Jump to content

Server 2003/DNS/NSLOOKUP/Kerberos :-((


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wie fange ich die Frage an ohne Euch zu nerven?

Systemumgebung: Win 2003 Server(kein SB), DNS Dienst auf Server läuft und ist angeblich "sauber" eingerichtet, Clients: Win XP SP2

Nachdem an den Clients(ausnahmslos) über die CMD "NSLOOKUP" aufgerufen wird bekomme ich als Meldung der NSLOOKUP Console: non-existent domain, server unbekannt

(die Clients und der Server befinden sich in einem geschlossenen Netzwerk ohne Anbindung ans Web)

Soweit ich das bisher in anderen Netzwerken gesehen habe, sollte bei ordnungsgemäßer DNS-Konfiguration am Server und entsprechender Einrichting an den Clients nslookup die interne domain (name.local) und den server(server.name.local) sauber gefunden werden.

Die Clients gehen nicht ins Internet und kennen nur den Server als DNS(192.168.1.100 als erster DNS im TCP/IP eingestellt).

Ich vermute hier das erste Problem im Zugriff der Clients.

Die Stationen verlieren die Verbindung zum Server nach spätestens 6 h, nur durch abmelden/anmelden sind die mappings(über script bei der Anmeldung) wieder verfügbar.

Das Netzwerk wurde nicht von mir aufgesetzt, sondern die Anlage ist so von einem externen Lieferanten aufgestellt worden und seit dem ersten Tag ist kein dauerhaftes und fehlerfreies Arbeiten möglich.

Die neueste Argumentation ist: Die Trennung wird vom Server automatisch nach 6h durchgeführt, weil das so in der Kerberos-Richlinie "default" eingestellt ist. ???? Ich bin von Windows&Co so einiges gewohnt und manches versetzt mich in echtes Erstaunen, aber das der 2003-er Server automatisch nach 6h alle Clients trennt?

 

Wer kann mir sagen, ob ich normalerweise vom nslookup die domaine+server ausgeworfen bekomme und ob der 2003-er Server wirklich per default die Clients nach 6 Stunden trennt(egal ob sich gerade Dateien im Zugriff befinden)?

Links zu MS-Whitepapern/Knowledge-Base-Artikeln würde mir sehr helfen.

 

Ich schlage mich jetzt seit Januar 2006 mit der Anlage rum und die Jungs bekommen das nicht ans Laufen. Ich werde ständig mit irgendwelchen Erklärungen abgespeist und 6 mal waren die "Techuiker" da um den Fehler zu finden und zu beheben, Ergebnis leider: NULL

 

Ich weis nicht mehr weiter..grummel...

 

Danke für jede Info

Gruß Udo

Link zu diesem Kommentar

HY,

 

als erstes trenn dich von diesem Techniker.

 

wenn du nslookup machst muss dort der entsprechende Server mit Domainsuffix kommen und die IP des servers. Sollte das nicht der fall sein dann überprüft die DNS IPs der Clients und deinen DNS Server, vermutte mal der Läuft auf dem ersten DC, wenn ja mach mal netdiag und vorsichtshalber dcdiag. Dann siehst du ob alles passt, vermutte mal stark der DNS ist nicht sauber eingerichtet

 

Kerberos trennt keine Verbindung nach 6 Stunden defaultmässig

 

Gruß

 

CoolAce

Link zu diesem Kommentar

Danke für Eure Antworten....

ich würde die Trennung von diesem so versierten Techniker gerne durchführen, ist aber leider nicht ohne Weiteres möglich.

 

Der Techniker schwafelt (wie Ihr schon treffent erkannt habt) mich mit diesen seltsamen Argumenten zu....und wenn ich irgendwelche Änderungen am System mache, würde die Garantie automatisch erlöschen....naja..so einfach ist das natürlich nicht so mal eben....die Anlage hat ja bisher nicht eine Woche sauber funktioniert....

Ich versuche dann mal zeitnah die Ausgaben von DCDIAG und NETDIAG zu posten..kann aber Montag werden....(bin erst wieder Montag im Büro und damit am Server)...

 

Also war meine Vermutung soweit richtig, danke für die Bestätigung...

 

Gibts es dazu irgendein Artikel bei Mikisoft? Den würde ich dem "Techniker" gern mal vorlegen...

Bin mal auf die Reaktion gespannt, wenn ich darum bitte diverse Systemtools in der CMD zu starten....

Ach ja.....gestern wurden noch hochwichtige Änderungen an den Systemen vorgenommen..und jetzt soll ja ALLES sauer und stabil laufen....die Grundfehler(nslookup & Co) sind nach wie vor wie oben beschrieben vorhanden...und die "automatische Trennung durch die "Kerberos Richtlinie" wurde gestern auf 12 Stunden hochgesetzt...soll ich mich jetzt freuen? Zudem ich noch immer nicht den Zusammenhang zwischen Kerberos und einer "automatischen Trennung" sehen kann...ein Server, welcher die Clients automatisch nach 6 Stunden rauswirft/trennt ist eben kein Server, sonder MIST....

Hatte ich vergessen zu bemerken, der "Techniker" hat angeblich einen MCSE/ auf Server 2000 gemacht....oder wie auch immer der Titel sein mag(MCSE= Minesweeper cert.Software expert?)

 

ein frustrierter Udo

 

PS. ich kann zumindest grinsen..Techniker rauswerfen..aus welchem Stockwerk?

Link zu diesem Kommentar

Hy,

 

so ein unfug, welche Garantie soll dann erlischen, die das alles abstürzt ??

 

Hardwaregarantie muss er so oder so machen wenn du die bei Ihm gekauft hast, würd an deiner Stelle einen anderen suchen, Kerberos ist im übrigens ein Authentifizierungsprotokoll siehe http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29.

 

schätze das er den Zeitserver am client nicht sauber eingerichtet hat und dadurch die Authenifiierung ab und zu fehlschlägt.

 

Würd an deiner Stelle AD sichern, Techniker rausschmeisen den Server neu installieren und neue Firma suche.

 

Gruß

 

CoolAce

Link zu diesem Kommentar

Sorry Ace,

 

leider sind die PC-Systeme und der Server komplett mit Installation, Einrichtung und Kionfiguration gekauft, also müssen die das ans laufen bekommen und das ist erschien mir natürlich nicht so heikel..sind 6 PC's und der besagte Server...die Einrichtungskosten waren pauschal enthalten(1.500,- für den Server und die PC's)....aber auch das war wohl deutlich unangemessen im Preis und der nicht erfolgten Leistung....? Aber egal, jetzt steht der Krempel hier und ich muss mich damit rumschlagen..und die Argumentation für die Nicht-Funktion auf die Beine stellen...ich muss doch jetzt quasi nachweisen, was alles falsch eingerichtet ist und warum das so nicht funktionieren kann...ist eine verdrehte Welt..

Sowas macht echt Kopfschmerzen.....

 

Trotzdem Danke (das mit Kerberos war mir bekannt, nur eben die Argumentation vom Techniker kam mir irgendwie etwas zweifelhaft vor *g*)

 

Udo :confused:

Link zu diesem Kommentar

na denn viel glück. Schätze mal das kommt vom oben mit der begründerei. Ich würde die Zeit eher sinnvoll nutzen und das Teil platt sowie Clients (evtl. mit RIS) und Server sauber neu aufsetzen, wer weiß was da alles verhuntzt wurde. Aber seis drum.

 

 

Gruß

CoolAce

 

MCSE heist nicht immer wissen und können es gibt auch Braindumps und können zeigt die Praxis

Link zu diesem Kommentar

Zu Deinem Problem mit dem NSLOOKUP würde ich sagen, dass keine Reverse Lookup Zone existiert (was kein Problem ist, die ARbeitsweise von NSLOOKUP produziert diesen Fehler). Ein NSLOOKUP <FQDN des Servers> sollte aber schon eine positive Antwort ergeben. Das Problem mit dem Trennen der Verbindungen liegt wahrscheinlich, wie schon von Coolace erwähnt, an einer nicht synchron laufenden Zeit. Die Kerberosrichtlinie definiert, dass das Ticket des Benutzers 10 Stunden gültig ist (den Ablauf des Tickets kannst Du mit einem Tool namens KERBTRAY.EXE überprüfen). Wenn Die Zeit des Clients und des Servers mehr als 5 Minuten auseinander liegt, funktioniert Kerberos nicht mehr. Liegt sie mehr als eine halbe Stunde auseinander, auch NTLM nicht mehr ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...