daabm 1.355 Geschrieben 4. Oktober 2019 Melden Teilen Geschrieben 4. Oktober 2019 vor 8 Stunden schrieb AliBaba: Im Ereignisanzeige stehen folgende GPO Fehler 1058 sehr oft 1129 ab und an. Du erwartest jetzt aber nicht, daß ich 1058/1129 auswendig weiß oder suche? Da wäre der Event-Text schon nett... Und der von Dir verlinkte Artikel ist keine Lösung, sondern - siehe @NorbertFe - nur ein kruder Workaround. Bei Dir stimmt was nicht im Gesamtsetup - Kerberos scheint nicht zu funktionieren, möglicherweise asynchrone KDC-Kennwörter oder fehlende SPNs, vielleicht auch Fehler im DNS, aber das kann über ein Forum niemand beantworten. Zitieren Link zu diesem Kommentar
AliBaba 10 Geschrieben 9. Oktober 2019 Autor Melden Teilen Geschrieben 9. Oktober 2019 Hi, die Einstellung habe Ich wieder zurück gebaut. das hat nicht geholfen. Ich bin auch irgendwie auf die Spur gekommen. Meine Leitung nach China ist nicht ganz stabil. Es war mal viel schlechter, jetzt kann Ich mittlerweile per RDP arbeiten. Meine Vermutung: (bitte korrigiert mich) Client fährt hoch und fragt nach DC's ab. Je nach Standort bekommt er auch die passenden DC's mitgeteilt und meldet sich an. Der meldet sich nie in China an, das habe Ich schon mehrmals überprüft mit "set" nach der Anmeldung geht es an die GPO's. hier fragt er ja den DNS nach meinem AD Namen. Firma.local unter den namen gibt es 3 DC's Nach jedem neustart bekommt er ja einen neuen und zieht die gpo's entsprechend. Jetzt wird's spannend. Sobald er hier den chinesischen bekommt, zickt er. zwei Tests habe Ich gemacht. In der Firewall den Port 445 geblockt Richtung China für die Clients. Seit dem Block hat sich die Lage entspannt. Sobald der von der chinesischen ip Adresse nichts bekommt, geht er auf die nächste denke ich. Nach dem Ich den Block wieder rausgenommen hab, geht es wieder los. Firewall regel ist raus und ich hab mal die hosts Datei mit Firma.local gefüttert und den lokalen dc genommen. funktioniert ohne Probleme. keine fehler mehr. Ich weiß, ich hab eine sch... Leitung Richtung China. das kann Ich nicht ändern. wie kann ich steuern, dass die Clients in DE nur die gpos aus deutschen DC's laden?! Kann Ich das überhaupt steuern? Oder kann ich dem DNS die "Kosten" anpassen und sagen, dass die aus DE priorisiert die DNS Einträge aus DE nehmen und die chinesischen priorisiert den aus China?? Ich hoffe ich hab mich klar ausdrücken können. Zitieren Link zu diesem Kommentar
daabm 1.355 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Ich kanns nicht nachvollziehen... Wenn Sites und Subnetze korrekt sind, dürfte NIE ein DE-Client nach China wollen. Und wenn Sysvol per DFS repliziert wird und nicht per NTFRS, dürfte auch NIE ein Client auf Sysvol in China zugreifen wollen (bei NTFRS war das noch schwierig). Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Ich bin bei daabm. Es stimmt etwas in der Site Konfiguration nicht. Der einzige Fall der denkbar wäre: Der Client wurde erst in DE betrieben und dann umgezogen. Dann kann es vorkommen, daß der Registrykey nicht aktualisiert wird und der Client weiterhin in DE zugreift. Zitieren Link zu diesem Kommentar
AliBaba 10 Geschrieben 10. Oktober 2019 Autor Melden Teilen Geschrieben 10. Oktober 2019 Ich werde die Konfig in Standorte und DIenste nochmal prüfen. Der Client wurde ganz frisch hier neu aufgesetzt. Ich schau mir das nochmal an. Aber außer Standort setzen und entsprechend die Netze zu verteilen, gibt es da keine andere Einstellung.. echt komisch. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Und was ist mit der Zuteilung der DCs zu den Standorten? Zitieren Link zu diesem Kommentar
AliBaba 10 Geschrieben 10. Oktober 2019 Autor Melden Teilen Geschrieben 10. Oktober 2019 das passt ja. unter sites habe ich die richtigen DC's und die netze sind auch richtig zugewiesen. ich denke irgendwie komme Ich an der Firewall regel nicht herum. bin grad dabei mit meinem Provider den weg zu optimieren nach China.. Zitieren Link zu diesem Kommentar
daabm 1.355 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Naja, dann zeig doch mal einen vollständig aufgeklappten Screenshot von dssite.msc Und von jeder Site dann bitte noch die zugeordneten Subnetze. Und die Inhalte der Site Links. Zitieren Link zu diesem Kommentar
AliBaba 10 Geschrieben 11. Oktober 2019 Autor Melden Teilen Geschrieben 11. Oktober 2019 Zitieren Link zu diesem Kommentar
daabm 1.355 Geschrieben 11. Oktober 2019 Melden Teilen Geschrieben 11. Oktober 2019 Aus nachvollziehbaren Gründen alles anonymisiert und damit halt für die Analyse wertlos. Das ist halt per Forum echt schwierig... Zitieren Link zu diesem Kommentar
AliBaba 10 Geschrieben 15. Oktober 2019 Autor Melden Teilen Geschrieben 15. Oktober 2019 tut mir leid, ich kann das nicht so veröffentlichen :) hab die Firewall regel drin. port 445 Richtung China ist gesperrt für alle Clients aus DE. seit dem ist ruhe. ich werde den test rechner aus der regel entfernen und weiter schauen. irgendwo ist noch der wurm drin. aber wenn ihr tipps habt wo ich noch was machen kann, einfach reinschreiben. Danke. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 15. Oktober 2019 Melden Teilen Geschrieben 15. Oktober 2019 Ich bleibe dabei. Deine Site Konfiguration ist buggy. Zitieren Link zu diesem Kommentar
daabm 1.355 Geschrieben 15. Oktober 2019 Melden Teilen Geschrieben 15. Oktober 2019 Irgendwie bleiben alle dabei, daß die Site-Konfig buggy ist Wenn Du's nicht veröffentlichen kannst, dann hol Dir jemand, der das mal mit Dir durchgeht. Den kannst dann auch ein NDA unterschreiben lassen. Zitieren Link zu diesem Kommentar
Beste Lösung AliBaba 10 Geschrieben 23. Oktober 2019 Autor Beste Lösung Melden Teilen Geschrieben 23. Oktober 2019 Hallo. Also das Problem hab Ich mittlerweile lösen können. Ich hab hier in DE 24er und 16er Netze. DMZ VPN VLAN WLAN usw. Natürlich sind alle unter Standorte und Dienste eingetragen. Im DNS ist Round Robin und Netzwerkmaskenanforderung aktiviert. In China funktioniert es wunderbar, Die Clients bekommen im nslookup immer den chinesischen DC. Da nur 24er Maske. Ich habe dann auf den DC's in DE die "localnetprioritymask" von 24er auf 16er umgestellt im dnscmd. Jetzt bekomme Ich beim nslookup auf meine DOM immer abwechselnd den ersten und zweiten DC aus DE. Nie den chinesischen. Die GPOs funktionieren auch. Würde das als erledigt sehen. Aber eventuell kann mir das jmd genauer erklären der mehr Erfahrung hat auf dem Gebiet. Danke für eure Unterstützung!! Zitieren Link zu diesem Kommentar
daabm 1.355 Geschrieben 23. Oktober 2019 Melden Teilen Geschrieben 23. Oktober 2019 Hattest Du für DE ein Netz, das auch China eingeschlossen hat? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.