Jump to content
Sign in to follow this  
mykro

LsaSrv steuern/Fehlerdiagnose

Recommended Posts

Hi,

 

ich habe ein kleines Windows Netzwerk mit einem DC (Win2003 Server SP2, erst kürzlich von Sp1 auf Sp2 aktualisiert) mit einigen Windows XP Pro Clients. Nun habe ich das Problem, dass auf einem der Clients seit einiger Zeit keine Gruppenrichtlinien mehr angewendet werden. Im Ereignislog finde ich unter "Anwendung" den Eintrag Userenv ID 1030 mit der Meldung "Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert." und unter "System" den Eintrag von LsaSrv ID 40961 mit der meldung "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/domain.de/domain.de@domain.de herstellen. Es war kein Authentifizierungsprotokoll verfügbar."

 

Eine Netzwerkverbindung besteht, ich kann meinen DC pingen. Er scheint aber irgendwie keine Authentifizierung durchführen zu können.

 

Meine Frage ist nun: Wie kann ich LsaSrv im laufenden Betrieb (die Meldung kommt immer nur beim Start) dazu bringen es mit der Authentifizierung noch mal zu versuchen, damit ich nicht jedesmal einen Reboot machen muss, wenn ich was ausprobiert habe. Außerdem würde mich interessieren, wie ich den Fehler am besten diagnostizieren kann. Gibt es Tools dafür, kann ich irgendwelchen Netzwerktraffic abhören und damit was anfangen? netdiag habe ich schon probiert, aber der zeigt mit bei allen Tests "passed" an und der Browser/Redir Dienst ist an meine LAN Karte gebunden.

 

Noch eine kleine Info: Ich habe einen Cisco VPN Client installiert. Der hat auch dieses "Deterministic Network Enhancer" Protokoll installiert, was ich allerdings für meine LAN/WLAN Karte abgeschaltet habe. Vielleicht hat das ja etwas damit zu tun. Ich habe das allerdings auch schon auf einem anderen Client gehabt, und da hat es kein Problem dargestellt...

 

 

Vielen Dank und viele Grüße,

 

mykro

Share this post


Link to post
Share on other sites

Hi,

 

danke für diesen Tipp. Mir ist nichts spontan aufgefallen, was auf mich zutreffen würde. Ein Tipp empfiehlt den Computer aus der Domain rauszunehmen und ihn wieder joinen zu lassen. Wie kann ich das machen ohne dabei Probleme mit den Useraccounts zu verursachen. Ich benutze einen Domainaccount und will den nachher immer noch benutzen, geht das?

 

Gruß, mykro

Share this post


Link to post
Share on other sites

Müsttest du folgendermaßen herangehen:

1. PC aus der Domäne raus nehmen. Dazu solltest du einen Account nehmen, der lokale über administrative Berechtigungen verfügt

2. PC wieder in die Domäne nehmen. Dazu dann einen Account, der Computer in die Domäne hinzufügen darf

 

Nach jedem Schritt steht eh der obligatorische Neustart an.

Und nach dem 2. Schritt und dem zweiten Neustart kannst du wie vorher auch mit deinem Domänenkonto weiterarbeiten. Dem steht nix im Wege.

Share this post


Link to post
Share on other sites

Hi,

 

als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen:

netdom reset computer_name /domain:domain_name

(siehe Description of Netdom.exe Syntax and Versions).

 

Falls das nicht erfolgreich ist, solltest Du den oben beschriebenen Weg verfolgen.

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

Servus,

 

als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen:

 

naja, anschließend muss der Client auch in diesem Fall neu zur Domäne hinzugefügt werden.

Share this post


Link to post
Share on other sites

Hi,

 

also ich bin mit dem Austreten und Eintreten nicht weitergekommen. Er kann immer noch keine sichere Verbindung zum Domaincontroller herstellen.

Ich habe mittlerweile mit Wireshark festgestellt, dass einiger Traffic zwischen dem Client und dem DC entsteht, wenn ich gpupdate /force ausführe. Im Ereignislog finde ich danach dann die beiden im ersten Post beschriebenen Meldungen. Parallel dazu finde ich im Sicherheitslog auf dem DC erfolgreiche Anmeldungen meines Client-Computers und des Client-Benutzers.

Er scheint den DC also zu finden, kann mit ihm auch kommunizieren, aber irgendwie schlägt die Herstellung der sicheren Verbindung fehl. Woran kann das liegen und wie kann ich das weiter untersuchen?

 

 

Viele Grüße,

mykro

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...