Zum Inhalt springen

Das Problem der nicht verifizierten Identität

Problem

Mittwoch Morgen 8.00 Uhr Anruf eines Kunden: Das ERP startet nicht. Es wird immer nach einen Kennwort gefragt.
Der Kollege, der diesen Kunden sonst betreut war just nicht greifbar. Somit bekam ich die “Narrenkappe”, weil ich just durch die Tür kam.

Ursachenforschung

Die Anmeldung per Fernwartung auf den Domänen Controller (DC) dauerte schon ungewöhnlich lange. Laut Task Manager machte der DC das, was er meistens macht: nichts. Lediglich das obligatorische Däumchendrehen zeigte 1% Auslastung.

Bei der Verbindung per RDP auf den ERP-Server erhielt ich folgende Fehlermeldung:
“Die Identität des Remotecompters kann nicht verifiziert werden, da eine Zeit- oder Datumsdifferenz zwischen diesem Computer und dem Remotecomputer besteht. Stellen Sie sicher, dass die Uhr des Computers richtig eingestellt ist und wiederholen Sie den Vorgang. Wenden Sie sich an den Netzwerkadministrator bzw. den Besitzer des Remotecomputers, wenn das Problem weiterhin auftritt.”


Das würde natürlich eine Erklärung dafür sein, wenn die Anmeldung am ERP nicht klappt. Bei standardmäßig plus/ minus 5 Minuten auuserhalb der Zeit des DCs auf Servern und Clients wird das Kerberosticket ungültig und eine Authentifizierung scheitert.
Just dieser Server war nicht virtuell. Somit konnte auch nicht über den Hyper-V-Manager zugegriffen werden.
Glücklicherweise funktionierte die Fernwartungsoftware. Leider zeigte sich nur eine Abweichung von 1 Minute. Trotzdem prüfte ich sicherheitshalber die Einstellungen. Zudem startete ich den w32time-Dienst neu.
Dies brachte keine Abhilfe.
Zurück zum Domänen Controller.
Ein Blick in die Dienste zeigte, dass der Zeitgeber-Dienst nicht gestartet war. Ein Startversuch brach mit einer Fehlermeldung ab.

Lösung

Das System-Eventlog verzeichnete dann auch gleich zwei Fehler.
Fehler 7023 Service Control Manager “Der Dienst “Windows-Zeitgeber” wurde mit folgendem Fehler beendet:
Es wurde versucht, sich anzumelden, aber der Netzwerkanmeldedienst war nicht gestartet.”
gefolgt von Fehler 46 Time-Service “Der Zeitdienst wurde heruntergefahren, da ein Fehler aufgetreten ist. Fehler: 0x80070700: Es wurde versucht, sich anzumelden, aber der Netzwerkanmeldedienst war nicht gestartet. ”

Ein “Start-Service Netlogon” gefolgt von einem “Start-Service w32time” in einer als Administrator gestarteten PowerShell-Konsole behoben das Problem.

Warum die Fehlermeldung eher in Richtung Zeitdifferenz zeigte statt auf einen angehaltenen Netlogon-Dienst bleibt wohl ein Geheimnis?