Problemen met Active Directory clients - Serversoftware en clouddiensten

donderdag 14 maart 2013 14:30

Acties:

0 Henk 'm!

Topicstarter

Goedemiddag allemaal,

Wie kan mij helpen met het volgende probleem. Ik heb hier een klein netwerkje met een een server met Windows SBS 2008 en active directory. Hier hangen 4 clients aan met Windows 7 pro. Van het een op het andere moment kunnen 3 v/d 4 clients niet meer normaal inloggen met het aanmelden op het domein. Je logt de PC in om het domein met een domeinuser account en de volgende melding komt naar voren:

Afbeeldingslocatie: http://img842.imageshack.us/img842/2676/fouty.jpg

Afbeeldingslocatie: http://img842.imageshack.us/img842/2676/fouty.jpg

Als ik hier de inloggegevens van de domeinuser invoer wordt de rest wel ingeladen (redirect folders zoals de desktop en de netwerk shares). Ik krijg deze melding alleen niet meer weg en het werkt bij deze 3 pc's ook niet meer om ze opnieuw in het domein aan te melden. De clientpc's en servers zijn voorzien van alle updates. Wie heeft enig idee hoe dit is op te lossen?

Alvast bedankt!

donderdag 14 maart 2013 14:56

Acties:

0 Henk 'm!

Oogje

Als eerste, staat de datum/tijd overal gelijk?

Any errors in spelling, tact, or fact are transmission errors.

donderdag 14 maart 2013 15:19

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Welke oplossingen krijg je allemaal als je de foutmelding in Google invoert (evt. een beetje vertalen naar het engels), en wat leveren deze oplossingen op?

Ik kom bijvoorbeeld dan onderstaand KB-artikel tegen, wat wijst naar een firewall instelling die poort 88 blocked.

You receive a "The system has detected a possible attempt to compromise security" error message when you try to include security settings for a user from different domain in a local domain folder

Wat is je domeinnaam trouwens? Is dat echt een single label domainname (MDK), of bestaat deze zoals het hoort uit een FQDN (bv. mdk.com). In het eerste geval heb je nl. te maken met een flink aantal issue's.

Information about configuring Active Directory domains by using single-label DNS names

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 14 maart 2013 21:38

Acties:

0 Henk 'm!

marc181982

-check je eventlog voor kerberos fouten
-geen vast ip ingesteld? zo niet, vast dns adres configureren om te testen.
-policy's onlangs aangepast?
-monitor kerberos d.m.v. wireshark om kerberos fouten uit te sluiten

donderdag 14 maart 2013 21:47

Acties:

0 Henk 'm!

evan_nl

Topicstarter

De datum en tijd staan correct op clients en server. Firewalls aan beide kanten uit bied geen resultaat.

Domeinnaam is mdk.local

donderdag 14 maart 2013 22:58

Acties:

0 Henk 'm!

CMD-Snake

evan_nl schreef op donderdag 14 maart 2013 @ 21:47:
De datum en tijd staan correct op clients en server. Firewalls aan beide kanten uit bied geen resultaat.

Heb je al in de security logs gekeken of daar misschien iets staat?

vrijdag 15 maart 2013 08:02

Acties:

0 Henk 'm!

Oogje

Ik bedenk me ineens, dat scherm uit de openingspost krijg je pas na het inloggen?
Gebruik je op het domein loginscripts of policy's?
Pc is verder te gebruiken? Behalve een drivemapping?

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 15 maart 2013 08:13

Acties:

0 Henk 'm!

evan_nl

Topicstarter

De logs kan ik geen foutmeldingen in ontdekken.

Dat scherm komt inderdaad pas na het inloggen. Als je hier nogmaals de credentials van de gebruiker invoert komen de redirect folders wel te voorschijn en zijn ze werkbaar (desktop/documenten/netwerkshares). Als ik een PC uit het domein haal en opnieuw wil aanmelden lukt dit vervolgens niet meer.

vrijdag 15 maart 2013 08:30

Acties:

0 Henk 'm!

Oogje

Krijg je bij het in het domein hangen van de pc ook een foutmelding? Daarvan moet toch iets in de logging te zien zijn zou ik denken.

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 15 maart 2013 12:05

Acties:

0 Henk 'm!

evan_nl

Topicstarter

Ik krijg bij het opnieuw aanmelden in het domein de volgende foutmelding:

Let op: deze gegevens zijn bedoeld voor een netwerkbeheerder. Neem contact met de netwerkbeheerder op als u geen netwerkbeheerder bent. Meld bij uw netwerkbeheerder dat u deze gegevens hebt ontvangen en dat deze gegevens zijn opgeslagen in het bestand C:\Windows\debug\dcdiag.txt.

De volgende fout is opgetreden tijdens het opvragen van de SRV-bronrecord voor de servicelocatie in DNS die wordt gebruikt om een Active Directory-domeincontroller (AD DC) te vinden in het domein mdk.local:

De fout is: DNS-naam bestaat niet.
(foutcode 0x0000232B RCODE_NAME_ERROR)

De query was voor de SRV-record van _ldap._tcp.dc._msdcs.mdk.local

Mogelijke oorzaken van deze fout zijn:

- De DNS SRV-records die nodig zijn voor het vinden van een AD-domeincontroller voor het domein zijn niet bij DNS geregistreerd. Deze records worden automatisch bij een DNS-server geregistreerd wanneer een AD-domeincontroller aan een domein wordt toegevoegd. Deze records worden periodiek bijgewerkt door de AD-domeincontroller. Deze computer is geconfigureerd voor gebruik van DNS-servers met de volgende IP-adressen:

172.16.12.1

- Voor één of meer van de volgende zones geldt geen delegatie naar de onderliggende zone:

mdk.local
local
. (hoofdzone)

Volgens mij komt die overeen met deze foutmelding in de logs op de server:

Log Name: System
Source: NETLOGON
Date: 3/15/2013 11:33:00 AM
Event ID: 5775
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: MDKDC01.mdk.local
Description:
The dynamic deletion of the DNS record '_kpasswd._udp.mdk.local. 600 IN SRV 0 100 464 MDKDC01.mdk.local.' failed on the following DNS server:

DNS server IP address: 172.16.12.1
Returned Response Code (RCODE): 5
Returned Status Code: 9017

USER ACTION
To prevent remote computers from connecting unnecessarily to the domain controller, delete the record manually or troubleshoot the failure to dynamically delete the record. To learn more about debugging DNS, see Help and Support Center.

ADDITIONAL DATA
Error Value: DNS bad key.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">5775</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-03-15T10:33:00.000Z" />
<EventRecordID>901438</EventRecordID>
<Channel>System</Channel>
<Computer>MDKDC01.mdk.local</Computer>
<Security />
</System>
<EventData>
<Data>_kpasswd._udp.mdk.local. 600 IN SRV 0 100 464 MDKDC01.mdk.local.</Data>
<Data>%%9017</Data>
<Data>172.16.12.1</Data>
<Data>5</Data>
<Data>9017</Data>
<Binary>0500</Binary>
</EventData>
</Event>

Het rare is dat het van een een stuk of 10 keer uit het domein halen en opnieuw proberen op het domein aan te melden het wel 1x gelukt is op mdk.local. Op de andere momenten komen deze bovenstaande foutmeldingen.

Alle clients en de servers hangen aan een switch, net zoals de router voor het internet. De router heeft ip 172.16.12.70.

Server ip: 172.16.12.1
Server gw: 172.16.12.70
Server dns: 172.16.12.1

Client ip: 172.16.12.X
Client gw: 172.16.12.70
Client dns: 172.16.12.1

vrijdag 15 maart 2013 12:14

Acties:

0 Henk 'm!

Oogje

Dat lijkt me toch een DNS probleem op je server.
Toevallig een domain rename gedaan?
En gebruik je DHCP?

[ Voor 10% gewijzigd door Oogje op 15-03-2013 12:16 ]

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 15 maart 2013 12:21

Acties:

0 Henk 'm!

CMD-Snake

Oogje schreef op vrijdag 15 maart 2013 @ 12:14:
Dat lijkt me toch een DNS probleem op je server.
Toevallig een domain rename gedaan?

Het is een SBS 2008 server, deze draait Exchange 2007. Als je dan rename doet zou ook zijn Exchange installatie om zeep zijn gegaan.

Het leest als een DNS probleem. TS moet gaan zoeken of de records van zijn DC juist in DNS staan, dat is de eerste stap.

vrijdag 15 maart 2013 12:26

Acties:

0 Henk 'm!

Oogje

CMD-Snake schreef op vrijdag 15 maart 2013 @ 12:21:
[...]

Het is een SBS 2008 server, deze draait Exchange 2007. Als je dan rename doet zou ook zijn Exchange installatie om zeep zijn gegaan.

Daar had ik ff niet bij stilgestaan.

Sowieso is het een DNS probleem, zoeken op de event-ids zou ook al wat tips voor de TS moeten opleveren.

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 15 maart 2013 13:20

Acties:

0 Henk 'm!

Killah_Priest

Zijn je SRV records nog wel aanwezig op de DNS server? Je zou kunnen proberen om deze opnieuw aan te maken (wel eerst goed inlezen hierover)

[ Voor 9% gewijzigd door Killah_Priest op 15-03-2013 13:20 ]

vrijdag 15 maart 2013 13:39

Acties:

0 Henk 'm!

W4RH34D

Het kan aan mij liggen maar de manier van inloggen is (DOMEINNAAM\GEBRUIKERSNAAM)

Dus in jouw geval MDK\Receptie vervolgens je wachtwoord eronder.
ik denk dat dit het probleem. Ik hoop dat dit de oplossing is.
Dit hoeft dan meestal alleen bij de eerste keer. Ik weet niet of je die server reeds hebt opgezet en het
de eerste keer is dat je inlogt.

[ Voor 32% gewijzigd door W4RH34D op 15-03-2013 13:48 ]

vrijdag 15 maart 2013 14:21

Acties:

0 Henk 'm!

CMD-Snake

W4RH34D schreef op vrijdag 15 maart 2013 @ 13:39:
Het kan aan mij liggen maar de manier van inloggen is (DOMEINNAAM\GEBRUIKERSNAAM)

Dus in jouw geval MDK\Receptie vervolgens je wachtwoord eronder.

Dat maakt niets uit en is niet nodig in dit geval. Als je kijkt naar de screenshot zie je onder de login velden als staan "Domein: MDK". De authenticatie zal dus al standaard tegen de AD van dat domein gaan.

Domeinnaam ervoor vermelden is alleen nodig als de authenticatie tegen een ander domein gedaan moet worden. Dit is echter een SBS machine, die kan geen andere domains trusten en dus is authenticatie tegen een ander domein niet mogelijk.

vrijdag 15 maart 2013 14:47

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Bij het verwijderen van je client uit AD, heb je ook het computer account uit ADUC verwijdert, of heb je na de reboot van de client 'm er direct weer in gehangen?

En wat de anderen al zeggen, check je DNS records.

Commandline FTW | Tweakt met mate

vrijdag 15 maart 2013 15:30

Acties:

0 Henk 'm!

evan_nl

Topicstarter

Beste mensen,

Bedankt voor alle reacties weer. Ik ga even in op de gestelde vragen:
-Er draait geen DHCP maar alle IP/netwerk settings zijn vast ingesteld
-Er draait ook geen Exchange, alleen AD
-Domeinnaam is niet veranderd, dit probleem is van de een op de andere dag ontstaan bij 3 van de 4 clients
-Bij het verwijderen van de client aan het domein heb ik het geprobeerd met en zonder de computer account te verwijderen uit ADUC.
-DNS heb ik gechecked op de server, het lijkt in orde?!:

[ Voor 16% gewijzigd door evan_nl op 18-03-2013 10:21 ]

vrijdag 15 maart 2013 15:32

Acties:

0 Henk 'm!

Oogje

Als ik het vergelijk met mn eigen lookup krijg ik geen server unkown terug van mn OS maar netjes de servernaam van de DNS server van mn domein,.

[ Voor 177% gewijzigd door Oogje op 15-03-2013 15:34 ]

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 15 maart 2013 15:59

Acties:

0 Henk 'm!

CMD-Snake

evan_nl schreef op vrijdag 15 maart 2013 @ 15:30:
-Er draait geen DHCP maar alle IP/netwerk settings zijn vast ingesteld

Waarom eigenlijk? Voor clients is DHCP prima. Tenzij je gateway zo'n alles-in-een modem is en je de DHCP en DNS functie niet uit kan zetten. Overigens lijkt dat me ook niet handig, je hebt dan twee DHCP en DNS servers op hetzelfde netwerk.

-Er draait ook geen Exchange, alleen AD

Exchange is standaard geïnstalleerd op SBS 2008. Tenzij je die verwijderd hebt. Het is verder niet heel relevant.

-Domeinnaam is niet veranderd, dit probleem is van de een op de andere dag ontstaan bij 3 van de 4 clients
-Bij het verwijderen van de client aan het domein heb ik het geprobeerd met en zonder de computer account te verwijderen uit ADUC.
-DNS heb ik gechecked op de server, het lijkt in orde?!:

Wat heb je van DNS gechecked? Je computers melden dat ze de server niet kunnen vinden in DNS. Dan zou dus (zoals ook al aangegeven in de melding) het SRV record verdwenen zijn.

Even drie interessante links:
http://technet.microsoft....ry/cc776854(v=ws.10).aspx
http://technet.microsoft....ry/cc738991(v=ws.10).aspx
How Domain Controllers Are Located in Windows

Alternatief kan je DNS server problemen hebben. In de eerste link staat beschreven hoe je dcdiag kan draaien specifiek voor het DNS deel. Nltest.exe is ook een tool dat je kan helpen met zoeken. Eventueel kan je ook netlogon debugging aanzetten. Kan je ook helpen.

Je kan ook gaan kijken wat drie van de vier problematische clients gemeen hebben. Wellicht kan je dan iets vinden wat op een oorzaak kan wijzen.

Verder is het misschien handig toch je plaatjes en dumps te anonimiseren. We hoeven echt je domeinnaam niet te weten. Servernaam etc. is ook niet belangrijk.

vrijdag 15 maart 2013 18:47

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Verder is het misschien handig toch je plaatjes en dumps te anonimiseren. We hoeven echt je domeinnaam niet te weten. Servernaam etc. is ook niet belangrijk.

In dit geval is het juist handig om ze te hebben omdat we mogelijk te maken hebben met DNS issues. Die kan je niet verhelpen als je niet weet wat je domeinnaam is en hoe je records eruit zien. Daarbij gaat het hier om een .local domein, niet van buiten benaderbaar en dus niet noodzakelijk om 't te blurren.

Commandline FTW | Tweakt met mate

vrijdag 15 maart 2013 19:56

Acties:

0 Henk 'm!

marc181982

Neem aan dat er geen dns records handmatig zijn aangemaakt?

Verwijder je DNS zone, creeer je een nieuwe (Active directory integrated) Let op : alleen domeinnaam gebruiken tijdens het aanmaken oftewel mdk.local.

Restart je netlogon service. Na het opnieuw starten van de netlogon service worden de records opnieuw aangemaakt.

vrijdag 15 maart 2013 23:59

Acties:

0 Henk 'm!

CMD-Snake

marc181982 schreef op vrijdag 15 maart 2013 @ 19:56:
Neem aan dat er geen dns records handmatig zijn aangemaakt?

Verwijder je DNS zone, creeer je een nieuwe (Active directory integrated) Let op : alleen domeinnaam gebruiken tijdens het aanmaken oftewel mdk.local.

Restart je netlogon service. Na het opnieuw starten van de netlogon service worden de records opnieuw aangemaakt.

Let wel dat dit een SBS server betreft. Die komen eigenlijk kant-en-klaar uit de doos. Tijdens eerste setup regel je dingen in als domeinnaam en je IP-range etc. etc..

SBS servers ondersteunen niet alle trucs die je kan uithalen met de andere Windows Server varianten, dit komt vooral door zaken als de SBS manager die uniek zijn aan het product. Overigens de hele DNS zone nu weggooien vind ik te vroeg.

zaterdag 16 maart 2013 15:48

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

evan_nl schreef op vrijdag 15 maart 2013 @ 15:30:
-DNS heb ik gechecked op de server, het lijkt in orde?!:

Controleer dat even vanaf een client... Daar wordt de event ook gegenereerd..

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 16 maart 2013 23:37

Acties:

0 Henk 'm!

evan_nl

Topicstarter

Bedankt voor al jullie reacties! Ben een stuk verder gekomen nu, het lijkt te liggen aan de DNS en/of netwerksettings voor IPv6 die niet kloppen. Na op de clients IPv6 uit te schakelen kan er weer opnieuw in het domein aangemeld en ingelogd worden zonder foutmeldingen.

zondag 17 maart 2013 12:43

Acties:

0 Henk 'm!

marc181982

CMD-Snake schreef op vrijdag 15 maart 2013 @ 23:59:
[...]

Let wel dat dit een SBS server betreft. Die komen eigenlijk kant-en-klaar uit de doos. Tijdens eerste setup regel je dingen in als domeinnaam en je IP-range etc. etc..

SBS servers ondersteunen niet alle trucs die je kan uithalen met de andere Windows Server varianten, dit komt vooral door zaken als de SBS manager die uniek zijn aan het product. Overigens de hele DNS zone nu weggooien vind ik te vroeg.

Klopt, maar het is geen probleem om de DNS zone te verwijderen. Op het moment dat de netlogon opnieuw gestart is moet je even de connect to the internet wizard draaien. Alle overige records worden daarna netjes aangemaakt.