stone1970 10 Geschrieben 18. Juli 2007 Melden Teilen Geschrieben 18. Juli 2007 Aloha in die Forumrunde Vielleicht hat noch jemand einen Tip zur Problemlösung: Gegeben ist folgendes Umfeld: Windows 2003 SBS der als Domänencontroller fungiert und auch DNS-Server spielt. DHCP und Exchange ebenfalls drauf am laufen. Als Memberserver haben wir dann einen Windows 2003 Server R2 mit ins LAN gebracht. Der Beitritt in die Domäne hat ohne Probleme geklappt (Computer erscheint im ADS am SBS unter Computer.Erscheint aber nicht im DNS-Server!!),dann erfolgt der Neustart und dann dauert die Anmeldung EXTREM lang. D.h es dauert so ca.3-5 Min bis das Anmeldefenster (STRG etc) erscheint.Dann also mal anmelden und das erscheinen des Desktops dauert nochmal so lange. Auch das manuelle Eintragen in Forward und Reverse-Lookup brachte nichts. Also mal geschaut in der Ereignisanzeige und es kommt die Meldung das die Domäne nicht erreichbar sei und das eine Registrierung am DNS Server fehlgeschlagen sei. Daraufhin nochmal den Memberserver aus der Domäne raus und wieder rein,leider jedoch ohne Erfolg.Der Effekt bleibt der selbe.Anmeldung extrem langsam,aber wenn er dann mal fertig ist kommt man auf die Freigaben drauf. Sobald man Freigaben erstellt und darauf dann Berechtigungen erstellen will werden nur LOKALE Nutzer angezeigt,Domänenmitgliedernamen erscheinen nicht.NSLOOKUP kommt auch nicht zum Erfolg. Was noch aufgefallen ist am SBS nach Beitritt des Memberservers ist das die SMB Signierungen "enablesecuritysignature und requiresecuritysignature" und LANMANSERVER und LANMANWORKSTATION alle auf 0 standen und man daraufhin nicht mehr an die Gruppenrichtlinien etc kam. 2003 SBS IP:192.168.10.10 DNS:192.168.10.10 DNS Server+DC+DHCP+Exchange DNS:Active Directory integriert,Zonenübertragung an alle Server in Domäne,Netbios over TCP/IP,sichere und unsichere Aktuallisierungen zulassen. 2003R2 IP:192.168.10.11 DNS:192.168.10.10 Datenserver Tja,also das ist so das Umfeld und nun.....vielleicht weiß ja noch jemand nen Tip...ach ja,es gibt schon einen Memberserver (2003 ohne R) und der lüppt wie verrückt.....wurde auf die selbe Weise reingeklinkt und hat kein Problem.... Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 19. Juli 2007 Melden Teilen Geschrieben 19. Juli 2007 Hallo und Willkommen bei uns Für mich sieht das in der Tat nach einem DNS Problem aus oder auch, dass Server nicht sauber gejoined ist. Prüfe mal folgendes: Gehe auf dem Server in die Administratorengruppe und prüfe ob der Domain administrator drin ist oder nur dessen SID. Ist das zweite der Fall ist der Server nicht sauber gejoined. Dann Frage "Domain Policy" was ist da nun gesetzt: Was noch aufgefallen ist am SBS nach Beitritt des Memberservers ist das die SMB Signierungen "enablesecuritysignature und requiresecuritysignature" und LANMANSERVER und LANMANWORKSTATION alle auf 0 standen und man daraufhin nicht mehr an die Gruppenrichtlinien etc kam. Wie sehen die Einstellungen aus auf dem DC: - Server:enablesecuritysignature if client agrees ? - Client:enablesecuritysignature if client agrees ? Dann gibt es irgendwelche Fehlermeldungen auf dem SBS ? (Security) Was ergibt netdiag auf dem Memberserver ? Was ergibt dcdiag auf dem SBS ? Bitte poste uns die ipconfig-all der beiden Server. Wobei ich mich jetzt grad frage, ob im SBS2003 Umfeld überhaupt mehr als ein SBS mit einem 2ten Server funktioniert. (Sorry habe den letzten Satz erst jetzt gelesen). Gruss, Matthias Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 19. Juli 2007 Melden Teilen Geschrieben 19. Juli 2007 ...ob im SBS2003 Umfeld überhaupt mehr als ein SBS mit einem 2ten Server funktioniert. Sollte kein Problem sein, solange es nur 1 SBS ist und der alle Rollen hat. Dann kannst noch ein paar Memberserver mit reinhängen. Mal schaun was sein dcdiag/netdiag ergibt. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Juli 2007 Melden Teilen Geschrieben 19. Juli 2007 Finden sich DC und Member über den Explorer, ist gegenseitiges Pingen möglich? Wurde mal ipconfig /registerdns probiert? Zitieren Link zu diesem Kommentar
stone1970 10 Geschrieben 19. Juli 2007 Autor Melden Teilen Geschrieben 19. Juli 2007 wahnsinn wieviele Antworten kommen...erstmal danke!!! alles kann ich jetzt nicht beantworten an Fragen,da ich nicht beim Kunden bin.(SBS-Server wurde von anderem "Systemhaus" dort installiert und ich darf mich nun damit rumärgern :( ). SBS-Server DC+DNS+DHCP+Exchange IP:192.168.10.50 DNS:192.168.10.50 Gateway:192.168.10.50 (Weiterleitung per DNS an Router) 2003 Member:Fileserver IP:192.168.10.51 DNS:192.168.10.50 Gateway:192.168.10.50 Klassisches Class-C Netz eben......Ipconfig /all zeigt die Einstellungen auch so an. Wie sehen die Einstellungen aus auf dem DC:- Server:enablesecuritysignature if client agrees ? - Client:enablesecuritysignature if client agrees ? wenn ich mich nicht täusche ist SERVER AKTIVIERT und Client NICHT DEFINIERT (wie gesagt nicht vor Ort,laut MS-Bulletin vom Juni,sollen ja die REG-Einträge in LANMANSERVER auf ENABLE und REQUIRE auf 1 stehen und in Workstation auf 1 und 0 stehen.Danach in Richtlinen für Domänen soll nur die Serverkommunikation auf Always gestellt werden.Hab ich auch so gemacht) Wurde mal ipconfig /registerdns probiert? Jeeep,leider ohne Erfolg. Dann gibt es irgendwelche Fehlermeldungen auf dem SBS ? (Security) Nein Fehler am SBS nicht zu sehen.Auch die Versuche des Memberservers sich im DNS einzutragen (die ja nicht erfolgen,wie in der Ereignisanzeige vom Memberserver zu sehen ist) erscheinen am SBS nicht. Sollte kein Problem sein, solange es nur 1 SBS ist und der alle Rollen hat Er hat alle Rollen,er ist der alleinige Herr und Meister :) Für mich sieht das in der Tat nach einem DNS Problem aus oder auch, dass Server nicht sauber gejoined ist. Glaub ich auch,aber er steht im COMPUTER-Ordner drin.Rausnehmen aus Domäne (verschwindet aus dem Ordner) und wieder rein (Erscheint wieder) hat nichts gebracht. Anpingen untereinander geht,Namensauflösung per DNS jedoch nicht. Prüfe mal folgendes: Gehe auf dem Server in die Administratorengruppe und prüfe ob der Domain administrator drin ist oder nur dessen SID. Ist das zweite der Fall ist der Server nicht sauber gejoined. Äääh,also das bestimmt am Memberserver machen??Also wenn ich eine Freigabe erstelle und dort dann auf ERWEiTERT SUCHEN gehe,sehe ich am Memberserver nur die lokalen User (Administrator etc,aber nichts von der Domäne) Die weiteren Tips wie NETDIAG / DCDIAG werd ich dann mal morgen (Kunde meldet sich bestimmt :( ) machen und dann berichten. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 19. Juli 2007 Melden Teilen Geschrieben 19. Juli 2007 Lieber Kollege wenn ich mich nicht täusche ist SERVER AKTIVIERT und Client NICHT DEFINIERT (wie gesagt nicht vor Ort,laut MS-Bulletin vom Juni,sollen ja die REG-Einträge in LANMANSERVER auf ENABLE und REQUIRE auf 1 stehen und in Workstation auf 1 und 0 stehen.Danach in Richtlinen für Domänen soll nur die Serverkommunikation auf Always gestellt werden.Hab ich auch so gemacht) Das sind Domain GPos und werden als GPO gesetzt und nicht als "Gefummel" in der Registry ... sonst ist dies nämlich nur bis zum GPO RefreshingIntervall gültig ... das wird Dir netdiag sagen, ob diese Parameter stimmen. Ich meine die Administratorengruppe ob dort der Domain Admin drinsteht oder nur die SID von dem DomainAdmin. (Ich meinte nix von entfernen oder so geschrieben zu haben...). Gruss, Matthias Zitieren Link zu diesem Kommentar
stone1970 10 Geschrieben 19. Juli 2007 Autor Melden Teilen Geschrieben 19. Juli 2007 Lieber Kollege Das sind Domain GPos und werden als GPO gesetzt und nicht als "Gefummel" in der Registry ... sonst ist dies nämlich nur bis zum GPO RefreshingIntervall gültig ... das wird Dir netdiag sagen, ob diese Parameter stimmen. Ich meine die Administratorengruppe ob dort der Domain Admin drinsteht oder nur die SID von dem DomainAdmin. (Ich meinte nix von entfernen oder so geschrieben zu haben...). Gruss, Matthias Aloha.... Ich "fummel" nicht freiwillig in der Registrierung rum (in anderen "Sachen" schon ;) ),aber wenn aufeinmal die Sicherheitsrichtlinien für Domänencontroller und das Active Directory Benutzer Computer meint das man nicht berechtigt sei darin "herumzufummeln" geht man auf die Suche und MS meint das man dann die Registrierung anpassen soll,danach Serverdienst und Arbeitsstationdienst neustarten soll,den Zugriff auf das Sysvol prüfen soll und dann in die Sicherheitsrichtlinien der Domäne die Korrektheit der SMB Signierung überprüfen soll DANN macht man das....das Gefummel in der Registrierung.... RESOLUTIONTo resolve this behavior, follow these steps. Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk. 1. On the domain controller, click Start, click Run, type regedit, and then click OK. 2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 3. In the right pane, double-click enablesecuritysignature, type 1 in the Value data box, and then click OK. 4. Double-click requiresecuritysignature, type 1 in the Value data box, and then click OK. 5. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters 6. In the right pane, double-click enablesecuritysignature, type 1 in the Value data box, and then click OK. 7. Double-click requiresecuritysignature, type 0 in the Value data box, and then click OK. 8. After you change these registry values, restart the Server and Workstation services. Do not restart the domain controller, because this action may cause Group Policy to change the registry values back to the earlier values. 9. Open the domain controller’s Sysvol share. To do this, click Start, click Run, type \\Server_Name\Sysvol, and then press ENTER. If the Sysvol share does not open, repeat steps 1 through 8. 10. Repeat steps 1 through 9 on each affected domain controller to make sure that each domain controller can access its own Sysvol share. 11. After you connect to the Sysvol share on each domain controller, open the Domain Controller Security Policy snap-in, and then configure the SMB signing policy settings. To do this, follow these steps: a. Click Start, point to Programs, point to Administrative Tools, and then click Domain Controller Security Policy. b. In the left pane, expand Local Policies, and then click Security Options. c. In the right pane, double-click Microsoft network server: Digitally sign communications (always). Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 19. Juli 2007 Melden Teilen Geschrieben 19. Juli 2007 Ich wage auch mal zu behaupten, dass der nicht richtig in der Domäne ist. Ein Memberserver sollte beim SBS in der Serververwaltungskonsole nicht unter Computer sondern unter Server auftauchen. Hast du den klassisch über Systemsteuerung-System in die Domäne aufgenommen oder über Connectcomputer? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.