Zum Inhalt wechseln


Foto

Windows 7 Pro verliert immer wieder Vertrauensstellung zur Domäne

Windows 7

  • Bitte melde dich an um zu Antworten
38 Antworten in diesem Thema

#1 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 15. Oktober 2014 - 15:44

Hi Leute,

 

also ich habe lange recherchiert, vielleicht habt ihr noch ein paar Tipps. Folgendes Problem: Ich habe hier in der Domäne ein paar Windows 7 Pilot-PCs zum Test der Migration. Seit Freitag bekommen einige die Fehlermeldung, dass "die Vertrauensstellung zur Domäne verloren" haben. Und das immer, wenn sie morgens den PC neu starten. Da hilft ja nur ein Rejoinen des PCs und das, soweit ich weiß, vor Ort. Am Freitag betraf es 2 PCs aus der gleichen OU, am Montag schon ein paar mehr aus unterschiedlichen OUs. Am Freitag dachte ich, es läge daran, weil ich in den Gruppenrichtlinien die Firewall Einstellungen der einen OU etwas geändert habe. Aber das war ja nun bei den anderen PCs der Fall. Die Fehlermeldungen auf den PCs und DCs sind Netlogon Event ID 3210, 5719, 5722 und 5781.

 

Heute hatte ich den Fall, dass die Windows Patche eingespielt wurden und nach dem Reboot wieder keine Vertrauensstellung vorhanden war.

 

Die PCs sind in einer Sub-Domäne, die 4 DCs hat. Dass sie sich nicht anmelden dürfen, passiert nur, wenn sie sich an einen bestimmten DC anmelden wollen. Heute habe ich heraus gefunden, dass dieser DC eine völlig falsche Zeit hat. Kann eine der Ursachen sein, warum die PCs sich nicht anmelden dürfen. Weiter habe ich festgestellt, das jeder DC sich mit einem anderen Zeitserver syncen. Nur ich betreue die Server nicht.

 

Gibt es noch irgendwelche Einstellungen, die ich clientseitig machen oder überprüfen kann? Es kann ja nicht die Lösung sein, den Usern zu sagen, sie sollen erst mal ihre PCs nicht abschalten oder rebooten. Oder die PCs jeden Tag zu rejoinen oder zu hoffen, dass sie sich nicht an dem einen DC anmelden.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#2 lefg

lefg

    Expert Member

  • 20.509 Beiträge

 

Geschrieben 15. Oktober 2014 - 16:59

Hallo Esta,

 

bekommen die Clients die richtige DNS-Adresse? Von DNS erhalten sie die Liste der DCs.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#3 zahni

zahni

    Expert Member

  • 16.500 Beiträge

 

Geschrieben 15. Oktober 2014 - 19:05

Hier solltest Du unbedingt stoppen und Deine Domäne(n) untersuchen. Datum und Uhrzeit müssen überall synchron sein.

Die Quelle der Uhrzeit ist immer der PDC-Emulator der Domäne. Andere DC's dürfen unter keinen Umständen mit einer anderen Quelle synchronisieren.

Der PDC-Emulator kann auf einen externen NTP-Server zugreifen (und sollte das vermutlich auch).

Dein Konstrukt mit den Sub-Domänen macht die Sache nicht einfacher. Eigentlich sollte man das vermeiden.

 

Vermutlich bringt der veraltete DC Deine Domäne durcheinander. Lasse da einen Spezialisten ran, sonst geht noch mehr kaputt.

Am Besten machst Du eine n Support-Call bei MS auf. Leider scheint MS Deutschland hier aber zunehmend den Support nach Rumänien zu verlagern.

Das Deutsch der Kollegen dort ist schrecklich...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#4 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 15. Oktober 2014 - 20:35

Zeit out of sync ist tödlich. Wenn das mehr als 5 Minuten sind, verweigert der DC die Ausstellung des TGT... Und dann ist der PC zwar "eigentlich" noch in der Domäne, aber da weder der PC noch der User ein TGT bekommen, können sie auch nirgends zugreifen. Konfiguriere Deine Zeitdienste richtig, und Du bist dieses Problem los...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#5 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 15. Oktober 2014 - 23:09

@Edgar,

wüsste jetzt nicht, wie ich es prüfen kann.

 

@Zahni,

ich bin nicht für die Server und den Aufbau der Domäne zuständig. Das sind "migrierte Altlasten" und ich werde mich nicht in die Arbeit diesen Herren einmischen. Er bekommt immer recht...

 

@daabm,

ach es waren doch nur 30 Sek. unterschied. ;) Unser Netzwerkspezialist war heute morgen drauf und so schnell konnte ich nicht schreien, wie er manuell die Zeit verstellte. :(


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#6 zahni

zahni

    Expert Member

  • 16.500 Beiträge

 

Geschrieben 16. Oktober 2014 - 05:54

Dann musst Du aber weiter mit ernsthaften Problem leben. Auf einem DC verstellt man die Zeit nicht "per Hand"

 

BTW: Wir haben uns irgendwann mal eine Funkuhr mit LAN-Anschluss gekauft. Von dieser Uhr holen sich der PDC-Emulator und die ESXI-Hosts die Zeit ab.

Der Rest läuft komplett vollautomatisch über das AD. Nie Probleme gehabt und auch nie die Zeit manuell verstellt.

 

Selbst als bei einen Schaltjahr die Funkuhr mal beschloss in einem falschen Jahr zu existieren (Fimware-Fehler), gab es keine Probleme, da W32TIME diese falsche Zeit verwarf (dafür gibt es einen Paramater).

 

Ich weiß echt nicht, warum so viele "Freizeit-Admins" sich so intensiv mit diesem Thema beschäftigen. Das geht mit den Standard-Einstellungen ganz von alleine richtig.


Bearbeitet von zahni, 16. Oktober 2014 - 06:03.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#7 Sunny61

Sunny61

    Expert Member

  • 22.236 Beiträge

 

Geschrieben 16. Oktober 2014 - 06:57

@Zahni,
ich bin nicht für die Server und den Aufbau der Domäne zuständig. Das sind "migrierte Altlasten" und ich werde mich nicht in die Arbeit diesen Herren einmischen. Er bekommt immer recht...



Tja, dann würde ich ihn jetzt auch den Fehler ausbügeln lassen. ;)

Spaß beiseite, man kann natürlich auch mit Hilfe von GPOs etwas 'regeln', aber im allgemeinen muss man sich nicht um die Zeit kümmern, das kann Windows von alleine und ohne Einmischung am besten. Für die GPO gibt es einen Artikel von Norbert: http://www.gruppenri...server-per-gpo/


 

@daabm,
ach es waren doch nur 30 Sek. unterschied. ;) Unser Netzwerkspezialist war heute morgen drauf und so schnell konnte ich nicht schreien, wie er manuell die Zeit verstellte. :(



Oje, das hört sich nicht gut an. Kannst Du in den GPOs/Scripten prüfen ob es dazu evtl. auf den Clients irgendetwas gibt?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 lefg

lefg

    Expert Member

  • 20.509 Beiträge

 

Geschrieben 16. Oktober 2014 - 07:16

@Zahni og Sunny,

 

Esta ist nicht der Serveradministrator, nicht Adminiistrator der Domäne, sie hat ihrer Schilderung nach auf diesen keinen Einfluss. Dieser hat sich ausdrücklich verbeten, dass andere in seinen Bereich eindringen. Der Schilderung nach erscheint der Admin sehr eigenwillig und unkoorperativ.


Bearbeitet von lefg, 16. Oktober 2014 - 07:44.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#9 zahni

zahni

    Expert Member

  • 16.500 Beiträge

 

Geschrieben 16. Oktober 2014 - 08:01

Nun, dabei können  wir aber auch nicht wirklich helfen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#10 Sunny61

Sunny61

    Expert Member

  • 22.236 Beiträge

 

Geschrieben 16. Oktober 2014 - 08:06

Esta ist nicht der Serveradministrator, nicht Adminiistrator der Domäne, sie hat ihrer Schilderung nach auf diesen keinen Einfluss. Dieser hat sich ausdrücklich verbeten, dass andere in seinen Bereich eindringen. Der Schilderung nach erscheint der Admin sehr eigenwillig und unkoorperativ.



Das hab ich schon so verstanden, ich wollte nur auf die Möglichkeiten hinweisen, insbesonders die auf den Clients vorhandenen GPO-Einstellungen könnten vielleicht Licht ins Dunkel bringen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#11 lefg

lefg

    Expert Member

  • 20.509 Beiträge

 

Geschrieben 16. Oktober 2014 - 08:15

Es gab in der Vergangenheit mehrfach Diskussionen zum Wunsch, am Client selbst den Anmeldeserver vorzuwählen, vorherzubestimmen, die von mir gefundenen Diskussionen führten aber zu keinem befriedigenden Ergebnis.

 

Die Diskussionen verwiesen wohl immer auf Standorte und Dienste oder auf Kosten, etwas was an einem DC einzustellen ist.

 

Ob es am Client unter Computerkonfiguration, System, Netzwerkanmeldung etwas Brauchbares gibt?


Bearbeitet von lefg, 16. Oktober 2014 - 08:32.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 16. Oktober 2014 - 10:50

Danke für eure Rückmeldung.

 

@Zahni,

ich warte nur darauf, dass es endlich einmal crasht und auffliegt, wie viel Ahnung der Herr hat.

 

Unser Unix-Admin hat einen funktionierenden Zeitserver.

 

@Sunny,

den Artikel hatte ich auch schon gelesen. Die PCs beziehen ihre Zeit, je nachdem an welchen DC sie sich anmelden konnten. GPOs für die Server werde ich nicht anpassen. Bei den OUs, wo ich "meine" Windows 7 Clients drin habe, werde ich es explizit eintragen. Nur ist zu überlegen, welchen Zeitserver da sinnig ist. In der OU, wo ich die Firewall Regeln verändert habe, habe ich den UDP Port 123 frei gegeben.

 

@Edgar,

ein Kollege schlug vor, den betreffenden DC ganz auszuschalten. Doch davon konnte ich abraten, da wir nicht wissen, welche Auswirkung es hat und auch nicht Dokumentiert ist, ob eventuell dort noch andere Serverdienste oder Programme laufen.

 

Von mir aus könnten sich die PCs auch an allen DC anmelden, nur muss dann die Infrastruktur stimmen.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#13 lefg

lefg

    Expert Member

  • 20.509 Beiträge

 

Geschrieben 16. Oktober 2014 - 11:35

Esta, kann es sein, nicht alle DC sind aktuell, einer ist nicht aktuell, die Computerkonten der neu hinzugefügten Rechner wurden nicht repliziert?


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#14 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 16. Oktober 2014 - 12:45

@Edgar,

die betroffenen PCs waren schon mind. 2 Monate in der Domäne, bevor dieses Problem das erste mal auftrat.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#15 lefg

lefg

    Expert Member

  • 20.509 Beiträge

 

Geschrieben 16. Oktober 2014 - 12:52

Wie sieht es aber mit den Computerkonten im AD auf den DCs aus? Sind die Konten auf allen DCs unbeschädigt vorhanden?

 

Kannst Du auf den DC in die Ereignisanzeigen schauen? Kannst Du auf den DCs ausführen dcdiag?


Bearbeitet von lefg, 16. Oktober 2014 - 12:55.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)