Geen toegang meer tot Server 2016 ( Event 5823 (NETLOGON)

Vandaag kregen we plotseling geen toegang meer tot een Windows 2016 server. Sommige clients konden nog wel de share bereiken en andere niet meer. Aanmelden met meerdere admin accounts op de server ging niet meer.

Na een harde herstart van de machine, werkte alles weer. In de eventviewer kwam ik de volgende melding tegen: Event 5823 (NETLOGON) "The system successfully changed its password on the domain controller".

Op gegoogled en zag dat meer mensen hier last van hadden, vooral als ze gemigreerd waren van 2003 naar 2012 of 2016. Ik kan nergens vinden of hier een fix voor is.

Zijn er mensen die een zelfde ervaring hebben?

MAX3400 schreef op maandag 15 oktober 2018 @ 11:36:
@nico_van_wijk de GPO voor machine account password changes is, in de correcte ADMX, by default Disabled.

Het gaat dus om deze: Computer Config\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain Member:Disable machine account password changes.

Hij staat op "Not Defined" en is standaard "Disabled".

Maar moet je niet net andersom denken?

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Heb je geen oude / legacy GPO en/of ADMX op de DC's geconfigureerd staan?

Niet dat ik weet. We dwingen wel wat zaken af met GPO's, maar meer wat standaard zaken als bureauachtergrond en redirectfolders.

/Edit: het gedrag komt niet overeen met de default GPO; dan had je hetzelfde issue 30 dagen na je dcpromo ook al moeten hebben gehad.

En als ik de server ondertussen nog een keer herstart had?

Question Mark schreef op maandag 15 oktober 2018 @ 12:28:
Default wordt een computeraccount om de 30 dagen aangepast. Dat staat los van tussentijdse reboots.

Wat is dat voor aanpassing dan? Dit is niet de wijziging van het password van een gebruiker die hij zelf doet, of een admin die dat voor hem doet?

MAX3400 schreef op maandag 15 oktober 2018 @ 12:44:
[...]

Dat is een SYSTEM aanpassing (local account) wat trusted is in AD. Door dit niet te doen of te verlengen, stel je je infra (meer) open voor brute-force attacks.

Zie ook https://docs.microsoft.co...hine-account-password-age

Ok, helder. Bij de accountsettings hebben we aangevinkt dat de gebruiker het password niet kan wijzigen maar daar heeft deze instelling dus niets mee te maken begrijp ik.

Toch vreemd allemaal, want mijn symptomen komen overeen met het draadje op technet. Ik las ook bij iemand dat het willekeurig op treed en dus niet exact na 30 dagen.

Question Mark schreef op maandag 15 oktober 2018 @ 13:02:
Post de output van DCDiag en ipconfig /all nou als je wilt.

DCDIAG - SYSVOL melding komt door het onderuitgaan van de server in relatie met Event 5823


Directory Server Diagnosis


Performing initial setup:

Trying to find home server...

Home Server = SV-FS1

* Identified AD Forest.
Done gathering initial info.


Doing initial required tests


Testing server: Default-First-Site-Name\SV-FS1

Starting test: Connectivity

......................... SV-FS1 passed test Connectivity


Doing primary tests


Testing server: Default-First-Site-Name\SV-FS1

Starting test: Advertising

......................... SV-FS1 passed test Advertising

Starting test: FrsEvent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.
......................... SV-FS1 passed test FrsEvent

Starting test: DFSREvent

......................... SV-FS1 passed test DFSREvent

Starting test: SysVolCheck

......................... SV-FS1 passed test SysVolCheck

Starting test: KccEvent

......................... SV-FS1 passed test KccEvent

Starting test: KnowsOfRoleHolders

......................... SV-FS1 passed test KnowsOfRoleHolders

Starting test: MachineAccount

......................... SV-FS1 passed test MachineAccount

Starting test: NCSecDesc

......................... SV-FS1 passed test NCSecDesc

Starting test: NetLogons

......................... SV-FS1 passed test NetLogons

Starting test: ObjectsReplicated

......................... SV-FS1 passed test ObjectsReplicated

Starting test: Replications

......................... SV-FS1 passed test Replications

Starting test: RidManager

......................... SV-FS1 passed test RidManager

Starting test: Services

......................... SV-FS1 passed test Services

Starting test: SystemLog

......................... SV-FS1 passed test SystemLog

Starting test: VerifyReferences

......................... SV-FS1 passed test VerifyReferences


Running partition tests on : ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... ForestDnsZones passed test

CrossRefValidation


Running partition tests on : DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... DomainDnsZones passed test

CrossRefValidation


Running partition tests on : Schema

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation


Running partition tests on : Configuration

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation


Running partition tests on : RSV

Starting test: CheckSDRefDom

......................... RSV passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... RSV passed test CrossRefValidation


Running enterprise tests on : RSV.local

Starting test: LocatorCheck

......................... RSV.local passed test LocatorCheck

Starting test: Intersite

......................... RSV.local passed test Intersite

IPCONFIG


Windows IP Configuration

Host Name . . . . . . . . . . . . : SV-FS1
Primary Dns Suffix . . . . . . . : rsv.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : rsv.local

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : QLogic BCM5709C Gigabit Ethernet (NDIS VBD Client) #37
Physical Address. . . . . . . . . : B8-AC-6F-81-B7-5F
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.120(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.102
DNS Servers . . . . . . . . . . . : 192.168.0.121
192.168.0.120
NetBIOS over Tcpip. . . . . . . . : Enabled

PPP adapter RAS (Dial In) Interface:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : RAS (Dial In) Interface
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.51(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{CE03D162-C307-4560-9784-82E0502C1986}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Vorkie schreef op maandag 15 oktober 2018 @ 16:54:
Wat doet die RAS op die AD server? Die heeft daar niets te zoeken?

Verder is .local wel een dingetje, maar niet voor deze zaak.

Had je ook de ip Config van de server?

En een nslookup rsv.local,

Euh, maar zou dat nog een keer gaan gebeuren? Ben benieuwd of de 2e domaincontroller hetzelfde gaat overkomen. Deze heb ik er ongeveer 2 weken later bij gehangen. Stel dat dat gebeurd, dan lijkt het toch wel op dit: https://social.technet.mi...-log-on?forum=winserverDS. Het hele fenomeen is gewoon exact hetzelfde...

Nog 1 detail, heb nog even zitten zoeken vandaag. Ik ben vergeten het Raise Domain Functional Level naar 2016 te brengen, staat nog op 2003. Mag volgens mij niet uitmaken toch?

Meekoh schreef op dinsdag 16 oktober 2018 @ 02:41:
[...]

Domain Functional level zou niets uit moeten maken voor dit issue. Dat "enabled" eigenlijk alleen maar features.

Het gaat dus om het machine password, dit heeft helemaal niets met User account passwords te maken. Het computer object van je server bevat zelf ook een password. Deze kan door de computer/server zelf gewijzigd worden bij een domain controller. Dit gebeurd ook zoals anderen aangeven standaard iedere 30 dagen. Het feit dat dat wachtwoord veranderd zou dus opzich geen probleem moeten zijn.

Heb je uberhaupt nog 2003 DC's draaien? En welke DC heeft de KDC rol?

Aha, duidelijk. Mag ik dan aannemen dat Event 5823 (NETLOGON) "The system successfully changed its password on the domain controller" om de 30 dagen wordt gemeld in de eventviewer? Mijn log gaat nu niet ver genoeg terug omdat ik die in september een keer leeg gegooid heb.

Ik kan natuurlijk dat wachtwoord wijzigen uitzetten zoals men beschrijft in het draadje op technet, maar dat lijkt me niet wenselijk i.v.m. security.

Draaien geen 2003 DC's meer, die heb ik netjes ge-demote. KDC rol draait toch op beide domain machines?

Kreeg trouwens na de 5823 melding als eerst volgende een Security-Kerberos, eventid 4 melding ca een uur later.

Nog even verder zitten zoeken:

https://bent-blog.de/hotf...in-gemischten-umgebungen/

Voor 2012 is er blijkbaar een patch: https://support.microsoft...password-in-mixed-windows. Voor 2016 niet.

Vreemde is wel dat ik geen 2003 DC's meer heb draaien.

Vorkie schreef op dinsdag 16 oktober 2018 @ 09:45:
Check eens of alle rollen goed staat met onderstaande PowerShell

code:

1 2 3 4 5 6 7 8 9 10 11

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$_.OperationMasterRoles} | Format-Table -AutoSize

Verder ook je PDC de trusted time source maken

code:

1	w32tm.exe /config /manualpeerlist:”Vulhiertijdserversin” /syncfromflags:manual /reliable:YES /update

code:

1	w32tm.exe /config /update

code:

1	Restart-Service w32time

PS C:\Users\administrator.rsv> Get-ADDomainController -Filter * | Select-Object Name, Domai
es | Where-Object {$_.OperationMasterRoles} | Format-Table -AutoSize

Name Domain Forest OperationMasterRoles
---- ------ ------ --------------------
SV-FS1 rsv.local rsv.local {SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster...}

---

PS C:\Users\administrator.rsv> Get-ADDomain | Select-Obje

InfrastructureMaster RIDMaster PDCEmulator
-------------------- --------- -----------
SV-FS1.rsv.local SV-FS1.rsv.local SV-FS1.rsv.local

---

PS C:\Users\administrator.rsv> Get-ADF

DomainNamingMaster SchemaMaster
------------------ ------------
SV-FS1.rsv.local SV-FS1.rsv.local

---

Timesource had ik al aangemaakt.

Question Mark schreef op maandag 22 oktober 2018 @ 11:42:
Heb je je DNS nu al eens gecontroleerd om te kijken of het ip-adres van die VPN adapter ook geregistreerd staat met AD-related records?

Excuus, had dit gecheckt maar was vergeten te melden dat adapter zich niet registreert in DNS.