Jump to content

Windows 7 Pro verliert immer wieder Vertrauensstellung zur Domäne


Esta
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leute,

 

also ich habe lange recherchiert, vielleicht habt ihr noch ein paar Tipps. Folgendes Problem: Ich habe hier in der Domäne ein paar Windows 7 Pilot-PCs zum Test der Migration. Seit Freitag bekommen einige die Fehlermeldung, dass "die Vertrauensstellung zur Domäne verloren" haben. Und das immer, wenn sie morgens den PC neu starten. Da hilft ja nur ein Rejoinen des PCs und das, soweit ich weiß, vor Ort. Am Freitag betraf es 2 PCs aus der gleichen OU, am Montag schon ein paar mehr aus unterschiedlichen OUs. Am Freitag dachte ich, es läge daran, weil ich in den Gruppenrichtlinien die Firewall Einstellungen der einen OU etwas geändert habe. Aber das war ja nun bei den anderen PCs der Fall. Die Fehlermeldungen auf den PCs und DCs sind Netlogon Event ID 3210, 5719, 5722 und 5781.

 

Heute hatte ich den Fall, dass die Windows Patche eingespielt wurden und nach dem Reboot wieder keine Vertrauensstellung vorhanden war.

 

Die PCs sind in einer Sub-Domäne, die 4 DCs hat. Dass sie sich nicht anmelden dürfen, passiert nur, wenn sie sich an einen bestimmten DC anmelden wollen. Heute habe ich heraus gefunden, dass dieser DC eine völlig falsche Zeit hat. Kann eine der Ursachen sein, warum die PCs sich nicht anmelden dürfen. Weiter habe ich festgestellt, das jeder DC sich mit einem anderen Zeitserver syncen. Nur ich betreue die Server nicht.

 

Gibt es noch irgendwelche Einstellungen, die ich clientseitig machen oder überprüfen kann? Es kann ja nicht die Lösung sein, den Usern zu sagen, sie sollen erst mal ihre PCs nicht abschalten oder rebooten. Oder die PCs jeden Tag zu rejoinen oder zu hoffen, dass sie sich nicht an dem einen DC anmelden.

Link zu diesem Kommentar

Hier solltest Du unbedingt stoppen und Deine Domäne(n) untersuchen. Datum und Uhrzeit müssen überall synchron sein.

Die Quelle der Uhrzeit ist immer der PDC-Emulator der Domäne. Andere DC's dürfen unter keinen Umständen mit einer anderen Quelle synchronisieren.

Der PDC-Emulator kann auf einen externen NTP-Server zugreifen (und sollte das vermutlich auch).

Dein Konstrukt mit den Sub-Domänen macht die Sache nicht einfacher. Eigentlich sollte man das vermeiden.

 

Vermutlich bringt der veraltete DC Deine Domäne durcheinander. Lasse da einen Spezialisten ran, sonst geht noch mehr kaputt.

Am Besten machst Du eine n Support-Call bei MS auf. Leider scheint MS Deutschland hier aber zunehmend den Support nach Rumänien zu verlagern.

Das Deutsch der Kollegen dort ist schrecklich...

Link zu diesem Kommentar

@Edgar,

wüsste jetzt nicht, wie ich es prüfen kann.

 

@Zahni,

ich bin nicht für die Server und den Aufbau der Domäne zuständig. Das sind "migrierte Altlasten" und ich werde mich nicht in die Arbeit diesen Herren einmischen. Er bekommt immer recht...

 

@daabm,

ach es waren doch nur 30 Sek. unterschied. ;) Unser Netzwerkspezialist war heute morgen drauf und so schnell konnte ich nicht schreien, wie er manuell die Zeit verstellte. :(

Link zu diesem Kommentar

Dann musst Du aber weiter mit ernsthaften Problem leben. Auf einem DC verstellt man die Zeit nicht "per Hand"

 

BTW: Wir haben uns irgendwann mal eine Funkuhr mit LAN-Anschluss gekauft. Von dieser Uhr holen sich der PDC-Emulator und die ESXI-Hosts die Zeit ab.

Der Rest läuft komplett vollautomatisch über das AD. Nie Probleme gehabt und auch nie die Zeit manuell verstellt.

 

Selbst als bei einen Schaltjahr die Funkuhr mal beschloss in einem falschen Jahr zu existieren (Fimware-Fehler), gab es keine Probleme, da W32TIME diese falsche Zeit verwarf (dafür gibt es einen Paramater).

 

Ich weiß echt nicht, warum so viele "Freizeit-Admins" sich so intensiv mit diesem Thema beschäftigen. Das geht mit den Standard-Einstellungen ganz von alleine richtig.

bearbeitet von zahni
Link zu diesem Kommentar

@Zahni,

ich bin nicht für die Server und den Aufbau der Domäne zuständig. Das sind "migrierte Altlasten" und ich werde mich nicht in die Arbeit diesen Herren einmischen. Er bekommt immer recht...

 

Tja, dann würde ich ihn jetzt auch den Fehler ausbügeln lassen. ;)

 

Spaß beiseite, man kann natürlich auch mit Hilfe von GPOs etwas 'regeln', aber im allgemeinen muss man sich nicht um die Zeit kümmern, das kann Windows von alleine und ohne Einmischung am besten. Für die GPO gibt es einen Artikel von Norbert: http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

 

 

 

@daabm,

ach es waren doch nur 30 Sek. unterschied. ;) Unser Netzwerkspezialist war heute morgen drauf und so schnell konnte ich nicht schreien, wie er manuell die Zeit verstellte. :(

 

Oje, das hört sich nicht gut an. Kannst Du in den GPOs/Scripten prüfen ob es dazu evtl. auf den Clients irgendetwas gibt?

Link zu diesem Kommentar

@Zahni og Sunny,

 

Esta ist nicht der Serveradministrator, nicht Adminiistrator der Domäne, sie hat ihrer Schilderung nach auf diesen keinen Einfluss. Dieser hat sich ausdrücklich verbeten, dass andere in seinen Bereich eindringen. Der Schilderung nach erscheint der Admin sehr eigenwillig und unkoorperativ.

bearbeitet von lefg
Link zu diesem Kommentar

Esta ist nicht der Serveradministrator, nicht Adminiistrator der Domäne, sie hat ihrer Schilderung nach auf diesen keinen Einfluss. Dieser hat sich ausdrücklich verbeten, dass andere in seinen Bereich eindringen. Der Schilderung nach erscheint der Admin sehr eigenwillig und unkoorperativ.

 

Das hab ich schon so verstanden, ich wollte nur auf die Möglichkeiten hinweisen, insbesonders die auf den Clients vorhandenen GPO-Einstellungen könnten vielleicht Licht ins Dunkel bringen.

Link zu diesem Kommentar

Es gab in der Vergangenheit mehrfach Diskussionen zum Wunsch, am Client selbst den Anmeldeserver vorzuwählen, vorherzubestimmen, die von mir gefundenen Diskussionen führten aber zu keinem befriedigenden Ergebnis.

 

Die Diskussionen verwiesen wohl immer auf Standorte und Dienste oder auf Kosten, etwas was an einem DC einzustellen ist.

 

Ob es am Client unter Computerkonfiguration, System, Netzwerkanmeldung etwas Brauchbares gibt?

bearbeitet von lefg
Link zu diesem Kommentar

Danke für eure Rückmeldung.

 

@Zahni,

ich warte nur darauf, dass es endlich einmal crasht und auffliegt, wie viel Ahnung der Herr hat.

 

Unser Unix-Admin hat einen funktionierenden Zeitserver.

 

@Sunny,

den Artikel hatte ich auch schon gelesen. Die PCs beziehen ihre Zeit, je nachdem an welchen DC sie sich anmelden konnten. GPOs für die Server werde ich nicht anpassen. Bei den OUs, wo ich "meine" Windows 7 Clients drin habe, werde ich es explizit eintragen. Nur ist zu überlegen, welchen Zeitserver da sinnig ist. In der OU, wo ich die Firewall Regeln verändert habe, habe ich den UDP Port 123 frei gegeben.

 

@Edgar,

ein Kollege schlug vor, den betreffenden DC ganz auszuschalten. Doch davon konnte ich abraten, da wir nicht wissen, welche Auswirkung es hat und auch nicht Dokumentiert ist, ob eventuell dort noch andere Serverdienste oder Programme laufen.

 

Von mir aus könnten sich die PCs auch an allen DC anmelden, nur muss dann die Infrastruktur stimmen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...