AD Fehler – Es konnte keine Verbindung mit einem Domänencontroller hergestellt werden

(C) 107er BLOG

Wenn man auf einen Server im Netzwerk zugreifen will, kommt die Fehlermeldung „Authentifizierungsanforderung konnte keine Verbindung mit einem Domaincontroller herstellen“.

Aufbau

  • der Domäncontroller und ein DNS-Server befinden sich auf einem Synology NAS (192.168.0.11)
  • der eigentliche DNS-Server befindet sich auf der OPNsense Firewall (192.168.0.100)
  • Zugriff auf TITAN (192.168.0.40) auf dem sich Freigaben für bestimmte Personen befinden

Fehlermeldung

Seit einiger Zeit musste man Benutzername und Passwort eingeben, wenn man auf einen der Server zugreifen wollte, obwohl dieser auch in der Domain ist und Freigaben bis dahin ohne Probleme funktionierten. Der Dialog zur Eingabe der Netzwerkanmeldeinformationen zeigte auch noch folgende Fehlermeldung an: „Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt“

Warum der Domaincontroller nicht mehr gefunden wird, war Anfangs nicht klar. Aber nach einiger Recherche und durch die Infromation die unter „Status“ beim Active Directory Server angezeigt wird, stellte sich heraus, dass es mit einem Update vom DNS-Server zu tun haben musste. Was genau schief gegangen ist, konnte ich nicht feststellen, aber ein Weg zur Lösung ist folgender …

Synology DNS-Server

Am DNS Server musste eine Forward Zone eingerichtet werden bzw. schon sein, die auf den DNS-Server von der Firewall verweist:

Update [2020-04-28]: Als Forwarder 2 habe ich nachträglich noch den DNS Server von meinem Provider angegeben.

OPNSense

Service Unbound DNS

Auf der Firewall muss man unter Unbound DNS -> General -> Custom Options folgende Einträge hinzufügen:

local-data: "_kerberos._tcp.mydomain.local 3600 IN SRV 0 100 88 dc1.mydomain.local"
local-data: "_kerberos._udp.mydomain.local 3600 IN SRV 0 100 88 dc1.mydomain.local"
local-data: "_ldap._tcp.mydomain.local 3600 IN SRV 0 100 389 dc1.mydomain.local"
local-data: "_ldap._tcp.dc._msdcs.mydomain.local 3600 IN SRV 0 100 389 dc1.mydomain.local"
local-data: "_kerberos._tcp.dc._msdcs.mydomain.local 3600 IN SRV 0 100 88 dc1.mydomain.local"

wobei „mydomain.local“ durch die eigene Domain ersetzt gehört.

Unter Unbound DNS -> Overrides habe ich noch den Eintrag für dc1 hinzugefügt, damit der Domaincontroller auch gefunden wird:

Host 	Domain 	        Type 	Value 	        Description 	
dc1 	mydomain.local 	A 	192.168.0.11 	Active Directory

Service DHCPv4

Beim Service DHCPv4 habe ich unter „DNS Servers“ lediglich 192.168.0.11 eingetragen. Als 2ten Server wollte ich auch noch den Server von meinem Provider eintragen, allerdings hat ein Motorola Android Handy damit seine Probleme gehabt. Nachdem ich diesen wieder entfernt hatte, funktioniert der interne Zugriff auf die Server wieder ohne Probleme.

Fazit

Nachdem alles konfiguriert und eingetragen war, funktionierte der Zugriff auf die Server wieder, ohne dass man Benutzername und Passwort eintragen musste.

Quellen

 

Alle Angaben ohne Gewähr!

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


88 − 86 =