mykro 10 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hi, ich habe ein kleines Windows Netzwerk mit einem DC (Win2003 Server SP2, erst kürzlich von Sp1 auf Sp2 aktualisiert) mit einigen Windows XP Pro Clients. Nun habe ich das Problem, dass auf einem der Clients seit einiger Zeit keine Gruppenrichtlinien mehr angewendet werden. Im Ereignislog finde ich unter "Anwendung" den Eintrag Userenv ID 1030 mit der Meldung "Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert." und unter "System" den Eintrag von LsaSrv ID 40961 mit der meldung "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/domain.de/domain.de@domain.de herstellen. Es war kein Authentifizierungsprotokoll verfügbar." Eine Netzwerkverbindung besteht, ich kann meinen DC pingen. Er scheint aber irgendwie keine Authentifizierung durchführen zu können. Meine Frage ist nun: Wie kann ich LsaSrv im laufenden Betrieb (die Meldung kommt immer nur beim Start) dazu bringen es mit der Authentifizierung noch mal zu versuchen, damit ich nicht jedesmal einen Reboot machen muss, wenn ich was ausprobiert habe. Außerdem würde mich interessieren, wie ich den Fehler am besten diagnostizieren kann. Gibt es Tools dafür, kann ich irgendwelchen Netzwerktraffic abhören und damit was anfangen? netdiag habe ich schon probiert, aber der zeigt mit bei allen Tests "passed" an und der Browser/Redir Dienst ist an meine LAN Karte gebunden. Noch eine kleine Info: Ich habe einen Cisco VPN Client installiert. Der hat auch dieses "Deterministic Network Enhancer" Protokoll installiert, was ich allerdings für meine LAN/WLAN Karte abgeschaltet habe. Vielleicht hat das ja etwas damit zu tun. Ich habe das allerdings auch schon auf einem anderen Client gehabt, und da hat es kein Problem dargestellt... Vielen Dank und viele Grüße, mykro Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hier Lösungsvorschläge für die beiden Eventlogeinträge: EventID.Net für den 1030 der Userenv EventID.Net für den 40961 der LsaSrv Hast du dir die schonmal durchgeschaut? Zitieren Link zu diesem Kommentar
mykro 10 Geschrieben 14. Februar 2008 Autor Melden Teilen Geschrieben 14. Februar 2008 Hi, danke für diesen Tipp. Mir ist nichts spontan aufgefallen, was auf mich zutreffen würde. Ein Tipp empfiehlt den Computer aus der Domain rauszunehmen und ihn wieder joinen zu lassen. Wie kann ich das machen ohne dabei Probleme mit den Useraccounts zu verursachen. Ich benutze einen Domainaccount und will den nachher immer noch benutzen, geht das? Gruß, mykro Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Müsttest du folgendermaßen herangehen: 1. PC aus der Domäne raus nehmen. Dazu solltest du einen Account nehmen, der lokale über administrative Berechtigungen verfügt 2. PC wieder in die Domäne nehmen. Dazu dann einen Account, der Computer in die Domäne hinzufügen darf Nach jedem Schritt steht eh der obligatorische Neustart an. Und nach dem 2. Schritt und dem zweiten Neustart kannst du wie vorher auch mit deinem Domänenkonto weiterarbeiten. Dem steht nix im Wege. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hi, als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen: netdom reset computer_name /domain:domain_name (siehe Description of Netdom.exe Syntax and Versions). Falls das nicht erfolgreich ist, solltest Du den oben beschriebenen Weg verfolgen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Servus, als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen: naja, anschließend muss der Client auch in diesem Fall neu zur Domäne hinzugefügt werden. Zitieren Link zu diesem Kommentar
mykro 10 Geschrieben 16. Februar 2008 Autor Melden Teilen Geschrieben 16. Februar 2008 Hi, also ich bin mit dem Austreten und Eintreten nicht weitergekommen. Er kann immer noch keine sichere Verbindung zum Domaincontroller herstellen. Ich habe mittlerweile mit Wireshark festgestellt, dass einiger Traffic zwischen dem Client und dem DC entsteht, wenn ich gpupdate /force ausführe. Im Ereignislog finde ich danach dann die beiden im ersten Post beschriebenen Meldungen. Parallel dazu finde ich im Sicherheitslog auf dem DC erfolgreiche Anmeldungen meines Client-Computers und des Client-Benutzers. Er scheint den DC also zu finden, kann mit ihm auch kommunizieren, aber irgendwie schlägt die Herstellung der sicheren Verbindung fehl. Woran kann das liegen und wie kann ich das weiter untersuchen? Viele Grüße, mykro Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.