Pat1802

Guten Morgen zusammen, ich habe in meiner Zertifizierungsstelle das Problem, dass die Zertifikate sich nicht ausstellen lassen und alle in "Fehlgeschlagene Anforderungen" laufen. Folgende Meldung habe ich in der Ereignisanzeige: Ereignis-ID 53: Der angeforderte Antragstellername ist ungültig oder zu lang. 0x80094001 Das einzige Zertifikat, welches immer wieder ohne Probleme ausgestellt wird, ist das des Zertifkatservers selbst. Bei allen anderen läuft es auf diesen Fehler. Aufgrund des Hinweises, dass der Antragstellername das Problem darstellt, habe ich vermutet, dass in der Zertifikatsvorlage der Bereich falsch konfiguriert wäre, aber die Vorlage funktioniert mit dem Zertifikatserver selbst ohne Fehler. Für weitere Hinweise wo ich nun weiter suchen könnte, bin ich dankbar. Falls weitere Info´s benötigt werden stelle ich diese gern hier ein. Danke und Gruß Patrick

Hallo, ja, die gesamte IP-Konfig erhalten die Clients vom lokalen DHCP. In der Konfig ist der erste DNS der lokale, ein weiterer DNS bei uns am Standort in der Zentrale. Ja, die Konfig ist AD-Integriert und "Nicht sichere und sichere" Dynamische Updates sind in der Forward-Zone zugelassen. Und ja, der Name ist auch richtig. Gruß Patrick

Hallo zusammen, wir haben bei uns seit 4 Wochen das Problem, dass sich einige Clients (Win XP) nicht im DNS registrieren. Hier eine kurze Übersicht zu unserer Infratruktur: - Zentrale in DE mit 3 DC´s ( 1x 2003 und 2x 2008) - 30 Standorte Weltweit mit 2008er RODC´s vor Ort - In den Standort läuft immer ein DHCP Jetzt ist es in 2 Standorten so, dass die DNS Einträge der Clients komplett fehlen. Hier scheint der DHCP keine dynamischen Updates zu machen und/oder die clients registrieren sich auch nicht selbst. Auch nicht per ipconfig /registerdns. Aufgefallen ist dies jetzt, weil ich vor ca. 5 Wochen die Alterung und das Aufräumen eingeschaltet habe. Ich bin jetzt schon die gesamte Konfig mehrmals durchgegangen und google schon mehrere Ansätze seit 2 Tagen und so langsam bin ich mit meinen Ideen am Ende. Hat jemand von euch schon mal ein ähnliches Problem gehabt ? Oder kann mir jemand einen Tip geben, was ich noch kontrollieren/testen kann? Wenn ich noch Infos zur Konfig dazu bereitstellen soll, bitte kurz Bescheid geben. Danke und Gruß Patrick

Hallo zusammen, habe seit heute Morgen das Problem, dass nach erfolgreicher Anmeldung an OWA (extern als auch intern) ich nur eine leere Webseite als Ergebnis erhalte. Wir nutzen einen 2003er Server mit Exchange 2003 Enterprise. Bisher haben wir versucht: - WWW-Publishingdienst neu gestartet - Virtueller Exchange Server beendet und gestartet - Standardwebseiten neu erstellen lassen - Server neu gestartet .... Es sieht für mich so aus als ob der Zugriff auf das Postfach nach Anmeldung nicht funktioniert und daher diese leere Seite ausgegeben wird. In der Standardwebseite "Exchange" ist aber der lokaler Pfad der Datenbank angegeben: \\.\BackOfficeStorage\Domänenname\MBX Wenn ich auf den Exchange auf /OMA zugreife erhalte ich folgende Meldung: Mit Ihrem Postfach auf Server "Servername" kann keine Verbindung hergestellt werden. Versuchen Sie es später erneut. Wenden Sie sich an Ihren Administrator, wenn das Problem wiederholt auftritt. Kann ich an der Stelle prüfen, ob der Zugriff auf MBX gegeben ist? Gruß Patrick

Okay, kannst du mir denn noch kurz beantworten, ob ich diese Richtlinie auch für Server 2008 und XP-Clients anwenden kann? Danke und Gruß

Ja, deshalb dachte ich, ich könne das Ganze mit Priorität und Gewichtung so steuern, dass immer erst der vor Ort RODC zum anmelden genutzt wird. Wenn das allerdings nicht sauber läuft kann ich meine Idee schnell wieder vergessen :D

Hallo Oernst, Ja das hilft mir viel weiter. Ich werde das, dann einmal mit der Richtlinie testen: Nun kann ab Vista und Windows Server 2008 die folgende Richtlinie aktiviert werden: Computerkonfiguration\Administrative Vorlagen\System\Netzwerkanmeldung\Domänencontrollerlocator-DNS-Einträge\"Am nächstgelegenen Standort suchen" Gilt diese Richtlinie denn nur für Server 2008 und min. Vista Clients oder funktioniert dies auch mit XP-Clients? Oder würde es dann Sinn machen zu den Standorten, in denen sich nur der RODC vor Ort befindet manuell SRV-Einträge hinzuzufügen von einem schreibbaren im nächsten Standort und das durch Prioritäten setzen, steuern? Gruß Patrick

Das kann ich leider nicht beantworten. Ich habe dieses Sache nur von einem Kollegen erfahren und er hat es nicht getestet.

Also in dem Standort B stehen nur die SRV-Einträge vom RODC im Standort B. Ist eher nicht so gut, oder? :confused:

Okay, danke. Werde das mal prüfen.

So habe ich es auch eigentlich im Kopf. Nur hatten wir mal das Problem, als es nur Standort A und B gab. Der RODC an Standort B war ausgefallen aber niemand konnte sich von B aus an dem DC in A anmelden. Daher meine Bedenken, dass die Anmeldung nur über den RODC möglich wäre.

Hallo, ich habe mal eine Frage zur Anmeldesache an einen RODC. Angenommen Standort A (Win2008-Domäne) hat VPN-Verbindungen zu Standort B und C. Standort C ist zusätzlich noch zu Standort B verbunden. An B soll ein RODC stehen an C kein Domaincontroller. Wie ich es verstehe ist es für Standort C möglich sich an B am RODC anzumelden. Was passiert nun wenn die Verbindung zwischen B und C weg ist. Kann sich Standort C noch weiterhin anmelden und zwar an A ? Oder geht es nur über den RODC von B nach A? Gruß Patrick

Ich habe es gelesen und ich weiß wie ich es bereinige. Ich fragte mich warum es im dc Bereich automatisch funktioniert hat und im gc nicht. Aber keine Panik ich möchte jetzt auch keine Antwort mehr von dir darauf haben.

Guten Morgen, alles super :D Das Update hat es gebracht. Unter "dc" in den sites sind nun alle anderen DC´s verschwunden. Ja, sorry für die Frage. Die war schnelle getippt als ich gelesen hatte :( Unter "gc" steht allerdings in den sites noch einer von unseren zwei 2003ern mit drin. Warum ist der dort geblieben? Der GC der dort noch mit eingetragen ist auch unser zweiter GC hier neben dem 2008er. Der andere 2003er ist kein GC. Gruß Patrick

Hallo. Noch eine Sache. Unser 2008er DC hier deckt auch einige sites ab in denen die RODC´s stehen. Muss man das "site coverage" dort manuell erst abschalten? Gruß Patrick

Guten Morgen, ooops. Ne, da ist das nicht installiert. :D Werden durch das Update denn diese 2003er DC´s aus den sites dort verschwinden wenn die "site coverage" richtig funktioniert? Ist für das Update ein Neustart erforderlich? Gruß Patrick

Hallo, das KB ist in Service Pack 3 für Windows XP enthalten und dieses ist in unseren Tochtergesellschaften installiert. Dennoch besteht dieses Problem...... :( Gruß Patrick

Hallo, ich habe mir den Link von dir mal angesehen und genau mein Problem gefunden: -------------------------------- Issue 10 Symptom Domain controllers that are running Windows Server 2003 perform automatic site coverage for sites that have read-only domain controllers. Scenario and affected clients This issue affects domain controllers that provide automatic site coverage for other branch office sites. Typically, this issue occurs in a branch office scenario. Influence A domain controller that is running Windows Server 2003 may register its DNS SRV resource records for a site that contains a read-only domain controller. Therefore, the clients may not authenticate as expected with the local read-only domain controller. Workaround To work around this issue, use one of the following methods: * Make sure that only domain controllers that are running Windows Server 2008 are present in the site that is closest to the read-only domain controller site. * Disable automatic site coverage on domain controllers that are running Windows Server 2003. * Configure the weight or the priority of the DNS SRV records so that clients are more likely to authenticate with the read-only domain controller than with a remote Windows Server 2003 domain controller. * Use Group Policy settings to configure domain controller locator DNS records. -------------------------------- Zu den Workarounds habe ich einige Fragen: Was ist mit dem ersten Punkt gemeint? Dass dort ein weiterer 2008er in der site sein soll? Wie disable ich die automatic site coverage auf den 2003ern? (per GPO?) Vom 3ten Punkt hat man mir auch schon mal abgeraten. Ich habe es dennoch mal versucht die Gewichtung und Priorität zu ändern, aber nach ein paar Stunden werden neue weitere SRV-Einträge erstellt mit den selben DC´s erstellt wo ich etwas geändert habe. Letzteres Wollte ich ja tun und wurde mir auch von abgeraten. Gruß Patrick

Hallo, okay, dann werde ich mich mal damit beschäftigen. :D Nur hat ein Kollege es so über GPO´s auf einer Schulung auch mal gezeigt bekommen :confused: Wir haben hier 2 2003er DC´s und einen 2008er DC. Die Clients aus den TG´n loggen sich aber völlig durcheinander an den DC´s an. :( Das Kompatibilitätspaket wurde, soweit ich weiß, nicht installiert. Kann ich das irgendwie prüfen, ob es drauf ist? Siteconfig und Subnetze passen, ja. :) Gruß Patrick

Hallo, ich habe das Problem, dass in unseren Tochtergesellschaften der Anmeldevorgang teils sehr lange dauert. Wir nutzen dort RODC´s vor ORT. Wenn ich mir den Logonserver nach der Anmeldung anschaue, dann wird oft der Client an einem DC hier bei uns angemeldet. Kennwortreplikationrichtlinie ist eingerichtet denn ab und zu klappt es auch, dass der User an einem DC dort in der TG authentifizieren kann. Was ich nun mal gelesen habe ist, dass man über GPO´s die SRV-Einträge in den Sites beeinflussen kann. Ich habe nun für eine TG eine neue OU für den DC eingerichtet und dort eine neue Policy: Unter Computerkonfiguration > Administrative Vorlagen > System > Netzwerkanmeldung > Domänencontrollerlocator-DNS-Einträge habe ich folgende Einstellungen gemacht: - Automatisierte Standortabdeckung durch DC-Locater-DNS-SRV Einträge > Deaktiviert - Standorte, die durch DC-Locator-DNS-SRV-Einträge abgedeckt werden > Aktiviert - Standorte, die durch GC-Locator-DNS-SRV-Einträge abgedeckt werden > Aktiviert In den beiden letzten Punkten dann jeweils den DC eingetragen der für diese Site in Frage kommt. Dadurch sollen dann die anderen SRV-Einträge, von unseren DC´s hier bei uns, verschwinden, so dass nur noch der DC in der TG zur Anmeldung herangezogen wird, aber das funktioniert leider nicht. Die anderen SRV-Einträge bleiben vorhanden. Wer kann mir da helfen? Gruß Pat

Nein ihr sollt nicht raten. Irgendwie komme ich mir von dir etwas veräppelt vor Norbert. Auch schon in deinem vorherigen Beitrag. Sorry, dass ich noch nicht ganz so fit in diesen Sachen bin........ Und ja ich habe etwas falsch gemacht. Ich konnte meinen Fehler finden. Ich habe die Gruppe in der Benutzerkonfiguration gemacht und nicht in der Computerkonfiguration. Jetzt funktioniert es zwar aber ich habe immer noch nicht genau verstanden warum es da nicht funktioniert hat, obwohl man dort auch Lokale Benutzer und Gruppen anlegen kann. Hat einer vielleicht einen Link für mich wo ich mich darüber schlau machen kann? gruppenrichtlinien.de kenne ich, konnte aber dazu nichts finden. Gruß Patrick Gruß Patrick

Okay, okay, ich habs ja theoretisch verstanden, aber vielleicht kann mir jemand erklären warum es auch nach der Installation von KB943729 immer noch nicht funktioniert? Gruß Patrick

Es scheint trotzdem nicht zu funktionieren. Ich habe die Gruppe auf einem 2008er DC konfiguriert. Wir haben aber noch einen Weiteren DC der ein 2003er ist. Die Clients sind XP und als Logon-Server ist es immer der 2003er. Kann es deswegen nicht funktioneren? Gruß Patrick

Wir haben hier eine Software die wirklich eine lokale Gruppe auf dem PC benötigt. Mit einer AD Gruppe funktioniert das leider nicht. Aber über GP Preferences habe ich jetzt das gefunden was brauchte :D Danke und Gruß Patrick

Hallo, ist es möglich per GPO auf allen PC´s in der Domäne eine lokale Usergruppe hinzuzufügen? Gruß Patrick