Jump to content

Kerberos Fehler - Rechner können sich nicht an DC anmelden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Habe folgendes Netzwerk: 1 Windows 2003 Std. Server als DC mit ca. 10 lokal angeschlossenen Clients XP Pro und 2 Windows 2003 Std. Server die an anderen Standorten stehen, auch DC im gleichen Netzwerk sind und sich zu dem Haupt-DC über VPN einwählen um über DFS Daten abzugleichen. Das ganze lief schon lange einwandfrei. Doch auf einmal habe ich folgendes Problem:

 

Der eine DC der über VPN sich einwählt und 2 - 3 Rechner im lokalen angeschlossenen Netzwerk können sich nicht mehr an der Domäne anmelden. Melde ich mich an einem der Rechner lokal an und ändere die IP-Adresse ab und starte den Rechner neu, kann ich mich meistens wieder anmelden und alles funktioniert. Aber in ein paar Tagen muss ich das gleiche Spiel wiederholen, da er mir sagt, dass er keinen DC finden kann.

 

Auf dem Haupt-DC finde ich im Eventlog folgenden Fehler, der wohl das Problem darstellt:

fehler5pc.jpg

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername:

Domäne:

Anmeldetyp: 3

Anmeldevorgang: Kerberos

Authentifizierungspaket: Kerberos

Name der Arbeitsstation: -

Aufruferbenutzername: -

Aufruferdomäne: -

Aufruferanmeldekennung: -

Aufruferprozesskennung: -

Übertragene Dienste: -

Quellnetzwerkadresse: 192.168.100.235

Quellport: 4107

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Habe bisher noch nichts in den Weiten des Internets gefunden. Kann mir vielleicht jemand sagen, woran das liegt und was ich dagegen tun kann? Wenn ihr mehr Informationen benötigt, sagt mir nur was ihr wissen wollt.

Link zu diesem Kommentar

Hy,

 

also spontan würde ich sagen das du entweder ein DNS Problem hast, am besten mal DCDIAG,NETDIAG durchlaufen lassen sowie NSLOOKUP.

 

2. was wurde in letzter Zeit geändert

 

3. Kann es vielleicht sein das der client Zeittechnisch zu weit mit dem DC auseinanderliegt und deshalb die Kerberos Authentifizierungspackete als nicht gültig anerkennt.

 

Gurß

 

coolAce

Link zu diesem Kommentar

Also, letzte Zeit wurde nichts geändert. Was meinst du mit zeittechnisch zu weit auseinander? Meinst du Uhrzeit am Rechner und DC oder wie? Oder das er lange schon nicht mehr angemeldet war?

 

Port-Filter in VPN ist es auf keinen Fall. Daran wurde auch seit längerem nichts geändert. Startet der Replika-DC verbindet er sich automatisch über eine Dialup VPN-Verbindung die über ein Kix-Script überwacht wird. Die VPN-Verbindung besteht auch und der Haupt-DC kann angepingt werden. Allerdings komme ich nicht mehr auf die freigegebenen Laufwerke, da ich scheinbar keine Berechtigung mehr habe, sprich er erkennt den Haupt-DC wohl nicht als seinen DC, so wie es mit den Clients ist, wo das Problem aufgetreten war. Er erkennt meinen Zielkontennamen nicht mehr und sagt, dass ich keine Berechtigung mehr habe. Replizieren wird über die VPN-Verbindung Daten und die ADS.

 

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

Das kann doch auch nicht normal sein oder?

 

Edit2:/ bei dcdiag gab es auch einen Fehler

klick mich für Screenshot

Link zu diesem Kommentar

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

Link zu diesem Kommentar

Edit:/ Wenn ich nslookup eingebe, bringt er folgende meldung:

Der Servername für die Adresse 192.168.100.1 konnte nicht gefunden werden: Non existend domain

Standardserver: UnKnown

Adress: 192.168.100.1

 

[/url]

 

Das bedeutet nur das dir ne Reverse Look-up Zone fehlt oder falsch konfiguriert ist. Das hat aber wenig mit dem Problem zu tun....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...