lunatikz

Nachtrag: Mittlerweile tritt das eigentliche Problem nicht mehr auf. Evtl lag es an einem Microsoft Update,aber da bin ich mir nicht sicher... Zumindest läuft der Test jetzt weitestgehend durch, aber es fehlen auf einmal zahlreiche dns einträge in den Zonen. Muss ich diese selbst manuell wieder eintragen, oder gibt es dafür ein Tool, welches mir das abnimmt. Darüberhinaus tritt jetzt folgendes Problem auf. Beim Einloggen bestimmter User, erscheitn die Fehlermeldung. Der Anmeldeserver steht derzeit nicht zur Verfügung.... Könnte es auch an den problemem mit dem dns liegen ?

Leider funktioniert auch das nicht. Allerdings tritt das Problem jetzt doch auch bei anderen Clienten auf. Am Server hab ich mal dcdiag /test:dns laufen lassen: Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = SAZ66 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Default-First-Site-Name\SAZ66 Starting test: Connectivity Der Host c768173d-fd92-44b2-aba4-1a1e1fa11397._msdcs.FGVT.local konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server, DHCP, Servername, usw. Fehler beim Überprüfen der LDAP- und RPC-Konnektivität. Überprüfen Sie die Firewalleinstellungen. ......................... SAZ66 hat den Test Connectivity nicht bestanden. Primärtests werden ausgeführt. Server wird getestet: Default-First-Site-Name\SAZ66 Starting test: DNS DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten... ......................... SAZ66 hat den Test DNS bestanden. Partitionstests werden ausgeführt auf: ForestDnsZones Partitionstests werden ausgeführt auf: DomainDnsZones Partitionstests werden ausgeführt auf: Schema Partitionstests werden ausgeführt auf: Configuration Partitionstests werden ausgeführt auf: FGVT Unternehmenstests werden ausgeführt auf: FGVT.local Starting test: DNS Testergebnisse für Domänencontroller: Domänencontroller: SAZ66.FGVT.local Domäne: FGVT.local TEST: Basic (Basc) Fehler: Keine LDAP-Konnektivität Achtung: Adapter 1C:C1:DE:80:76:C2 besitzt eine dynamische IP-Adresse (möglicherweise eine Fehlkonfiguration). Achtung: Adapter [00000007] Broadcom NetXtreme-Gigabit-Ethernet besitzt einen ungültigen DNS-Server: 127.0.0.1 (SAZ66) Achtung: Adapter [00000007] Broadcom NetXtreme-Gigabit-Ethernet besitzt einen ungültigen DNS-Server: xxx.xxx.7.7 (<name unavailable>) Fehler: Alle DNS-Server sind ungültig. Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden. TEST: Dynamic update (Dyn) Warning: Failed to add the test record dcdiag-test-record in one FGVT.local TEST: Records registration (RReg) Fehler: Eintragsregistrierungen können nicht für alle Netzwerkadapter gefunden werden. Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server: DNS-Server: xxx.xxx.7.7 (<name unavailable>) 2 Testfehler auf diesem DNS-Server Name resolution is not functional. _ldap._tcp.FGVT.local. failed on the DNS server xxx.xxx.7.7 DNS-Server: xxx.xxx.198.139 (SAZ66) 1 Testfehler auf diesem DNS-Server Name resolution is not functional. _ldap._tcp.FGVT.local. failed on the DNS server xxx.xxx.198.139 Zusammenfassung der DNS-Testergebnisse: Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw. _________________________________________________________________ Domäne: FGVT.local SAZ66 PASS FAIL PASS PASS WARN FAIL n/a ......................... FGVT.local hat den Test DNS nicht bestanden. Hier wird schon was ausgespuckt, allerdings weiss ich nicht wirklich, wie das handhaben soll. Am Server ist als DNS server 127.0.0.1 eingetragen (primär), xx.xx.7.7 als sekundärer dns.

Hi, nein keine OEM Installation. Als Installquelle habe ich ein Windows 7 Pro Image verwendet (MSDNAA).

Also die IP Adressen in der Range 130.149.198.xx (subnet: 255.255.255.128) sind uns fest zugeordnet. Darauf habe ich keinerlei Einfluss..auch nicht auf den DHCP Server und dessen Vergabe. Wie schon erwähnt, funktioniert es mit anderen Clients problemlos, diese haben auch eine IP adresse im genannten Bereich. Es ist in dieser Hinsicht,kein lokales Netzwerk, wie die typischen heimischen Netzwerke. Ein einziger Unterschied besteht aber, dieser problembehaftete Client verwendet eine Festplatte mit GPT anstatt MBR. Dies kann doch aber keinen Einfluss drauf haben..?!

Client ip: xxx.xxx.198.180 Serverip: xxx.xxx.198.139 Subnet: 255.255.255.128 Der Server ist nicht der DHCP Server.. das ist über diesem Netzwerk angegliedert. DHCP: xxx.xxx.7.7

Hi, Ich möchte einen neuen Clienten (win 7 pro 64 bit) in unsere Win2k8rs2 Domäne aufnehmen. Jedoch erhalte ich folgende Fehlermeldung: ...Fehler Beim Versuch den DNS-Namen eines Domänencontrollers in der Domäne, der beigetreten wurde, aufzulösen.... Sieht also nach einem DNS-Problem aus. Den DNS Server hab ich im Clienten eingetragen (first: DC) Dieses Problem tritt auch nur bei diesem einen Clienten auf. Andere Clienten (Win 7 und Win XP) funktionieren problemlos. Woran kann es liegen. Wenn ich versuche,per nslookup die ip des servers aufzulösen erhalteich folgendes: DNS request timed out. timeout was 2 seconds. Server: UnKnown Address: 130.149.198.139 DNS request timed out. timeout was 2 seconds. *** Zeitüberschreitung bei Anforderung an UnKnown. Server als auch zweiter DNS-Eintrag sind pingbar,und auf anderen Clienten funktioniert auch die nslookup Abfrage ohne Probleme. Kennt einer ein solches Problem und weiß Rat? Grüße, Lunatikz

Hi, Danke für deine Antwort. Die User SophosUser und SophosPowerUser hatte ich da hinzugefügt, weil sie zuvor auch in den lokalen Admingruppen enthalten waren. Allerdings kann es durchaus sein, dass dies von meinem Vorgänger falsch konfiguriert worden ist. Ich werds auf jeden Fall ausprobieren, und dann die Tage hier Bescheid geben. Vielen Dank!

Hat sich scheinbar erledigt, nachdem ich die GPO deaktiviert hatte und die ganzen GPOs gepusht habe (?!) Aber nochmals wie kann das sein,.. anbei ein Screen von den GPO einstellungen

Diese GPO war dazu da bestimmte Nutzer als Admins auf ihren Clienten zu machen. Also über diese Einstellungen bei den eingeschränkten Gruppen habe ich die Gruppe Administratoren hinzugefgt, und dieser Gruppe die entsprechenden User hinzugefügt (Schüler Acc gehört nicht dazu) Die eingeschränkten Benutzer (Also Schüler) gehören der Gruppe Domänenbenutzer an, meines Wissens bringt diese BuiltIn Gruppe von R2K8 die Beschränkungen mit, dass keine Installationen etc. auf den Clients vorgenommen werden können. Handfelt sich um einen Windows Server 2008 Server mit DC und Windows 7 Clients. Die Sache ist auch, dass dies mit den Gpos wunderbar funktioniert hat, nur jetzt kann ein User ohne lokale Adminrechte, dennoch Programme etc. installieren

Hi, Ich hab folgendes Problem, es exisitieren Benutzeraccounts mit eingeschränkten Rechten. (Bsp. Schüler) Diese sollen nur Programme ausführen können etc. Dies hat defacto auch funktioniert. Allerdings ist es nun möglich, dass diese eingeschränkten Nutzer Sachen installieren können, was zuvor nicht ging. Nennenwerte Änderungen am Server waren das Erstellen von zusätzlichen Benutzeraccounts, die per GPO Adminrechte auf dem Clienten bekommen. Von dieser GPO sind aber die Schüler accounts nicht betroffen (mehrfach nachgetestet). Wie kann es sein, dass die Schüler Accounts dennoch Programme installieren können ? Falls irgendwelche Infos fehlen, bitte mitteilen. Ferner: Bei Installationen werden die UAC Abfragen nicht mehr gemacht.. Nachtrag: Der Schüler Account befindet sich auch nicht in der lokalen Admingruppe

Vielen Dank, die "Bestpraxis" Lösung hat funktioniert. :)

Ach Entschuldige bitte, Die Einstellungen waren zuvor auf nicht definiert eingestellt. War ein Schreibfehler meinerseits.

Hallo, Ich verwende einen Konica Minolta Drucker / Scanner innerhalb eines Domänennetzwerkes mit Win 2008. Es geht darum, dass ich die Funktion Scan to SMB nutzen möchte. Das funktioniert soweit auch auf Clientrechnern, soll heissen, wenn ich ein Ziel auf einem Clientrechner definiere, landen die Dateien nach dem Scannen im entsprechenden Ordner. Das klappt allerdings nicht auf dem Server selbst. Wenn ich das gleiche dort mache, funktioniert das ganze nicht, obwohl alle Rechte etc. gesetzt sind, und Freigaben definiert wurden. Im Internet hab ich schon einiges zum SMB-Signing gelesen, und dass man dies deaktivieren soll. In der Default-Domain-Policy habe ich folgendes geändert: Client - Kommunikation digital signieren (immer) = deaktiviert Client - Kommunikation digital signieren (wenn Server zustimmt) = deaktiviert Server - Kommunikation digital signieren (immer) = deaktiviert Server - Kommunikation digital signieren (wenn Client zustimmt) = deaktiviert Zuvor waren alle Punkte deaktiviert. Leider führte dies nicht zum Erfolg. Weiss vllt. einer ob ich einen Schritt vergessen habe, oder was ich sonst noch tun könnte ?

Vielen Dank für deine Antwort. Es hat auch funktioniert. Ja mit den GPO's empfinde ich es als Anfänger noch recht kompliziert, aber das gibt sich mit der nötigen Einlesezeit.

Hmm, ja das hat funktioniert, allerdings hatte ich den zuvor angeleggten Computer mit dem alten Namen im AD gelöscht. Hätte es nicht theoretisch auch mit dem gleichen namen funktionieren sollen ? Aber dennoch ein herzliches Danke, mein problem ist gelöst. :)

Hallo, Ich hab folgendes Problem, verwende einen Server (win 2008 rs2) mit dc und hab einen neuen clienten, frischer rechner, mit win 7 prof. Ich kann den Clienten aber nicht der Domäne beitreten lassen. Folgende Einstellungen wurden vorgenommen, als DNS auf Clientseite ist der Server eingetragen. Als GW ist der Router des Hauses eingetragen, welcher lediglich als GW fungiert. Per Nslookup wird auch der Server erkannt, forward als auch backward. Das kuriose ist, dass der Client bereits einmal Mitglied der Domäne war, ich ihn aber entfernt und anschliessend wieder hinzufügen wollte. (War nen tipp im Forum für ein anderes Problem) Erwähnenwert wäre vllt. noch dass es sich um unterschiedliche Subnetze handelt. Server: xxx.xxx.197.138 Client: xxx.xxx.118.141 GW: xxx.xxx.118.199 In den Ereignisanzeigen war mir nicht ganz klar, wo ich genau nach Fehlern suchen sollte. unter DNS-server etc. sind allerdings keine Fehler zu finden. Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "xxx.local" verwendet wird, wurde erfolgreich abgeschlossen: Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.xxx.local. Die folgenden Domänencontroller wurden von der Abfrage identifiziert: servername.xxx.local Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.

Hallo, Ich hab folgendes Problem, dass ich Domänenbenutzer nicht lokal auf den Clienten in den RDP-Einstellungen hinzufügen kann. Über die Suchfunktion ist als Pfad auch nie die Domäne angegeben, sondern nur der lokale Rechner. Der Rechner als auch der angemeldete User am Client sind Teil der Domäne. Ich war selbst mit Adminrechten (Dom. Admin) auf dem Clienten eingeloggt. Wenn ich die Namen manuell eingebe, findet er diese nicht. Was kann ich da tun, oder woran könnte es liegen, dass ich nicht Domänenbenutzer hinzufügen kann. Mit GPO's möchte ich noch nicht arbeiten, da es zur Zeit nur auf einem Rechner notwendig ist, und zudem mir der Background für die GPO's fehlt. Grüße, lunatikz

Also bei funktioniert es nun endlich auch! Allerdings war dafür eine komplette Neuaufsetzung des Servers notwendig, dann ging alles wie geschmiert..

Hmm, mir ist schon klar, dass der Fehler bei mir liegen wird. Ich hab folgendes HowTo benutzt: Gruppenrichtlinien - Übersicht, FAQ und Tutorials und zwar das erste Beispiel mit dem Unterschied, dass ich die Mitglieder der Gruppe Administratoren nicht einer anderen Gruppe hinzufüge (wie im Bsp. Co-Admins). Aber deswegen kann es doch nicht funktionieren. Oder täusche ich mich da ? Ansonsten hab ich das Tutorial 1:1 befolgt.. könnte es den an anderen Umständen liegen, die im Tutorial nicht erwähnt sind ? edit: Die Gruppe in der ich die User aus der Domäne hinzugefügt habe ich mit Administratoren benannt, eine lokale Admingruppe kann ich nicht finden, und wir mir auch nicht angeboten. Aber ich denke mal die Namensgebung für die Gruppe ist egal, oder ?

Also ich hab mal testweise diese OU's erstellt. Anschliessend GPO definiert und auf die OU verlinkt. Ich habe malzu Testzwecken, einige vorgegebene Richtlinien aktiviert. Das funktioniert soweit auch alles. Allerdings kann ich den TestUser immer noch nicht der lokalen Administratorengruppe hinzfügen, bzw der TestUser hat keine Adminrechte auf dem Client. Die GPO ist zur zeit nur mit dem OU "MyUsers" verlinkt, wo der TestUser sich auch befindet. Ich hab das mit den Eingeschränkten Gruppen realisiert, dort eine Gruppe Administratoren hinzugefügt, und entsprechend die User / Gruppen als Mitglied eingetragen. Irgendwer eine Idee was ich falsch mache ?

Andere Frage: Wenn ich diese OU's erstelle und entsprechend die User und Computer aus den BuiltIn Gruppen in die OU's verschiebe, könnte es dann Probleme geben.. Also das bestimmte Sachen komplett nicht mehr funktionieren, ..das hält mich eigentlich vor "größeren" Änderungen ab, da ich die Konsequenzen nicht einschätzen kann.. Laut der einen Anleitung soll man ja die GPOs auf die Benutzer oder Computer verlinken, ich hab es zur Zeit auf die Domäne verlinkt. Mal abgesehen von der Sicherheit, müsste die GPO nicht dennoch greifen ? In der GPO hab ich halt bei Computerkonfiguration -> Windows Einstellungen -> Sicherheitsrichtlinien -> eingeschränkte Gruppen entsprechende Administratorengruppe(n) erstellt. siehe nochmals screen @edit: Erkennt ihr bereits dort schon Fehler.. benötigt ihr andere Screens ?

Hmm, ich bin der Nachfolger ;) und der alte Admin hat da wohl nicht allzuviel administriert. Daher auch keine Strukturierung in OU's. Bin hier auch eher ins kalte Wasser geschmissen worden, als alles andere. Ich möchte dass an sich schon nach und nach alles machen, aber geht eben nur via learning by doing. Und besagtes Problem, soll möglichst schnell umgesetzt werden. Ich werd euch also sicherlich noch mit vielen Designfragen beehren, aber eben zu seiner Zeit.

siehe Screenshot: Hab ich mir schon fast gedacht, aber ich kenn mich noch nicht so genau mit der organisationsstruktur aus, und ich denke man möchte es auch nicht, dass ich da grob an der struktur rumfuchtele.. aber ich werd mal bei Gelgenheit bei der Chefetage anfragen. Also zum meinen Fall, wir haben hier ein Windows Netzwerk mit Server 2008rs2 und vielen Clientrechnern (OS = WinXP, Win 7). Es gibt in dieser Organistation eine bestimmte Gruppe von MA, denen man lokale Adminrechte einräumen möchte. Diese Gruppe gilt intern als vertrauenswürdig, also es ist davon auszugehen, dass diese kein Mist auf den Clientrechnern machen. Allerdings sollen sie eben keinerlei Adminrechte auf dem Server haben.

--> gar keine :) Wenn ich mich mit einem Account aus der Zielgruppe auf dem Rechner einlogge, kann ich nichts installieren ohne das Admin PW angeben zu müssen. Auf was kann ich es denn sonst verlinken ? Das Netzwerk hier besitzt nur eine Domäne, eine weitere Aufteilung in OU ist mE nicht durchgeführt worden. Also eigentlich hab ich es genauso so gemacht, wie die von mir genannte Anleitung es beschrieben hat, wüsst jetzt auch nicht wie ich es anders erklären sollte. ich schätze mal du meintest damit diese Seite: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Ist das nicht die gleiche Vorgehensweise ? Ich muss dazu sagen, dass ich von dieser Anleitung auch nur das erste Bsp. umgesetzt habe. Die folgenden Beispiele wären ja für meinen Fall nicht relevant ? Bitte entschuldigt meine mangelnde Fachkenntnis, aber ich bin wirklich nen newbie ;)

Vielen Dank, sunny, dein Vorschlag hat sehr gut funktioniert :) Sorry für die späte Rückmeldung. ;)