Probleem met authenticatie op Active Directory ?

Hallo,

Heb een probleem met clients die proberen in te loggen op een share op een member server i.p.v. een domain controller.

De clients draaien Wonderware (SCADA software) die voor de client applicatie de share op de member server nodig heeft.

Maar als ik die share met explorer vanaf de clients (die natuurlijk ook in AD hangt) probeer te benaderen komt die al terug met een gebruikersnaam wachtwoord scherm. Daardoor kan ik dus ook de client applicatie niet in Wonderware configureren.

De events die op de server verschijnen zijn de volgende:

Event ID: 681
The logon to account: %userid%
by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
from workstation: %client computername%
failed. The error code was: 3221225572

en

event id: 529
Logon Failure:
Reason: Unknown user name or bad password
User Name: %gebruikersnaam%
Domain: %client computername%
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: %client computername%

Hoe komt het toch dat de client niet de AD database gebruikt ?

Weet iemand een antwoord op mijn probleem ...?

Groetjes,
Strike

Staan inderdaad leuke tips op maar krijg er mijn probleem nog niet mee opgelost

De client probeert namelijk om in te loggen op de server met als domain naam zijn eigen computer naam ?

Het probleem is dus dat de client i.p.v. de domein naam de client computer name doorstuurt zoals je ziet in :

event id: 529
Logon Failure:
Reason: Unknown user name or bad password
User Name: %gebruikersnaam%
Domain: oln473 (HIER MOET VOLGENS MIJ DUS DE DOMAIN NAAM STAAN ?)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: oln473

De users loggen inderdaad op het domain in ... dat is juist het vreemde.

Maar als ik bij defaultdomainname kijk onder HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Winlogon staat daar wel de naam van de local computer i.p.v. de domain naam ? En als ik dat verander in de domain naam en ik log opnieuw aan wijzigt dat weer automatisch in de computer naam ?

Hier mijn antwoorden

member server is member van het win2k domain?
Yep
Clients ook?
Yep
computer acounts staan wel in AD?
Yep

Je hebt geen permissions op de share gezet, maar op file niveau?
Op allebei staan permissions, als ik in explorer alleen al naar de server toega vraagt die al om een userid en paswoord.
je hebt de groups uit de AD geselecteerd en niet uit de locale userdatabase van de file server?
Yep uit AD want ik wil geen locale userdatabases gebruiken aangezien ik AD heb ?

kan de member server op FQDN pingen van de DC's?
Yep
staan er SRV records in je DNS?
Yep ook OK.

NTLM service draait ook op die server.

Van domain afhalen en opnieuw joinen zal ook niet zo direct gaan en ik heb het met meerdere servers dus het is een ander probleem.

Er zijn geen andere events dan degene die onderaan staan.

Heb inderdaad 2 subnets maar de client waar de testen mee gebeuren zit in hetzelfde subnet als de w2k servers.

De Clients loggen inderdaad direct aan op de AD i.p.v. cached logon.

CyberJ krijg jij ook een userid/password scherm terug als je probeert de w2k member server te bereiken via explorer ?