Jump to content

Win95-Clients und W2k3

Joe

Von Joe
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

@IvkovicD & Co:

nach einem erneuten Start vom Win2k3-Server war der Registry--Eintrag wieder auf dem ursprünglichen Wert (1) und ein LogIn der Win9x-Rechner war nicht mehr möglich... Wie kann ich den Registry-Eintrag permanent machen?

 

btw. wenn ich den Registry-Wert auf 0 ändere muss ich zwecks Aktualisierung den Server neu starten. Dabei behält er sich meine Änderung. Nur nach einem erneuten Start verliert er diese...

 

Jochen

Link zu diesem Kommentar
IvkovicD Experienced

IvkovicD   10

Geschrieben
Geschrieben

Hi Joe,

 

ne Frage dazu, hast du die Änderung in der Dom-Default-GPO zwecks Anpassung des Signings wieder entfernt?

 

Ansonsten kannst du über die GPOs auch Registrywerte angeben, wenn das betreffende System (hier DC) die GPO applied (hochfahren oder GPO-Update).

 

Trotzdem bleib ich mal dran, es kann durhaus sein, dass es mit den Securityeinstellungen des DC zu tun hat, um diese Öffnung der Sicherheitsvorkehrungen (Defaulteinstellung) zu erschweren...

 

Gruß

 

Dejan

Link zu diesem Kommentar
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben
IvkovicD:

ne Frage dazu, hast du die Änderung in der Dom-Default-GPO zwecks Anpassung des Signings wieder entfernt?

 

Meinst du die im Link von Takuda beschriebene Änderung unter:

 

Default Domain Controllers Policy\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) - deaktiviert

?

 

Die steht noch immer auf deaktiviert (war vorher aktiviert).

 

IvkovicD:

Ansonsten kannst du über die GPOs auch Registrywerte angeben, wenn das betreffende System (hier DC) die GPO applied (hochfahren oder GPO-Update).

 

Kleiner Tip wo und wie?

 

IvkovicD:

Trotzdem bleib ich mal dran, es kann durhaus sein, dass es mit den Securityeinstellungen des DC zu tun hat, um diese Öffnung der Sicherheitsvorkehrungen (Defaulteinstellung) zu erschweren...

 

Aha. Und wie kann man das umgehen bzw. den Win2k3 erklären, dass meine Änderungen gewünscht sind? In dem Schrieb von MS steht zumindest nichts davon drin.

 

Jochen

Link zu diesem Kommentar
IvkovicD Experienced

IvkovicD   10

Geschrieben
Geschrieben

Hi Joe,

 

habe hier das Ganze durchgespielt in meiner Labumgebung, Hab die Werte manuel geändert (Der W2003-Server ist recht sauber) dann durchgestartet, die Registryeinträge blieben geändert (wie es sein sollte, ich bin der Admin ;) )

 

Hmm, jetzt wirds kriminell....(zumindest bei dir)

 

Ok zur zweiten Frage: Änderung der Registry durch eine GPO. Einen echten Weg rein über die GPO ist direkt nicht möglich, der gedankliche Ansatz war über startscript auf die DomainGPO.

 

Hier ist ein guter Artikel darüber

 

http://www.experts-exchange.com/Operating_Systems/Win2000/Q_20833164.html

 

Der erklärt recht gut, wie man Registry aller Art einem System beim Booten aufspielt.

 

Nachdem mein W2K3 diesen Effekt aber nicht zeigte, sondern brav die Registry geändert ließ, solltest du deine GPOs näher betrachten, evtl war das auch nur ein Zufall (Gibts sowas).

 

(sorry jetzt schon für die nächste Frage: Poste mal deinen Pfad aus der Registry, in dem du die Änderung gemacht hast...)

 

Gruß

 

Dejan

Link zu diesem Kommentar
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

(sorry jetzt schon für die nächste Frage: Poste mal deinen Pfad aus der Registry, in dem du die Änderung gemacht hast...)

Kein Problem:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature

 

war 1, ist 1, bleibt 1 (nicht geändert)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

war 1, geändert in 0, wurde aber wieder auf 1 gesetzt (hab's aber nicht genau beobachtet, wann es passiert ist, da ich zwischendurch andere Tests gemacht habe)

 

Mir wäre es schon lieber, wenn der Wert nicht wieder geändert wird und wie gesagt: es ging ja nach dem ersten Neustart des W2k3-Servers korrekt.

 

Jochen

Link zu diesem Kommentar
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

So, jetzt wollte ich eben einen DOS-Client in die produktiv-Umgebung einbringen und bekam beim Anmelden folgenden Fehler:

 

Zugriffsfehler 5: Zugriff verweigert

 

Ich habe am Server geändert:

 

1.)

 

Default Domain Controllers Policy\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

 

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) : deaktiviert

 

2.)

 

In der Registry den Eintrag:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature

 

Auf 0 gesetzt.

 

Trotzdem komme ich nicht mit dem DOS-Client rein, sondern erhalte die oben angegebene Fehlermeldung. Warum ging das dann in der Testumgebung mit diesen Änderungen?

 

FYI: ich habe schon mehrfach gpupdate aufgerufen, den Server aber noch nicht neu gestartet (es sind viele Leute eingeloggt)

 

Jochen

Link zu diesem Kommentar
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

Bei den Win95-Clients war es aber so, dass eine Änderung in der Registry den Client _sofort_ wieder ins Netz gelassen hat. Nur eben nicht bei den DOS-Clients, da war zusätzlich noch die Änderung in den SIcherheitsrichtlinien notwenig, die trotz gpupdate nicht sofort und auch nicht nach einer Stunde geändert wurden.

 

Leider habe ich bis jetzt noch nicht begriffen, wie ich mit ADM-Dateien einen Registry-Eintrag permanent machen kann, wie ich diese Dateien einbinden muss. Gibt es ein Beispiel, wo genau das gemacht wird? Auf http://www.gruppenrichtlinien.de gibt es zwar Beispiele, die aber etwas anderes bewirken.

 

Jochen

Link zu diesem Kommentar
  • 3 Monate später...
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

Sorry wenn ich die ollen Kamellen wieder aufgreife, aber ich habe wieder das Problem, dass sich DOS-Clients nicht am Server anmelden können. Was habe ich alles gemacht:

- RequireSequritySigning in der Registry auf 0 gesetzt

- "Kommunikation digital signieren (immer)" in den Sicherheitsrichtlinien deaktiviert.

 

Selbst nach mehrmaligem Aufruf von gpupdate _und_ Neustart des Servers erhalte ich beim Anmeldeversuch des DOS-Clients:

Sie sind angemeldet, wurden aber von keinem Server bestätigt.

 

Diese Fehlermeldung hatte ich AFAIK so auch noch nicht. Es wurde am DOS-Client seit der Server-Neuinstallation (davor ging er mit dem alten Server problemlos) nichts geändert.

 

Hat hier jemand noch eine Idee?

 

btw. Verbindungsprotokoll ist IPX.

 

Gruss

 

Jochen

Link zu diesem Kommentar
Joe Experienced

Joe   10

Geschrieben
  • Autor
Geschrieben

Hi Grizzly,

 

ich habe mich wohl etwas unklar ausgedrückt. Vor dem "Desaster" ging der DOS-Client ohne Probleme. Da hatte ich am Server nichts besonderes installiert, ausser natürlich dem IPX-Protokoll. Genau das habe ich jetzt auch gemacht. Deshalb tippe ich stark darauf, dass mal wieder eine Einstellung nicht gemacht/nicht propagiert wurde...

 

Jochen

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...