Jump to content

LsaSrv steuern/Fehlerdiagnose


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich habe ein kleines Windows Netzwerk mit einem DC (Win2003 Server SP2, erst kürzlich von Sp1 auf Sp2 aktualisiert) mit einigen Windows XP Pro Clients. Nun habe ich das Problem, dass auf einem der Clients seit einiger Zeit keine Gruppenrichtlinien mehr angewendet werden. Im Ereignislog finde ich unter "Anwendung" den Eintrag Userenv ID 1030 mit der Meldung "Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert." und unter "System" den Eintrag von LsaSrv ID 40961 mit der meldung "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/domain.de/domain.de@domain.de herstellen. Es war kein Authentifizierungsprotokoll verfügbar."

 

Eine Netzwerkverbindung besteht, ich kann meinen DC pingen. Er scheint aber irgendwie keine Authentifizierung durchführen zu können.

 

Meine Frage ist nun: Wie kann ich LsaSrv im laufenden Betrieb (die Meldung kommt immer nur beim Start) dazu bringen es mit der Authentifizierung noch mal zu versuchen, damit ich nicht jedesmal einen Reboot machen muss, wenn ich was ausprobiert habe. Außerdem würde mich interessieren, wie ich den Fehler am besten diagnostizieren kann. Gibt es Tools dafür, kann ich irgendwelchen Netzwerktraffic abhören und damit was anfangen? netdiag habe ich schon probiert, aber der zeigt mit bei allen Tests "passed" an und der Browser/Redir Dienst ist an meine LAN Karte gebunden.

 

Noch eine kleine Info: Ich habe einen Cisco VPN Client installiert. Der hat auch dieses "Deterministic Network Enhancer" Protokoll installiert, was ich allerdings für meine LAN/WLAN Karte abgeschaltet habe. Vielleicht hat das ja etwas damit zu tun. Ich habe das allerdings auch schon auf einem anderen Client gehabt, und da hat es kein Problem dargestellt...

 

 

Vielen Dank und viele Grüße,

 

mykro

Link zu diesem Kommentar

Hi,

 

danke für diesen Tipp. Mir ist nichts spontan aufgefallen, was auf mich zutreffen würde. Ein Tipp empfiehlt den Computer aus der Domain rauszunehmen und ihn wieder joinen zu lassen. Wie kann ich das machen ohne dabei Probleme mit den Useraccounts zu verursachen. Ich benutze einen Domainaccount und will den nachher immer noch benutzen, geht das?

 

Gruß, mykro

Link zu diesem Kommentar

Müsttest du folgendermaßen herangehen:

1. PC aus der Domäne raus nehmen. Dazu solltest du einen Account nehmen, der lokale über administrative Berechtigungen verfügt

2. PC wieder in die Domäne nehmen. Dazu dann einen Account, der Computer in die Domäne hinzufügen darf

 

Nach jedem Schritt steht eh der obligatorische Neustart an.

Und nach dem 2. Schritt und dem zweiten Neustart kannst du wie vorher auch mit deinem Domänenkonto weiterarbeiten. Dem steht nix im Wege.

Link zu diesem Kommentar

Hi,

 

als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen:

netdom reset computer_name /domain:domain_name

(siehe Description of Netdom.exe Syntax and Versions).

 

Falls das nicht erfolgreich ist, solltest Du den oben beschriebenen Weg verfolgen.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

also ich bin mit dem Austreten und Eintreten nicht weitergekommen. Er kann immer noch keine sichere Verbindung zum Domaincontroller herstellen.

Ich habe mittlerweile mit Wireshark festgestellt, dass einiger Traffic zwischen dem Client und dem DC entsteht, wenn ich gpupdate /force ausführe. Im Ereignislog finde ich danach dann die beiden im ersten Post beschriebenen Meldungen. Parallel dazu finde ich im Sicherheitslog auf dem DC erfolgreiche Anmeldungen meines Client-Computers und des Client-Benutzers.

Er scheint den DC also zu finden, kann mit ihm auch kommunizieren, aber irgendwie schlägt die Herstellung der sicheren Verbindung fehl. Woran kann das liegen und wie kann ich das weiter untersuchen?

 

 

Viele Grüße,

mykro

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...