Cookie 10 Geschrieben 29. August 2006 Melden Teilen Geschrieben 29. August 2006 Gibt es noch eine andere Lösung, um das Problem zu beheben? Hier (W2k3, XP Clients) treten auch BEIDE Fehler auf (also die von Rave unter http://www.mcseboard.de/windows-forum-ms-backoffice-31/sbs2003-sp1-ereignisanzeige-anwendung-event-id-1030-1058-a-89463.html ). Da ich für das Problem hinzugezogen wurde und alle durchgeführten Änderungen nicht dokumentiert wurden, ist es schwierig für mich, alle vorhandenen Probleme nachzuvollziehen. So tritt z.B. auch das Problem auf, dass User das servergespeicherte Profil nicht laden können (Zugriff verweigert). Sowohl Freigabe- als auch NTFS-Rechte passen soweit denke ich. Auch unter Zuhilfenahme des Admin-Kontos können KEINE Verknüpfungen mit Freigaben auf eben jenem Server hergestellt werden. Über eine "schnelle Hilfe" wäre ich dankbar. Ansonsten sehe ich keine Möglichkeit ausser dcgpofix auszuführen, was allerdings zu erheblichem Aufwand (und damit Kosten) führen würde... Auch auf die default SYSVOL Freigabe kann nicht zugegriffen werden. Mir scheint, als wurde der DC komplett kaputt-konfiguriert - dennoch möchte ich eine Neuinstallation vermeiden. edit: Ach ja, es gibt nur 1 DC. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 29. August 2006 Melden Teilen Geschrieben 29. August 2006 Bist du sicher, daß das Dein Problem ist? Läuft denn der Serverdienst? Kommst du als Domänen-Admin auf die administrativen Freigaben? \\server\c$ Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 Ja, der Serverdienst läuft. Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte). Es kommt exakt die gleiche Meldung wie beim Zugriff auf SYSVOL oder NETLOGON. Nach Gesprächen mit sog. IT-Bediensteten kann ich wohl auch davon ausgehen, dass direkt an den Domänensicherheitsrichtlinien "hantiert" wurde (OHNE KOPIE!!!! Das muss man sich mal vorstellen!). Evtl. wurden auch Rechte an den Freigaben verändert - jedoch konnte ich auf den ersten Blick keine grundsätzlichen Unverträglichkeiten feststellen. Sowas ist mir nun auch noch nicht untergekommen, aber man lernt ja nie aus ;). Mittlerweile habe ich weitere allgemeine Probleme ausgemacht: So wurden Clients geklont, ohne vorher eine neue SID zu vergeben....oh mann, da kommt glaube ich viel Arbeit auf mich zu :(. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 29. August 2006 Melden Teilen Geschrieben 29. August 2006 Mal ins Blaue geschossen: Hat jemand auf dem DC eine Firewall installiert bzw. aktiviert? Edit: Ups, das hat sich dann mal erledigt durch obiges Posting Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 29. August 2006 Melden Teilen Geschrieben 29. August 2006 Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte). Dies Verhalten sollte normal sein. Probier mal statt \\SERVERNAME\c$ auf \\IP-ADRESSE\c$ zu verbinden. Die genannte schon bestehende Verbindung ist die durch den bereits angemeldeten Benutzer aufgebaute, außer Du bist mit Admin-Account angemeldet. Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 Die Meldung kommt auch, wenn ich mit einem Benutzer einloggen möchte. Es wird nach dem Adminaccount + Passwort gefragt; dieses wird dann aber nicht akzeptiert. Wenn ich die IP anstatt dem Namen benutze ändert sich nichts an der Fehlermeldung (DNS funktioniert auch nach diversen Tests...). Was mir aufgefallen ist: Verbindungen zu dem Domaincontroller funktionieren, wenn ich einen Rechner neu in die Domäne aufnehme sowie ein zugehöriges Benutzerkonto erstelle. Allerdings nur bis zum nächsten Neustart; dann kommt, dass das servergespeicherte Profil nicht geladen werden kann (Zugriff verweigert). Die Freigabe/NTFS Rechte für das Benutzerverzeichnis wurden testhalber auf Jeder - Vollzugriff gesetzt, was allerdings nichts geändert hat. Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 Ein zentraler Punkt ist meiner Meinung nach der Zugriff auf die lokale Sicherheitsrichtlinie der Domäne - und bei Zugriff auf eben diese kommt eben auch als Domänenadmin "Zugriff verweigert". Welche Möglichkeiten habe ich denn den Zugriff wiederherzustellen? Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 29. August 2006 Melden Teilen Geschrieben 29. August 2006 Hallo, kommst Du im Abgesicherten Modus rein? Kannst Du dich eventuell noch als Org-Admin anmelden? Hast der Domänen-Admin das Recht Die Richtline zu lesen? Gibt es ein Backup vom Systemstatus das Du einspielen könntest? Wie sieht die Sicherheitsrichlinie für den DC aus? MfG Onewayticket Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 kommst Du im Abgesicherten Modus rein? Ich kann mich schon einloggen auf dem DC. Ob das im Abgesicherten Modus funktioniert kann ich leider nicht sagen, da ich den DC momentan nicht neustarten "darf", da er für die Arbeit benötigt wird; das erledige ich morgen abend. Muss leider heute noch zu einem weiteren Kunden. Kannst Du dich eventuell noch als Org-Admin anmelden? Hier gibt es in dem Sinne keine strukturierte Rechteverwaltung; der Account "Administrator" ist aber auch Mitglied der Gruppe Org.Admins (wie es halt default-mäßig ist). Hast der Domänen-Admin das Recht Die Richtline zu lesen? Nein. Bei Zugriff auf die Richtlinien mit der GPMC kommt bei den Einstellung der Domänenrichtlinie, Administrativen Vorlagen sowohl bei Benutzer- als auch Computerkonfiguration: Fehler beim Zusammenstellen von Informationen für Administrative Vorlagen. Unbekannter Fehler bei der Zusammenstellung von Informationen für Ordner für diese Erweiterung. Details: Der Zugriff auf den Pfad \\%DCNAME%.%DOMAINNAME%\sysvol\%DOMAINNAME%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\adm wurde verweigert. Gibt es ein Backup vom Systemstatus das Du einspielen könntest? Nein, "Backup" (des Servers) war bist jetzt noch kein Thema :shock: . Werde ich sofort einführen, sobald alles läuft. So langsam schwant mir auch, warum die vorherigen externen kein Interesse mehr hatten... Wie sieht die Sicherheitsrichlinie für den DC aus? Meinst du die lokale GP des DC? Falls ja, diese ist lesbar. edit: sehe gerade, dass mit der DNS Authentication was nicht stimmt: TEST: Authentication (Auth) Error: Authentication failed with specified credentials liegt wahrscheinlich auch an den gesetzten Richtlinien... Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 dcdiag führt folgende Fehler auf: Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\%DCNAME% Starting test: Connectivity ......................... %DCNAME% passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\%DCNAME% Starting test: Replications ......................... %DCNAME% passed test Replications Starting test: NCSecDesc ......................... %DCNAME% passed test NCSecDesc Starting test: NetLogons [%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert. ......................... %DCNAME% failed test NetLogons Starting test: Advertising ......................... %DCNAME% passed test Advertising Starting test: KnowsOfRoleHolders ......................... %DCNAME% passed test KnowsOfRoleHolders Starting test: RidManager ......................... %DCNAME% passed test RidManager Starting test: MachineAccount Could not open pipe with [%DCNAME%]:failed with 5: Zugriff verweigert Could not get NetBIOSDomainName Failed can not test for HOST SPN Failed can not test for HOST SPN * Missing SPN :(null) * Missing SPN :(null) ......................... %DCNAME% failed test MachineAccount Starting test: Services Could not open Remote ipc to [%DCNAME%]:failed with 5: Zugriff verweigert ......................... %DCNAME% failed test Services Starting test: ObjectsReplicated ......................... %DCNAME% passed test ObjectsReplicated Starting test: frssysvol [%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert. ......................... %DCNAME% failed test frssysvol Starting test: frsevent ......................... %DCNAME% failed test frsevent Starting test: kccevent Failed to enumerate event log records, error Zugriff verweigert ......................... %DCNAME% failed test kccevent Starting test: systemlog Failed to enumerate event log records, error Zugriff verweigert ......................... %DCNAME% failed test systemlog Zitieren Link zu diesem Kommentar
Cookie 10 Geschrieben 29. August 2006 Autor Melden Teilen Geschrieben 29. August 2006 So, ich glaube ich habs wieder hinbekommen :). Hab leider keine Zeit Details zu schreiben. Die folgen im Laufe der Woche. Hilfreich war das hier: You cannot open file shares or Group Policy snap-ins when you disable SMB signing for the Workstation or Server service on a domain controller Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.