Active directory Windows Server 2012 probleem

woensdag 27 januari 2016 10:03

Acties:

Topicstarter

Mijn vraag:

Ik moet voor school gebruikersomgevingen creëren voor een opdracht. Je kunt dit het beste in Windows server doen met behulp van de Active directory heb ik mij laten vertellen.
Ik heb de Windows server met behulp van een VM geïnstalleerd, en daarna de Active directory geïnstalleerd. Nu wil ik gebruikers toevoegen. Dit heb ik via de Active Directory gedaan. Dit lijkt in eerste instantie gelukt te zijn, maar als ik daarna wil inloggen als deze gebruiker (dus uitloggen, klikken op andere gebruiker, en username & password invullen) verschijnt er de volgende mededeling:

"De gebruikte aanmeldingsmethode is niet toegestaan. Neem contact op met de netwerkbeheerder voor meer informatie"

Dit gebeurt met elke gebruiker die ik wil toevoegen, ongeacht de plaats van de gebruiker.

Relevante software en hardware die ik gebruik:k

- Oracle VM VirtualBox
- Windows server 2012

Wat ik al gevonden of geprobeerd heb:

Ik heb natuurlijk al gegoogled voordat ik hier mijn vraag stel, en heb de volgende dingen geprobeerd zonder resultaat:

- De Allow log on locally proberen aan te passen, deze kan ik echter niet aanpassen.
- Gpupdate /force geprobeerd, geen effect.
- De gebruiker naar een andere map gesleept binnen dezelfde forest, geen effect.

Als ik een gebruiker koppel aan administrator, kan ik wel inloggen, alleen kom ik op het administratorscherm uit. Als ik een gebruiker koppel aan "Gebruiker", krijg ik weer de foutmelding.

Ik heb geen internettoegang in de VM, ofja beperkte toegang. Ik weet niet of dit nog iets ermee te maken heeft? Aangezien het alleen local is, dacht ik dat dit geen probleem zou moeten zijn.

Ik heb veel geprobeerd, veel op internet gekeken maar ben er niet wijzer uit gekomen. Daarom mijn vraag of iemand mij met mijn probleem zou kunnen helpen

Relevante afbeeldingen:
https://www.dropbox.com/s/uloja2soy8a6666/20160127_094211.jpg?dl=0

https://www.dropbox.com/s.../20160127_094614.jpg?dl=0

No one is listening until you fart

woensdag 27 januari 2016 10:08

Vorkie

Normale gebruikers, Domain Users, mogen niet inloggen op een Domain Controller. Dit verklaard waarom, als ze lid zijn van administrators, wel kunnen inloggen.

Maak een extra VM aan met een Windows 7/8/8.1/10 OS, hangt deze in het domein, zorg dat DNS wijst naar de Domain Controller en probeer dan met je aangemaakte user in te loggen.

woensdag 27 januari 2016 10:08

Acties:

Beste antwoord ✓

Vorkie

Normale gebruikers, Domain Users, mogen niet inloggen op een Domain Controller. Dit verklaard waarom, als ze lid zijn van administrators, wel kunnen inloggen.

Maak een extra VM aan met een Windows 7/8/8.1/10 OS, hangt deze in het domein, zorg dat DNS wijst naar de Domain Controller en probeer dan met je aangemaakte user in te loggen.

woensdag 27 januari 2016 10:10

Acties:

fn002449

Google eens op Eli the computer guy. Heeft heleboel tutorials over AD. Heb ik zelf recent ook doorgenomen. Fijn om veel achtergrond info te krijgen.

[ Voor 35% gewijzigd door fn002449 op 27-01-2016 11:13 ]

woensdag 27 januari 2016 10:18

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

fn002449 schreef op woensdag 27 januari 2016 @ 10:10:
Google eens op Eli the computer guy. Heeft heleboel tutorials over AD.

Goedbedoeld advies, maar ik weet niet of de TS nu het meeste heeft aan "een heleboel tutorials". Dit is een heel specifieke vraag namelijk.

Verder neig ik naar het antwoord van ThaNetRunner, alleen aarzel ik even in verband met die foutmelding die mij, in ieder geval in het Nederlands, niet bekend voor komt. Volgens mij zou je een specifiekere foutmelding moeten krijgen die duidelijk aangeeft dat de gebruiker niet gemachtigd is om via RDP in te loggen. En dat brengt mij bij het volgende namelijk om zo veel mogelijk met Engelstalige serversoftware te werken. Google "De gebruikte aanmeldingsmethode is niet toegestaan. Neem contact op met de netwerkbeheerder voor meer informatie" maar eens, de enige hit is dit topic.

Tenslotte nog dit...

Als ik een gebruiker koppel aan administrator

Probeer altijd zo specifiek mogelijk te zijn, termen als 'koppel aan' administratorscherm' zijn vaag en vertellen mij niet precies wat je gedaan hebt. Bedoel je met aankoppelen dat je het gebruikersaccount lid van een groep gemaakt hebt?

Exchange en Office 365 specialist. Mijn blog.

woensdag 27 januari 2016 10:34

Acties:

Felix!

Topicstarter

@ThaNetRunner Ooh! Oké! Bedankt! Werkt Windows Server 2012 alleen met Windows 8 professional? En maakt het niks uit dat ik geen internettoegang heb op de server?

@fn002449 Bedankt voor het advies, ik zal eens gaan kijken!

@Jazzy de Engelse foutmelding is: "The sign in method you're trying to use isn't allowed" of "The login method is not allowed" Als je dit intypt in google krijg je veel meer resultaten. Op de sites staan allemaal oplossingen die ik geprobeerd heb, maar waarvan geen (helaas) werken.

Sorry, nu ik er zo over na denk heb je gelijk haha. Met koppelen bedoel ik inderdaad dat ik het gebruikersaccount lid heb gemaakt van de groep administrators.

No one is listening until you fart

woensdag 27 januari 2016 10:46

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Helder, dan is de oorzaak inderaad diegene die ThaNetRunner al aangaf.

Er zijn trouwens manieren om dat aan te passen. Eén ervan is om de gebruiker lid te maken van de groep Remote Desktop Users op jouw server. Andere optie is om de lokale policy aan te passen zodat ook andere groepen via RDP mogen inloggen maar dat is iets complexer.

Omdat dit een opstelling is om van te leren is de suggestie van @ThaNetRunner om een werkplek toe te voegen wel een heel goed idee. Dan leer je ook de basics van TCP/IP in zo'n opstelling en het belang om DNS goed in te stellen. En kun je vervolgens eens kijken naar GPO's en dergelijke.

Exchange en Office 365 specialist. Mijn blog.

woensdag 27 januari 2016 17:18

Acties:

Dennism

Jazzy schreef op woensdag 27 januari 2016 @ 10:18:
[...]

Goedbedoeld advies, maar ik weet niet of de TS nu het meeste heeft aan "een heleboel tutorials". Dit is een heel specifieke vraag namelijk.

Verder neig ik naar het antwoord van ThaNetRunner, alleen aarzel ik even in verband met die foutmelding die mij, in ieder geval in het Nederlands, niet bekend voor komt.

ThaNetRunner heeft idd de goede suggestie verwacht ik, de melding die TS geeft is in ieder geval van toepassing wanneer je direct op de console van een Nederlandstalige DC met een useraccount wil inloggen.

Via RDP heb je gelijk, en zal je de melding krijgen dat de gebruiker niet geauthoriseerd is voor externe aanmelding.

@TS,

Als dit een schoolopdracht is, zou ik trouwens geen trucjes gaan uithalen om domain users te laten lokaal te laten aanmelden op een DC. Dit zal namelijk in 99% van de gevallen in het bedrijfsleven niet de bedoeling zijn, en uiteindelijk ga je naar school om te leren wat de best preactises zijn en later in het bedrijfsleven (zoveel mogelijk) deze best practises toe te passen voor zover budget het toelaat. Users lokaal laten aanloggen op een domain controller is er daar niet 1 van.

Experimenteren met client OSen (of een 2de W2012 R2 server met de RDS role) i.c.m. met AD (en DNS / DHCP / GPO's e.d.) kan dan wel weer zeer leerzaam zijn en dat lijkt mij ook uitstekend passen met het creëren van gebruikersomgevingen zoals je opdracht is.

woensdag 27 januari 2016 20:45

Acties:

thaizzz

Om even in te haken op je vraag aan ThaNetRunner:
Windows Server 2012 "werkt" niet alleen met Windows 8, ook met andere OS'en. Maar hij bedoelt dat je het beste een client OS kan gebruiken om de verbinding met je Domain Controller te testen. Dus probeer op een client OS dat is gekoppeld aan je domain in te loggen met een domain account.
Je hebt hier geen internet voor nodig, maar je moet natuurlijk wel LAN-verbinding hebben tussen je client OS en je Domain Controller.

Als je wat meer wilt leren zonder al teveel moeite te willen doen om eigen VM's op te bouwen kan je ook gebruik maken van TechNet Virtual Labs:
https://technet.microsoft.com/en-us/virtuallabs/default

Het zijn vaak allemaal hands-on labs die je d.m.v een guide leren hoe een onderdeel van Windows Server (of andere Microsoft producten) werken.

MCP, MCSA:2008/2012R2, MCSE:Comm

woensdag 27 januari 2016 23:36

Acties:

Razwer

Voor lab doeleinden kan je prima RDS op een server 2012R2 DC doen. In 2012 werkte dit niet (goed). Ik heb dit ooit nog in het TAP programma aangemeld als bug en die is toen verholpen.
Wanneer je RDS (juist) inricht kan je gewoon je users lid maken van de remote desktop users groep en kunnen ze prima aanloggen op de DC.
In een productie omgeving moet je dit om verschillende redenen absoluut niet willen, maar voor een lab opdracht van school oid kan het dus prima.

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 28 januari 2016 00:04

Acties:

Dennism

Razwer schreef op woensdag 27 januari 2016 @ 23:36:
Voor lab doeleinden kan je prima RDS op een server 2012R2 DC doen. In 2012 werkte dit niet (goed). Ik heb dit ooit nog in het TAP programma aangemeld als bug en die is toen verholpen.
Wanneer je RDS (juist) inricht kan je gewoon je users lid maken van de remote desktop users groep en kunnen ze prima aanloggen op de DC.
In een productie omgeving moet je dit om verschillende redenen absoluut niet willen, maar voor een lab opdracht van school oid kan het dus prima.

Ik zie alleen niet direct in waarom dit direct nuttig zal zijn een virtuele RDS (of 2) naast je DC moet je makkelijk virtueel kunnen draaien op een laptop met de aanbevolen specs voor een IT opleiding . Je zit juist op school om zaken correct aan te leren en een RDS role (of bijna iedere andere Windows Server role) op een DC is in het meest beste geval een not recommended practise en vaak gewoon bad practise, licenties (budget) zijn geen issues want of gratis via Dreamspark / andere studenten regelingen of gewoon de 180 dagen trial versies als je heel toevallig op een school zit die aan geen enkel programma mee doet.

Juist op een opleiding heb je alle middelen (of zou je deze moeten hebben) om zaken als deze iig best practise (m.u.v. de hardware recommendations in sommige gevallen) in te richten en je op die manier de kennis eigen te maken. Ga je op school zaken als bijv. vSphere leren wordt het natuurlijk een stuk lastiger omdat je w.s. niet per leerling de beschikking hebt over hardware die op de VMware HCL staat, maar veel virtuele gedraaide MS producten kun je vaak zelfs op minimale hardware in ieder geval op de recommended wijze software matig inrichten (Exchange en SQL zal hardware matig lastig zijn), je zal alleen een stuk performance missen, maar dat zou je op een schoollab sowieso niet nodig moeten hebben.

donderdag 28 januari 2016 00:18

Acties:

Razwer

Dennism schreef op donderdag 28 januari 2016 @ 00:04:
[...]

Ik zie alleen niet direct in waarom dit direct nuttig zal zijn een virtuele RDS (of 2) naast je DC moet je makkelijk virtueel kunnen draaien op een laptop met de aanbevolen specs voor een IT opleiding . Je zit juist op school om zaken correct aan te leren en een RDS role (of bijna iedere andere Windows Server role) op een DC is in het meest beste geval een not recommended practise en vaak gewoon bad practise, licenties (budget) zijn geen issues want of gratis via Dreamspark / andere studenten regelingen of gewoon de 180 dagen trial versies als je heel toevallig op een school zit die aan geen enkel programma mee doet.

Juist op een opleiding heb je alle middelen (of zou je deze moeten hebben) om zaken als deze iig best practise (m.u.v. de hardware recommendations in sommige gevallen) in te richten en je op die manier de kennis eigen te maken. Ga je op school zaken als bijv. vSphere leren wordt het natuurlijk een stuk lastiger omdat je w.s. niet per leerling de beschikking hebt over hardware die op de VMware HCL staat, maar veel virtuele gedraaide MS producten kun je vaak zelfs op minimale hardware in ieder geval op de recommended wijze software matig inrichten (Exchange en SQL zal hardware matig lastig zijn), je zal alleen een stuk performance missen, maar dat zou je op een schoollab sowieso niet nodig moeten hebben.

Heel nobel verhaal maar "best practice" inrichten? Hoe ver wil je gaan? 1 DC is geen DC

Meteen ook de hypervisor clusteren en op SAN Storage zetten met uitwijk datacenter en iemand 24/7 op operations en engineer op pieper dienst? Offsite backups inrichten? BCP plan maken? Redundant internet verbinding? UPS en nood aggregaat in de tuin zetten?
Zo kan ik wel even door gaan. Zo lang je weet hoe het moet, moet je het niet te ingewikkeld willen maken.

Dat hele verhaal verwerk je in je T.O. Hoe het ECHT moet en waarom je de keuze maakt voor de huidige oplossing. Ik snap je punt wel, maar het is overtrokken.

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 28 januari 2016 15:27

Acties:

technopeuter

Ooit in 2000 ook zo begonnen, 1 server, toen nog ijzer, Server 2000 geinstalleerd, DCPromo uitgevoerd en maar niet begrijpen waarom de user niet kon aanloggen. Bleek dus de setting "log on locally"te zijn. in 2012 is dit (uit mijn hoofd) "deny log on locally" en daar staat de usergroep tussen.

diskeltische lurker

Vraag

Beste antwoord (via Felix! op 29-01-2016 10:29)

Alle reacties