4 auf Domain Controller-Ebene wieder zuzulassen, zumindest bis alle Maschinen ihr Kennwort gerollt haben.

[NilsK 3.028]

Moin,

 

vor 32 Minuten schrieb cj_berlin:

ich dachte, das wäre weggepatcht worden

 

dafür müsste der Patch ja auch eingespielt worden sein. Darüber wissen wir hier nichts, soweit ich sehe.

 

Gruß, Nils