rsc@de 10 Geschrieben 19. Juli 2010 Melden Teilen Geschrieben 19. Juli 2010 Mahlzeit, habe folgendes Problem: Unsere Firma unterhält neben einem Hauptstandort (DC: Win2k8), mehrere Niederlassungen. In einer davon wurde vor kurzem die Domäne umgestellt auf lokalen Win2k8R2 RODC. In dieser Niederlassung befinden sich WinXP Sp3 PC's und ca. 10 Win7 PC's. Das Problem hierbei ist nun, dass zwar die WinXP Rechner ihre Kennwörter ganz normal über die WAN-Strecke an unserem Hauptstandort ändern können, die Win7 PC's aber nicht. Beim Versuch das Kennwort zu ändern (Win7) - Strg - Alt - Entf - Kennwort ändern, kommt nach ca. 5 min die Meldung: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. Die Firewall wurde bereits deaktiviert. Kann irgendjemand hier etwas zur Lösung des Problems beitragen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Juli 2010 Melden Teilen Geschrieben 20. Juli 2010 Hi, zieh einmal einen Netzwerktrace und filtere nach "Kerberos" und "DNS". Im Normalfall sollte das "password change protocol" (Kerberos) dabei angezeigt werden - vielleicht zeigt sich ein Problem. Oder aber Du siehst DNS Probleme - ist die DNS Konfiguration der XP und W7 Clients gleich? Viele Grüße olc Zitieren Link zu diesem Kommentar
rsc@de 10 Geschrieben 20. Juli 2010 Autor Melden Teilen Geschrieben 20. Juli 2010 Die Netzwerk Einstellungen sollten gleich sein, da vom DHCP verteilt. Gibt es evtl. Unterschiede was die Kennwortänderung betrifft, zwischen 2k8 und 2k8R2? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Juli 2010 Melden Teilen Geschrieben 20. Juli 2010 Hi, ja, wie gesagt: Es gibt / gab Änderungen in Bezug auf das password change protocol, wenn ich mich nicht irre. Schau einmal in einen Netzwerktrace - Kerberos Fehler sind recht problemlos in so einem Trace zu sehen, da die Error Codes sehr übersichtlich gestaletet sind. Gleiches gilt für DNS. Viele Grüße olc Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Juli 2010 Melden Teilen Geschrieben 20. Juli 2010 Prüfe, ob der RODC wirklich mit einem beschreibbaren DC "reden" kann: What operations fail if the WAN is offline, but the RODC is online in the branch office? If the RODC cannot connect to a writable domain controller running Windows Server 2008 in the hub, the following branch office operations fail: Password changes Attempts to join a computer to a domain Computer rename Authentication attempts for accounts whose credentials are not cached on the RODC Group Policy updates that an administrator might attempt by running the gpupdate /force command RODC Frequently Asked Questions Eventuell verbinden sich die alten Client's bei einer Password-Änderung direkt mit dem PDC-Emulator, was Windows 7 dann nicht mehr macht. Habe ich im Moment nicht so den Plan... -Zahni Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Juli 2010 Melden Teilen Geschrieben 20. Juli 2010 Hi zahni, XP wendet sich auch nicht direkt an den PDCe, sondern an einen normalen DC - das machen die DCs und der PDCe danach "unter sich aus". Da der password change auf dem XP System funktioniert, steht die WAN Verbindung vermutlich. Viele Grüße olc Zitieren Link zu diesem Kommentar
rsc@de 10 Geschrieben 28. Juli 2010 Autor Melden Teilen Geschrieben 28. Juli 2010 Problem gelöst! Ursache: Windows XP nutzt zum Kennwort ändern Kerberos Port 445. Windows 7 verwendet Kerberos V5 mit Port 464. Dieser Port war an unserer WAN-Firewall nicht freigegeben. Nach freigabe dieses Ports klappte das Kennwort ändern ohne Probleme. Vielen Dank an alle, die zur Lösungsfindung beigetragen haben. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. Juli 2010 Melden Teilen Geschrieben 28. Juli 2010 Salve, Problem gelöst! danke für die Rückmeldung. Aber in deinem OP hattest du geschrieben: Die Firewall wurde bereits deaktiviert. :suspect: Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 28. Juli 2010 Melden Teilen Geschrieben 28. Juli 2010 danke für die Rückmeldung. Aber in deinem OP hattest du geschrieben: Da immer für alles die Windows Firewall Schuld hat, wird die auch als erstes immer deaktiviert, weißt Du doch. :D Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. Juli 2010 Melden Teilen Geschrieben 28. Juli 2010 ...und außerdem ist es genau das, was ich geschrieben hatte: Eine Änderung in Bezug auf das Password Change Protocol / Kerberos. Manchmal frag ich mich wirklich, warum hier einige scheinbar die Ignorierfunktion für "olc" aktiviert haben. :rolleyes: Viele Grüße olc Zitieren Link zu diesem Kommentar
rsc@de 10 Geschrieben 29. Juli 2010 Autor Melden Teilen Geschrieben 29. Juli 2010 @sunny Die Windows Firewall wurde auch "als erstes" deaktiviert, daran lags ja nicht sondern an der WAN-Firewall am Hauptstandort. Diese war eigentlich für AD-Dienste bereits freigeschaltet nur eben für diesen Port 464 nicht. Dies wollte ich eigentlich nur loswerden, für die Kollegen, welche das gleiche Problem haben. Ist eine sinnlose Antwort, hilft aber scheinbar nicht... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. Juli 2010 Melden Teilen Geschrieben 29. Juli 2010 @sunnyDie Windows Firewall wurde auch "als erstes" deaktiviert, daran lags ja nicht sondern an der WAN-Firewall am Hauptstandort. Die Windows FW fragt ja auch, wenn ein Dienst nach draussen telefonieren will. Und eine deaktivierte Windows FW ist nicht so gut, wie eine korrekt konfigurierte Windows FW. ;) Diese war eigentlich für AD-Dienste bereits freigeschaltet nur eben für diesen Port 464 nicht. Danke für die Rückmeldung. ;) Dies wollte ich eigentlich nur loswerden, für die Kollegen, welche das gleiche Problem haben. Ist eine sinnlose Antwort, hilft aber scheinbar nicht... Nein, ist nicht sinnlos, und hilft für nachfolgende Leser. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.