pctech

DCDIAG meint es wäre alles OK, Event Logs melden auch nichts.

Repadmin zeigt den ausgeführten Replikationen.

Bei der manuellen Replikation kommen auch keine Fehlermeldungen.

 

 

Und fürs nächste Mal beantworte bitte auch alle dir gestellten Fragen:

 

Wieso so aggressiv?

Ich habe doch beschrieben dass es an den GPO Einstellungen nicht liegt.

 

[benutzgerkonfiguration]->Administrative Vorlage->Desktop->Desktop->Desktophintergrund

Ich habe nur den Hintergrundbild eingestellt, und ja, Bildschirmschoner funktioniert auch.

Eventlog sagt nichts diesbezüglich.

Ja, richtig, wenn ich aber mit Benutzer Mustermann.Max anmelde, dann sollte die GPO doch ziehen, hat es aber nicht gemacht.

Gestern ging nicht, heute geht’s.

 

Wir hatten nie so eine heftige Verzögerung.

Mit was kann es zusammenhängen?

sobald ich in dem Security Filter ein BenutzerKonto hinzufüge, dann Funktioniert die GPO, Also an GPO Einstellungen kann es nicht liegen.

Nur mit der Gruppe funktioniert es nicht.

nein, leider nicht.

Nun wird mein Konnto aber als Mitglied der Gruppe angezeigt. DIe GPO greift trozdem nicht.

Mit GPP kann man Ordner kopieren/verschieben.

Hallo,

Ich wollte  eine GPO erstellen die auf die User wirkt, die Mitglieder einer Gruppe „Hintergrundbild“ sind.

 

Dazu habe ich folgendes getan

1. Ich habe eine neue Gruppe erstellt, „Hintergrundbild“
2. Mein Benutzerkonto in diese Gruppe aufgenommen.
3. Eine GPO mit dem Namen „Background“ erstellt und mit OU Benutzer verknüpft.
   Mein Konto befindet sich in dieser OU.
4. In dem Security Filter von der GPO „Background“ habe ich die Gruppe „Hintergrundbild“ hinzugefügt.
5. Lokal auf einem Rechner Gruppenrichtlinien aktualisiert.
6. Die GPO zieht nicht.
7. Mit dem Konsolenbefehl „gpresult /r“ kann man sehen welche Gruppenrichtlinien auf den User und PC angewendet werden, unteranderem sieht man die Gruppenmitgliedschaft der User, die Gruppe „Hintergrundbild“ wird leider nicht aufgeführt, deshalb wird die GPO nicht angewendet.

 

Neustarten hilft auch nicht.

Was kann es seien?

Hey Leute, nicht einfach so vorbeilaufen, redet mit mir, braucht ihr mehr Infos ?

Aus dem log kann man erkennen dass die Clients zuerst den Authentication-Type 5 (EAP) nutzen und irgendwann später nehmen die 11 (PEAP):confused:.

Hallo,

Nach Migration von Windows Server 2008R2 Domain Controller in die Windows Server 2003 Umgebung inkl. IAS/NPS Serverrolle, stimmt irgendwas mit NPS nicht mehr.

Also RADIUS Authentifizierung funktioniert schon, aber nicht so wie es glaube ich sein soll.

 

Folgende seltsame Authentifizierung Prozedur kann ich im NPS Log verfolgen.

LOG Ausschnitt im ODBC Format. (etwas abgeändert, Domäne Name, Username..)

 

"DE-H-DC2","IAS",12/12/2012,12:54:02,1,"user","domain/ou/user","00-0B-6B-2B-AB-B5:router_SSID","98-0C-82-AD-8F-FA",,,"wlan_router","10.0.1.11",0,0,"10.0.1.11","wlan_router",,,19,,,2,5,"auth_richtlinie",0,"311 1 10.0.2.121 11/17/2012 22:03:19 194553",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"connection request policies",1,,,,

 

"DE-H-DC2","IAS",12/12/2012,12:54:02,11,,"domain/ou/user",,,,,,,,0,"10.0.1.11", "wlan_router",,,,,,,5,"auth_richtlinie",0,"311 1 10.0.2.121 11/17/2012 22:03:19 194553",30,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"connection request policies",1,,,,

 

diese zwei Zeilen wiederholen sich ständig…

es wird ständig „verhandelt“ also die Authentifizierungsanfragen werden ständig geschickt.

Das kann schon paar Minuten dauern.

Irgendwann kommen dann die letzte Anfrage die dann mir erfolgreichen Authentifizierung beantwortet wird.

 

"DE-H-DC2","IAS",12/12/2012,12:54:02,1,"user","domain/ou/user","00-0B-6B-2B-AB-B5:router_SSID","98-0C-82-AD-8F-FA",,,"wlan_router","10.0.1.11",0,0,"10.0.1.11","wlan_router",,,19,,,2,11,"auth_richtlinie",0,"311 1 10.0.2.121 11/17/2012 22:03:19 194561",,,,"Microsoft: Secured password (EAP-MSCHAP v2)",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"connection request policies",1,,,,

 

 

"DE-H-DC2","IAS",12/12/2012,12:54:02,2,,"domain/ou/user",,,,,,,,0,"10.0.1.11", "wlan_router",,,,,,2,11,"auth_richtlinie",0,"311 1 10.0.2.121 11/17/2012 22:03:19 194561",,,,"Microsoft: Secured password (EAP-MSCHAP v2)",,,,,,,,,,,,,,,,,,,,,,,,,,,"0x0143504E4554",4,2,"connection request policies",1,,,,

 

 

Auf den alter Domain Controllern IAS, kommt nur eine Anfrage und die Authentifizierung folgt sofort. (also es werden nur die letzten zwei Zeilen geloggt.)

 

Hat einer eine Idee?

An sich spricht nichts dagegen, nur warum die AD Authentifizierung über RADIUS funktioniert wundere ich mich.

Ich meine wenn der RADIUS Server nicht im AD Registriert ist, dann kann er die Anmeldedaten nicht lesen und ans AD weiterleiten.

oder funktioniert das ganze irgendwie anders?

Hallo,

normalerweise muss man doch NPS Registrieren damit z.B. RADIUS Authentifizierung läuft.

Das habe ich nicht gemacht, die Authentifizierung funktioniert aber trotzdem, meistens. NPS ist auf einem DC installiert. Muss ich nun unbedingt NPS im AD Registrieren oder nicht.

Aber warum ziehen die DHCP-Clients die Zeit nicht von definierten DC?

Merkwürdiges verhalten..

und wenn ich DC3 und DC4 herabstufen möchte, nicht dass später deswegen Probleme gibt.

Und warum ziehen sich die Clients die Zeit nicht von dem Zeitserver der in DHCP Konfiguriert ist?

HalloHallo,

Folgende Merkwürdige Sache.

Insgesamt gibt es vier Domain Controller

DC1 ist PDC – Zeitserver

DC-2,3 und 4 ziehen sich die Zeit von DC1

Auf dem DHCP Server als Time Server wurden DC1 und DC2 konfiguriert.

Die Clients die sich die IP per DHCP beziehen, ziehen sich die Zeit nicht von DC1 oder DC2 sondern wahlweise von irgendeinem von diesen vier DCs. Als mal von DC2 ein anderes Mal von DC1.

und Logon Server ist nicht gleichzeitig der Zetserver.

Also .z:B

Client1 ist auf DC1 angemeldet bezieht sich die Zeit aber von DC3

_____________________________________________________________

C:\>ipconfig /all

 

Windows IP Configuration

 

Host Name . . . . . . . . . . . . : server01

Primary Dns Suffix . . . . . . . : domain.de

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : domain.de

 

Ethernet adapter Local Area Connection 5:

 

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : HP Network Team #1

Physical Address. . . . . . . . . : 00-19-CC-D6-75-9E

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.1.10

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.1.5

DNS Servers . . . . . . . . . . . : 192.168.1.1

192.168.1.2

_____________________________________________________________

C:\>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : server02

Primäres DNS-Suffix . . . . . . . : domain.de

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : domain.de

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Intel® PRO/1000 MT Network Connection

Physikalische Adresse . . . . . . : 00-50-53-2A-27-38

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Verbindungslokale IPv6-Adresse . : fe80::1414:80cd:dd52:c70e%11(Bevorzugt)

IPv4-Adresse . . . . . . . . . . : 192.168.1.88(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.1.5

DHCPv6-IAID . . . . . . . . . . . : 234901590

DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-35-F8-C6-00-50-56-9A-57-18

 

DNS-Server . . . . . . . . . . . : 192.168.1.1

192.168.1.2

NetBIOS über TCP/IP . . . . . . . : Aktiviert

 

Tunneladapter isatap.{DE7DDA00-45F2-487C-9835-8CA7729D46A4}:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

wo kann ich nach dem Fehler suchen

im System Ereignisanzeige finde ich nichts darüber...oder muss ich woanders schauen.

Hallo,

 

Wir haben ein seltsames Verhalten bei DNS Registrierung.

Ein neuer DNS Server wurde ins Netz reingenommen.

Alle Server müssen umgestellt werden.

 

Z.B.

auf dem Server1 möchte ich mit dem Befehl ipconfig /registerdns den DNS Namen sofort Registrieren. Es klappt auch sofort. Der Zeitstempel auf dem neuen DNS Server wurde aktualisiert.

 

Wenn ich dasselbe auf dem 2 Server mache, macht er das nicht, wenn ich den Befehl zum zweiten Mal eingebe dann geht es wieder. DNS Name wird registriert / Zeitstempel wird aktualisiert.

 

Es gibt manchmal Fälle wo die Registrierung/Aktualisierung gar nicht klappt mit dem Befehl.

 

Ich dachte es könnte an Nichtaktualisierungsintervall liegen…das Ding habe ich deaktiviert…und es klappt trotzdem nicht…

Auf dieser Technet Seite ist beschrieben, was für Änderungen adprep durchführt, hat eine Idee wie man das prüfen kan?

ja lefg...genau so ist es ...mit den Gedanken..

bezüglich Lizenzserver

Bekommen folgende Fehlermeldung im Eventlog und im VAMT.

 

Displaying unhandled exception: Microsoft.Licensing.VolumeActivation.VamtException: VAMT was unable to enumerate the AD Activation objects in this forest due to the following error: There is no such object on the server.

 

 

Either the domain controller was not reachable or it is not properly configured for AD Forest Activation. Please see the VAMT help file for more information. ---> System.DirectoryServices.DirectoryServicesCOMException (0x80072030): There is no such object on the server.

 

at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)

at System.DirectoryServices.DirectoryEntry.Bind()

at System.DirectoryServices.DirectoryEntry.get_IsContainer()

at System.DirectoryServices.DirectoryEntries.ChildEnumerator..ctor(DirectoryEntry container)

at System.DirectoryServices.DirectoryEntries.GetEnumerator()

at Microsoft.Licensing.VolumeActivation.Presentation.ADForestsFormView.EnumerateAdObjects()

at Microsoft.Licensing.VolumeActivation.Presentation.ADForestsFormView.EnumerateAdAObjectsThreadProc(Object job)

--- End of inner exception stack trace ---

@olc

Ja ich weiß, ihr meint das nur gut, es wäre vielleicht unverantwortlich etwas anderes zu raten.

Ich wollte erstmal selber analysieren, wie groß der schaden ist, denn

 

Hallo lefg,

es funktioniert eigentlich alles…außer Lizensierungs Server der erkennt den Forest nicht, sonst keine Fehler im Event log und Replikation funktioniert auch.

Soweit so „gut“ nach der ersten Analyse,

auf den zweiten Blick. Scheint sich die Schema, Forest und AD aktualisiert zu haben. Die Revisionsnummern sind nun wie bei Windows Server 2008 R2.

wäre auch nicht so schlimm, wir wollen ja sowieso auf 2008R2 umsteigen, aber so eine Aktualisierung kann niemals gut gehen, nehme ich an.

ok, gut..werde nicht mehr schreiben.

Hallo,

ich habe noch paar Infos..

ich habe heute mit adsi edit die Revisionsnummern von AD und Forest angeschaut..beide waren 5 sowie Schemaversion 47, also W2K08 R2 :cry:

 

ist das schon der Grund für ForestRecovery? ich meine Migration der neuen DCs W2K08 R2 würde ja nicht klappen oder ?

ok, danke für eure Unterstützung, dann müssen halt die Erfahrene Leute ran..

Hi olc,

das so was niemals passieren darf ist schon klar, daher bereitet sich keiner auf so was vor, deshalb habe ich gehofft von mehr erfahrenen Leuten die natürlich so was niemals zulassen würden eine Vorgehensweise zu bekommen, die mir mehr Informationen beschafft um den Schaden richtig einschätzen zu können.

Falls ihr Irgendwelche Ideen habt und bestimmte Informationen brauchen, versuche ich so gut es geht diese zu beschreiben.

Life System:

DC1 – W2K03 SP2 FSMO Master, GlobalCatalog – DNS - DHCP.

DC2 – W2K03 SP2 GlobalCatalog – DNS - DHCP.

TestSystem:

Kopie von DC1 und DC2

DC3(zukünftiger Domain Controller) Wk208 R2 zum Mitglied der Domäne gemacht.

Auf dem DC1 Sysprep /forestprep und danach Sysprep/domainprep /gpprep ausgeführt.

DC3 zum Domain Controller hochgestuft. Bei der Hochstufung DNS und GC ausgewählt.

dann kam es zu einem Connect zwischen Life und Testsystem.