buddylight 10 Geschrieben 21. August 2007 Melden Teilen Geschrieben 21. August 2007 Hallo, ich habe einen w2k server + win xp client in direkt miteinander verkabelt. Vom client aus greifte ich bisher mit einem LDAP tool auf den Server zu um infos aus der AD zu lesen evtl. ändern etc... ging alles wunderbar bis... ich in den group policies etwas änderte ABER diese Änderung machte ich auch wieder Rückgängig und Server und client lies ich neustarten. Ich kann mich wunderbar mit dem client an dem server anmelden an dessen domäne, aber mit dem ldap tool bekomme ich immer die meldung dass der host nicht gefunden wird. Weiterhin dauert das anpingen meines Servers ca. 15 Sekunden erst danach kommt eine verlustfreie Antwort zurück. Ein anderes Netzwerk hier an das ich mit einem ganz anderen pc angeschlossen bin liefert mir das ping server ergebnis innerhalb von 1 sekunde ??? Fehlermeldung aus der Ereignisanzeige: ImageShack® - Hosting Fehlermeldung als Text: Der DNS-Server konnte die Auszählung der Verzeichnisdienste der Zone bodensee.de nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Die Ereignisdaten enthalten den Fehlercode. Zuguterletzt... fragt mich net warum ich das machte...ich war so angepisst davon, dass windows trotz meiner rückgängig gemacht Änderung nicht mehr richt funzte: Unter Eigenschaften von meiner Domäne stelt ich den Betriebsmodus der Domäne von NT 3.5/4.0 auf einheitlicher Modus(nur w2k domänencontroller ) um. Kann mir jemand bitte helfen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2007 Melden Teilen Geschrieben 21. August 2007 Was hast Du denn eingestellt und wieder geändert ? Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 21. August 2007 Autor Melden Teilen Geschrieben 21. August 2007 Was hast Du denn eingestellt und wieder geändert ? Bin in AD - Benutzer und Computer: rechtsklick auf bodensee.de (meine domäne)->eigentschaften->tab gruppenrichtlinie->Default Domain Policy(Bearbeiten)->GruppenrichtlinienFesnter->Computerkonfiguration-> Windows-einstellungen->Sicherheitseinstellungen->IP-Sicherheitsrichtlinien auf Active Directory-> Hier gibt es 3 Objekte, davon habe ich auf Secure Server (Require Security) rechtsklick eigenschaften gemacht->hier kommen nun 2 tabreiter (Regeln/allgemein) mit 3 checkbox eintragungen unten drunter bei Reiter "Regeln" habe ich einfach einen davon angeklickt und bei Authentifizierungsmethoden im nächsten Fenster anstatt Kerberos ->eine neue Auth methode hinzugefügt und ausgewählt "Verwenden eines Zertifikates von dieser Zertifizierungsstelle". Dort habe ich mein Zertifikat ausgewählt. Danach habe ich die richtlinie zugewiesen. Ich glaube bin aber nicht sicher, dass danach meine ldap verbindung vom client nicht mehr ging. Dann machte ich alle eintragungen rückgängig und um sicherzugehen stellte ich die "Richtlinie zugewiesen" wieder auf "Nein" Gibt es denn keine Möglichkeit die groups policies (falls es daran liegt) auf einen default zu stellen? Notfalls könnten auch die Nutzer/gruppen der AD verloren gehen, nur alleine kann ich den server nicht installieren und der admin hier der eigentlich programmierer ist hat keinen plan :-( Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 21. August 2007 Autor Melden Teilen Geschrieben 21. August 2007 ok laut Rat von einem msce kumpel habe ich die default domain policy gelöscht und neu zugewiesen. Seit ergaben sich folgende Dinge die ich per pm an meinem Kumpel schrieb, doch ich poste es auch hier da mehr leute mehr wissen...: pm1: ok es ist jetzt so, dass das ldap tool erkennt dass der server ein win 2000 server ist, da hatte er vorher probleme. Mittlerweile ist es auch nicht so dass es heißt der server wird nicht gefunden sondern plötzlich sind meine Anmeldeinformationen an das ldap verzeichnis falsch, was nicht sein kann? 2. neue sache: ich melde mich mit einem Benutzer am client pc an der domäne an mit dem passwort und bekomme sofort die meldung: "Die lokale Richtlinie erlaubt es ihnen nicht sich interaktiv anzumelden" Warum das denn jetzt pm2: das ldap admin tool sagte, dass meine anmeldeinfos falsch sind obwohl das nicht sein kann. Ich denke am server hats was verstellt jetzt durch das löschen/neu laden der default group policies. Zudem sagt das ldap tool bei dem userbind zu active directory, dass "no client certifikate to authenticate to rhein:636 found your ssl connection may fail" Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 21. August 2007 Autor Melden Teilen Geschrieben 21. August 2007 ok ich habe mich jetzt speziell über das ldap tool als CURRENTly logged in user in die AD eingeloggt und jetzt komme ich auf die AD. Doch wenn ich die daten username+passwort explizit angebe geht es nicht ??? HAHA oh man :rolleyes: dennoch die alten probleme bleiben bestehen ich kann mich mit dem account eines normalen benutzers aus der AD nicht mehr an der domäne anmelden. Ich bekomme immer diese Fehlermeldung: "Die lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden" Bitte was soll ich machen, ich muss an dem pc mit der serververbindung dringend noch etwas abarbeiten! Vielen Dank für eure Hilfe! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2007 Melden Teilen Geschrieben 21. August 2007 Du hast die Default Domain Policy gelöscht ??? Du kannst eine Standardpolicy auf einem 2000 Server mit dem Tool RECREATEDEFPOL neu erzeugen. Mach das mal und teste, ob das Anmelden wieder funktioniert (SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE auf 2000ern und GPUPDATE /FORCE auf XP/2003 Maschinen ausführen, auch auf dem DC) ... Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 21. August 2007 Autor Melden Teilen Geschrieben 21. August 2007 Du hast die Default Domain Policy gelöscht ??? ja wie gesagt ich habe sie gelöscht und dann wieder hinzugefügt. warum ich mit dem recreatedefpol tool die default policies retten kann ist mir schleierhaft, denn ich habe wie gesagt nach dem löschen die default policies einfach wieder ausgewählt naja ich probier deinen tip auf jeden fall aus. Mach das mal und teste, ob das Anmelden wieder funktioniert ( auf 2000ern Maschinen ausführen, also ich führe diesen Befehl: SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE in der CMD meines Servers und meines Clients aus , JA ? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2007 Melden Teilen Geschrieben 21. August 2007 Dann hast Du nur die Verknüpfung gelöscht und nicht das Objekt an sich ? Du hast eine IP-Sicherheitsrichtlinie aktiviert und zugewiesen. Diese Richtlinie ist jetzt nicht mehr aktiv ? Öffne mal MMC und dann die IP-Sicherheitsrichtlinienverwaltung, ist da noch was zugewiesen ? SECEDIT kannst Du auf allen 2000 Maschinen ausführen ... Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 22. August 2007 Autor Melden Teilen Geschrieben 22. August 2007 Dann hast Du nur die Verknüpfung gelöscht und nicht das Objekt an sich ? na ich habe den eintrag aus dieser liste gelöscht. Ob die DGPolicy nun gelöscht wurde als objekt oder verknüpfung kann ich dir nicht sagen! Du hast eine IP-Sicherheitsrichtlinie aktiviert und zugewiesen. ja und rückgängig gemacht! Diese Richtlinie ist jetzt nicht mehr aktiv ? richtig! Öffne mal MMC und dann die IP-Sicherheitsrichtlinienverwaltung, ist da noch was zugewiesen nichts zugewiesen habe die defaultgrouppolicy mit dem tool neu erstellt und den secedit und gpupdate auf dem server und der xp maschine erfolgreich ausgeführt. Mein Zertifikat steht im server immer noch in der Zertifizierungstelle in "Ausgestellete Zertifikate " drin, also musss ich das nicht neu installieren? denn mein ldap tool auf dem client sagt "no client certifikate to authenticate to rhein.bodensee.de: 636 found you SSL connection attempt my fail" sprich no CLIENT certificate d.h. auf dem client ist das certificate irgendwie kaputt?? :shock: ja sch... habe nochmals auf meinem xp client nachgeschaut unter internet explorer und ssl zertifikate da ist noch alles isntalliert, das Zertifikat habe ich nochmals gelöscht und isntalliert. Nichts das ldap tool sagt immer noch da sein nix :mad: ein normaler benutzer kann sich immer noch nicht anmelden kommt imemr noch die meldung:" "Die lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden" Zitieren Link zu diesem Kommentar
buddylight 10 Geschrieben 22. August 2007 Autor Melden Teilen Geschrieben 22. August 2007 Ich habe auch die zugehörigkeit der normaler benutzer geprüft, sie gehröen zu den normalen domänen usern also passt das, warum kann ich mich dann nicht anmelden? Weiß denn keiner Bescheid? Habe die Suche ja benutzt doch gibts da nur infos wegen terminal dienst etc... doch darum gehts bei mir ja nicht... habe rsop.msc mal auf dem xp client ausgeführt und unter lokale anmeldung verweigern steht auch nichts. wobei ich die user ja an der domäne und nicht lokal anmelde... Das Icon meiner LAN-Verbindung auf dem client xp desktop hat ein gelbes dreieck mit schwarzem ausrufezeichen drin, obwohl die verbindung zum Server mit dem admin account geht ? Habe schon versucht die LAN-Verbindung mit repair zu fixen doch das geht natürlich nicht :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.