stone1970

Lieber Kollege

 

 

 

Das sind Domain GPos und werden als GPO gesetzt und nicht als "Gefummel" in der Registry ... sonst ist dies nämlich nur bis zum GPO RefreshingIntervall gültig ... das wird Dir netdiag sagen, ob diese Parameter stimmen.

 

Ich meine die Administratorengruppe ob dort der Domain Admin drinsteht oder nur die SID von dem DomainAdmin. (Ich meinte nix von entfernen oder so geschrieben zu haben...).

 

Gruss,

Matthias

Aloha....

Ich "fummel" nicht freiwillig in der Registrierung rum (in anderen "Sachen" schon ;) ),aber wenn aufeinmal die Sicherheitsrichtlinien für Domänencontroller und das Active Directory Benutzer Computer meint das man nicht berechtigt sei darin "herumzufummeln" geht man auf die Suche und MS meint das man dann die Registrierung anpassen soll,danach Serverdienst und Arbeitsstationdienst neustarten soll,den Zugriff auf das Sysvol prüfen soll und dann in die Sicherheitsrichtlinien der Domäne die Korrektheit der SMB Signierung überprüfen soll DANN macht man das....das Gefummel in der Registrierung....

RESOLUTION

To resolve this behavior, follow these steps.

 

Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.

1. On the domain controller, click Start, click Run, type regedit, and then click OK.

2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

3. In the right pane, double-click enablesecuritysignature, type 1 in the Value data box, and then click OK.

4. Double-click requiresecuritysignature, type 1 in the Value data box, and then click OK.

5. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

6. In the right pane, double-click enablesecuritysignature, type 1 in the Value data box, and then click OK.

7. Double-click requiresecuritysignature, type 0 in the Value data box, and then click OK.

8. After you change these registry values, restart the Server and Workstation services. Do not restart the domain controller, because this action may cause Group Policy to change the registry values back to the earlier values.

9. Open the domain controller’s Sysvol share. To do this, click Start, click Run, type \\Server_Name\Sysvol, and then press ENTER. If the Sysvol share does not open, repeat steps 1 through 8.

10. Repeat steps 1 through 9 on each affected domain controller to make sure that each domain controller can access its own Sysvol share.

11. After you connect to the Sysvol share on each domain controller, open the Domain Controller Security Policy snap-in, and then configure the SMB signing policy settings. To do this, follow these steps:

a. Click Start, point to Programs, point to Administrative Tools, and then click Domain Controller Security Policy.

b. In the left pane, expand Local Policies, and then click Security Options.

c. In the right pane, double-click Microsoft network server: Digitally sign communications (always).

wahnsinn wieviele Antworten kommen...erstmal danke!!!

alles kann ich jetzt nicht beantworten an Fragen,da ich nicht beim Kunden bin.(SBS-Server wurde von anderem "Systemhaus" dort installiert und ich darf mich nun damit rumärgern :( ).

SBS-Server DC+DNS+DHCP+Exchange

IP:192.168.10.50

DNS:192.168.10.50

Gateway:192.168.10.50 (Weiterleitung per DNS an Router)

2003 Member:Fileserver

IP:192.168.10.51

DNS:192.168.10.50

Gateway:192.168.10.50

Klassisches Class-C Netz eben......Ipconfig /all zeigt die Einstellungen auch so an.

Wie sehen die Einstellungen aus auf dem DC:

- Server:enablesecuritysignature if client agrees ?

- Client:enablesecuritysignature if client agrees ?

wenn ich mich nicht täusche ist SERVER AKTIVIERT und Client NICHT DEFINIERT (wie gesagt nicht vor Ort,laut MS-Bulletin vom Juni,sollen ja die REG-Einträge in LANMANSERVER auf ENABLE und REQUIRE auf 1 stehen und in Workstation auf 1 und 0 stehen.Danach in Richtlinen für Domänen soll nur die Serverkommunikation auf Always gestellt werden.Hab ich auch so gemacht)

Wurde mal ipconfig /registerdns probiert?

Jeeep,leider ohne Erfolg.

Dann gibt es irgendwelche Fehlermeldungen auf dem SBS ? (Security)

Nein

Fehler am SBS nicht zu sehen.Auch die Versuche des Memberservers sich im DNS einzutragen (die ja nicht erfolgen,wie in der Ereignisanzeige vom Memberserver zu sehen ist) erscheinen am SBS nicht.

Sollte kein Problem sein, solange es nur 1 SBS ist und der alle Rollen hat

Er hat alle Rollen,er ist der alleinige Herr und Meister :)

Für mich sieht das in der Tat nach einem DNS Problem aus oder auch, dass Server nicht sauber gejoined ist.

Glaub ich auch,aber er steht im COMPUTER-Ordner drin.Rausnehmen aus Domäne (verschwindet aus dem Ordner) und wieder rein (Erscheint wieder) hat nichts gebracht.

Anpingen untereinander geht,Namensauflösung per DNS jedoch nicht.

Prüfe mal folgendes: Gehe auf dem Server in die Administratorengruppe und prüfe ob der Domain administrator drin ist oder nur dessen SID. Ist das zweite der Fall ist der Server nicht sauber gejoined.

Äääh,also das bestimmt am Memberserver machen??Also wenn ich eine Freigabe erstelle und dort dann auf ERWEiTERT SUCHEN gehe,sehe ich am Memberserver nur die lokalen User (Administrator etc,aber nichts von der Domäne)

Die weiteren Tips wie NETDIAG / DCDIAG werd ich dann mal morgen (Kunde meldet sich bestimmt :( ) machen und dann berichten.

Aloha in die Forumrunde

Vielleicht hat noch jemand einen Tip zur Problemlösung:

Gegeben ist folgendes Umfeld:

Windows 2003 SBS der als Domänencontroller fungiert und auch DNS-Server spielt.

DHCP und Exchange ebenfalls drauf am laufen.

Als Memberserver haben wir dann einen Windows 2003 Server R2 mit ins LAN gebracht.

Der Beitritt in die Domäne hat ohne Probleme geklappt (Computer erscheint im ADS am SBS unter Computer.Erscheint aber nicht im DNS-Server!!),dann erfolgt der Neustart und dann dauert die Anmeldung EXTREM lang.

D.h es dauert so ca.3-5 Min bis das Anmeldefenster (STRG etc) erscheint.Dann also mal anmelden und das erscheinen des Desktops dauert nochmal so lange.

Auch das manuelle Eintragen in Forward und Reverse-Lookup brachte nichts.

Also mal geschaut in der Ereignisanzeige und es kommt die Meldung das die Domäne nicht erreichbar sei und das eine Registrierung am DNS Server fehlgeschlagen sei.

Daraufhin nochmal den Memberserver aus der Domäne raus und wieder rein,leider jedoch ohne Erfolg.Der Effekt bleibt der selbe.Anmeldung extrem langsam,aber wenn er dann mal fertig ist kommt man auf die Freigaben drauf.

Sobald man Freigaben erstellt und darauf dann Berechtigungen erstellen will werden nur LOKALE Nutzer angezeigt,Domänenmitgliedernamen erscheinen nicht.NSLOOKUP kommt auch nicht zum Erfolg.

Was noch aufgefallen ist am SBS nach Beitritt des Memberservers ist das die SMB Signierungen "enablesecuritysignature und requiresecuritysignature" und LANMANSERVER und LANMANWORKSTATION alle auf 0 standen und man daraufhin nicht mehr an die Gruppenrichtlinien etc kam.

2003 SBS IP:192.168.10.10 DNS:192.168.10.10 DNS Server+DC+DHCP+Exchange

DNS:Active Directory integriert,Zonenübertragung an alle Server in Domäne,Netbios over TCP/IP,sichere und unsichere Aktuallisierungen zulassen.

2003R2 IP:192.168.10.11 DNS:192.168.10.10 Datenserver

Tja,also das ist so das Umfeld und nun.....vielleicht weiß ja noch jemand nen Tip...ach ja,es gibt schon einen Memberserver (2003 ohne R) und der lüppt wie verrückt.....wurde auf die selbe Weise reingeklinkt und hat kein Problem....