Jump to content

Windows 7 Pro verliert immer wieder Vertrauensstellung zur Domäne


Esta
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@Sunny,

den Artikel hatte ich auch schon gelesen. Die PCs beziehen ihre Zeit, je nachdem an welchen DC sie sich anmelden konnten. GPOs für die Server werde ich nicht anpassen. Bei den OUs, wo ich "meine" Windows 7 Clients drin habe, werde ich es explizit eintragen. Nur ist zu überlegen, welchen Zeitserver da sinnig ist. In der OU, wo ich die Firewall Regeln verändert habe, habe ich den UDP Port 123 frei gegeben.

 

Natürlich kannst Du sicherheitshalber die Clients anweisen sich die Zeit vom PDC-Emulator zu holen. Aber mehr Sinn würde es natürlich machen, wenn es von oben nach unten und retour durchgängig sauber und ordentlich konfiguriert wäre.

 

 

 

@Edgar,

ein Kollege schlug vor, den betreffenden DC ganz auszuschalten. Doch davon konnte ich abraten, da wir nicht wissen, welche Auswirkung es hat und auch nicht Dokumentiert ist, ob eventuell dort noch andere Serverdienste oder Programme laufen.

 

Abschalten ist nicht gut, lieber vorher kontrollieren was alles läuft, die Dienste auf neue/andere Maschinen migrieren und anschließend nach einem erfolgreichen DCPROMO den Server als Mietgliedsserver weiterlaufen lassen. Oder auch ganz herunterfahren.

 

 

@Edgar,

die betroffenen PCs waren schon mind. 2 Monate in der Domäne, bevor dieses Problem das erste mal auftrat.

 

Sind die Clients evtl. geklont und wurden *NICHT* mit SYSPREP nachbearbeitet?

 

Läuft die Replikation zwischen Sub- und Hauptdomain sauber?

bearbeitet von Sunny61
Link zu diesem Kommentar

@Edgar,

danke für die Links.

 

Ich habe grad mal auf diesen DC nach Fehlermeldungen geschaut. Es war Patchday und wurde heute nacht automatisch rebootet. Von W32Time gibt es einen Fehler mit der ID 29. Weiterhin viele NETLOGON Fehler. Älteren Datums sind Fehler zu MRxSmb ID 8003 und NetBT mit id 4319. Mit dem Hinweis "nbtstat -n" in der Fehlerbeschreibung erkenne ich keine doppelte Namen. Auch tritt dieser Fehler schon sehr lange sporadisch auf. Ich vermute mal das dies ein Problem von DHCP Leases und DNS ist.

 

@Sunny,

leider weiß ich nicht welcher Server die PDC-Emulation macht.

 

Deshalb habe ich das Abschalten verhindert.

 

Meine Clients bekommen ein versyspreptes Image aufgespielt.

Link zu diesem Kommentar

Zum NetBT-Fehler schau mal hier:

 

http://www.eventid.net/display-eventid-4319-source-NetBT-eventno-554-phase-1.htm

 

Hat der Server mehr als eine NIC?

 

Aus der Ferne würde ich sagen, da ist der Wurm drin.

 

Netlogon-Fehler sollten auf einem DC, wenn DNS "über Kreuz" konfiguriert ist, überhaupt keine kommen.

 

Gegenüber den Vorgesetzten musst Du alle erkannten Betriebsrisiken aufzählen. Am Besten schriftlich.

Da darf man auch gern Vorschläge für das Abstellen der Probleme machen.

Wichtig ist, dass dem Vorgesetzen klar wird, dass er nun das Risiko kennt und daher auch tragen muss.

Link zu diesem Kommentar

Im letzten Link von #10 steht

 

 

Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.
Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt....

 

Ob man der Sache nachgeht?

Link zu diesem Kommentar

Ich bin bei sowas GEGEN GEbastel, weil es das Symptom "eventuell behebt", aber nicht das Problem löst. Und sowas führt im Allgemeinen immer wieder zu Bauchschmerzen. ;) Also entweder der Serveradmin arbeitet mit, dann habt ihr kein Problem, oder er tut es nicht, dann ist das eben so und ich würde auch immer darauf hinweisen, dass man am Client das Problem nicht lösen kann.

 

Bye

Norbert

Link zu diesem Kommentar

@Norbert,

da bin ich ganz deiner Meinung. Aber ich habe einen sehr schweren Stand gegenüber dem Serveradmin, auch weiß er "alles". Zudem ist er noch im Urlaub.

 

Nun bin ich heute den letzten Tag vor meinem Urlaub hier und meiner Vertretung so ein "Baustelle" zu hinterlassen... Der Kollege war heute morgen schon sauer, dass er einmal durch die Stadt zum Außenstandort fahren durfte, um die betroffenen PCs dort zu rejoinen.

bearbeitet von Esta
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...