Jump to content

W2k3: Clients lassen sich nicht in die ADS aufnehemen - Computerkonto wird gesperrt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hab mal wieder ein nettes Problem.

 

Windows 2003er Server, SP1, ADS, DNS, DHCP, WINS sauber eingerichtet und funktioniert

 

Kunde hat von anderem Lieferanten 16 PC geliefert bekommen und jetzt kommt es ...

 

erste Kiste wurde eingerichtet und in die Domäne aufgenommen. Der "Dienstleister" klonte diesen Rechner und spielt den Clone ohne SYSPREP oder NEWSID zurück :( :rolleyes: Zitat: "Es reicht wenn man den Rechner einfach umbenennt"

 

Irgendwie ist der 2003er völlig aus dem Tritt! Ich hab heute einen neuen Masterrechner aufgesetzt, Sysprep mit Minisetup ausgeführt. Image erstellt. und nun bekomm ich die Kisten nicht an die ADS.

 

Sobald ich den Rechner hinzufüge wird der Computer Account erstellt und im selben Moment wird dieser auch schon gesperrt. Die Aufnahme schlägt fehl! Es kommt am Client die Fehlermeldug, dass der RPC Server nicht verfügbar sei (DNS etc. am Server und Client ist sauber).

 

Ereignislog am Server steht nichts drin. Am Client nur, dass das Autoenrollment fehlgeschlagen ist und das Computerkonto Passwort nicht gültig sei ...

 

So langsam gehen mir die Ideen aus :(

 

Any hints?

cu

Link zu diesem Kommentar

Ich nehme an, das passiert auch, wenn du das Computerkonto vorher anlegst und ihn dann in die Domäne aufnimmst?!

 

Am Client nur, ....Computerkonto Passwort nicht gültig sei ...

Hast du das etwas genauer?

 

Ok, sysprep sollte kei Problem sein, aber wenn du einen Computer manuell aufsetzt und dann in die Domäne nimmst, besteht das Problem weiterhin?

 

 

grizzly999

Link zu diesem Kommentar

leider nicht ... ist im Moment aus dem Gedächtnis ...

 

der Fehler tritt auch beim neuaufgesetzten Master PC auf

 

 

eine blanke XP Installation ging rein in die Domäne

Rechner wieder aus der Domäne entfernt (über Arbeitsplatz ... Rechner in Arbeitsgruppe). Computerkonto wurde autmatisch entfernt

 

Rechner wieder rein ... geht nicht (nach Sysprep) ... RPC Fehler und Computerkonto wird erstellt und sofort gesperrt

 

Ich weiß nicht was die Jung der anderen Firma gemacht haben alles gemacht haben ( die hatten für die "Installation der Clients" das Admin Passwort vom Kunden erhalten

 

 

ich bin schon am überlegen, ob man irgendwie die Computerkonten und zugehörigen Passwörter festnagelt und die Änderung der Computerkennwörter per Policy abstellt - der Klassenraum hat Dr. Kaiser PC Schutzkarten (ähnlich HDD Sheriff). Aber dazu muss ich die Kisten erst mal in die Domäne reinbekomen.

 

Achja am SYSPrep aus dem Deployment Tools des W2k3 SP1 Servers kann es ja normalerweise nicht liegen ... oder?

Link zu diesem Kommentar
Achja am SYSPrep aus dem Deployment Tools des W2k3 SP1 Servers kann es ja normalerweise nicht liegen ... oder?

Aus dem Bauch raus nein, aber so einen exotischen Fehler muss man von allen Seitenher einkreisen. Dazu würde ich auch mal das Sysprep von XPSP2 benutzen.

 

Der Client sollte eine netsetup.log ins %windir% geschrieben haben. Was steht denn da drin?

 

 

grizzly999

Link zu diesem Kommentar

Hallo,

 

nun bin ich wieder vor Ort,

 

DC mit netdiag und dcdiag gecheckt ... alle Einträge passed - keine Fehler

 

versuchsweise SMB Signing deaktiviert .. kein Erfolg

am Server keinerlei Einträge im Eventlog

 

am Client:

 

Quelle LSASRV, Kategorie SPNEGO (Vermittlung)

Ereignis ID 40961

 

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/server01.fos.local herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Link zu diesem Kommentar

Hallo Squire,

 

ich hatte das Problem auch schon mal und bei mir hatte es geholfen den Client für Microsoftnetzwerke zu deinstallieren, durchbooten, Client reinstallieren, durchbooten und siehe da, warum auch immer, es funktionierte.

 

Kann mir gerade deinen ungläubigen gesichtsausdruck vorstellen, saß selbst so da als ich den Tip damals bekam.

 

Ein Kollege meint noch, dass du mal prüfen solltest ob NETBIOS aktiviert ist, dies kann nämlich auch für den Fehler verantwortlich sein.

 

Gruß und Kopf hoch

joogy21

Link zu diesem Kommentar
  • 1 Monat später...

Hallo Squire,

 

hast Du das Problem lösen können?

 

Ich habe hier scheinbar das gleiche oder ein ähnliches Problem. Es handelt sich um mehrere Rechner in einer 2003-Domäne, die ebenfalls mit PC-Wächter-Karten ausgestattet sind. Die Rechner wurden auch mit einem Image betankt - vor der (erfolgreichen) Aufnahme in die Domäne wurden sie jedoch mit newsid von Sysinternals behandelt (benutzen wir schon länger - gab noch nie Probleme damit).

Seit Installation des Wächter-Treibers (war das letzte, was gemacht wurde) wird die Gruppenrichtlinienverarbeitung abgebrochen. Ursächlich hierfür scheint folgende Warnung aus dem Systemprotokoll zu sein:

Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereigniskennung: 40960

Datum: 22.09.2006

Zeit: 17:55:30

Benutzer: Nicht zutreffend

Computer: SPC03

Beschreibung:

Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/srv01.schule.edu festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

Die entsprechenden Lösungsansätze von eventid.net und der MS-Knowledgebase hab ich erfolglos abgearbeitet. Das System läuft auch AD/DNS-mäßig absolut sauber. Die einschlägigen Diagnosetools aus dem Ressorcekit zeigen keine Probleme an. Die Grulis funktionierten auch schon einmal.

Leichtfertiger Weise hab ich dann einen PC aus der Domäne genommen und wollte ihn wieder in diese aufnehmen. Dies schlägt jedoch fehl mit der Warnung, dass der RPC-Server nicht verfügbar sei. Es wird ein Computerkonto angelegt und sofort deaktiviert - also genau wie bei Dir! Ich hab den PC-Wächter komplett deinstalliert, ebenso sämtliche 3rd-Party-Software wie Virenscanner etc und habe den PC auch schon umbenannt und die SID gewechselt. Bringt alles nichts... :confused:

An der Verwendung von Wächterkarten in einer Domäne kann es zumindest grundsätzlich nicht liegen, weil wir diese an anderen Schulen in identischer Konfiguration seit Jahren ohne Probleme einsetzen. Die Änderung der Computerpasswörter wird dabei unterdrückt, indem bei der Installation des Wächter-Treibers ein Registry-Key gesetzt wird (HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters --> DisablePasswordChange=1). Das Einzige, was diese Installation von den funktionierenden anderen Installationen unterscheidet ist der Umstand, dass die Rechner nach der Installation des Wächter-Treibers bei eingeschaltetem Schultz nicht starten wollten. Dies wurde in Absprache mit dem Support von Dr Kaiser dadurch behoben, dass im erweiterten Menü des PC-Wächters (Shift+O) die Option "Int19-Booten mit Schutz" gesetzt wurde. War dies bei Euch auch der Fall?

 

Gruß

Steffen

Link zu diesem Kommentar
  • 4 Wochen später...

Hi,

 

Ich hatte damals ein neue saubere Installation gemacht ... sauber mit Sysprep behandelt, geimaged und dann erst in die Domäne aufgenommen - dabei aber komplett andere PC Namen verwendet und den ganzen Müll den der vorherige Dienstleister im DNS und WINS produziert hat entfernt und bereinigt.

 

(Der Dienstleister hatte zusätzlich die PCs mit einer Corporate Version installiert und eine OEM/SB geliefert ... erst auf Nachfrage kamen die restlichen fehlenden OEM/SB Lizenzen (Laut Aussage des betreuenden Lehrers))

Link zu diesem Kommentar
  • 3 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...