Domänencontroller mit externem Zeitserver synchronisieren

[willy-goergen 0]

Ich dachte nur, wenn das schon nicht per CMD funktioniert, wieso sollte das dann per GPO funktionieren?!? Sorry...

[NorbertFe 2.027]

Warum machst Du das überhaupt per w32tm statt per GPO? Mark hat irgendwo eine prima Anleitung dazu versteckt: www.gruppenrichtlinien.de

 

Mit der hab sogar ich das hinbekommen :jau:

Die "prima Anleitung" will er ja nicht der Reihe nach abarbeiten, sondern lieber "try and error" ;)

Ich dachte nur, wenn das schon nicht per CMD funktioniert, wieso sollte das dann per GPO funktionieren?!? Sorry...

Ich könnte jetzt Begründungen liefern, warum ich die Anleitung auf deutsch veröffentlicht hab, aber wozu? ;)

[willy-goergen 0]

Die "prima Anleitung" will er ja nicht der Reihe nach abarbeiten, sondern lieber "try and error" ;)

 

Ich könnte jetzt Begründungen liefern, warum ich die Anleitung auf deutsch veröffentlicht hab, aber wozu? ;)

 

Ja danke.... Wenn du dich so sparsam wie bisher zurückhältst, will ich das natürlich sofort auf Mission Critical Systeme anwenden, ohne nachzufragen.

 

Ich glaube, ich muss jetzt nicht begründen, warum ich das nicht sofort mache. Einen ordentlicheren Serverraum wie meinen hast du wohl kaum gesehen. Hatte heute schon mal so nen Menschen bei mir. Gebastelt wird da nichts.... das ist rein zufällig so.

bearbeitet 25. Februar 2015 von willy-goergen

[NorbertFe 2.027]

Hmm schon klar. Und wo steht, dass du das auf "Mission Critical Systemen" ungefragt anwenden mußt/sollst/willst? Nirgends, also hör auf hier immer irgendwas in meine Aussagen reinzuinterpretieren. Immerhin hast du das How To zitiert und die Fragen die du dazu hattest wurden jetzt über 3 Seiten diskutiert. Also länger als das eigentliche How To. :rolleyes: Aber ist natürlich auch viel besser vieles zu fragen, anstatt sich mal kurz mit der Materie zu beschäftigen.

 

Viel Erfolg noch

Norbert

[willy-goergen 0]

Ich frage nach, bevor ich das anwende. Alles was dir scheinbar dazu einfällt, ist mich zu diffamieren.

[daabm 1.348]

Irrtum - in diese Ecke hast Du Dich mit Deinen Beiträgen selbst gestellt. Wir haben uns zu dem hier bekannt:

 

Microsoft Most Valuable Professionals, or MVPs are exceptional community leaders who actively share their high-quality, real-world deep technical expertise with the community and with Microsoft. They are committed to helping others get the most out of their experience with Microsoft products and technologies.

 

Wenn Du das anders wahrnimmst, dann solltest Du mal die Brille wechseln...

[willy-goergen 0]

Gut...

Ich werde die nächste Zeit meine Brille aufsetzen. Bin mal gespannt, ob ich dann mehr sehe.

 

Normalerweise probiere ich Dinge auch einfach aus. Aber bei dem primären DC bin etwas vorsichtig/ängstlich, weil ich da nichts zum Testen hab. Vor allem nachdem ich gelesen hatte, dass es unter Umständen ein ziemliches Problem sein kann, wenn die Zeit aus irgendwelchen Gründen in der Domäne nicht mehr synchron läuft und man mit der relativ einfachen Sache relativ viel vermurksen kann, wollte ich genauer nachfragen. Was ich da mache, muss auf Anhieb passen.

 

Für euch mag das alles einfach sein und die einfachen Fragen nerven irgendwann. Ein Stück weit kann es auch verstehen. Geht mir manchmal selber nicht anders.

bearbeitet 26. Februar 2015 von willy-goergen

[willy-goergen 0]

Wollte nur noch die kurze Rückmeldung geben, dass alles sehr gut geklappt hat.

Hab mir wohl ein bisschen zu viele Gedanken deswegen gemacht.  :nene:

Danke nochmal für eure Hilfe!

[lefg 276]

[...]

Normalerweise probiere ich Dinge auch einfach aus. [...]

 

Moin Willy,

 

nun, ich habe inzwischen gelernt, möglichst erst einmal nachzulesen oder zu fragen. Unter dem Strich ist es weniger mühsam, weniger zeitaufwändig, es ist auch beruhigender

 

:)

bearbeitet 27. Februar 2015 von lefg

[willy-goergen 0]

Wenn ich was zum Testen habe, probiere ich die Dinge eher mal aus und lese selber dazu nach. Ein klein wenig habe ich aber denke ich wieder dazu gelernt.

 

Wir haben hier einige größere Drucker stehen, die manchmal Authentifizierungsfehler im Netzwerk bringen. Einer sporadisch, ein anderer kann seit dem ich damals den DC getauscht habe, gar nicht mehr auf irgendwelche Netzwerkfreigaben scannen. An dem Thema hat sich ein Techniker, der für die Wartung zuständigen Firma schon die Zähne ausgebissen. Nach zwei Stunden hat er entnervt aufgegeben.

 

Heute habe ich mir mal angesehen, wie die interne Uhr des Druckers läuft. Sie geht eine ganze Stunde vor. Meine Vermutung ist jetzt, dass er sich deswegen nicht mehr an irgendwelchen Freigaben anmelden kann. Gerade fehlt mir aber das Passwort zum Servicemenü des Druckers, der schon länger nicht mehr funktioniert. Nächste Woche probier ich mal was passiert, wenn im Drucker die richtige Zeit eingetragen ist.

bearbeitet 27. Februar 2015 von willy-goergen

[Sunny61 806]

Ganz wichtig ist auch die Firmware auch solchen Geräten. Immer aktualisieren. Wir hatten da auch schon die größten Merkwürdigkeiten.

[lefg 276]

Nun, auf welche Freigaben sollen die Scans denn gespeichert werden? In welchem Kontex, welchen Benutzers. Hat dieser Berechtigung auf Freigabe und Ordner? Benutzername und Kennwort auf dem Drucker, stimmt das mit der Domäne überein? Stimmt der Pfad im Eintrag auf dem "Drucker"?

 

Solch ein Drucker ist ja wohl nicht wirklich Member der Domäne,

 

Ein Kollege hatte auf Freigaben der PC gescannt oder auf einem Memberserver, nicht auf eine Freigabe auf dem DC.

 

Welches SMB-Protokoll? Passt das?

[willy-goergen 0]

Ich hab mit administrativen Rechten zugegriffen. Mehr geht. nicht.

 

ich denke das Problem mit den Druckern muss man losgelöst von dem hier betrachten.

 

Ich will mir deine Anwort grad nochal gut auf dem Hirn zergehen lassen...

[willy-goergen 0]

Nun, auf welche Freigaben sollen die Scans denn gespeichert werden? In welchem Kontex, welchen Benutzers. Hat dieser Berechtigung auf Freigabe und Ordner? Benutzername und Kennwort auf dem Drucker, stimmt das mit der Domäne überein? Stimmt der Pfad im Eintrag auf dem "Drucker"?

 

Solch ein Drucker ist ja wohl nicht wirklich Member der Domäne,

 

Ein Kollege hatte auf Freigaben der PC gescannt oder auf einem Memberserver, nicht auf eine Freigabe auf dem DC.

 

Welches SMB-Protokoll? Passt das?

 

Es sollte ursprünglich auf eine Freigabe auf einem Client gespeichert werden. Das ganze auf den DC zu legen, war nur ein Versuch des Technikers der Wartungsfirma, den Fehler einzugrenzen. Die Freigabe auf dem Client ist, leider Gottes, (noch) so angelegt, dass jeder drauf zugreifen könnte. Von daher hätte es  eigentlich auch ohne Adminrechte gehen sollen. Probieren kann aber nicht schaden. Dieses Durcheinander mit dem Sumpf aus Freigaben (\\Rechner\C$, bzw. die administrativen Freigaben, kannte der alte Admin wohl nicht) hatte ich noch an anderer Stelle in der Firma. Mit den GPP hab ich das aber sehr leicht und sehr schnell beheben können. (der Tipp hat mir an der Stelle auch wieder sehr geholfen, danke)

 

Der Kontext passte, die Anmeldedaten passten, der Pfad auf dem Drucker passte.

 

Das SMB-Protokoll auf dem Drucker ist auf v1 eingestellt, für W2k. Das würde zur Domäne passen. Dazu hätte ich eine Frage. Muss ich das Protokoll so wählen, dass es zur Struktur der Domäne passt oder kann es unabhängig davon gewählt werden?

 

Nochmal, es sollte auf eine Freigabe auf einem Client gespeichert werden. (ich will es nur nochmal wiederholen, zur Sicherheit)

Der Rest war willy-goergens Bastel-IT.

 

Mittlerweile habe ich das Problem aber auch lösen können. Ich frage mich nur, warum das der Techniker in einem vielfachen der Zeit nicht konnte.

Auf dem Drucker war ein falscher DNS-Server eingetragen. Dazu noch eine Domäne eines bei uns regional bekannten Autohändlers.

 

Wie das alles mit der Tatsache zusammenpasst, dass der Drucker angeblich neu gewesen sein soll, weiß ich nicht. Manchmal denke ich aber, ich muss nicht alles hinterfragen. Das Teil tut wieder seinen Dienst.

 

Wieso das in der Konfiguration so funktioniert hat, bis ich den alten DC entgültig abgeschalten habe, verstehe ich auch noch nicht. Zumindest scheint es in dem Zeitraum zu liegen. Der eingetragene DNS-Server war meilenweit von der Adresse des alten primären W2k-DC / des neuen 2008er R2 Backup-DC entfernt. 

bearbeitet 2. März 2015 von willy-goergen

[Sunny61 806]

Das SMB-Protokoll auf dem Drucker ist auf v1 eingestellt, für W2k. Das würde zur Domäne passen. Dazu hätte ich eine Frage. Muss ich das Protokoll so wählen, dass es zur Struktur der Domäne passt oder kann es unabhängig davon gewählt werden?

Konfiguriere das SMB-Signing gem. Best Praxis in den beiden Default Domain Policies. http://www.gruppenrichtlinien.de/artikel/smb-signing-kommunikation-digital-signieren/ IMHO kommt das auf den Empfänger an, wenn der V1 nicht kann oder kennt, nützt dir das wenig. Auch hat das nichts mit der Domain zu tun, sondern mit dem empfangenden OS.

 

 

Mittlerweile habe ich das Problem aber auch lösen können. Ich frage mich nur, warum das der Techniker in einem vielfachen der Zeit nicht konnte.

Auf dem Drucker war ein falscher DNS-Server eingetragen. Dazu noch eine Domäne eines bei uns regional bekannten Autohändlers.

Hast Du dem Techniker die korrekten Daten denn schriftlich geliefert? Versuch dich, in seine Lage zu versetzen. Dokumentiere am besten gleich alles von diesen Geräten, mit Datum und gänderten Zugangsdaten abspeichern und ausdrucken. Dann kann beim nächsten Mal nichts mehr passieren. ;)