Rex_Swissly 10 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Guten Tag Ich habe da bei einem Kunden ein ekelhaftes Problem, an dem ich mir die Zähne ausbeisse. Zuerst habe ich gemeint, es gäbe ein Problem mit dem Profil (Thread: Benutzer Problem), bei dem Ihr mir auch schon Tipps gegeben habt. Darum erstelle ich jetzt mit diesem Problem einene neuen Thread. Server: Windows 2003 SBS Standard Clients: Windows XP SP2 (3 Stück) Ursprüngliche Fehlerbeschreibung vom anderen Thread: ------------------------------------------------------------------------------------------------------ Die Benutzer arbeiten mit einem servergespeicherten Profil. Ein Benutzer loggt sich hauptsächlich auf dem Client 03 ein und das funktioniert problemlos. Wenn sich aber dieser Benutzer auf den anderen PC's einloggt, hat er keine Zugriffsrechte auf seine Daten auf dem Server. Es kommt immer die Fehlermeldung, dass der Benutzername oder dass Passwort nicht stimmt. Bei der Anmeldung an den Client kommt aber keine Fehlermeldung. Beim Abmelden reklamiert der PC dann, dass das servergespeicherte Profil nicht gespeichert werden kann. Es sind auch keine Beschränkungen eingestellt, dass sich der Benutzer nur beim Client 03 anmelden darf. Die anderen Benutzer können sich an den anderen PC's anmelden und arbeiten. Nur bei dem einen geht es nicht. ------------------------------------------------------------------------------------------------------ Ich logge mich mit dem entsprechenden Benutzer an einem der zwei PC's an, dass auch ohne Probleme klappt. Danach öffne ich den Arbeitsplatz und doppelklicke auf ein Netzwerklaufwerk (auf das der Benutzer volle Zugriffsrechte hat) und dann erscheint folgende Meldung: Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können. Wenn ich danach beim Server schaue, stelle ich folgendes fest: - Benutzeraccount des Benutzers ist gesperrt - In der Ereignisanzeige hat es unter "Sicherheit" Einträge, die so lauten: Quelle: Security Kategorie: Kontoanmeldung Ereigniskennung: 675 Unten im Feld ist unter Fehlercode den Wert 0x12 und 0x18 Wie ich gesehen habe, bedeutet 0x12 Arbeitsplatz gesperrt, Anmeldezeit gesperrt, Konto deaktiviert oder abgelaufen oder gesperrt. 0x18 bedeutet dass der Benutzername falsch ist, aber dass Passwort ist falsch. Aber so wie ich es sehe, trifft keines zu. Die Sperrung des Accounts tritt erst ein, wenn ich auf die Netzwerkverknüpfung doppelklicke. Das einzige, was ich nicht so kapiere, ist der Punkt "Arbeitsplatz gesperrt. Passwort habe ich extra neu zurückgesetzt. Kann es sein, dass das Problem irgendwo in den Gruppenrichtlinien zu suchen ist. Diese Fehlermeldungen deuten ja wahrscheinlich auf ein Kerboros Problem hin. Vielen Dank für Eure Hilfe. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Hy, also mir fallen da ein paar Punke ein, 1. Du schaust unterm Benutzerkonto -->eigenschaften dann Konten ob irgendwelche Anmeldezeiten eingetragen sind die ihn begrenzen. 2 Möglichkeit. Benutzerprofil ist defekt, am besten du erstellst einen neuen Benutzer (keine Kopie) und versuchst es damit, passt alles überträgst du händisch oder per commandlinie DS Befehl die entsprechenden Berechtigungen 3 Das PC Konto ist defekt und synchronisiert die Zeit nicht sauber , siehst im Eventlog Time Einträge dann musst halt PC konto rausnehmen, PC Konto im AD resetten, PC konto wieder ins AD stecken 4. Was sagen die DCs bei der Ereignissanzeige Security, evtl. mal Anmeldeereignisse überwachen Gruß CoolAce Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 HI, hast du das netzlaufwerk mal neu verknüpft? Gruß Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 16. Oktober 2006 Autor Melden Teilen Geschrieben 16. Oktober 2006 Vielen Dank für Eure rasche Antworten. @CoolAce: Bei den Anmeldezeiten sind keine Begrenzungen drin. Der Benutzer kann sich 24 Stunden anmelden. Betreffend der Zeitsynchronisation: Der PC hat genau die gleiche Zeit wie der Server. Hab es mit dem Befehl w32tm /monitor /domain:[name] kontrolliert. Auf dem Server hat es keine Time Einträge im EventLog. Was meinst Du mit "PC Konto im AD resetten" und "per commandlinie DS Befehl" ? Ereignisanzeige Security auf dem Server: Typ: Fehlerüber Quelle: Security Kategorie: Kontoanmeldung Ereigniskennung: 675 Benutzer: NT-AUTORITÄT\SYSTEM Computer: [servername] Beschreibung: Benutzername: [benutzername] Benutzerkennung: [Domäne\Benutzername] Dienstname: [krbtgt\[Domänenname] Vorauthentifizierungstyp: 0x2 Fehlercode: 0x12 (--> oder 0x18) Clientadresse. [iP-Adresse] Das Problem begann, so viel ich mich errinnern kann, kurz nach dem ein neuer Client, der zuerst privat beim entsprechenden Benutzer zuhause im Einsatz war und danach in das Firmennetz integriert wurde. Ich weiss nicht, ob das einen Einfluss hatte, dass der PC zuerst privat im Einsatz war. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Hy, die DS Befehle, DSADD DSGEt usw machen imho das selbe auf DOS Basis was du auch per Maus grafisch im AD machst, ist hauptsächlich dafür da wenn du z.B. große Anzahl User hast die schnell ins AD per Skript bekommst. PC Konto resetten ist , der DC und der Client ändern ja ständig (Zeitraum weiß ich ned mehr) ihr PC kontopasswort wenn du ihn aus der domäne nimmst und die ändern den dann kriegst den da auch ned wieder rein daher preventiv Computerkonto rechte maustaste resett. Hast das mal mit neuem UserID Probiert ? Wenn sich die anderen daran anmelden können an der WS dann liegts vielleicht daran, ansonsten WS neu installieren Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 17. Oktober 2006 Autor Melden Teilen Geschrieben 17. Oktober 2006 Hallo Ich habe jetzt noch gesehen, dass beim Client in der Ereignisanzeige folgende Fehler aufgeführt werden. Typ: Fehler Quelle: Userenv Kategorie: Keine Ereigniskennung: 1030 Beschreibung Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert. Typ: Fehler Quelle: Userenv Kategorie: Keine Ereigniskennung: 1006 Beschreibung Es konnte keine bindung mit der Domäne [Domänenname] hergestellt werden. (Ungültige Anmeldeinformationen). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Ich verstehe einfach nicht, dass da eine ungültige Anmeldeinformation vorliegen sollte. Auf dem Client PC03 funktioniert es mit seinem Anmeldedaten (Name und Passwort), nur auf dem PC01 und PC02 geht es nicht. Ich denke, diese zwei Fehlermeldungen haben etwas mit dem oben erwähnten Problem zu tun. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 18. Oktober 2006 Melden Teilen Geschrieben 18. Oktober 2006 Probier halt mal das mit einem komplett neuen User und wenn es klappt übertrag halt die Einstellungen Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 18. Oktober 2006 Autor Melden Teilen Geschrieben 18. Oktober 2006 Ich hab jetzt einen neuen Benutzer angelegt (nicht kopiert), die entsprechenden Rechte vergeben und es ausprobiert. Es funktioniert. Wenn ich jetzt aber den Original Benutzer lösche, wird ja auch das Exchange Postfach gelöscht. Und ich muss ja den defekten Benutzer löschen, dass ich nachher den neu erstellten wieder so unbenennen kann, wie er vorher geheissen hat. Soviel ich mich entsinnen kann, wird das Postfach noch nicht sofort richtig gelöscht. Ich glaube, mit dem Cleanup Agent und der Funktion "Wieder verbinden" kann ich das Postfach danach dem neuen (alten) Benutzer wieder hinzufügen. Bin mir aber nicht ganz sicher. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 19. Oktober 2006 Melden Teilen Geschrieben 19. Oktober 2006 Ideal dann passt es doch, mit Exchance kann ich dir nicht dienen das ist erst der letzte Teil meiner SA bzw SE Ausbildung Du musst aber aufpassen wenn du den alten User löscht das es nicht irgendwo Ressourcen gibt wo nur er allein Zugriff hat da hinterher zwar der selbe Name da ist aber der Name eine neue SID hat . Im Notfall kannst ja die Besitzrechte als Dom Admin übernehmen und im dann übertragen Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 19. Oktober 2006 Autor Melden Teilen Geschrieben 19. Oktober 2006 Ideal dann passt es doch, mit Exchance kann ich dir nicht dienen das ist erst der letzte Teil meiner SA bzw SE Ausbildung Du musst aber aufpassen wenn du den alten User löscht das es nicht irgendwo Ressourcen gibt wo nur er allein Zugriff hat da hinterher zwar der selbe Name da ist aber der Name eine neue SID hat . Im Notfall kannst ja die Besitzrechte als Dom Admin übernehmen und im dann übertragen Vielen Dank für Deine Hilfe. Vielleicht kann mir ja noch bezüglich der Exchange Frage ein Exchange Fachmann Auskunft geben. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 19. Oktober 2006 Melden Teilen Geschrieben 19. Oktober 2006 Hi, Soviel ich mich entsinnen kann, wird das Postfach noch nicht sofort richtig gelöscht. Ich glaube, mit dem Cleanup Agent und der Funktion "Wieder verbinden" kann ich das Postfach danach dem neuen (alten) Benutzer wieder hinzufügen.Bin mir aber nicht ganz sicher. Genau so gehts :). Das Postfach wird per Default noch 30 Tage in den Datenbanken gelassen und dann erst gelöscht. Christoph Zitieren Link zu diesem Kommentar
Rex_Swissly 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Vielen Dank für Eure wertvolle Hilfe. Hat alles geklappt. Gruss Rex_Swissly Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.