andrew 15 Geschrieben 13. November 2008 Melden Teilen Geschrieben 13. November 2008 hello nochmals ;) Mich würde interessieren, wie Ihr vorgeht, wenn Ihr in der Ereignisanzeige eines Servers zig Fehler vorfindet. Geht Ihr da auch auf EventID.Net - Troubleshooting information for Windows event logs und sucht nach einer möglichen Lösung, anhand der > Quelle (Source) > Ereignis (Event) Ich kenne keine andere Möglichkeit, die Fehler in der Ereignisanzeige eines Fehlers ausfindig zu machen ;) und Ihr ??? Ich habe beispielsweise bei einem Kunden von uns in der Ereignisanzeige folgenden Fehler: > Quelle: UserEnv > Ereignis: 1000 Tja, gebe ich nun bei EventID.Net - Troubleshooting information for Windows event logs diese Angaben an, so erhalte ich Beiträge von Benutzern, welche einerseits solche Fehler in der Ereignisanzeige hatten, jedoch hat jeder Benutzer irgend was anders verbockt oder verändert oder herausgefunden, warum bei Ihm dieser Fehler 1000 erscheint Betreffend dieses Fehlers könnten zig Möglichkeiten in Frage kommen, warum ein solcher Fehler generiert wird, ist manchmals sehr mühsam und man könnte zig Stunden aufwenden, um einen Fehler ausfindig zu machen. Zumindest mir ergeht es so, da ich erst sei Februar 08 im Server Bereich tätig bin (bin noch in Ausbildung --> MCSE) :-) Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 13. November 2008 Melden Teilen Geschrieben 13. November 2008 Viele Fehler lassen sich schon abfangen, wenn ein paar Grundregeln konfiguriert werden. Das SMB-Signing gem. BestPraxis konfigurieren: SMB Signing - Einstellungen für: Kommunikation digital signieren Auf allen Clients und Server UPHC installieren: Download details: User Profile Hive Cleanup Service Und natürlich auch beide Einstellungen aus der GPO-FAQ No. 36 setzen: FAQ-GPO Bei allen anderen auftretenden Fehlern, hilft EventID recht gut, um eine gewisse Vorauswahl zu treffen. Ansonsten kann Fehlerhebung manchmal ganz schön anstrengend sein. ;) Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 13. November 2008 Autor Melden Teilen Geschrieben 13. November 2008 also, habe nun Deinem Hinweise folge geleistet und auf den beiden DCs, welche diese Firma hat, das SMB Signing überprüft. erster DC, Sicherheitsrichtlinie für Domaincontroller: > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert erster DC, Sicherheitsrichtlinie für Domänen > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert zweiter DC, Sicherheitsrichtlinie für Domaincontroller: (via Start, Programme, Verwaltung) > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert zweiter DC, Sicherheitsrichtlinie für Domänen: > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert Fazit: Die beiden DCs sollten also miteinander kommunizieren können. Aber, der Fehler UserEnv (Quelle) und das Ereignis 1000, welcher am Laufband produziert und in der Ereignisanzeige generiert wird, trifft auf die beiden Terminal Server zu (Citrix) Auf beiden Citrix Servern ist alles voll, von diesem Fehler Und: in der Ereignisanzeige, in der Spalte Benutzer sind jeweils immer die Kürzel der Bnutzer aufgelistet und für jeden Benutzer gibt es zwei solcher Fehler (Ereignis 1000) Da steht zum Beispiel: Quelle: Userenv, Ereignis: 1000 --> hinten in der Spalte User ist das Kürzel des Benutzers, zum Beispiel ce und dann steht im ersten Fehlereintrag: "Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert. " Dann ist in der Ereignisanzeige eine Zeile unterhalb wieder der gleiche Fehler aufgeführt, wieder Quelle = Userenv und Ereignis 1000, hinten in der Spalte Benutzer gibt es wieder einen Eintrag für den Benutzer ce Die Beschreibung des Fehlers lauet aber diesmal: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Dann kommt die nächste Zeile, wieder Quelle Userenv und Ereignis 1000, dann ist hinten in der Spalte Benutzer ein anderes Kürzel aufgeführt, beispielsweise nu Dann gibt es wieder genau gleich zwei Fehler, wie soeben beschrieben. die ganzen Userenv Fehlermeldungen (Ereignis 1000) wiederholen sich stets, immer zwei Zeilen vorhanden (hinten in der Spalte stets wider ein anderes Kürzel eines Benutzers) und ja ...alles schön rot :-) Was ich nicht begreife ist, warum haben nur diese zwei Terminal Server (sind beide nur Memberserver) zig solche Fehlermeldungen in der Ereignisanzeige?? Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 13. November 2008 Melden Teilen Geschrieben 13. November 2008 Die beiden DCs sollten also miteinander kommunizieren können. Also wenn Du DIE Richtlinien auf beiden DCs einzeln setzen mußt stimmt aber irgendwas garnicht... Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 13. November 2008 Melden Teilen Geschrieben 13. November 2008 also, habe nun Deinem Hinweise folge geleistet und auf den beiden DCs, welche diese Firma hat, das SMB Signing überprüft. Nur nicht so, wie es im HowTo steht. Du mußt die beiden GPOs kontrollieren, die Default Domain Policy und die Default Domain Controller Policy. Letztere ist für die DCs im besonderen zuständig, die erste für alles andere was so in der Domain kreucht und fleucht. Fazit: Die beiden DCs sollten also miteinander kommunizieren können. Aber, der Fehler UserEnv (Quelle) und das Ereignis 1000, welcher am Laufband produziert und in der Ereignisanzeige generiert wird, trifft auf die beiden Terminal Server zu (Citrix) Was ich nicht begreife ist, warum haben nur diese zwei Terminal Server (sind beide nur Memberserver) zig solche Fehlermeldungen in der Ereignisanzeige?? Weil auf diesen beiden Servern die lokalen Einstellungen zum SMB-Signing vermutlich anders sind, als in der Domain. Also stell es Domainweit um und kontrolliere es auch mit RSOP.MSC auf den Terminalservern ob es ankommt. Druck den Artikel aus und lies ihn dir 3 oder 4 mal durch, bis Du auch siehst, was man tun muß, wenn der DC die Werte nicht übernimmt. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 13. November 2008 Autor Melden Teilen Geschrieben 13. November 2008 Welchen Artikel soll ich denn 3-4 mal durchlesen? reicht denn 3-4 mal? *grins* zwei Fragen: Da wir hier nicht Windows 2003 Server haben, sondern noch Windows 2000, funktioniert der Befehl zum Anzeigen von Gruppenrichtlinienergebnissen anders. Kennst du diesen für Windows 2000? gpresult ist es nicht, habe ich getestet --> der ist für Windows 2003 Frage 2: Wenn ich nun eine Domänen Richtlnie einstellen möchte, damit alle Server, egal, ob DC oder nicht DC, gleich miteinander kommunizieren, müsste ich dies wo tun?? ist das nicht hier: > auf einem der DCs unter Start, Programme, Verwaltung, Sicherheitsrichtlinie für Domänen ?? also vom Namen her müsste es diese sein oder? Diese habe ich ja schon überprüft, auf beiden DCs und ist ja anscheinend richtig konfiguriert ?? Es sieht so als, als würde diese Richtlinie genau der Domänenrichtlinie entsprechen, dem Punkt > computerkonfiguration > lokale Richtlinie > Sicherheitsoptionen Denn die Default Policy Domain Richtlinie hat genau diese Einstellungen schon definiert, nämlich diese hier: > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert Ich denke, es macht wohl keinen Sinn, wenn man auf beiden DCs unter Start, Programme, Verwaltung die Richtlinie: Sicherheitsrichtlinie für Domänencontroller einrichtet oder?? Denn diese Einstellungen würden ja dann sowieso von der Default Domain Policy überschrieben oder?? ... Also wie erwähnt, die Domain Default Policy ist korrekt eingerichtet, es scheint aber so zu sein, dass die Memberserver diese nicht ziehen...siehst Du das auch so?? Die Frage ist wohl, warum nicht?? P.S. > Habe jetzt die Einstellungen in der Default Domain Policy gelöscht > habe eine neue Domänenrichtlnie eingerichtet, benannte diese in smb signing Nun ist es nämlich auch möglich, egal ob ich mich an einem Server befinde oder auf einem Client, mit dem Befehl, wo man die Gruppenrichtlinienergebnisse anschauen kann zu prüfen, ob diese Richtlinie gezogen worden ist, weil ich Sie nun unterscheiden kann und danach im Resultat sehe, ob die Gruppenrichtlinie smb singing gezogen wird oder nicht. Aber ich finde den Befehl nicht, wo man die Gruppenrichtlinieergebnisse auf einem Windows 2000 Server anzeigen kann. Dann könnte ich mal auf den Citrix Servern (Member Server), auf diesen werden ja auch die Fehler angezeigt, prüfen, ob diese beiden Server diese Richtlinie ziehen oder nicht?! Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 13. November 2008 Melden Teilen Geschrieben 13. November 2008 Da wir hier nicht Windows 2003 Server haben, sondern noch Windows 2000, funktioniert der Befehl zum Anzeigen von Gruppenrichtlinienergebnissen anders. Kennst du diesen für Windows 2000? gpresult ist es nicht, habe ich getestet --> der ist für Windows 2003 Hmm, ich glaub die GPMC gibts nicht für W2K. Besser also auf einem administrativen Client die GPMC installieren und von dort aus die das aufrufen. Frage 2: Wenn ich nun eine Domänen Richtlnie einstellen möchte, damit alle Server, egal, ob DC oder nicht DC, gleich miteinander kommunizieren, müsste ich dies wo tun?? Laut dem Artikel mußt Du das in der Default Domain Controller + Default Domain Policy machen. ist das nicht hier: > auf einem der DCs unter Start, Programme, Verwaltung, Sicherheitsrichtlinie für Domänen ?? also vom Namen her müsste es diese sein oder? Ja, müsste es sein. Ist es bestimmt auch. Seit ich W2K3 am Start hab, mach ich das immer dort in der GPMC, man gewöhnt sich dran. ;) Diese habe ich ja schon überprüft, auf beiden DCs und ist ja anscheinend richtig konfiguriert ?? Das weiß ich nicht, Du sitzt davor. ;) Es sieht so als, als würde diese Richtlinie genau der Domänenrichtlinie entsprechen, dem Punkt > computerkonfiguration > lokale Richtlinie > Sicherheitsoptionen Sorry, aber mach es mit der GPMC, lokal hört sich für mich immer nach GPEDIT.MSC an. Denn die Default Policy Domain Richtlinie hat genau diese Einstellungen schon definiert, nämlich diese hier: > Clientkommunikation digital signieren (immer) = deaktiviert > Clientkommunikation digital signieren (wenn möglich) = aktiviert > Serverkommunikation digital signieren (immer) = deaktiviert > Serverkommunikation digital signieren (wenn möglich) = aktiviert Wenn es dort schon passend konfiguriert ist, dann mußt Du nur noch dafür sorgen, daß es auch alle mitbekommen. Ich denke, es macht wohl keinen Sinn, wenn man auf beiden DCs unter Start, Programme, Verwaltung die Richtlinie: Sicherheitsrichtlinie für Domänencontroller einrichtet oder?? Denn diese Einstellungen würden ja dann sowieso von der Default Domain Policy überschrieben oder?? ... Es gibt 2 GPOs, eine für DCs und eine für die Domain. Stell es in beiden so ein, wie im HowTo beschrieben. Also wie erwähnt, die Domain Default Policy ist korrekt eingerichtet, es scheint aber so zu sein, dass die Memberserver diese nicht ziehen...siehst Du das auch so?? Wenn es die Memberserver nicht ziehen, dann leg die Werte mit Hilfe des im Artikel gelisteten INF-Files manuell an. Dann kann die GPO die Werte wieder überschreiben. Die Frage ist wohl, warum nicht?? Henne Ei Problem, die Werte werden nicht übernommen, weil sie zwar miteinander sprechen, sich aber nicht verstehen. P.S. > Habe jetzt die Einstellungen in der Default Domain Policy gelöscht > habe eine neue Domänenrichtlnie eingerichtet, benannte diese in smb signing Nun ist es nämlich auch möglich, egal ob ich mich an einem Server befinde oder auf einem Client, mit dem Befehl, wo man die Gruppenrichtlinienergebnisse anschauen kann zu prüfen, ob diese Richtlinie gezogen worden ist, weil ich Sie nun unterscheiden kann und danach im Resultat sehe, ob die Gruppenrichtlinie smb singing gezogen wird oder nicht. Keine gute Idee. Mach es wie ich weiter oben geschrieben habe, mit einem Client administrieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.