Fraser 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Hallo zusammen, ich betreue ein MS-Uraltnetz mit 5 NT 3.51 Workstations an einer NT4-Server-Domäne, das in den letzten 10 Jahren gute Dienste geleistet hat. Um das Netz für Remote-Administration via VPN fit zu machen, wollte ich jetzt den den NT4-PDC gegen einen W2k3-Server tauschen, bin jedoch kläglich an der Anbindung der Workstatins an die neue Domäne gescheitert. Mir ist klar, dass seit der NT351-Zeit Äonen vergangen sind und sich im Serverbereich eigentlich alles geändert hat (z.B. AD). Ist es überhaupt möglich, NT351 Workstations an einem W2k3-Server zu betreiben? Wenn ja, wäre ich für Hinweise dankbar, wie sich das bewerkstelligen lässt. Vielen Dank und herzliche Grüsse! Fraser Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Hallo und herzlich willkommen, ich denke nicht, dass es viele Leute gibt, die 3.51 Maschinen in eine 2003 Domäne integrieren wollen.:D Eventuell klappt es , wenn Du die SMB-Signierung abschaltest und die Sicherheitsoptionen (Netzwerksicherheit: LAN-Manager Authentifizierungsebene) anpasst. NetBIOS muss natürlich auch aktiv sein, ein WINS-Dienst würde auch helfen. Das wäre jedenfalls das, was ich probieren würde ... Gruss Sven Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 26. Oktober 2006 Autor Melden Teilen Geschrieben 26. Oktober 2006 Hallo Sven! Vielen Dank für die prompte Antwort, die allerdings für einen Newbie wie mich doch etwas sehr in Kurzform gehalten war... ;) Könntest Du mir vielleicht kurz weiterhelfen, wo ich die einzelnen Optionen finde, um 1. die SMB-Signierung abzuschalten 2. Sicherheitsoptionen anzupassen - und vor allen Dingen: wie, mit welchen Optionen anzupassen? NetBIOS und WINS-Dienst kriege ich, glaube ich, alleine hin ... :) Vielen Dank! VG Fraser Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Erzeuge Dir in der Domain Controllers OU eine neue Richtlinie und navigiere zu Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen Dort suchst Du die Werte Microsoft Netzwerk (Server): Kommunikation digital signieren (immer) Microsoft Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) und deaktivierst beide (Serverdienst neu starten oder den ganzen Server) Netzwerksicherheit: LAN-Manager Authentifizierungsebene diesen Wert auf LM und NTLM Antworten senden Diese Richtlinie sollte an erster Position stehen (nach oben schieben), also eine höhere Priorität als die Default Domain Controllers Policy haben. Danach ein GPUPDATE /FORCE und wieder probieren. Ich würde erst die ersten beiden Einstellungen probieren, wenn das nicht klappt, die dritte zufügen und wieder probieren ... edit: eventuell auch noch Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) deaktivieren. Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 26. Oktober 2006 Autor Melden Teilen Geschrieben 26. Oktober 2006 Prima, Sven, damit kann ich was anfangen. Habe alle drei Einträge in der Konsole "Standard-Domänencontroller-Sicherheitseinstellungen" unter "Lokale Richtlinien>Sicherheitsoptionen gefunden". Gehe ich recht in der Annahme, dass dies die "Default Domain Controllers Policy" ist? Wenn dem so ist, spräche etwas dagegen, diese direkt anzupassen? Nochmals Danke für die prompte Hilfe! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Es funktioniert natürlich auch in der Default-Richtlinie, man sollte es aber vermeiden, die Default-Richtlinien zu ändern . Es bleibt auch übersichtlicher und Du kannst, wenn Du die Einstellungen nicht mehr brauchst oder sie nicht funktionieren, das GPO einfach nur entfernen ... Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 26. Oktober 2006 Autor Melden Teilen Geschrieben 26. Oktober 2006 Das leuchtet mir ein, Sven, was zur Folge hat, dass ich Dich jetzt auch noch bemühen muss, mir kurz zu erklären, wie ich die Standardrichtlinie kopiere. Ein Rechtsklick auf Sicherheitsoptionen gibt mir ein "Kopieren", aber ich möchte mir doch lieber nicht durch unbedachte Aktionen meinen mühsam zusammengeschusterten PDC oder im AD-Neusprech besser als FSMO bezeichneten Boss im Netz kaputtspielen ... Auch dafürund natürlich fürs edit ein herzliches Dankeschön!! :) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Hast Du die Gruppenrichtlinienverwaltung installiert oder bearbeitest Du die Gruppenrichtlinien via Active Directory Benutzer und Computer ? Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 26. Oktober 2006 Autor Melden Teilen Geschrieben 26. Oktober 2006 Startmenü>Verwaltung>Sicherheitsrichtlinie für Domänencontroller et voilà ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Installiere Dir mal die Gruppenrichtlinienverwaltung (wenn sie noch nicht drauf ist, versuche mal unter Ausführen GPMC.MSC einzugeben). Die GPMC bekommst Du hier ... Downloaddetails: Gruppenrichtlinien-Verwaltungskonsole mit SP1 Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 26. Oktober 2006 Autor Melden Teilen Geschrieben 26. Oktober 2006 Hab sie gerade gezogen und probiere sie morgen aus. Ich halt Dich auf dem Laufenden, was meine Experimente mit den NT351-Clients hergeben. Dir einen schönen Abend und - Du ahnst es sicher - Danke! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Oktober 2006 Melden Teilen Geschrieben 26. Oktober 2006 Dir auch, ich bin mindestens genauso gespannt wie Du ... :) Erstelle und verknüpfe Dir morgen ein neues Objekt in der Domain Controllers OU und schiebe es nach oben (mit den Pfeilen) ... Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 7. November 2006 Autor Melden Teilen Geschrieben 7. November 2006 Hi Sven, sorry für die späte Antwort. Ich konnte eine NT 3.51 Wks an die Domäne anmelden, nachdem ich das ComputerKonto direkt auf dem W2k3 Server erstellt hatte. Von der Wks aus funktionierte das nicht. Sich mit einem Domänenmitgliedsaccount an der Wks anzumelden, scheint jetzt zu klappen. Leider funktionieren nach wie vor keine Dateizugriffe auf den Server - sobald ich auf ein Verzeichnis auf dem Server von der Wks aus zugreifen möchte, bekomme ich einen Passwort-Dialog, der sich auch nicht durch Eingabe des korrekten Accountpassworts beruhigen lässt. Was könnte die Ursache dafür sein? Viele Grüsse, Fraser Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. November 2006 Melden Teilen Geschrieben 7. November 2006 Was hast Du alles deaktiviert und wo ? Zitieren Link zu diesem Kommentar
Fraser 10 Geschrieben 8. November 2006 Autor Melden Teilen Geschrieben 8. November 2006 Nachdem von der Wks eine Aufnahme in die Domain nicht möglich war, habe ich manuell ein Computerkonto auf dem Server angelegt und konnte mich danach vom Client mit meinem Domänenaccount anmelden. Soweit, so gut, aber ein Zugriff auf Dateien, die auf dem Server liegen, war trotzdem nicht möglich (Passwortabfrage für Zugriff - s.o.). Deshalb bin ich in der Folge entsprechend Deiner Empfehlungen vorgegangen: Als erstes habe ich die Policy-Konsole installiert, dann alle von Dir empfohlenen Änderungen eingepflegt und die so geänderte Policy in der Hierarchie über die Standard-Policy gestellt. Leider hatten diese Aktionen keinen Effekt - auch danach war kein Dateizugriff möglich. Fällt Dir noch etwas anderes ein, um den Server zur Zusammenarbeit mit den Wks. zu bewegen? Viele Grüsse von Fraser Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.