Umgebung
Bei einem Kunden haben wir 8 Windows-2019-Server, von denen einer der Domain-Controller (DC) ist, und die 7 anderen Server sind Domänen-Mitglieder.
Beim RDP-Verbinden zum DC lief alles korrekt.
Fehlerbeschreibung
Beim RDP-Verbinden zu einem der anderen 7 Server kam die Fehlermeldung:
Für den Remotecomputer, mit dem Sie eine Verbindung herstellen möchten, ist eine Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) erforderlich. Die NLA kann jedoch nicht ausgeführt werden, da der Windows-Domänencontroller nicht erreicht wird. Als Administrator auf dem Remotecomputer können Sie NLA deaktivieren, indem Sie die Optionen auf der Registerkarte „Remote“ des Dialogfelds „Systemeigenschaften“ verwenden.
Ich habe testweise einen Server aus der Domäne entfernt und wollte ihn wieder hinzufügen.
Dann habe ich die Fehlermeldung erhalten:
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne „example.local“ verwendet wird:
Fehler: „Der DNS-Name ist nicht vorhanden.“
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.example.local.
Häufigste Fehlerursachen:
- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:
10.19.150.43
10.125.26.33
- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:
example.local
local
. (die Stammzone)
Außerdem fand ich im Ereignisprotokoll u. a. solche Einträge:
Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne EXAMPLE aufgrund der folgenden Ursache nicht einrichten:
Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie es erneut. Wenn Sie sich auf diesem Gerät zuvor mit anderen Anmeldeinformationen angemeldet haben, können Sie sich mit diesen Anmeldeinformationen anmelden.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.
ZUSÄTZLICHE INFORMATIONEN
Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein.
Ursache
Das System lief einen Monat lang korrekt, dann hat die Netzwerk-Abteilung des Kunden Änderungen an WAF-/Firewall-/DNS-Regeln gemacht, anschließend traten die Fehler auf.
Mittelbar ursächlich war vermutlich:
- Jeder der 7 Server hatte als DNS-Server 10.125.26.33 eingetragen, und zusätzlich den 10.19.150.43, unseren eigenen DC.
- 10.125.26.33 ist ein DNS-Server des Kunden, außerhalb der Windows-Domäne.
Das hat dann mutmaßlich nach den Änderungen an WAF-/Firewall-/DNS-Regeln zu Problemen geführt.
Lösung
- Jeder der 7 Server hat als DNS-Server nur noch den 10.19.150.43, unseren eigenen DC, eingetragen.
- Unser eigener DC hat dann eine Lookup-Weiterleitung an 10.125.26.33.
Damit läuft jetzt soweit wieder alles.
Nachbetrachtung
Warum das System zunächst stabil lief, und anschließend nicht mehr, kann ich nur auf die Netzwerkänderungen seitens des Kunden schieben.
Generelle Daumenregel:
Bei Servern in einer Windows-Active-Directory-Domäne sollten alle Server als DNS exklusiv den DC eingetragen haben. Dieser kann dann eine Weiterleitung zu anderen DNS-Servern haben.