Kurioser Anmeldefehler: Unbekannter Benutzername oder falsches Passwort trotz korrektem Login

Lesedauer: 4 Minuten

Der Fehler
Zu diesem Fehler findet man bei Google bislang recht wenig. Die auffindbaren Einträge sind nur schwer genau diesem Fehler zuzuordnen und da sich die Meldung auch kaum glaubhaft anhört ist es sehr zeitaufwändig, die tatsächlich sinnvollen Meldungen von den vielen Fragen vieler Benutzer zu trennen, die einfach nur etwas falsch konfiguriert haben oder tatsächlich das Passwort trotz mehrfacher Kontrolle wirklich falsch eingegeben haben. Auch die fehlende Angabe des Domänennamens vor dem Benutzernamen in der Form domain\user ist wohl oft schon des Rätsels Lösung.

Nicht jedoch in diesem Fehlerfall. Es ist alles korrekt eingegeben und auf dem Server läuft an sich alles korrekt auf. Im Event Log des Servers erscheint jedoch bei gescheiterter Anmeldung folgende Meldung:

0xC000006D
STATUS_LOGON_FAILURE
The attempted logon is invalid. This is either due to a bad username or authentication information.

bzw. ausführlich:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 11.03.2015 13:19:19
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: [SERVER].[DOMAIN].local
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: –
Kontodomäne: –
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: [username]
Kontodomäne: [domain]

Fehlerinformationen:
Fehlerursache: Bei der Anmeldung ist ein Fehler aufgetreten.
Status: 0xC000006D
Unterstatus:: 0x0

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: –

Netzwerkinformationen:
Arbeitsstationsname: [RECHNERNAME]
Quellnetzwerkadresse: [IP-ADRESSE]
Quellport: 49250

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: –
Paketname (nur NTLM): –
Schlüssellänge: 0

 

Der Hintergrund

Im Einsatz befinden sich über mehrere Standorte hinweg die verschiedensten Systeme angefangen von Windows Server 2003 als Domänencontroller über 2008 / 2008 SP2 Server und Small Business Server („SBS“) bis hin zu aktuellen Windows Server 2012 R2 Standard, Datacenter sowie Terminalserver Installationen.

Auf Clientebene finden wir so ziemlich alles von Windows XP über Windows 7 bis hin zu Windows 8, dummerweise teils integriert in die Domäne und teils nicht. Alle Rechner sind jedoch über feste IPSEC site-to-site VPN Verbindungen vernetzt.

Unser Auftrag besteht an sich darin, alles auf einen Stand zu bringen. Da die Entscheidungswege in der Konzernzentrale jedoch lang sind hat sich an der alten Struktur bisher nicht viel ändern lassen.

 

Was war passiert?

Nach dem Microsoft Patchday am vergangenen Mittwoch erhielten wir von unserem Kunden, der nun diese gewisse Sonderkonstellation aufgrund leider veralteter Windows Serverstruktur und bunt gemischten Clients hat, ganz besonders eigenartige Fehlermeldungen.

Im Log fällt der Anmeldeprozess NtLmSsp auf. Nähere Recherche zu den kürzlich veröffentlichten Updates brachte den Hinweis darauf, dass dies genau die Ursache ist. Wären die Rechner ordentlich in die Domäne integriert worden, so bestünde das Problem gar nicht, denn dann würden die Clients korrekt mit dem Server „sprechen“. So auch hier der Fall, alle integrierten Rechner funktionierten nach den Windows Updates tadellos. Die nicht der Domäne hinzugefügten Rechner bekommen von der Änderung nichts mit und quittieren bei der Anmeldung ihren korrekten Dienst.

In der Folge werde alle Anmeldeversuche auf dem Windows Dateiserver blockiert.

 

Abhilfe schafft hier ein einfacher Registry-Eintrag unter

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Nach Einfügen des neuen DWORD Eintrags

Name: LMCompatibilityLevel
Wert: 1 (dezimal)

und dem erforderlichen Neustart des Rechners ist eine Anmeldung jedoch sofort und ohne weitere Änderungen wieder möglich.

Die Suche hat schon ein wenig Zeit gekostet und ganz ehrlich, man glaubt es manchmal selbst nicht wenn man davor sitzt und sich denkt das Passwort ist ganz sicher korrekt eingegeben…

…aber auch das kann wohl passieren, wie wir hier eindrucksvoll erleben mussten.

patrick.ruppelt