CyberDoc 10 Geschrieben 23. Januar 2005 Melden Teilen Geschrieben 23. Januar 2005 Hallo wissendes Volk, folgendes Problem: Wir haben unseren PDC von 2k Server auf Server 2003 aktualisiert. Vorher: SBS 2k als PDC mit ISA und Exchange Jetzt: SBS 2k3 als PDC mit Exchange Die Clients sind sowohl Win 2000 als auch XP mit und ohne SP2 Nach dem Update konnten sich die Clients nicht mehr in der Domain anmelden. Aus diesem Grund wurde der Server nun komplett neu aufgesetzt inkl. neuer Domain um Probleme zu vermeiden. Bei dem Versuch einen Client in die Domain einzubinden, erhalten wir jedoch immer die Meldung "Zugriff verweigert", nachdem der Assistent alle Informationen abgefragt hat und versucht sich am PDC zu authentifizieren. Die Meldung kommt jedoch nicht vom Server sondern direkt vom Client. Ein neu aufgesetzter Rechner lässt sich ohne Probleme in die Domain einbinden. Auch Clients, die vorher in einer anderen Domain waren, konnten wir problemlos einbinden. Nur die Clients (ohne Ausnahme), die vorher in der alten 2k-Domain waren, melden alle "Zugriff verweigert"! Sysprep behebt dieses Problem, aber 1. sind es viele Clients und 2. würde ich schon gern wissen, woran es liegt. Hat jemand ne Idee? Danke schonmal... Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 23. Januar 2005 Melden Teilen Geschrieben 23. Januar 2005 Eine genauere Beschreibung als "Zugriff verweigert" hast Du nicht ? ... z.B. die EventID aus dem Ereignisprotokoll. ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Januar 2005 Melden Teilen Geschrieben 24. Januar 2005 Nur die Clients (ohne Ausnahme), die vorher in der alten 2k-Domain waren, melden alle "Zugriff verweigert"!Hallo, wurden die Rechner in eine Arbeitsgruppe genommen und danach das Fügen zur Domäne versucht oder nicht? Gruß Edgar Zitieren Link zu diesem Kommentar
CyberDoc 10 Geschrieben 24. Januar 2005 Autor Melden Teilen Geschrieben 24. Januar 2005 Nachdem das Problem mit dem ersten Client aufgetreten war, haben wir mehrere Rechner in eine gemeinsame Arbeitsgruppe gepackt und danach versucht, sie der Domain hinzuzufügen. Gleicher Fehler! Dann haben wir einen 2. Domaincontroller aufgesetzt, ein zweites, physikalisch völlig abgeschirmtes Netzwerk aufgebaut und eine neue Domain definiert. Fehlanzeige, gleicher Fehler! Durch diese Test´s bin ich zu dem Schluss gelangt, das es eben nicht an dem Server liegt oder besser "liegen kann". Wenn ich alles in die Waagschale werfe, was ich über Clientanmeldung an einer Domain und das Hinzufügen von Clients zu einer Domain weiß, kann es IMHO nur ein Rechteproblem innerhalb des Clients sein. So nach diesem Schema: Der Client bekommt vom Server beim hinzufügen ja Schlüssel und Richtlinien, die er sich für spätere Verwendung / Authentifizierung speichert. Beim Schreiben dieser Informationen sollte er alle vorherigen Richtlinien und Rechte ignorieren und überbügeln. Aus irgend einem seltsamen Grund will er aber das Zugriffsrecht zu "was auch immer" mit dem alten Server abgleichen, der ja jetzt nicht mehr vorhanden ist. Eigendlich sollte er in diesem Fall auf das gespeicherte Domainprofil zurückgreifen, was ja auch Notebooks mit sich herumschleppen, damit man sich auch ohne Connect zum Server als Domainuser anmelden kann. Und das macht er nicht bzw. es ist nicht vorhanden oder defekt. Was mich bei dieser Erklärung aber stutzig macht, ist die Tatsache, dass es ja auch nicht klappt wenn der Client kein Domainmitglied mehr ist. Eine EventID wird nicht ausgegeben, da im Ereignisprotokoll kein Fehler ausgegeben wird. Alles sehr dubios... Ich habe mittlerweile ein Viertel der Clients mit sysprep quasi einer Gehirnwäsche unterzogen. Zwei so behandelte Clients verweigern auch nach dieser Prozedur die Domainzugehörigkeit, wie der Teufel das Weihwasser. :suspect: Die Superlösung ist das also auch nicht. Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 24. Januar 2005 Melden Teilen Geschrieben 24. Januar 2005 Wie sieht es mit der Namensaufloesung aus? Poste bitte die DNS-Server-Konfiguration und auch die vergebenen DNS-Server am Client. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Januar 2005 Melden Teilen Geschrieben 24. Januar 2005 Wie sieht es mit der Namensaufloesung aus?Hallo, hat das etwas mit dem Hinzufügen eines Clients zur Domäne zu tun? Hast Du da schon eine Erfahrung gemacht? Das würde mich interessieren. Gruß Edgar Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 24. Januar 2005 Melden Teilen Geschrieben 24. Januar 2005 Es kann eine Ursache sein. Ohne funktionierende Namensaufloesung gibt es kein AD. Beim Hinzufuegen von Clients zur Domain wird der DNS-Server abgefragt, um den GC zu finden. Der DNS-Server sollte der authorative DNS-Server der Domain (DNS-Zone) sein. Grosse Probleme gibt es bei fehlender Reverselookupzone (schon zu oft gesehen), gleicher Benennung von Arbeitsgruppen und der Domain (auch ziemlich verbreitet) und fehlerhaften SRV-Eintraegen. Zitieren Link zu diesem Kommentar
CyberDoc 10 Geschrieben 25. Januar 2005 Autor Melden Teilen Geschrieben 25. Januar 2005 An der DNS-Konfiguration liegt es allem Anschein nach nicht. Alle Clients der Domain können vom Server aus über nslookup richtig aufgelöst werden. Auch von den Clients aus funktioniert die DNS Auflösung. Das Netzwerk funktioniert stabil und schnell. Die Clients, die testweise neu aufgesetzt wurden und die Clients, welche ich mit sysprep geplättet habe funktionieren ohne Probleme inkl. Email und allem, was dazu gehört. DNS ist es also nicht. Die Rechner wurden auch testweise zur Hälfe auf statische IP´s gesetzt um Probleme mit DHCP auszuschließen (DHCP funktioniert augenscheinlich, denn die Clients bekommen alle eine IP, aber man kann ja nie wissen) Ich bin ja immernoch der Meinung, dass es an einem schöden Schreibrecht lokal am Client liegt. Vielleicht kann mal ein "Wissender" kurz beschreiben, was bei einer neuen Domainmitgliedschaft wo hingeschrieben bzw eingetragen wird (Registry-Keys, Zertifikate, config-Files etc.) Dann könnte ich mir die vorhandenen Werte mal anschauen. Vielleicht fällt mir dann spontan etwas auf... [edit] Die Angabe einer "Fantasie-Domain" erzeugt den gleichen Fehler! Wie schon erwähnt, klappt der Vorgang auch nicht an einem anderen, völlig neu aufgesetzten Windows Server 2003 mit frisch erstellter Domain. Das würde ja bedeuten, dass beide neu erstellten Server mit unterschiedlichen Server-OS, dasselbe Problem erzeugen bzw beinhalten. Ergo: Umkehrschluss, es muss direkt am Client liegen. [/edit] Zitieren Link zu diesem Kommentar
frapos 11 Geschrieben 25. Januar 2005 Melden Teilen Geschrieben 25. Januar 2005 Hi Also weder win2k noch xp kommen rein? Haste mal nen client neu aufgesetzt mit dem neusten sp??? Zitieren Link zu diesem Kommentar
CyberDoc 10 Geschrieben 25. Januar 2005 Autor Melden Teilen Geschrieben 25. Januar 2005 Also weder win2k noch xp kommen rein? Haste mal nen client neu aufgesetzt mit dem neusten sp??? ...hab ich doch oben geschrieben :rolleyes: : Ein neu aufgesetzter Rechner lässt sich ohne Probleme in die Domain einbinden. Auch Clients, die vorher in einer anderen Domain waren, konnten wir problemlos einbinden. Nur die Clients (ohne Ausnahme), die vorher in der alten 2k-Domain waren, melden alle "Zugriff verweigert"! Das funktioniert, sonst hätte mich wahlweise mein Chef oder die Buchhaltung schon hingerichtet :D , je nachdem, wer mich zuerst erwischt hätte. :p Gruß Roger Zitieren Link zu diesem Kommentar
Obstsalat 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 Hallo, ich kann Dir leider bei Deinem Problem auch nicht weiterhelfen aber ich hätte mal eine Frage zu dem was Du geschrieben hast. Und zwar würde ich gerne wissen, was "sysprep" und "nslookup" für Progs. sind, was ich damit bewirken kann und wie/wo ich sie finden, bzw, ausführen kann. Gruß Obstsalat :cool: Zitieren Link zu diesem Kommentar
CyberDoc 10 Geschrieben 27. Januar 2005 Autor Melden Teilen Geschrieben 27. Januar 2005 hi Obst... ;) also Sysprep: Sysprep ist ein Tool von Microsoft, was das System quasi in eine "Präinstallationszustand" versetzt. Es werden dabei alle Systemeinstellungen gelöscht, inkl. des Produkt Key´s und der eindeutigen Benutzerkennung. Danach sind alle Ordner, die Windows bei der Installation anlegt, im Ursprungszustand. Die Treiber wurden gelöscht und auf die Windows Standardtreiber zurückgesetzt etc. Das System ist also genau so, als hättest du nie etwas eingegeben, nur das eben deine Daten vorhanden bleiben. Diesen Zustand möchte man erreichen, wenn man Images für die Remoteinstallation erstellt. nslookup: Das ist ein Windows-Komandozeilen-Tool, mit dem man die Namensauflösung in eine IP Adresse testen kann. Genauere Infos über Verwendung und Wirkung beider Tools, findest du bei Microsoft, auf den "So wirds gemacht"-Seiten im TechNet. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 Hallo, in der Hilfe zu finden. Nslookup Dieses Diagnosehilfsprogramm zeigt Informationen von DNS-Namensservern (DNS = Domain Name System) an. Bevor Sie dieses Hilfsprogramm verwenden, sollten Sie sich mit der Funktionsweise von DNS vertraut machen. Der Befehl Nslookup ist nur verfügbar, wenn das TCP/IP-Protokoll installiert wurde. Mit Google http://support.microsoft.com/default.aspx?scid=kb;de;302577 Mit der Boardsuche http://www.mcseboard.de/showthread.php?t=6778&highlight=sysprep Gruß Edgar Zitieren Link zu diesem Kommentar
informatik 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 Wie lautet eigendlich deine Domain? Ich hatte das gleiche Problem. Bei mir hieß die Domain Mittelschule.local . Bei einigen nahm er nur Mittelschule bei anderen nur Mittelschule.local. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Januar 2005 Melden Teilen Geschrieben 28. Januar 2005 Zum joinen reicht nach meiner Erfahrung der Netbios-Domänenname. Ändern(XP) oder Eigenschaften(W2k) um dieesn Computer umzubenennen oder sich einer Domäne anzuschliessen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.