Jump to content
Sign in to follow this  
simonak

Kerberos Fehler - Rechner können sich nicht an DC anmelden

Recommended Posts

Hallo!

 

Habe folgendes Netzwerk: 1 Windows 2003 Std. Server als DC mit ca. 10 lokal angeschlossenen Clients XP Pro und 2 Windows 2003 Std. Server die an anderen Standorten stehen, auch DC im gleichen Netzwerk sind und sich zu dem Haupt-DC über VPN einwählen um über DFS Daten abzugleichen. Das ganze lief schon lange einwandfrei. Doch auf einmal habe ich folgendes Problem:

 

Der eine DC der über VPN sich einwählt und 2 - 3 Rechner im lokalen angeschlossenen Netzwerk können sich nicht mehr an der Domäne anmelden. Melde ich mich an einem der Rechner lokal an und ändere die IP-Adresse ab und starte den Rechner neu, kann ich mich meistens wieder anmelden und alles funktioniert. Aber in ein paar Tagen muss ich das gleiche Spiel wiederholen, da er mir sagt, dass er keinen DC finden kann.

 

Auf dem Haupt-DC finde ich im Eventlog folgenden Fehler, der wohl das Problem darstellt:

fehler5pc.jpg

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername:

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Kerberos

Authentifizierungspaket: Kerberos

Name der Arbeitsstation: -

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.100.235

Quellport: 4107

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Habe bisher noch nichts in den Weiten des Internets gefunden. Kann mir vielleicht jemand sagen, woran das liegt und was ich dagegen tun kann? Wenn ihr mehr Informationen benötigt, sagt mir nur was ihr wissen wollt.

Share this post


Link to post

Hy,

 

also spontan würde ich sagen das du entweder ein DNS Problem hast, am besten mal DCDIAG,NETDIAG durchlaufen lassen sowie NSLOOKUP.

 

2. was wurde in letzter Zeit geändert

 

3. Kann es vielleicht sein das der client Zeittechnisch zu weit mit dem DC auseinanderliegt und deshalb die Kerberos Authentifizierungspackete als nicht gültig anerkennt.

 

Gurß

 

coolAce

Share this post


Link to post

DNS, Kerberos, LDAP ....

 

Das kann alles mögliche sein. Könnte auch ein Port-Filter des VPN Routers sein. Leider sind die Details etwas dürftig. Wie ist das dail-up VPN denn konfiguriert?

Share this post


Link to post

Also, letzte Zeit wurde nichts geändert. Was meinst du mit zeittechnisch zu weit auseinander? Meinst du Uhrzeit am Rechner und DC oder wie? Oder das er lange schon nicht mehr angemeldet war?

 

Port-Filter in VPN ist es auf keinen Fall. Daran wurde auch seit längerem nichts geändert. Startet der Replika-DC verbindet er sich automatisch über eine Dialup VPN-Verbindung die über ein Kix-Script überwacht wird. Die VPN-Verbindung besteht auch und der Haupt-DC kann angepingt werden. Allerdings komme ich nicht mehr auf die freigegebenen Laufwerke, da ich scheinbar keine Berechtigung mehr habe, sprich er erkennt den Haupt-DC wohl nicht als seinen DC, so wie es mit den Clients ist, wo das Problem aufgetreten war. Er erkennt meinen Zielkontennamen nicht mehr und sagt, dass ich keine Berechtigung mehr habe. Replizieren wird über die VPN-Verbindung Daten und die ADS.

 

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

Das kann doch auch nicht normal sein oder?

 

Edit2:/ bei dcdiag gab es auch einen Fehler

klick mich für Screenshot

Share this post


Link to post

Hi,

 

check mal die Uhrzeit auf den Clients und Server ... wenn die mehr als 5min Differenz haben mag der Kerberos die nicht mehr

Share this post


Link to post

Uhrzeit hab ich nachgeschaut passt. Ich komme durch nslookup und dcdiag zum Entschluss, dass ein DNS-Problem vorliegt. Aber was kann ich nun dagegen machen? Hab mich mit diesem Gebiet noch nicht so auseinandersetzen können.

Share this post


Link to post
Startet der Replika-DC verbindet er sich automatisch über eine Dialup VPN-Verbindung die über ein Kix-Script überwacht wird.[/url]

 

Was bedeutet das? Läuft der nicht immer? Du weisst, dass die Dinger (PC, Server, DC's, usw.) auch Passwörter haben, die ablaufen können....

Share this post


Link to post

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

Share this post


Link to post

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

Share this post


Link to post

Doch, der Replika-DC läuft schon immer. Hier hatte sich aber einmal für ca. 2 Wochen die VPN-Verbindung aufgehängt und niemand hatte es bemerkt. Die Passwörter laufen nie ab und stimmen. Aber jetzt mal vom Replika-DC abgesehen, 2-3 Rechner im lokalen Netzwerk haben ja genau das gleiche Problem.

Share this post


Link to post

Ok, habs mal hiermit versucht, hat leider nichts gebracht. Sonst noch jemand einen Tipp was ich einmal versuchen sollte?

Share this post


Link to post

<Beitrag nach oben hol>:)

Hat wirklich keiner mehr eine Ahnung was ich probieren sollte?

Ich bin zwar noch am Testen, aber langsam gehn mir echt die Ideen aus.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...