Login-Netzlaufwerkproblem Windows 2003 Std. Server

[simonak 10]

Hallo!

 

Habe ein rießiges Problem. Hier erst mal eine kurze Netzwerkbeschreibung:

1x Windows 2003 Std. Server (Hauptdomaincontroller)

1x Windows 2000 Std. Server (auch DC, läuft noch einige Wochen mit, da hier noch eine Spezialsoftware installiert ist.

15x Windows XP Pro Client

 

Seit heute konnten ca. 5 Rechner sich nicht über das Loginscript die Netzlaufwerke verbinden lassen. Pingen konnte ich den Server allerdings sowohl unter seinem Namen als auch seiner IP-Adresse. Gebe ich bei start ausführen \\ip-server ein macht er mir die Freigaben auf. Gebe ich aber \\server ein, kommt folgende Fehlermeldung:

 

Auf \\server kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers, um herauszufinden, ob Sie über Berechtigungen verfügen.

 

Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig.

 

Gleichzeitig finde ich im Eventlog des Clients folgenden Fehler:

 

Und auf dem Windows 2003 Server diese Fehler:

 

Und auf dem Windows 2000 Server tritt dieser Fehler öfter einmal auf:

 

Ich habe jetzt erst mal schnell für den Übergang ein Loginscript geschrieben, das im Autostart der fehlerhaften Rechner steckt, welches zumindest schon mal die Netzlaufwerke per IP verbindet. Ist natürlich keine Dauerlösung. Außerdem haben einige Rechner Sage Classicline im Einsatz, welches den Servernamen benötigt.

 

Ich habe auch versucht, die fehlerhaften Rechner neu in die Domäne aufzunehmen. Bei 50% hat es geklappt und ich konnte wieder auf \\server zugreifen. Bei den anderen beiden Rechnern hat dies leider nichts bewirkt.

 

Irgendwie habe ich das Gefühl, dass es mit dem alten Windows 2000 Server zusammenhängt. Wenn ich unter diesem \\server eingebe, bringt er mir auch die Fehlermeldung von wegen Zugriff verweigert, obwohl der 2000 Server ja auch noch DC ist.

 

Vielleicht melden sich manche Rechner an seinem Loginscript an, was ja das gleiche ist, aber vielleicht bewirkt das irgendwie die Fehler? Beide Server sind schon neu gestartet und auf dem 2003er Server habe ich SP2 nochmal drübergebügelt. Hat leider nichts geholfen. Hat jemand eine Idee was ich tun kann? Bin über jede Hilfe dankbar.

 

Unter nachfolgendem Link hatte jemand ein ähnliches Problem. Meint ihr es hilft was den Secure Channel auf beiden Servern zu resetten? Wenn ja wie geht das? Habe in dem Link keine Anleitung gefunden:

http://www.mcseboard.de/windows-forum-ms-backoffice-31/kerberos-fehler-clients-81235.html

 

Sorry für den langen Text.:)

[Bkolbe 10]

prüf als erstes den DNS, gibt es dort Probleme oder Meldungen im Eventlog?

 

 

Hilfestellung gibts es z.B. hier, wenn die Repliaktion der DNS-Server nicht richtig klappt o.ä.:

 

Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ?

[marka 584]

Mit einem sauberen DNS steht und fällt die Funktionalität des ADS.

Da es mit IP-Adressen klappt, würde auch ich als erstes mal beim DNS ansetzen...

[simonak 10]

Ok, die Anleitung von Yusuf druck ich mir gleich mal nach und prüfe ob etwas anders bei den Servern eingetragen ist.

 

Aber pingen geht ja auch. Heißt das nicht, dass der DNS-Server eigentlich funktioniert?

Wenn dann kann es ehr der DNS-Server des Windows 2000 Servers sein. Kann man den nicht einfach abschalten oder allen Clients nur den ersten DNS-Server eintragen? Würde das nicht auch was bringen?

 

Sonstige Lösungsvorschläge? Werde morgen wahrscheinlich wieder zum Kunden fahren, da möchte ich möglichst viel ausprobieren können.

 

Weiß noch jemand was zu dem Secure Channel?

[Bkolbe 10]

DNS macht ja mehr als nur Namensauflösung im AD. Dort werden auch die SRV-Einträge verwaltet, (z.B. welcher DC ist für welche Site zuständig, und viel mehr).

Wenn es in den SRV Einträgen zu PRoblemen kommt, könnten evtl. auch solche Meldungen produziert werden(Da kein Zugriff auf den DC erfolgen kann).

 

Trotzdem sollte die NAmensauflösung arbeiten.

 

Vielleicht kann Dir ein richtiger "DNS" Fachmann mit etwas Input versorgen diesbzüglich

[blub 115]

das Problem hat überhaupt nix mit DNS zu tun! Wenn die Verbindung mit IP-Adresse klappt und mit Namen kommt es zu Berechtigungsproblemen, ist das 100% ein Kerberosproblem. Das sagen ja auch die Fehlermeldungen.

Wenn's ein DNS Problem wäre, würde er den Namen nicht finden und die Meldungen wären andere.

Such in der Technet mal nach "troubleshooting Kerberos", da gibt es ein oder zwei ganz gute Artikel

 

cu

blub

[simonak 10]

Habe vorhin bemerkt das die Uhrzeit der beiden DC über 5 Minuten außeinander waren. Dies könnte ja evtl. auch den Kerberosfehler verursachen, oder? Ist nun angepasst und die Server werden morgen früh neu gestartet. Vielleicht hilfts ja schon. Das wäre super.:D

 

Sonst bin ich allerdings immer noch auf der Suche.

[Bkolbe 10]

@ blub:

 

Danke für den Hinweis, hab wieder was dazugelernt.

 

@simonak

 

Kerberos arbeitet mit Tickets die nach einer definierten Zeit ablaufen, wenn jetzt deine DCs unterschiedliche Zeiten haben, kanns da Probleme geben. Da wird dir Blub mehr dazu sagen können.

 

Wenn ich dich aufs Glatteis geführt habe, war nicht mit Absicht.

[simonak 10]

@Bkolbe bin doch über jede Hilfe dankbar. Habe mir den Yusuf Artikel trotzdem einmal ausgedruckt und werde diesen einmal durchgehen. Montag habe ich dort wieder einen Termin.

 

Also anmelden konnten sich heute wohl alle nach dem Serverneustart. Das hört sich schon einmal gut an. Allerdings dauert es jetzt ewig bis Programme wie Word, Excel und Spezialprogramme aufgehen. Hat dazu jemand eine Idee. Ist auch erst, seit dem die Kerberosprobleme angefangen haben. Nachdem das Programm dann offen ist, funktioniert alles mit normaler Geschwindigkeit.

[blub 115]

Hallo,

Die Authentifizierung am AD erfolgt bei Verwendung von Namen über Kerberos, bei Verwendung von IP-Adressen über NTLM.

 

Microsoft Corporation

 

Wenn du Kerberosprobleme hast, dann würde ich das Kerberoslogging einschalten How to enable Kerberos event logging und die Events beobachten. Man muss aber aufpassen, es treten dann regelmässig 2 Kerberosevents auf, die aber vollkommen normal sind. 0x7 (principal unknown) und 0xD (Bad Option), sowie Events, wenn User ein falsches PW eingeben. Wegen diesen Meldungen darf man nicht in Panik verfallen :)

Zusätzlcih hilft ein Netzwertrace z.B. während des Startens von Excel etc. sicher weiter.

 

cu

blub

[simonak 10]

@blub Danke für deine super Links. Hatte diesen Artikel im Technet nicht gefunden. Gleich mal alles gedruckt und wird am Montag der Reihe nach durchgegangen.

[simonak 10]

Damit wir das Thema mal abschließen können, war wohl wirklich hauptsächlich an der falschen Uhrzeit der beiden Server gelegen. Danach ging es wieder alles einwandfrei. Bisschen Netzwerkprobleme gibt es zwar noch sporadisch, dass liegt dann aber noch an der zusätzlichen Novellanmeldung. Die werden wir evtl. demnächst noch abschalten.