mfdoom 10 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Hallo liebes Board, ich habe an fast jedem Client (XP SP3) in meinem Netz folgende Meldung im Ereignislog (Quelle USERENV ID:1054): Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Gefolgt von (Quelle AutoEnrollment ID:15): Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. Die Registrierung wird nicht durchgeführt Ich habe diverse Themen dazu gelesen, besonders über USERENV,10 54. Leider bin ich dem Problem noch nicht wirklich auf die Spur gekommen, es gibt schlichtweg zu viele Möglichkeiten. Kann ich die Zertifikatsregistrierung nicht einfach abschalten auf allen Clients? Bin für jede Hilfe dankbar. Simon – SMB-Signing kann es nicht sein das habe ich eben auf beiden DCs (einer 2K3, der andere 2000Std.) überprüft. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Beide Einstellungen aus der GPO-FAQ No. 36 setzen und die Clients 2 x neu starten lassen: FAQ-GPO Hast Du das SMB-Signing in den beiden GPOs kontrolliert? SMB Signing - Einstellungen für: Kommunikation digital signieren Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 15. August 2008 Autor Melden Teilen Geschrieben 15. August 2008 Beide Einstellungen aus der GPO-FAQ No. 36 setzen und die Clients 2 x neu starten lassen: FAQ-GPO Ja - das habe ich schon standardmässig eingestellt. Hast Du das SMB-Signing in den beiden GPOs kontrolliert? SMB Signing - Einstellungen für: Kommunikation digital signieren Was meinst Du damit "in den beiden GPOs"? Du meinst die beiden Einstellungen kontrolliert? Einmal für den Serverteil und den Client.. LG Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Das SMB-Signin muß in den GPOs Default Domain Policy + Default Domain Controllers Policy gem. Best Praxis eingestellt sein. Auch sollte der Client die Einstellungen dann übernehmen. RSOP.MSC auf dem Client zeigt dir an, welche GPOs mit welchen Einstellungen ankommen. Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 15. August 2008 Autor Melden Teilen Geschrieben 15. August 2008 Das SMB-Signin muß in den GPOs Default Domain Policy + Default Domain Controllers Policy gem. Best Praxis eingestellt sein. Auch sollte der Client die Einstellungen dann übernehmen. RSOP.MSC auf dem Client zeigt dir an, welche GPOs mit welchen Einstellungen ankommen. Ich habe zwei Screenshots von meiner Konfiguration angefertigt. Auf den Clients steht alles auf "nicht konfiguriert", spricht das nicht dafür das diese Einstellung nie angefasst wurden? Sollte ich das wirklich in den beiden GPOs ändern? Auf dem Server steht das Gleiche, nicht konfiguriert. LG Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Ich habe zwei Screenshots von meiner Konfiguration angefertigt. Auf den Clients steht alles auf "nicht konfiguriert", spricht das nicht dafür das diese Einstellung nie angefasst wurden? Ohne die Anhänge zu sehen, (sind noch nicht freigeschaltet) tippe ich drauf, Du hast das mit GPEDIT.MSC kontrolliert. Richtig? Wenn ja, das sind die LOKALEN Einstellungen. Die hast Du aber nicht zu verändern. Schau auf den Clients mit RSOP.MSC nach, was alles ankommt. Sollte ich das wirklich in den beiden GPOs ändern? Ja, aber nicht via GPEDIT.MSC! Installier die GPMC und editiere damit die GPOs. Auf dem Server steht das Gleiche, nicht konfiguriert. Mit GPEDIT.MSC kontrolliert? Wenn ja, das ist flasche Weg. Glaubs mir. ;) Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 18. August 2008 Autor Melden Teilen Geschrieben 18. August 2008 Hallo Sunny61, du hast natürlich recht. Vielen Dank für die Hinweise. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. August 2008 Melden Teilen Geschrieben 18. August 2008 du hast natürlich recht. Vielen Dank für die Hinweise. Klappts denn nun wie gewünscht oder sind immer noch Fehlermeldungen im Eventlog? Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 18. August 2008 Autor Melden Teilen Geschrieben 18. August 2008 Hi Sunny61, also eine lok. Ausgabe von rsop.msc bescheinigt mir dass die Einstellungen wirken die ich per GPMC gemacht habe. Auf einem der Clients wo das Problem auftrat kommen die Fehlermeldungen nicht mehr. Trotzdem habe ich auf dem Server selbst jetzt die Fehlermeldung : Auf die Datei gpt.ini des Gruppenrichtlinienobjekts cn={AAEBC705-C59D-4387-9F6B-42B14E0DD4D0},cn=policies,cn=system,DC=btm,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\btm.de\SysVol\btm.de\Policies\{AAEBC705-C59D-4387-9F6B-42B14E0DD4D0}\gpt.ini> vorhanden sein. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Die Fehlermeldung bezieht sich auf die letzte GPO die ich eingerichtet habe, nämlich "XP - asynchrones Startverhalten deaktivieren". Wenn ich jetzt die GPO lösche dann erscheint die Fehlermeldung mit dem jeweils als letztes erstelltem GPO. Der Pfad ist aber korrekt und auch erreichbar. Auch die Sicherheitseinstellungen sind wie in allen anderen GPOs. Ich habe mit den Support Tools 2003 geforscht habe aber keine Probleme im AD feststellen können. Möglicherweise muss ich nur den DC neustarten? Liebe Grüße Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. August 2008 Melden Teilen Geschrieben 18. August 2008 also eine lok. Ausgabe von rsop.msc bescheinigt mir dass die Einstellungen wirken die ich per GPMC gemacht habe. Auf einem der Clients wo das Problem auftrat kommen die Fehlermeldungen nicht mehr. Ist doch schon ein Fortschritt. ;) Trotzdem habe ich auf dem Server selbst jetzt die Fehlermeldung : Die Fehlermeldung bezieht sich auf die letzte GPO die ich eingerichtet habe, nämlich "XP - asynchrones Startverhalten deaktivieren". Wenn ich jetzt die GPO lösche dann erscheint die Fehlermeldung mit dem jeweils als letztes erstelltem GPO. Der Pfad ist aber korrekt und auch erreichbar. Auch die Sicherheitseinstellungen sind wie in allen anderen GPOs. Kannst Du denn im Explorer auf den Pfad zugreifen, wie er in der Fehlermeldung steht? Kommen auf diesem betroffenen Server denn die Einstellungen aus der GPMC an? Lies doch mal den Teil aus Marks Artikel: Konfiguration des SMB Signings, wenn auf die GPO nicht mehr zugegriffen werden kann: In diesem Moment muss man die Konfiguration kurzfristig in der Registry anpassen, aber direkt danach in der GPO konfigurieren, wenn der Zugriff wieder möglich ist, da der per Hand eingetragene Wert in der Registry nach ca. 5 Minuten durch den Wert in der GPO überstimmt werden kann. Damit sollte es eigentlich funktionieren. Ich habe mit den Support Tools 2003 geforscht habe aber keine Probleme im AD feststellen können. Möglicherweise muss ich nur den DC neustarten? Glaub ich nicht, aber ein boot tut immer good. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.