mickey 10 Geschrieben 26. Mai 2009 Melden Teilen Geschrieben 26. Mai 2009 hallo, ich habe hier eine SBS 2k8 Domain geerbt... nun versuchte ich von einem anderen Server - domain Mitgliedsserver - eine remote agent für das symantec backup zu Installieren. bei der Installation des Remote Agents auf dem zielserver - nämlich der SBS server, fragt er mich nach username und passwort, für die anmeldung. ist ja okay, jedoch egal welches Konto, auch wenn ich ein eigens hierfür angelegtes support konto verwende erhalte ich immer zugriff verweigert... auch mit dem administrator als Anmelde Konto erhalte ich ein Zugriff verweigert. jedoch mittels \\server\c$ kann ich ohne probleme mit dem administrator konto darauf zugreifen!? im eventlog des SBS steht wie folgt: Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: MIRACULIX$ Kontodomäne: HANOUK Anmelde-ID: 0x3e7 Anmeldetyp: 4 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Administrator Kontodomäne: HANOUK Fehlerinformationen: Fehlerursache: Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt. Status: 0xc000015b Unterstatus:: 0x0 Prozessinformationen: Aufrufprozess-ID: 0xd08c Aufrufprozessname: C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe Netzwerkinformationen: Arbeitsstationsname: MIRACULIX Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. jemand eine idee? vor allem wieso wird keine SID übertragen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. Mai 2009 Melden Teilen Geschrieben 26. Mai 2009 Hi, anhand der Fehlermeldung muß man davon ausgehen, daß dem Benutzerkonto "Administrator" ein bestimmtes Anmelderecht fehlt, also etwa NETZWERK o.ä. Habt Ihr etwas in den Security Policies verändert, die auf den SBS wirken? Ggf. könntest Du mittels GPMC RSOP Result Report prüfen, ob hier etwas verbogen ist. Ansonsten wäre interessant zu wissen, welchen Logon Typ die Installationssoftware nutzt, ggf. kannst Du das bei Symantec in der Support Datenbank einmal suchen. Ein "whoami /all", ausgeführt als Administrator auf dem SBS, kann vielleicht auch etwas Licht ins Dunkel bringen (insbesondere die letzten Zeilen der SE privilages). Viele Grüße olc Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 26. Mai 2009 Melden Teilen Geschrieben 26. Mai 2009 Hallo. Wobei mich das Konto Administrator etwas irritiert. Am SBS 2008 ist der Administrator per default deaktiviert. Wieso wird also mit diesem gearbeitet? LG Günther Zitieren Link zu diesem Kommentar
mickey 10 Geschrieben 27. Mai 2009 Autor Melden Teilen Geschrieben 27. Mai 2009 @guenther: lag daran da es eine migration von sbs 2k3 auf sbs2k8 gab. @olc: dnake für den tipp, habe ich im prinzip schon überprüft, aber werde es nochmals machen... Zitieren Link zu diesem Kommentar
mickey 10 Geschrieben 27. Mai 2009 Autor Melden Teilen Geschrieben 27. Mai 2009 also whoami /all ergab meiner meinung nicht wiklich etwas aufallendes, oder? im anhang die ausgabe dieser.. danke! ausgabe.txt Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. Mai 2009 Melden Teilen Geschrieben 28. Mai 2009 Hi, sorry - ich hatte beim ersten Blick auf die Daten von Dir oben den Logon Type übersehen. Der ist "4", das bedeutet es fehlt das Recht zum Batch-Logon: ...with a type 4 logon, which is a batch job logon... Weise dem Administrator per GPO einmal das Recht "Log on as a batch job" zu, siehe Log on as a batch job: Security Configuration Editor; Security Services . Viele Grüße olc Zitieren Link zu diesem Kommentar
mickey 10 Geschrieben 1. Juni 2009 Autor Melden Teilen Geschrieben 1. Juni 2009 hallo olc, stimmt war auf aktiviert (Anmelden als Batchauftrag verweigern", habe die GPO entsprechend auf deaktiviert gesetzt... leider nach wie vor selbige Problem... habe auch schon die Richtlinienergebnisse durchlaufen lassen - ist auch nicht mehr gesetzt.... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. Juni 2009 Melden Teilen Geschrieben 1. Juni 2009 Hi, entferne einmal nicht nur die Verweigerung, sondern weise dem Administrator direkt per Gruppenrichtlinie das Recht zu. Es gibt einmal die explizite Verweigerung aber auch das explizite Zulassen. Probiere es mal mit letzterem. Viele Grüße olc Zitieren Link zu diesem Kommentar
mickey 10 Geschrieben 1. Juni 2009 Autor Melden Teilen Geschrieben 1. Juni 2009 jup - danke! habe alles was dannach ausgehsen hat mal mit JEDER versehen ;-) jetzt probiere ich mal wieder zurück - danke für die hilfe! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.