Hi Leute,
wir haben die Domäne über den Jahreswechsel auf W2012R2 umgestellt. Sie besteht aus 3DCs (die auch GCs und DNS sind), 2 am Hauptstandort, eine an der über VPN angeschlossenen Remoteniederlassung.
Von Zeit zu Zeit können sich immer 1-2 Benutzer nicht anmelden, meinst Montags oder Dienstags:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 03.02.14 07:56:29
Ereignis-ID: 4771
Aufgabenkategorie:Kerberos-Authentifizierungsdienst
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: DC01.XXXX.de
Beschreibung:
Fehler bei der Kerberos-Vorauthentifizierung.
Kontoinformationen:
Sicherheits-ID: XXXX\yyyy
Kontoname: Kaxxxxx
Dienstinformationen:
Dienstname: krbtgt/XXXX
Netzwerkinformationen:
Clientadresse: ::ffff:192.168.1.131
Clientport: 59620
Weitere Informationen:
Ticketoptionen: 0x40810010
Fehlercode: 0x18
Typ vor der Authentifizierung: 2
Zertifikatsinformationen:
Zertifikatausstellername:
Seriennummer des Zertifikats:
Zertifikatfingerabdruck:
Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.
Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.
Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4771</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2014-02-03T06:56:29.590517300Z" />
<EventRecordID>2138835</EventRecordID>
<Correlation />
<Execution ProcessID="528" ThreadID="4660" />
<Channel>Security</Channel>
<Computer>DC01.XXXX.de</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">xxxx</Data>
<Data Name="TargetSid">S-1-5-21-883177862-1370633589-618671499-1088</Data>
<Data Name="ServiceName">krbtgt/YYYY</Data>
<Data Name="TicketOptions">0x40810010</Data>
<Data Name="Status">0x18</Data>
<Data Name="PreAuthType">2</Data>
<Data Name="IpAddress">::ffff:192.168.1.131</Data>
<Data Name="IpPort">59620</Data>
<Data Name="CertIssuerName">
</Data>
<Data Name="CertSerialNumber">
</Data>
<Data Name="CertThumbprint">
</Data>
</EventData>
</Event>
Auf den Servern ist IPv6 aktiv, auf den Clients auch. Es ist jedoch nicht entsprechend konfiguriert, d.h. Standardeinstellung. Besteht da evt. ein Zusammenhang?
Desweiteren sehe ich auf diesem DC noch:
Protokollname: Application
Quelle: Group Policy Environment
Datum: 03.02.14 09:16:16
Ereignis-ID: 8194
Aufgabenkategorie:(2)
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: DC01.XXXX.de
Beschreibung:
Die clientseitige Erweiterung konnte die Benutzer-Richtlinieneinstellungen für Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5} nicht übernehmen. Fehlercode: 0x80090006 Ungültige Signatur Weitere Details finden Sie in der Ablaufverfolgungsdatei.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Group Policy Environment" />
<EventID Qualifiers="34305">8194</EventID>
<Level>2</Level>
<Task>2</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-02-03T08:16:16.000000000Z" />
<EventRecordID>29447</EventRecordID>
<Channel>Application</Channel>
<Computer>DC01.XXXX.de</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>übernehmen</Data>
<Data>Benutzer</Data>
<Data>Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5}</Data>
<Data>0x80090006 Ungültige Signatur</Data>
</EventData>
</Event>
Meist löst sich das Problem nach einem Reboot der DCs. DCDiag ist komplett ohne Fehler, DNS zeigt auch keine Fehler an.
Der erste DC mit den Fehlens ist zu. DHCP und es ist eine Zertifikatsstelle drauf. Der 2. DC zeigt keinen Fehler im Eventlog. Alle AD-Eventlogs (AD, DFS, DS, FRS) sind ohne Fehler.
Hat jemand eine Idee und einen Tipp für mich?
Viele Grüße Dirk