Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi, ich verwalte mehrere Räume an unterschiedlichen Standorten. Dort werden jeweils Windows 2003 Server und Windows 2000 Clients eingesetzt. Nun habe ich folgendes Problem: Gelegentlich fliegen einige der Clients aus der Domäne raus. Da ich nicht direkt für die Technik zuständig bin sondern nur gebraucht werde, wenn es schon zu spät ist :suspect: kann ich auch nicht genau sagen, was zu diesen Fehler führt. Im Ereignislog habe ich aber beim letzten mal folgenden Fehler gefunden: Ereignistyp: Fehler Ereignisquelle: NETLOGON Ereigniskategorie: Keine Ereigniskennung: 5722 Datum: 14.10.2004 Zeit: 12:57:34 Benutzer: Nicht zutreffend Computer: SRV1 Beschreibung: Die Einrichtung einer Sitzung von Computer "CLIENT10" ist an der Authentifizierung gescheitert. Der/die Kontoname(n) in der Sicherheitsdatenbank lauten CLIENT10$. Folgender Fehler ist aufgetreten: Zugriff verweigert Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url]http://go.microsoft.com/fwlink/events.asp.[/url] Daten: 0000: 22 00 00 c0 "..À Die Problemlösung ist ganz einfach: Den jeweiligen Client aus der Domäne nehmen und in eine Arbeitsgruppe schieben, neustarten wieder in die Domäne hängen, fertig. Nur leider tritt der Fehler immer wieder auf. Und der Lösungsansatz ist eben nur eine Übergangslösung... Weiß jemand, woran das liegt, dass die Clients aus der Domäne fliegen? Grüße Christoph Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Vielleicht hilft dir das weiter: http://www.eventid.net/display.asp?eventid=5722&eventno=105&source=NETLOGON&phase=1 Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi, wenn ich die Beschreibung richtig verstanden habe, könnte mein Problem daran liegen, dass die Clients ihre Passwörter nicht mehr mit dem DC synchronisieren können. Was genau für Auswirkung hätte es, wenn ich die Synchronisierung der Passwörter abstelle würde? Für die Clients ist es ohnehin nicht möglich die Passwörter zu ändern, da das mit den Gruppen- bzw. Sicherheitsrichtlinien dekativiert wurde. Grüße Christoph Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Es geht nicht um die Passwörter der Benutzerkonten, sondern der Rechnerkonten. Arbeitest du mit Images, oder etwas ähnlichem? Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi, ja wir arbeiten mit Ghost images. Kann das etwas damit zu tun haben? Grüße Christoph Zitieren Link zu diesem Kommentar
wimpex 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi! Ändert ihr auch die SID nach dem Clonen?!?! Schau mal hier vorbei: http://www.sysinternals.com/ntw2k/source/newsid.shtml mfg wimpex Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hallo, das kann ich nicht genau sagen, da eine andere Firma die Rechner mit den Images gemacht hat. Ein Anruf bei der Firma bestätigte meine Befürchtungen. Sie haben die SID nicht geändert. Da ich leider momentan keinen Zugriff auf die Rechner habe, kann ich nicht prüfen ob die SID identisch ist. Mein Ansprechpartner hat aber gemeint, dass ein chkdsk auch die SID ändern würde. Kann man dies so pauschal sagen? Danke für die Hinweise. Grüße Christoph Zitieren Link zu diesem Kommentar
wimpex 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi! Das wär mir absolut neu das ein Chkdsk die SID ändert! *lol* Chkdsk überprüft dein Dateisystem. Kurz gesagt: Dein Ansprechpartner hat keine Ahnung!!! Du kannst Dir bei dem Link ein Gratis Tool downloaden (NEWSID) womit Du die SID ändern kannst. mfg wimpex Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Original geschrieben von peterschen Mein Ansprechpartner hat aber gemeint, dass ein chkdsk auch die SID ändern würde. Das halte ich für absoluten ****sinn. Das eigentliche Problem dürfte aber nicht nur die SID sein, sondern das Kennwort des Rechnerkontos. Benutze mal unsere suche zum Thema Sicherung per Images in Domänen. Auch diese Thema ist schon ausführlich besprochen worden. Wenn du nichts findest frag noch ein Mal dazu. Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi, ja das war mir bekannt. Ich war mir nur nicht sicher, ob chkdsk evtl. beim prüfen mit dem switch /F auch Änderungen vornimmt. Nun gut. Ich werde gleich zu einem der Standorte fahren und testen ob die Clients gleich SID zugewiesen haben. Ist es technisch machbar bzw. sinnvol das NEWSID Tool per NETLOGON-Script aufzurufen? @Dr. Melzer: Ich habe nur diesen Beitrag gefunden, der auf meine Problematik passt. Leider bin ich nicht so der DC Hacker (siehe Signatur ;)). http://www.mcseboard.de/showthread.php?s=&threadid=26655&highlight=ghost+dom%E4ne Kann mir das jemand genauer erklären? Was ist sysprep.exe? Und wie kann die das Problem mit den SID umgehen/lösen? Vielen Dank für die Hinweise. Grüße Christoph Zitieren Link zu diesem Kommentar
wimpex 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hi! Infos zu Sysprep findest Du z.B. hier: http://www.heisig-it.de/sysprep.htm Darüber hinaus würde ich mal Googlen. Ich würde so vorgehen: Die Rechner erstmal aus der Domäne nehmen und einer Arbeitsgruppe zuweisen. Danach überprüfen ob das Computerkonto auch wirklich nicht mehr in der ADS existiert. Dann "NEWSID" ausführen und den Rechner neu starten und anschließend wieder in die Domäne aufnehmen. Anschließen heißt es abwarten und Tee trinken. ;-) mfg wimpex Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hallo, so nun war ich gerade an einem der Standorte. Wie schon befürchtet: Alle 15 Computer haben exakt dieselbe SID. Ich habe gerade einen mächtigen Wutanfall hinter mir, weil mich der "Ansprechpartner" versucht hat zu kontaktieren um mir zu erklären, dass ich mit meiner These (SID könnte für Kkomplikationen mit der Domäne verantwortlich sein) auf dem Holzweg sei. Nun gut. Nun muss ich mir eine Lösung einfallen lassen, wie ich ohne viel aufwand 15 Computer vom Image wiederhergestellt, aus der Domäne entfernt, die SID geändert und wieder in die Domäne bekommen. Vielen Dank für die vielen Hinweise, die mir viel Ärger erspart haben. Grüße Christoph Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Original geschrieben von peterschen @Dr. Melzer: Ich habe nur diesen Beitrag gefunden, der auf meine Problematik passt. Leider bin ich nicht so der DC Hacker (siehe Signatur ;)). http://www.mcseboard.de/showthread.php?s=&threadid=26655&highlight=ghost+dom%E4ne Nein, der passt nicht. Computerkonten haben, genauso wie Userkonten ein Passwort. Das kannst du aber nirgends ändern, oder einsehen. Dieses Kennwort wird regelmässig erneuert. Wenn das installierte Image vor der Kennwortänderung erstellt wurde, kann sich der rechner nicht an der Domäne anmelden, da das Kennwort falsch ist. IOch denke dass dies dein Problem ist. Zitieren Link zu diesem Kommentar
Gast peterschen Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hallo, na ne, das denke ich nicht. Denn bei der erste inbetriebnahme der Computer klappt alles Fehlerfrei. Wenn ich wie beschrieben den Client in die Doäne hebe, klappt das mit dem Image auch wieder einwandfrei. Aber eines nach dem anderen. Denn wenn ich nun das Image auf jedem Client neu machen sollte. Hat sich das Problem eh behoben. Egal - ich mach mir jetzt erstmal um meinen Blutdruck sorgen. Grüße Christoph Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Original geschrieben von peterschen Wenn ich wie beschrieben den Client in die Doäne hebe, klappt das mit dem Image auch wieder einwandfrei. Ist doch klar, wenn du, wie von dir beschrieben, den Rechner aus der Domäne raus in eine Arbeitsgruppe und anschliessend zurück in die Domäne gibst, wird das Konto mit dem Kennwort neu erzeugt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.