grizzly999

Ganz schön viele Informationen Handelt sich wohl dazu noch um eine spezielle Fom des Doppelpostings :mad: Keine Infos, Doppelposting, das ist kein Forenstil. Den solltest du dringend ändern! grizzly999

Ganz schön viele Informationen grizzly999

Tipps sind deren schon genug, ansonsten werden solche Tools hier nicht supportet. Daher geschlossen. Danke für dein Verständnis grizzly999

Ein Blick in das Log des RADIUS müsste die Authentifizeriung zu Tage fördern. Dabei hilft das Support Tool iasparse.exe

Mit 99,9999999999%iger Sicherheit nicht. Du hast nicht mal die Grundlegenden Einstellungen, die dazu nötig sind, durchgeführt, da kann das nicht gehen (siehe Häkchen im Beitrag vorher). Die Authentifizierung findet bestimmt anders statt. grizzly999

Warum Kennwort ändern?Du liest meine beiträge auch aufmerksam? Das Häkchen habe ich ziemlich weit oben angesprochen und nachgefragt. Daraufhin hast du dann weitergeredet, als wüsstest du genau worum es geht. MSCHAPV2 beinhaltet keine Zertifikatsauthentifizierung. Es findet eine gegenseitige Authentifizierung statt, aber Zertifikate ... NEIN, nicht nötig.

Also, du hast schon einen Thread dazu aufgemacht, hier gehts weiter.http://www.mcseboard.de/windows-forum-lan-wan-32/domaenenanmeldung-md5-challenge-104102.html Dann ist es ziemlich schwierig, dir zu helfen, da dir offensichtlich viele Grundlagen fehlen. Wo steht das? Ich habe das in dem anderen Thread NICHT gesagt, sondern das Gegenteil. Wo steht das? Das ist komplett falsch. Die Computer benötigen Certs. Habe ich im anderen Thread auch gesagt. Wie gesagt, ohne Grundlagen geht es nicht mit 802.1x, ich habe leider nicht die Zeit, die hier jetzt eine Grundlagenschulung zu geben. Jemand anderes vor .... :) grizzly999

Das kann man per GPO regeln BEVOR der user sich das erste mal anmeldet. Hier im Thread beschrieben: http://www.mcseboard.de/windows-forum-ms-backoffice-31/servergespeicherte-profile-kein-zugriff-ohne-besitzrecht-96451.html grizzly999

Die Rechner müssen raus in eine Arbeitsgruppe (geht ohne Reboot) und wieder rein in die neue Domäne. Die Profile müssen von Hand umgebogen werden. Eine Mögglichkeit von Daim hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/servergespeicherte-profile-neuinstallation-ubernehmen-104051.html Oder ohne den Default User von mir hier beschrieben worden: http://www.mcseboard.de/windows-forum-allgemein-28/ad-migration-problem-benutzerkonto-42292.html? grizzly999

Wer sagt, dass das Windows nicht unterstützt? :rolleyes: Das wird unterstützt, und zwar vom Server 2003 bis XP als Client (VISTA als Client hat es nicht mehr drin, aber nachinstallierbar). Natürlich nicht, denn es geht ja. :mad: Hat der User das Häkchen am Konto? Ist das Kennwort geändert worden? Ist MD5 beim Client eingestellt? Ist beim RADIUS Server MD5 als Authentifizierungsmethode eingestellt? grizzly999

Was soll das mit den Berechtigungen bringen, wenn der User sich nicht anmelden kann? Netzwerkanmeldung? Dienstkonto? grizzly999

Es steht noch die Frage nach dem Umzug im Raum. Also die CA wurde gemovt, alter Key, alte DB, neuer Server mit altem (CA-Server-)Namen? Nein, die CA hat so gesehen keine eigenen Logs, aber schreibt auch ab und an Fehler bei Client-Requests ins Anwendungslog, oder bei eingeschalteter Überwachung (Anmeldung-Fehlversuche) auch ins Security-Log, wenn er da was Netzwerk-Anmeldetechnisch missversteht. grizzly999

Das dürfte keine Fehlermeldung gewesen sein, sondern ein Warnhinweis, dass bei der Installation von Software über das Netzwerk potentiell schädliche Software ... usw. Das hängt mit den Sicherheitszonen im IE, dort insbesondere die Zone Intranet, zu der auch alle UNC-Pfade gehören, zusammen. grizzly999

Was ist das für eine inf-Datei? Eine Drucker inf, oder ....? grizzly999

Hier: Description of the Windows XP Professional Fast Logon Optimization feature grizzly999

Was ist denn alles genau gemacht worden, beim Move der CA? Der DC hatte vorher ja wohl kein Certificate wie es aussieht? Was ist and er neuen CA bzw. dem CA-Server anders? Ist das ein 2003 mit SP1? ==> Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1 Hat die CA Einträge in einem der Logs? grizzly999

Du hast jetzt den internen DNS eingetragen? Dann wie oben beschrieben den Anmeldedienst neu gestartet? grizzly999

Warum bitte ist da der externe DNS eingetragen. Das ist completely false. Da gehört der DNS auf dem DC rein. Dann klappt das auch grizzly999

Die Zone miplan.ch ist im DNS da? Und lässt sie auch dynamische Aktualisierungen zu? In den IP-Eigenschaften des DC steht der korrekte DNS drin? grizzly999

Ich sagte nichts anderes grizzly999

Schau doch mal hier rein: Microsoft Corporation Ich würde aber empfhelen, wenn das Know How nicht ganz so groß ist, zumindest unterstützend externes Know How für ein Consulting dazuzukaufen. Es gibt,w as man dabei bedenken muss, und viel, was man falsch oder nicht so ideal machen kann, jede Umgebung ist individuell. grizzly999

Dr Melzer wollte sagen:

Es ist bei MD5 nicht nur der Server das Problem, wenn ich an den physisch rankomme, dann spielt es auch keine Rolle, ob das Kennnwort in einem OWF abgelegt ist. Die Anmeldung scheitert wahrscheinlich da dran, dass das Netzwerk noch nicht da ist, wenn die Useranmeldung stattfindet. bei XP sollte die Richtlinie "Beim Neustarten und vor der Anmeldung immer auf das Netzwerk warten" helfen. grizzly999

Im Prinzip ja, aber normalerweise muss für CHAP und MD5 beim Benutzer das Häkchen "Kennwort mit umkehrbarer Verschlüsselung speichern" gestezt sein, was eine Reduzierung der Sicherheit bedeutet. grizzly999

Da scheinen Einträge des DC im DNS zu fehlen. Wenn die Suport Tools installiert sind, mache mal einen netdiag /fix. Wenn nicht dann: net stop netlogon net start netlogon Es sollte am DC aber die korrekte DNS-Adresse in den IP-Eigenschaften eingetragen sein. grizzly999