christian23 10 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Hallo Leute, ein W2K3-SP2, neuester Patchstand, als Terminalserver genutzt, stellt über ein Frontend (HIS-FSV, _keine_ WEB-Anwendung) Datenbankanfragen an einen externen Datenbankserver (auf Solaris). Alles war gut. Seit dem letzten Microsoft Patchday habe ich folgende Situation: 1: Administratoren bekommen vom ext. DB-Server keine Einlog-Maske, um sich an der DB einzuloggen. 2: _Einige_ unprivilegierte Accounts (Gruppenmitgliedschaft Benutzer und Remotedesktopbenutzer) bekommen auch kein Einlogfenster. Bei _anderen_ geht es ohne Probleme. 3: Bei neuen (unprivilegierten) Accounts funktioniert das Einloggen an der DB. 4: Bei bestehenden Accounts, die ein neues (Default-)Profil erhalten, ändert sich nichts am Einlogverhalten. Die Firewall am Server ist aus, Antivirenprogramm zeitweilig ausgeschaltet (kein Effekt), verst. Sicherheitseinst. vom IE ausgeschaltet. Es scheint so, als sei da etwas User-Spezifisches im System, das die Verbindung zu dem ext. DB-Server blockiert. Bloss was? Irgendwelche Ideen? Die Sicherheitspatches zu entfernen, ist keine gute Option (da der Server ohne Firewall betrieben wird). Erwartungsvoll Christian Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Moin, funktioniert der Zugriff denn von einem anderen System aus? Wie geht der Zugriff vonstatten - die User starten eine Applikation auf dem TS, die dann auf die Datenbank zugreift? Funktioniert der Zugriff ohne diese Applikation, direkt über einen Low-level-Client? Was sagen die Logs des Servers, der Applikation und des Datenbankservers? Was unterscheidet die Accounts, die sich anmelden können, von denen, die es nicht können? Es wäre schon ganz sinnvoll, wenn du eine Möglichkeit hättest, zu prüfen, ob das Verhalten sich ändert, wenn du den letzten Patch entfernst. Vielleicht handelt es sich ja auch nur um ein zufälliges Zusammentreffen. Gruß, Nils Zitieren Link zu diesem Kommentar
christian23 10 Geschrieben 27. April 2010 Autor Melden Teilen Geschrieben 27. April 2010 Erstmal vielen Dank für die Antwort! Vorweg: Ich bin nicht der Admin der DB und der Applikation, sondern nur vom Windows-TS und den Benutzeraccounts. Daher kann ich nur eingeschränkt nachschauen und bin darauf angewiesen, dass mir der DB-Admin sagt, in seinem Log ist alles wie bisher, keine Fehlermeldungen. Aber das ist auch plausibel, da Zusammenhang mit Patchen (s.u.). Wie geht der Zugriff vonstatten - die User starten eine Applikation auf dem TS, die dann auf die Datenbank zugreift? Genau! Und: Ja, es hängt definitiv mit den letzten Patches zusammen (6 Windows-Patches, ein IE-Patch). Wenn ich die entferne, können alle Accounts wieder zugreifen. Was sagen Logs des Windows-TS-Servers: Nichts (ausser, wenn man die Applikation gewaltsam beendet, da dauerhaft "keine Rückmeldung" angezeigt wird) Log der Applikation (die sehe ich): Steht nichts drinne, wenn keine Verbindung zustandekommt Log des Datenbankservers: Nach Auskunft des Admins nichts. Was unterscheidet die Accounts, die sich anmelden können, von denen, die es nicht können? Hier muss man unterscheiden: Admins bekommen kein Login-Fenster der DB. Bei alle anderen (sind alle gleich eingerichtet, Benutzer-Level) geht es oder geht es nicht. Hier habe ich eine Lösung gefunden: Nach Löschen und Neueinrichten der Accounts können alle normalen Benutzer wieder zugreifen!!! Das funktioniert aber nicht für die Admins. Meine nächste Idee wäre, dass Microsoft mit den Patches z.B. eine neue Sicherheits-Gruppenrichtlinie eingeführt hat, die z.B. nur diejenigen betrifft, die auf dem Rechner schon einmal den IE gestartet haben (durch so etwas würde sich das uneinheitliche Verhalten der Accounts erklären). Dabei werden Admins und Nicht-Admins unterschiedlich behandelt. Gibt es ein Tool, um veränderte Gruppenrichtlinien (vor und nach dem Patchen) herauszufinden? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 Moin, ich würde als nächstes versuchen, die Patches einzeln zu installieren und zu schauen, welcher das Problem hervorruft. Dann kann man entscheiden, ob man den braucht. Falls ja, könnte ein Call bei Microsoft in Betracht kommen. Wobei ich vorher den Hersteller der Applikation ansprechen würde. Gruß, Nils Zitieren Link zu diesem Kommentar
christian23 10 Geschrieben 28. April 2010 Autor Melden Teilen Geschrieben 28. April 2010 Hallo Nils, ich würde als nächstes versuchen, die Patches einzeln zu installieren und zu schauen, welcher das Problem hervorruft. ein einzelnes Installieren der Patches ergab: Der Patch KB979683 (MS10-021) verursacht die Verbindungsabbrüche! Ein Kernel-Update, dass mehrere Sicherheitslücken gleichzeitig patched. So, jetzt habe ich eine Info, mit der ich, wie du sagst, beim Hersteller der Applikation anfragen und bei Microsoft weiter suchen kann. Vielen Dank für deine Hilfe! Christian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.