Toon posts:

Probleem met authenticatie op Active Directory ?

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hallo,

Heb een probleem met clients die proberen in te loggen op een share op een member server i.p.v. een domain controller.

De clients draaien Wonderware (SCADA software) die voor de client applicatie de share op de member server nodig heeft.

Maar als ik die share met explorer vanaf de clients (die natuurlijk ook in AD hangt) probeer te benaderen komt die al terug met een gebruikersnaam wachtwoord scherm. Daardoor kan ik dus ook de client applicatie niet in Wonderware configureren.

De events die op de server verschijnen zijn de volgende:

Event ID: 681
The logon to account: %userid%
by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
from workstation: %client computername%
failed. The error code was: 3221225572

en

event id: 529
Logon Failure:
Reason: Unknown user name or bad password
User Name: %gebruikersnaam%
Domain: %client computername%
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: %client computername%

Hoe komt het toch dat de client niet de AD database gebruikt ?

Weet iemand een antwoord op mijn probleem ...?

Groetjes,
Strike

  • Arno
  • Registratie: Juli 2000
  • Laatst online: 18:26

Arno

PF5A

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson


Verwijderd

Topicstarter
Staan inderdaad leuke tips op maar krijg er mijn probleem nog niet mee opgelost ;)

De client probeert namelijk om in te loggen op de server met als domain naam zijn eigen computer naam ?

Het probleem is dus dat de client i.p.v. de domein naam de client computer name doorstuurt zoals je ziet in :

event id: 529
Logon Failure:
Reason: Unknown user name or bad password
User Name: %gebruikersnaam%
Domain: oln473 (HIER MOET VOLGENS MIJ DUS DE DOMAIN NAAM STAAN ?)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: oln473

Verwijderd

de users loggen wel in op het domain? loggen ze niet gewoon local in?

Verwijderd

Topicstarter
De users loggen inderdaad op het domain in ... dat is juist het vreemde.

Maar als ik bij defaultdomainname kijk onder HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Winlogon staat daar wel de naam van de local computer i.p.v. de domain naam ? En als ik dat verander in de domain naam en ik log opnieuw aan wijzigt dat weer automatisch in de computer naam ?

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Welk OS draaien je clients?

QnJhaGlld2FoaWV3YQ==


Verwijderd

Topicstarter
Windows 2000 Prof

Verwijderd

Topicstarter
nog wat info:
De servers draaien Windows 2000 Server en Advanced Server.
Het is bij 2000 Adv. member Servers en 2000 member Servers hetzelfde probleem.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 06:43
member server is member van het win2k domain?
Clients ook?
computer acounts staan wel in AD?

Je hebt geen permissions op de share gezet, maar op file niveau?
je hebt de groups uit de AD geselecteerd en niet uit de locale userdatabase van de file server?

kan de member server op FQDN pingen van de DC's?

staan er SRV records in je DNS?

PVOUPUT - 13.400WP - Twente


Verwijderd

Topicstarter
Hier mijn antwoorden ;)

member server is member van het win2k domain?
Yep
Clients ook?
Yep
computer acounts staan wel in AD?
Yep

Je hebt geen permissions op de share gezet, maar op file niveau?
Op allebei staan permissions, als ik in explorer alleen al naar de server toega vraagt die al om een userid en paswoord.
je hebt de groups uit de AD geselecteerd en niet uit de locale userdatabase van de file server?
Yep uit AD want ik wil geen locale userdatabases gebruiken aangezien ik AD heb ?

kan de member server op FQDN pingen van de DC's?
Yep
staan er SRV records in je DNS?
Yep ook OK.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 06:43
Verwijderd schreef op 22 September 2003 @ 13:41:
Hier mijn antwoorden ;)

member server is member van het win2k domain?
Yep
Clients ook?
Yep
computer acounts staan wel in AD?
Yep

Je hebt geen permissions op de share gezet, maar op file niveau?
Op allebei staan permissions, als ik in explorer alleen al naar de server toega vraagt die al om een userid en paswoord.
je hebt de groups uit de AD geselecteerd en niet uit de locale userdatabase van de file server?
Yep uit AD want ik wil geen locale userdatabases gebruiken aangezien ik AD heb ?

kan de member server op FQDN pingen van de DC's?
Yep
staan er SRV records in je DNS?
Yep ook OK.
het enige wat ik kan bedenken is dat je geen security op share niveau moet doen, maar alleen op file niveau.

Dus op je share "everybody" op full control zetten

en dan per map/file de boel afschermen.

Maar tis en blijft vreemd

PVOUPUT - 13.400WP - Twente


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
Draait NTLM authentication service op member server?
Anders ff van domain afhalen en opnieuw joinen...

geen netlogon meldingen etc op die servert?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


Verwijderd

Topicstarter
NTLM service draait ook op die server.

Van domain afhalen en opnieuw joinen zal ook niet zo direct gaan en ik heb het met meerdere servers dus het is een ander probleem.

Er zijn geen andere events dan degene die onderaan staan.

  • Equator
  • Registratie: April 2001
  • Laatst online: 15:15

Equator

Crew Council

#whisky #barista

* Equator volgt deze discussie even.

Ik heb een vergelijkbaar geval.
NT4 domein met 2K Member server. Ik is admin, en mag overal bij. Ook op die 2k server.
Echter toch krijg ik dezelfde foutmeldingen in het sec logboek van de 2000 server :?

Ik heb verder geen problemen, maar toch ben ik benieuwd hoe dit komt..

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
Ik heb het zelf wel een keer gehad, en dat het toen te maken met het feit dat de AD server niet direct aangesproken/gevonden kon worden door de clients .. Maar ik neem aan dat bij jou de clients gewoon direct aanmelden op de server ipv cached logon? Het is ook gewoon 1 subnet?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


Verwijderd

Topicstarter
Heb inderdaad 2 subnets maar de client waar de testen mee gebeuren zit in hetzelfde subnet als de w2k servers.

De Clients loggen inderdaad direct aan op de AD i.p.v. cached logon.

CyberJ krijg jij ook een userid/password scherm terug als je probeert de w2k member server te bereiken via explorer ?

  • Equator
  • Registratie: April 2001
  • Laatst online: 15:15

Equator

Crew Council

#whisky #barista

nope, ik kan gewoon overal bij, maar toch krijg ik deze meldingen in het security logboek van de 2000 member server...

Subnet's zouden niets uit mogen maken.. Authorisatie gaat daar gewoon overheen.

[ Voor 27% gewijzigd door Equator op 23-09-2003 08:53 ]


  • SED
  • Registratie: Januari 2000
  • Laatst online: 23-12-2025

SED

staat de betreffende computer in de computer ou van de AD?

Copyright and left by SED...


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
FF network monitor installeren op de member server. Network monitor laten draaien op het moment dat jij met de client de share aanspreekt, en dan ff kijken wat er zich precies afspeelt....

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

Pagina: 1