Zum Inhalt wechseln


Foto

Windows 7 Pro verliert immer wieder Vertrauensstellung zur Domäne

Windows 7

  • Bitte melde dich an um zu Antworten
38 Antworten in diesem Thema

#16 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 16. Oktober 2014 - 12:56

Ich kann da keine defekten Computerkonten erkennen.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#17 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Oktober 2014 - 13:05

Es tut mir leid, ich kann mir nicht vorstellen, das da nichts weiter in den Ereignisazeigen von DCs und Clients steht.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#18 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 16. Oktober 2014 - 13:14

@Sunny,
den Artikel hatte ich auch schon gelesen. Die PCs beziehen ihre Zeit, je nachdem an welchen DC sie sich anmelden konnten. GPOs für die Server werde ich nicht anpassen. Bei den OUs, wo ich "meine" Windows 7 Clients drin habe, werde ich es explizit eintragen. Nur ist zu überlegen, welchen Zeitserver da sinnig ist. In der OU, wo ich die Firewall Regeln verändert habe, habe ich den UDP Port 123 frei gegeben.



Natürlich kannst Du sicherheitshalber die Clients anweisen sich die Zeit vom PDC-Emulator zu holen. Aber mehr Sinn würde es natürlich machen, wenn es von oben nach unten und retour durchgängig sauber und ordentlich konfiguriert wäre.


 

@Edgar,
ein Kollege schlug vor, den betreffenden DC ganz auszuschalten. Doch davon konnte ich abraten, da wir nicht wissen, welche Auswirkung es hat und auch nicht Dokumentiert ist, ob eventuell dort noch andere Serverdienste oder Programme laufen.



Abschalten ist nicht gut, lieber vorher kontrollieren was alles läuft, die Dienste auf neue/andere Maschinen migrieren und anschließend nach einem erfolgreichen DCPROMO den Server als Mietgliedsserver weiterlaufen lassen. Oder auch ganz herunterfahren.

 

@Edgar,
die betroffenen PCs waren schon mind. 2 Monate in der Domäne, bevor dieses Problem das erste mal auftrat.



Sind die Clients evtl. geklont und wurden *NICHT* mit SYSPREP nachbearbeitet?

Läuft die Replikation zwischen Sub- und Hauptdomain sauber?

Bearbeitet von Sunny61, 16. Oktober 2014 - 13:17.

Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#19 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Oktober 2014 - 13:16

https://social.techn...llung-zur-domne

 

http://www.mcseboard...rauensstellung/

 

http://www.martinleh...anencontroller/

 

http://www.administr...rum-162397.html


Bearbeitet von lefg, 16. Oktober 2014 - 13:44.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#20 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 16. Oktober 2014 - 14:12

@Edgar,

danke für die Links.

 

Ich habe grad mal auf diesen DC nach Fehlermeldungen geschaut. Es war Patchday und wurde heute nacht automatisch rebootet. Von W32Time gibt es einen Fehler mit der ID 29. Weiterhin viele NETLOGON Fehler. Älteren Datums sind Fehler zu MRxSmb ID 8003 und NetBT mit id 4319. Mit dem Hinweis "nbtstat -n" in der Fehlerbeschreibung erkenne ich keine doppelte Namen. Auch tritt dieser Fehler schon sehr lange sporadisch auf. Ich vermute mal das dies ein Problem von DHCP Leases und DNS ist.

 

@Sunny,

leider weiß ich nicht welcher Server die PDC-Emulation macht.

 

Deshalb habe ich das Abschalten verhindert.

 

Meine Clients bekommen ein versyspreptes Image aufgespielt.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#21 zahni

zahni

    Expert Member

  • 16.520 Beiträge

 

Geschrieben 16. Oktober 2014 - 14:26

Zum NetBT-Fehler schau mal hier:

 

http://www.eventid.n...554-phase-1.htm

 

Hat der Server mehr als eine NIC?

 

Aus der Ferne würde ich sagen, da ist der Wurm drin.

 

Netlogon-Fehler sollten auf einem DC, wenn DNS "über Kreuz" konfiguriert ist, überhaupt keine kommen.

 

Gegenüber den Vorgesetzten musst Du alle erkannten Betriebsrisiken aufzählen. Am Besten schriftlich.

Da darf man auch gern Vorschläge für das Abstellen der Probleme machen.

Wichtig ist, dass dem Vorgesetzen klar wird, dass er nun das Risiko kennt und daher auch tragen muss.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#22 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Oktober 2014 - 16:13

Im letzten Link von #10 steht

 

 

Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.
Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt....

 

Ob man der Sache nachgeht?


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#23 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 17. Oktober 2014 - 07:58

Gibt es denn bestimmte Software, die auf den Clients Probleme machen könnte?

Wenn Du keinen Zugriff auf die Server hast, dürfte dieser Artikel zum auffinden des PDC-Emulators auch nicht helfen: http://msdn.microsof...1(v=ws.10).aspx
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#24 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 17. Oktober 2014 - 10:44

In dem einen Link gibt es einen PS Befehl um die Übereinstimmung der Kennwörter wieder her zu stellen. Könnte man dieses PS Script als Logonscript in die GPO einbinden und vor der Benutzeranmeldung ausführen?

Test-ComputerSecureChannel –Repair

Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#25 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Oktober 2014 - 11:30

Ich bin bei sowas GEGEN GEbastel, weil es das Symptom "eventuell behebt", aber nicht das Problem löst. Und sowas führt im Allgemeinen immer wieder zu Bauchschmerzen. ;) Also entweder der Serveradmin arbeitet mit, dann habt ihr kein Problem, oder er tut es nicht, dann ist das eben so und ich würde auch immer darauf hinweisen, dass man am Client das Problem nicht lösen kann.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#26 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 17. Oktober 2014 - 11:44

@Norbert,

da bin ich ganz deiner Meinung. Aber ich habe einen sehr schweren Stand gegenüber dem Serveradmin, auch weiß er "alles". Zudem ist er noch im Urlaub.

 

Nun bin ich heute den letzten Tag vor meinem Urlaub hier und meiner Vertretung so ein "Baustelle" zu hinterlassen... Der Kollege war heute morgen schon sauer, dass er einmal durch die Stadt zum Außenstandort fahren durfte, um die betroffenen PCs dort zu rejoinen.


Bearbeitet von Esta, 17. Oktober 2014 - 11:49.

Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#27 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Oktober 2014 - 12:02

Ja, das ist zwar "unfair", aber so ist das Leben. Ändert aber nichts an der Situation. ;)

Make something i***-proof and they will build a better i***.


#28 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 17. Oktober 2014 - 12:40

Ich weiß, dass das Leben "unfair" zu mir ist.


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#29 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Oktober 2014 - 12:52

Ja und zu deiner Vertretung. Du hast ja Urlaub vom unfairen Leben. ;)

Make something i***-proof and they will build a better i***.


#30 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 17. Oktober 2014 - 14:02

Jetzt beim Fertigstellen der Liste ist mir wieder in den Sinn gekommen, es gab da vor kurzem das Abschalten des alten Exchange, der auch BDC war... :D Ob das eventuell im Zusammenhang steht.


Bearbeitet von Esta, 17. Oktober 2014 - 14:03.

Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh