rutrox 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Hallo liebe MCSEboard-Gemeinde, seit kurzem verwalte ich eine Windows 2000-Domäne, in der es "ab und zu" Probleme :mad: gibt, da aus Kostengründen immer noch viele Win95- und Win98-PCs eingesetzt werden. Neuestes Problem: Plötzlich und unerwartet....können sich in einer Windows 2000-Domäne keine Win9x-PCs mehr anmelden! Ich saß an einer Win98-Workstation, um etwas in Augenschein zu nehmen und startete den Rechner neu. Nach dem Reboot und der Eingabe des Passwortes bekam ich diese Mitteilung: Das angegebene Domänenkennwort ist falsch, oder der Zugriff auf den Anmeldeserver wurde verweigert. Die Namensauflösung in der Domäne wird mit DNS und WINS (!) realisiert, was auch auf zwei Win2000-Domänencontrollern sowie auf einem WinServer 2003 installiert ist. Der WinServer 2003 ist nur als Memberserver in der Domäne, also kein Domänencontroller. DNS liegt in einer Active Directory-integrierten Zone, beim WinServer 2003 in einer sekundären Zone. WINS ist auf jedem Win2000-Domänencontroller sowie auf dem WinServer 2003 installiert. Jeder Server ist der WINS-Replikationspartner (Push/Pull) des anderen. Einer der beiden Win2000-Server ist auch der DHCP-Server. Der WINS-Knotentyp, der vom DHCP "verteilt" wird, ist Hybrid bzw. "0x8". Die testweise Anmeldung mit dem gleichen Usernamen von einer beliebigen Win2000-Workstation klappt ohne Probleme. Damit schließe ich aus, dass etwas mit dem Benutzerkonto nicht stimmen kann, z. B. dass es gesperrt ist. Ebenfalls gehe ich vorsichtig mal davon aus, dass kein Betriebsmaster ausgefallen ist, obwohl ich diese (PDC- und RID-Master) zum Test auf den zweiten Win2000-DC übertragen habe. Die Win98-Anmeldung klappt nicht, aber - wie bereits erwähnt - unter Win2000 funktioniert es! Versuche ich, mich an einer beliebigen Win95- (!) oder Win98-Workstation anzumelden, bekomme ich wieder o. g. Fehlermeldung. Die beiden Win2000-Domänencontroller wurden zwischenzeitlich neu gestartet, ebenso der WinServer 2003 - die Domänenanmeldung unter Win98 funktioniert trotzdem nicht. Selbst mit meinem Userkonto, das Mitglied der Gruppe "Domänen-Admins" ist, funktioniert keine Anmeldung an der Domäne. Was könnte noch die Ursache sein, dass sich niemand von einem Win9x-PC an der Domäne anmelden kann - unabhängig davon, ob man "Domänen-Admin"-Rechte hat oder nicht? Ich vermute, dass WINS die Ursache für das Problem ist, aber welche Problemlösung schlägt Ihr vor? Die Firma will aus Kostengründen unbedingt an den Win9x-PCs festhalten... :rolleyes: Gruß rutrox Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Deaktiviere die SMB-Signierung auf den DCs ... Zusätzlich würde ich auf den 9x-Clients noch den DSCLIENT installieren, damit sie sich standortbasiert anmelden können und nicht mehr zwingend auf den PDC-Emulator angewiesen sind. Zitieren Link zu diesem Kommentar
rutrox 10 Geschrieben 22. Oktober 2005 Autor Melden Teilen Geschrieben 22. Oktober 2005 Hallo IThome, Danke für Deine "superschnelle" Antwort!!! :) Sorry, für die "laienhafte" Rückfrage: WO genau bzw. WIE schalte ich die SMB-Signierung ab? ...momentan stehe ich auf einer "dicken Leitung"... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 In der Default Domain-Controllers Policy - Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen Serverkommunikation digital signieren (immer) wenn das alleine nicht klappt auch noch Serverkommunikation digital signieren (wenn möglich) deaktivieren edit: Danach auf den allen DCs secedit /refreshpolicy machine_policy /enforce durchführen oder 5 Minuten warten. Ich habe es oben korrigiert, beim 2000er heisst es anders als beim 2003er, sorry :rolleyes: Zitieren Link zu diesem Kommentar
rutrox 10 Geschrieben 22. Oktober 2005 Autor Melden Teilen Geschrieben 22. Oktober 2005 Hallo IThome, Danke für den Hinweis, wo ich die Einstellungen vornehmen kann. Werde das mal ausprobieren....und beten, dass es funktioniert! Sollte ich vielleicht - aus Sicherheitsgründen - besser ein separates GPO erstellen und erst mal testen, um nicht die Default Domain-Controllers Policy zu "beschädigen" ??? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Nein, brauchst Du nicht, lies oben noch mal, ich hab was korrigiert, war wieder bei nem anderen Serversystem :rolleyes: Zitieren Link zu diesem Kommentar
rutrox 10 Geschrieben 22. Oktober 2005 Autor Melden Teilen Geschrieben 22. Oktober 2005 Hallo IThome, es klingt zwar unglaublich, aber plötzlich ist es wieder möglich, sich mit den Win9x-Workstations an der Domäne anzumelden... - obwohl ich von Deinen guten :) Vorschlägen (bis jetzt) noch keinen in die Tat umgesetzt habe (sorry)... :rolleyes: Ich habe keine Erklärung, was es sein kann, dass das eine mal die Domänenanmeldung funktioniert und eine halbe Stunde später nicht (Blinker-Effekt). :mad: Ist es möglich, dass die WINS-Server zeitweise überlastet sind und sich deswegen kein Win9x-PC mehr anmelden kann, weil die Namensauflösung nicht mehr funktioniert? Aber im LAN gibt's drei WINS-Server, deren IP-Adresse den Win9x-Clients per DHCP mitgeteilt werden. Wenn der primäre ausfällt, sollten doch die beiden sekundären einspringen... Wenn jemand eine Erklärung für dieses merkwürdige :suspect: Phänomen hat, möge sich bitte melden - ich hab jedenfalls keine... Gruß rutrox Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Also Namensauflösung glaube ich eigentlich nicht, da Du ja eine Meldung bekommst, dass das Kennwort falsch ist oder der Zugriff verweigert wurde. Den Server hat er dann ja gefunden aber der weist ihn ab. Könnte es eventuell auch ein Lizenzproblem sein ? Alle Lizenzen auf dem entsprechenden Anmeldeserver sind verbraucht und er lässt niemanden mehr rauf (wogegen ich mich dann frage, warum sich der 2000er anmelden kann )?! Ist der DSCLIENT auf den 9x-Maschinen installiert? edit: ich finde das ganz schön :suspect: Zitieren Link zu diesem Kommentar
rutrox 10 Geschrieben 22. Oktober 2005 Autor Melden Teilen Geschrieben 22. Oktober 2005 Hallo IThome, meines Wissens ist DSCLIENT nicht auf den W2K-Maschinen installiert. Aber das Problem "scheint" gelöst zu sein: Es gibt ein Lizenz-Problem!!!! :shock: Jedenfalls habe ich in der Ereignisanzeige etwas gefunden, das darauf hindeutet! Es ärgert mich schon ein bisschen, dass ich da nicht eher in die Ereignisanzeige geschaut habe... :mad: Warum kann man sich dann von einer Win2000-Workstation an einer Domäne anmelden, wenn es nicht mehr genügend Lizenzen gibt? :suspect: Gruß rutrox Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Windows lebt :D Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Warum kann man sich dann von einer Win2000-Workstation an einer Domäne anmelden, wenn es nicht mehr genügend Lizenzen gibt? :suspect: Weil jede w2k-WS eine Zugriffslizenz für einen w2k-Server mitbringt - eine Win9x -WS allerdings nicht. Diese Lizenzen müssen eingetragen sein. ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 :shock: Und ich hab immer gedacht, wenn man einen Server auf die Lizenzierungsart "Pro Server" stellt, sind die eingehenden SMB-Sitzungen entscheidend, egal von welchem System sie kommen (im Gegensatz zu Terminaldiensten) ... Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Da rutrox das Problem auf die Lizensierung eingegrenzt hat, hatte er wohl nicht auf "Pro Server" umgestellt. Was mich dabei etwas wundert, unter WinNT konnte sich ein Domain-Admin auch von einer Win9x-WS anmelden, wenn alle Lizenzen "weg" waren. Ich hätte eigentlich vermutet, dass dies bei w2k auch so ist - hab´s aber nie probiert (/probieren müssen). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Ne das meinte ich nicht, wenn kein DSCLIENT installiert ist, wenden sich alle 9x Clients an den PDC-Emulator. Wenn der auf "Pro Server" eingestellt ist, weist er irgendwann ab. Wenn sich ein 2000 Client anmeldet, nimmt er irgendeinen DC in seinem Standort. Wenn der nun auch auf "Pro Server" eingestellt ist und noch freie Lizenzen hat ... Oder mache ich da jetzt einen Denkfehler Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 22. Oktober 2005 Melden Teilen Geschrieben 22. Oktober 2005 Mmh, soweit ich das noch in Erinnerung hab (Win9x-Clients sind schon ein paar Jahre her), hat die Installation von DSClient nichts mit dem Anmeldevorgang zu tun. DSClient war doch nur eine Erweiterung für Win9x, um teilweise auf AD-Features zugreifen zu können ! Die landeten zwangsläufig beim PDC-Emulator, da ja keine BDC emuliert wurden, mit und ohne DSClient. Bei dem anderen von Dir genannten Aspekt (W2k-WS melden sich an einem DC mit "Pro Server"- Lizensierung an) kann ich nicht mitreden. Die gesamte Lizenz-Problematik ging an mir vorbei, da ( 3 Kreuze) andere dieses Thema übernommen hatten. Ich hatte immer ausreichend Lizenzen. Ich kenne die im Thread beschriebene Problematik nur von einem NT4-Server, der versehentlich mit einer MSDN-Lizenz (max. 10 User) installiert wurde. Alle NT4/w2k - WS konnten sich anmelden, alle Domain-Admins auch an Win9x-Clients, alle User ohne Domain-Adminrechten auf Win9x wurden abgelehnt, da mehr als 10 WinNT/w2k- WS bereits angemeldet waren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.