Esta 114 Geschrieben 16. Oktober 2014 Autor Melden Teilen Geschrieben 16. Oktober 2014 Ich kann da keine defekten Computerkonten erkennen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 Es tut mir leid, ich kann mir nicht vorstellen, das da nichts weiter in den Ereignisazeigen von DCs und Clients steht. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 (bearbeitet) @Sunny, den Artikel hatte ich auch schon gelesen. Die PCs beziehen ihre Zeit, je nachdem an welchen DC sie sich anmelden konnten. GPOs für die Server werde ich nicht anpassen. Bei den OUs, wo ich "meine" Windows 7 Clients drin habe, werde ich es explizit eintragen. Nur ist zu überlegen, welchen Zeitserver da sinnig ist. In der OU, wo ich die Firewall Regeln verändert habe, habe ich den UDP Port 123 frei gegeben. Natürlich kannst Du sicherheitshalber die Clients anweisen sich die Zeit vom PDC-Emulator zu holen. Aber mehr Sinn würde es natürlich machen, wenn es von oben nach unten und retour durchgängig sauber und ordentlich konfiguriert wäre. @Edgar, ein Kollege schlug vor, den betreffenden DC ganz auszuschalten. Doch davon konnte ich abraten, da wir nicht wissen, welche Auswirkung es hat und auch nicht Dokumentiert ist, ob eventuell dort noch andere Serverdienste oder Programme laufen. Abschalten ist nicht gut, lieber vorher kontrollieren was alles läuft, die Dienste auf neue/andere Maschinen migrieren und anschließend nach einem erfolgreichen DCPROMO den Server als Mietgliedsserver weiterlaufen lassen. Oder auch ganz herunterfahren. @Edgar, die betroffenen PCs waren schon mind. 2 Monate in der Domäne, bevor dieses Problem das erste mal auftrat. Sind die Clients evtl. geklont und wurden *NICHT* mit SYSPREP nachbearbeitet? Läuft die Replikation zwischen Sub- und Hauptdomain sauber? bearbeitet 16. Oktober 2014 von Sunny61 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 (bearbeitet) https://social.technet.microsoft.com/Forums/de-DE/f5b75a76-65e9-4465-9430-b73c61b9689b/rechner-verliert-vertrauensstellung-zur-domne http://www.mcseboard.de/topic/179042-clients-verlieren-vertrauensstellung/ http://www.martinlehmann.de/wp/client/vertrauensstellung-zwischen-active-directory-client-und-domanencontroller/ http://www.administrator.de/forum/vertrauensstellung-verloren-warum-162397.html bearbeitet 16. Oktober 2014 von lefg Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 16. Oktober 2014 Autor Melden Teilen Geschrieben 16. Oktober 2014 @Edgar, danke für die Links. Ich habe grad mal auf diesen DC nach Fehlermeldungen geschaut. Es war Patchday und wurde heute nacht automatisch rebootet. Von W32Time gibt es einen Fehler mit der ID 29. Weiterhin viele NETLOGON Fehler. Älteren Datums sind Fehler zu MRxSmb ID 8003 und NetBT mit id 4319. Mit dem Hinweis "nbtstat -n" in der Fehlerbeschreibung erkenne ich keine doppelte Namen. Auch tritt dieser Fehler schon sehr lange sporadisch auf. Ich vermute mal das dies ein Problem von DHCP Leases und DNS ist. @Sunny, leider weiß ich nicht welcher Server die PDC-Emulation macht. Deshalb habe ich das Abschalten verhindert. Meine Clients bekommen ein versyspreptes Image aufgespielt. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 Zum NetBT-Fehler schau mal hier: http://www.eventid.net/display-eventid-4319-source-NetBT-eventno-554-phase-1.htm Hat der Server mehr als eine NIC? Aus der Ferne würde ich sagen, da ist der Wurm drin. Netlogon-Fehler sollten auf einem DC, wenn DNS "über Kreuz" konfiguriert ist, überhaupt keine kommen. Gegenüber den Vorgesetzten musst Du alle erkannten Betriebsrisiken aufzählen. Am Besten schriftlich. Da darf man auch gern Vorschläge für das Abstellen der Probleme machen. Wichtig ist, dass dem Vorgesetzen klar wird, dass er nun das Risiko kennt und daher auch tragen muss. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 Im letzten Link von #10 steht Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt.... Ob man der Sache nachgeht? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 17. Oktober 2014 Melden Teilen Geschrieben 17. Oktober 2014 Gibt es denn bestimmte Software, die auf den Clients Probleme machen könnte? Wenn Du keinen Zugriff auf die Server hast, dürfte dieser Artikel zum auffinden des PDC-Emulators auch nicht helfen: http://msdn.microsoft.com/de-de/library/cc782961%28v=ws.10%29.aspx Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 17. Oktober 2014 Autor Melden Teilen Geschrieben 17. Oktober 2014 In dem einen Link gibt es einen PS Befehl um die Übereinstimmung der Kennwörter wieder her zu stellen. Könnte man dieses PS Script als Logonscript in die GPO einbinden und vor der Benutzeranmeldung ausführen? Test-ComputerSecureChannel –Repair Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Oktober 2014 Melden Teilen Geschrieben 17. Oktober 2014 Ich bin bei sowas GEGEN GEbastel, weil es das Symptom "eventuell behebt", aber nicht das Problem löst. Und sowas führt im Allgemeinen immer wieder zu Bauchschmerzen. ;) Also entweder der Serveradmin arbeitet mit, dann habt ihr kein Problem, oder er tut es nicht, dann ist das eben so und ich würde auch immer darauf hinweisen, dass man am Client das Problem nicht lösen kann. Bye Norbert Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 17. Oktober 2014 Autor Melden Teilen Geschrieben 17. Oktober 2014 (bearbeitet) @Norbert, da bin ich ganz deiner Meinung. Aber ich habe einen sehr schweren Stand gegenüber dem Serveradmin, auch weiß er "alles". Zudem ist er noch im Urlaub. Nun bin ich heute den letzten Tag vor meinem Urlaub hier und meiner Vertretung so ein "Baustelle" zu hinterlassen... Der Kollege war heute morgen schon sauer, dass er einmal durch die Stadt zum Außenstandort fahren durfte, um die betroffenen PCs dort zu rejoinen. bearbeitet 17. Oktober 2014 von Esta Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Oktober 2014 Melden Teilen Geschrieben 17. Oktober 2014 Ja, das ist zwar "unfair", aber so ist das Leben. Ändert aber nichts an der Situation. ;) Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 17. Oktober 2014 Autor Melden Teilen Geschrieben 17. Oktober 2014 Ich weiß, dass das Leben "unfair" zu mir ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Oktober 2014 Melden Teilen Geschrieben 17. Oktober 2014 Ja und zu deiner Vertretung. Du hast ja Urlaub vom unfairen Leben. ;) Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 17. Oktober 2014 Autor Melden Teilen Geschrieben 17. Oktober 2014 (bearbeitet) Jetzt beim Fertigstellen der Liste ist mir wieder in den Sinn gekommen, es gab da vor kurzem das Abschalten des alten Exchange, der auch BDC war... :D Ob das eventuell im Zusammenhang steht. bearbeitet 17. Oktober 2014 von Esta Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.