2K8 - Kennwort ändern Win7 - 2k8 RODC

[rsc@de]

Mahlzeit,

habe folgendes Problem:

Unsere Firma unterhält neben einem Hauptstandort (DC: Win2k8), mehrere Niederlassungen. In einer davon wurde vor kurzem die Domäne umgestellt auf lokalen Win2k8R2 RODC. In dieser Niederlassung befinden sich WinXP Sp3 PC's und ca. 10 Win7 PC's.

Das Problem hierbei ist nun, dass zwar die WinXP Rechner ihre Kennwörter ganz normal über die WAN-Strecke an unserem Hauptstandort ändern können, die Win7 PC's aber nicht.
Beim Versuch das Kennwort zu ändern (Win7) - Strg - Alt - Entf - Kennwort ändern, kommt nach ca. 5 min die Meldung: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.

Die Firewall wurde bereits deaktiviert.

Kann irgendjemand hier etwas zur Lösung des Problems beitragen?

[olc]

Hi,

zieh einmal einen Netzwerktrace und filtere nach "Kerberos" und "DNS". Im Normalfall sollte das "password change protocol" (Kerberos) dabei angezeigt werden - vielleicht zeigt sich ein Problem. Oder aber Du siehst DNS Probleme - ist die DNS Konfiguration der XP und W7 Clients gleich?

Viele Grüße
olc

[rsc@de]

Die Netzwerk Einstellungen sollten gleich sein, da vom DHCP verteilt.

Gibt es evtl. Unterschiede was die Kennwortänderung betrifft, zwischen 2k8 und 2k8R2?

[olc]

Hi,

ja, wie gesagt: Es gibt / gab Änderungen in Bezug auf das password change protocol, wenn ich mich nicht irre. Schau einmal in einen Netzwerktrace - Kerberos Fehler sind recht problemlos in so einem Trace zu sehen, da die Error Codes sehr übersichtlich gestaletet sind. Gleiches gilt für DNS.

Viele Grüße
olc

[zahni]

Prüfe, ob der RODC wirklich mit einem beschreibbaren DC "reden" kann:

What operations fail if the WAN is offline, but the RODC is online in the branch office?

If the RODC cannot connect to a writable domain controller running Windows Server 2008 in the hub, the following branch office operations fail:

Password changes


Attempts to join a computer to a domain


Computer rename


Authentication attempts for accounts whose credentials are not cached on the RODC


Group Policy updates that an administrator might attempt by running the gpupdate /force command


RODC Frequently Asked Questions


Eventuell verbinden sich die alten Client's bei einer Password-Änderung direkt mit dem PDC-Emulator, was Windows 7 dann nicht mehr macht. Habe ich im Moment nicht so den Plan...

-Zahni

[olc]

Hi zahni,

XP wendet sich auch nicht direkt an den PDCe, sondern an einen normalen DC - das machen die DCs und der PDCe danach "unter sich aus".
Da der password change auf dem XP System funktioniert, steht die WAN Verbindung vermutlich.

Viele Grüße
olc

[rsc@de]

Problem gelöst!

Ursache:
Windows XP nutzt zum Kennwort ändern Kerberos Port 445.
Windows 7 verwendet Kerberos V5 mit Port 464.
Dieser Port war an unserer WAN-Firewall nicht freigegeben.
Nach freigabe dieses Ports klappte das Kennwort ändern ohne Probleme.

Vielen Dank an alle, die zur Lösungsfindung beigetragen haben.

[Daim]

Salve,

Zitat von rsc@de Problem gelöst!

danke für die Rückmeldung. Aber in deinem OP hattest du geschrieben:

Die Firewall wurde bereits deaktiviert.

[Sunny61]

Zitat von Daim danke für die Rückmeldung. Aber in deinem OP hattest du geschrieben:

Da immer für alles die Windows Firewall Schuld hat, wird die auch als erstes immer deaktiviert, weißt Du doch.

[olc]

...und außerdem ist es genau das, was ich geschrieben hatte: Eine Änderung in Bezug auf das Password Change Protocol / Kerberos.

Manchmal frag ich mich wirklich, warum hier einige scheinbar die Ignorierfunktion für "olc" aktiviert haben.

Viele Grüße
olc