Windows 10 - SID - Domäne 2008r2 wieder vertrauen herstellen?

Sebbl2k

Lt. Commander
Dabei seit
Apr. 2010
Beiträge
1.141
Hallo,

ein Computer ist irgendwie aus der Domäne geflogen und konnte keine richtige Verbindung wieder aufbauen.
(einer von 20).
Dieser konnte dann auch nur einen anderen Client im Netzwerkumgebung sehen.. aber nicht den Server usw. Ganz kurios.

Nun hatte ich das Konto deaktiviert und als es dann immer noch nicht lief, gelöscht und neu erstellt (selber Name, anderer Name usw.)



Fehler am Server ist id 5722.

Der Computer bekommt auch Verbindung zu dem Server und erkennt auch das Konto, wenn ich es dann neu erstelle und fragt ob er das nutzen darf. Allerdings wird die Anfrage mit ID 5722: 5722 "Die Einrichtung einer Sitzung von Computer "xxxxxx" ist an der Authentifizierung gescheitert. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten xxxxxx$. Folgender Fehler ist aufgetreten:
Zugriff verweigert ".

AD: Papierkorb am Server ist nicht aktiviert. Netdom sagt, Konto ist deaktiviert, aber eigentlich gelöscht.


Kann ich das Gerät nun noch irgendwie in die Domäne bekommen? SID-technisch?

Die hier mit Hex etc. habe ich schon ausprobiert, aber weiss nicht so ganz, was mir das bringen soll:
https://support.microsoft.com/de-de/help/810977/event-id-5722-is-logged-on-your-windows-server-based-domain-controller
 

TheCadillacMan

Commander
Dabei seit
Juni 2005
Beiträge
2.317
Warum erstellst du das Computerkonto überhaupt selbst? Da du das originale Konto bereits gelöscht hast, ist die zugehörige SID doch sowieso futsch.
Nimm den Client aus der Domäne, lösche das Konto im AD und ihm den Client wieder rein. Ein Computerkonto sollte beim Domain Join automatisch erstellt werden.
 

Sebbl2k

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.141
so mach ich das eigentlich auch.. aber in dem fall hab ich mal alles hin und herprobiert.
automatisch das konto anlegen macht er nicht.. selber fehler.
 

engine

Captain
Dabei seit
Apr. 2007
Beiträge
3.845
Wie TheCadillacMan sagte, in die Workgroup aufnehmen, und dann wieder in die Domäne aufnehemen mit dem Dom.-Admin Account.

Systemsteuerung\System und Sicherheit\System -> Einstellungen ändern.
 

Sebbl2k

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.141
es geht aber nicht ;-). mach das nicht zum ersten mal.
 

FamouZz_Freak

Cadet 4th Year
Dabei seit
Juni 2011
Beiträge
120
Dann wird das schon seinen Grund haben warum das nicht funktioniert ;)

Warum funktioniert es denn nicht? Fehlermeldung, etc.?
Funktionieren Domjoins mit anderen Clients?
Schonmal mit djoin offline probiert?
DNS vollkommen am laufen?
AD-Server schon neu gestartet?
 

engine

Captain
Dabei seit
Apr. 2007
Beiträge
3.845
Dann schau mal bitte, was in der AD mit dem Computeraccount los ist:
Active Directory Users and Computers\ domain node \Computers
https://technet.microsoft.com/en-us/library/cc754624(v=ws.11).aspx

Aber hier rufe ich dann jemanden an, dass wäre nicht mein Bereich.

Manuell etwas bezüglich der SID zu versuchen scheitert meistens.
Den Computeraccount neu anlegen (oder einfach nur aktivieren wenns das ist) und dann #4.
 
Zuletzt bearbeitet:

Sebbl2k

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.141
Warum funktioniert es denn nicht? Fehlermeldung, etc.? fehler ist: 5722 "Die Einrichtung einer Sitzung von Computer "xxxxxx" ist an der Authentifizierung gescheitert. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten xxxxxx$. Folgender Fehler ist aufgetreten:
Zugriff verweigert ".
ID 4097, Fehler am Client: Fehler beim Beitritt des Computers "xxx" zur Domäne "xxx". Fehlercode: "64".

Funktionieren Domjoins mit anderen Clients? Ja, das geht.

Schonmal mit djoin offline probiert? Nein, kann man das für diesen Zweck nutzen?!

DNS vollkommen am laufen? Was meinst du mit vollkommen? Die Auflösung funktioniert, gibt auch sonst keine Probleme.

AD-Server schon neu gestartet? Ja, auch


bei djoin bricht er ab... 0x37
 
Zuletzt bearbeitet:

engine

Captain
Dabei seit
Apr. 2007
Beiträge
3.845
In deinem Link oben wird auf die Zeit hingewiesen.
Stimmt die auf der WS? Das hast du sicher auch geprüft.
Ist ganz ganz zufällig eine weitere WS mit dem selben Namen in der Domäne?

Was mich stutzig macht, wenn du einen neuen WS-Account in der AD anlegst, dann musst du doch keine PWs synchronisieren, das beschreibt aber der MS-Link oben.

...Netdom sagt, Konto ist deaktiviert, aber eigentlich gelöscht....
Mit
dsquery computer -disabled | dsrm
kannst du deaktivierte WS-Accounts finden.
https://technet.microsoft.com/en-us/library/cc730720(v=ws.11).aspx
 

Sebbl2k

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.141
dsrm habe ich noch nicht ausprobiert.
die zeit stimmt... war zuvor auch mit dem timeservice verbunden und die dinger synchronisieren sogar mittlerweile sogar mit dem bios, wenn ich das richtig gesehen habe.
 

engine

Captain
Dabei seit
Apr. 2007
Beiträge
3.845
Sorry, vertan :( , finden mit
dsquery computer -disabled

dsquery computer -disabled | dsrm
ist dann löschen.
 

Sebbl2k

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
1.141
also.. ich hab mich wohl immer zu sehr auf den server fixiert.
Sicherung zurückgespielt, Client neu eingebunden, geht wieder.. mach ich demnächst als erstes :-).
trotzdem, Danke!
 
Zuletzt bearbeitet:
Top