Active Directory - Verbindung automatisch herstellen

[GinoBambino]

Hi.

Ich habe einen DC auf meinem privaten Server installiert. Diesen schalte ich nur bei Bedarf an. Für die reguläre Windows-Anmeldungen reichen die "Cached Credentials".

Gelegentlich möchte ich aber Sicherheitseinstellungen von Ordner und Dateien bearbeiten. Und wenn ich dann den Server einschalte, bekommt mein Client dies nicht mit und meldet mir:

"Mit Active Directory konnte keine Verbindung hergestellt werden, um auf Anspruchstypen zuzugreifen oder diese zu überprüfen".

Gibt es eine Möglichkeit, manuell eine Verbindung zum AD zu initialisieren? Oder muss ich unbedingt den Rechner neustarten?

 

[Quanar]

gpudate /force?

 

[GinoBambino]

cool! Danke Gleich mal ausprobieren...

 

[Frightener]

Mit Gruppenrichtlinien dürfte das nichts zu tun haben. Ich tippe auf ein DNS Problem. Der Client braucht für die Auflösung der Gruppenmitgliedschaften in den ACLs den DC, den er jedoch nicht erreichen kann.

Woher bekommen die Clients ihre IP? Welcher DNS Server ist auf den Clients eingetragen? Ein Domänennetzwerk mit abgeschaltetem DC kann nicht richtig funktionieren.

 

[masaeN]

Naja es ist ja auch nicht gedacht das ein Server ein und ausgeschaltet wird wie es einem Lieb ist. Server sollte eben doch 24/7 laufen.

Früher oder später nehme ich sogar an das du in noch mehr Probleme rennen wirst wenn du das so weiter fährst.

 

[Smartbomb]

@GinoBambino @Quanar @Frightener @masaeN

Sorry für das Aufgreifen dieses alten Threads.
Ich habe das Problem ebenfalls. Bei mir in der Firma.
Also wenn ich als Domänenbenutzer (mit lokalen Adminrechten) angemeldet bin und im Tab "Sicherheit" etwas an der Berechtigung ändern will, bekomme ich den Fehler auch.
Ich kann die Datei/das Objekt in Besitz nehmen, aber möchte ich einen Benutzer hinzufügen, kommt nach dem Klick auf "Hinzufügen" die Meldung "Mit active directory konnte keine Verbindung hergestellt werden, um auf Anspruchstypen zuzugreifen oder diese zu überprüfen".
Pfad in die Domäne ist auch korrekt.
Am Domäncontroller als Domänen Admin angemeldet kann ich auch nichts sonderbares feststellen.
DNS Auflösungen scheinen auch alle ok.
Hosts Datei bei mir am PC auch.

Es könnte irgendwie damit zusammenhängen, dass ein Programm, was auf unseren Servern läuft, bei mir immer wieder mal abfliegt, weil es die Verbinsung verloren hat.
Ich dachte immer das muss an meinem Rechner liegen, das ist eine alte Workstation, das Windows 10 ist sicher upgegradet, aber ich habe das alles scchon überprüft:
Windows 10 Inplace Reparaturupgrade.
sfc /scannow
netsh winsock reset
nslookup alles gut.
Mittlerweile auch neue Netzwerkkabel und den Switch getauscht.
In der hosts Datei ist nur 1 Server eingetragen (also ohne Kommentar #) und das ist ein anderer Server (nicht der DC)
pings, speed etc auch alles gut.
PC aus der Domäne nehmen, nach Neustart lokal anmelden, wieder in die Domäne rein und als Domänenbenutzer anmelden hat auch nichts gebracht (was erfahrungsgemäß manchmal hilft wenn etwas komisch tut).

Jetz bin ich eben auf diesen Fehler gestoßen. Egal ob ich eine Datei auf C anfasse oder wie im Screenshot eine 0815 Datei auf D:
Mein Testrechner (anderer PC!) ist nicht in der Domäne und lokal, dort habe ich Freigaben und Berechtigungen (und natürlich bei all unseren Kunden), daher ist mir das Problem bisher nicht aufgefallen.

Um Sicherzugehen habe ich mich mitr meinen Domänenbenutzer zum ersten Mal auf einem anderen, sich in der Domäne befindlichen PC angemeldet und: das Selbe!
Der Kollege den ich gebeten habe sich ebenfalls dort zum ersten Mal anzumelden, hat das Problem nicht.

Also liegts nicht an meinem PC, sondern an meinem Domänenbenutzer!?
Wie soll das gehen? Wenn ich die Benutzer in unserer AD durchgehe, sind alle gleich konfiguriert, unterschiede sind nur in den Gruppen. Also die höheren sind halt in noch mehr Gruppen, aber andere sind in den selben Gruppen wie ich.

Was kann das sein?

EDIT:
Unser DomänenController (S-DC) ist ein Windows Server 2022.
Der wurde im Herbst 2022 neu gemacht.
Das Problem mit dem Programm was hin und wieder (nur bei mir, bei den Kollegen nicht) abfliegt hatte ich aber auch schon zuvor. Und die ganzen Maßnahmen auch damals schon ergriffen.
Außer nochmal sfc /scannow, netsh winsock reset, Aus Domäne raus und wieder rein, und diesmal eben auch meine Netzwerkkabel und eine Switch ersetzt. Alles ohne Änderung.

EDIT2:
Es gibt noch einen Domänenbenutzer der nach mir angelegt wurde (auch noch am alten DC) der sagen wir, das selbe Berechtigungslevel wi ich hat. Also die selben Gruppen hat wie ich.
Hab gerade bei ihm auf seinem Windows 10 PC (den ICH damals neu aufgesetzt habe) geschaut: der selbe Fehler!
Ich werde mal nachfragen wie unsere Domänebenutzer erstellt bzw welcher Benutzer kopiert wurde.
Kann ja nur irgendwie damit zu tun haben...

 

[lovechan]

Auch wenn es wohl unwahrscheinlich ist, weil dein NSLOOKUP funktioniert...
Ich hatte letztens beim einem Kunden, dass die Telekom plötzlich IPv6 aktiviert hat, dass der Router dann ins interne Netz weitergegeben hat. Dadurch gab es auch einige Probleme. Manches ging, anderes nicht - aufgrund von DNS Problemen.

 

[Rickmer]

Ich musste erstmal kurz in meiner Testumgebung checken, ob ein lokaler Admin überhaupt anderen AD-Usern Berechtigungen geben darf, aber darf er.

Hast du mal auf dem Gerät und auf dem DC in die Ereignisanzeige geschaut, ob da was zu den Verbindungsproblemen gemeldet wird?

 

[Smartbomb]

@lovechan @Rickmer
Sorry Leute, ich habe eure Antworten leider nicht mitbekommen, da ohne vorangestelltes @ usw.
Tatsächlich haben wir ein zweites Reserveinternet von der Telekom A1 mit low speed, wo aber 1 Server von außen erreichbar ist.
Sonst haben wir Hiway Kabel, 400MBit über ein Modem, was aber nur 330 schafft (andere geschichte, die Fritzbox die 400 schafft führt alle paar Monate dazu, dass das Internet ausfällt und kein Fehler gefunden werden kann. Modem oder Fritzbox sind eh auf Durchzug - da läuft 0,0 drauf (aka Bridge Modus).

Auf Modem äuft nichts, dahinter ist unsere Zyxel Hardware Firewall, die Routet.
Dort läuft auch das langsame A1 Internet rein.
Weiter gehts zum großen Hauptswitch, wo dann aufs Patch Feld aufgepatcht wird und von da die Verlegekabel durch die Firma gehen und die PCs, weitere Switche, der Server, etc drauf hängen.
So weit so normal und unspekatulär. Keine Loops sind gesteckt oder dergleichen.

Weiters: Ja, in meiner Ereinisanzeige sind haufenweise rote Einträge, immer irgendwas mit Domain Join.
Aber wie gesagt, andere Domänenuser auf anderen PCs haben das auch - wieder andere wiederum nicht.
Total strange.

Den einen Server den wir in die hosts Datei geschrieben haben (nicht der DC) weil der manchmal ned erreichbar war bzw unsere Programm nicht gestartet ist - vermutlich weil die Anfrage aus irgendeinem Grund nciht an unseren DNS ging der als 1. eingestellt ist sondern nach draußen geht, an den ReserveDNS and 2. Stelle.
Warum haben wir nie herausbekommen.
Alles doppelt und dreifach gecheckt, kann nur ein DNS Problem sein sind bzw waren sich auch die Cheftechniker sicher.
Und nun ist ja, wie gesagt, der S-DC neu gemacht worden letzten Herbst mit Windows Server 2022 (als VM).
Sicher auf jedem PC flushdns, also da sollte nirgends irgendwas übrig sein.

Fotos zwecks Ereignisanzeige kommen.
Die letzten 3 sind die 3 verschiedenen Einträge mit ID 1030
Der gelbe ist nur die Intel Management Engine, die absichtlich nicht installiert ist. Wer braucht ein Hardware Rootkit wenn man dessen Funktionen nicht nutzt

Ergänzung (6. Oktober 2023)

An dem einen Fehler bin ich gerade dran.

An den 304 und 307 heißts irgendwas mit hybrid domain join und dass man dies sogar ignorieren könnte...

 

[Smartbomb]

Also die Problembehandlung samt Neustart hat leider nichts geholfen.
Nun nochmal sfc /scannow gemacht und er hat wieder was gefunden und repariert.
Gleich nochmal laufen lassen und nichts mehr gefunden.
Neu gestartet den PC --> Nun kommt beim Öffnen der Administrativen Ereignissen in der Computerverwaltung --> Ereignisanzeige die Fehlermeldung mit dem Internet Explorer nicht mehr.
Edit: doch, hat nur länger gedauert bis die Meldung diesmal kam.
Ich starte Mal neu und öffne die Ereignisanzeige nochmal:

Ergänzung (6. Oktober 2023)

Ich bin übrigens nun auch mit meinem Laptop "drinnen".
Der wurde mit win 10 frisch aufgesetzt, alles upgedatet tutti completti, lokaler Benutzer etc pp.
In Domäne gehängt und mit meinem Domänenbenutzer angemeldet.
Selbst wenn ich mit dem lokalen Benutzer (lokaler Admin) angemeldet bin, kommt der Fehler, dass mit der Active Directory keine Verbindung hergestellt werden kann, wenn ich bei den Berechtigungen einen Benutzer hinzufügen möchte.
wtf?

Ahja, IPv6 war aktiviert da per WLAN (per LAN wars deaktiviert).
Also iPv6 deaktiviert aber keine Änderung.
nslookup auf den Namen oder die IP stimmen und iPv6 kommt auch nirgends vor.
Schaut alles gut aus.

Ich habs beim Erstellen meines 1.) posts hier eh gecheckt: verschiedene Nutzer auf verschiedenen Geräten haben das, ein Kollege aber zB nicht (auf den selben Geräten).
Was ist da los!? Der einzige Unterschied ist, dass es sich um einen anderen Domänenbenutzer handelt.
Der ist halt zusätzlich noch in der Gruppe Administration, aber das wars auch schon.

Ergänzung (6. Oktober 2023)

Ereignisanzeige vom Laptop, eingeloggt als lokaler Benutzer mit lokalen Adminrechten.

304 & 307 sind die selben IDs wie am Arbeitsrechner.