JWD 10 Geschrieben 7. Februar 2004 Melden Teilen Geschrieben 7. Februar 2004 Hallo! Ich habe ein kleines Problem. In einer AD-Umgebung habe ich 3 Windows 2000 Server. Einer davon ist bereits mit Service Pack 4 versehen worden. Nun sollen spezielle User (Windows XP) sich genau gegen diesen Server authentifizieren ... Hintergrund : Aufgrund eines Kerberos-Problems ist genau dieser Server gepachted worden. Frage : Wo und wie stelle ich das für den (diejenigen) User ein? Danke für jeden Hinweis! :p Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Februar 2004 Melden Teilen Geschrieben 7. Februar 2004 Das geht nicht für einzelne Benutzer. Man kann mit Registry-Bastelei über die Gewichtung der SRV-Einträge im DNS einen DC hervorheben, aber dann wieder für alle Clients am Standort, aber nicht auf Benutzerbasis. grizzly999 Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 7. Februar 2004 Melden Teilen Geschrieben 7. Februar 2004 hallo JWD, ich kenne eine "von-hinten-durchs-Auge" Lösung, die hier wohl nur diskussionscharakter haben wird: da du drei Server hast, teile dein Netz in zwei IP-Netze, indem du einer der beiden nonSP4!! Server mittels RRAS als Router benutzt. mache eine neue Site, und schiebe alle Systeme da rein, die den SP4-Server als Logon-Server benötigen, auch den Sp4-Server! (oder die anderen und die SP4 bleiben im Defaultnetz, kommt darauf an, wieviele es jeweils sind). da die XPs Siteaware sind, erkennen sie das und werden sich nur noch an diesen Server anmelden... sollte gehen... Gruß Dejan Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Februar 2004 Melden Teilen Geschrieben 7. Februar 2004 Ja, die Idee hatte ich auch schon ;) Aber die funktioniert nur, wenn sich der User immer an der selben Workstation anmeldet. grizzly999 Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 7. Februar 2004 Melden Teilen Geschrieben 7. Februar 2004 hi, stimmt, da könnte es zu einem Problem kommen, JWD schreibt ja: Nun sollen spezielle User (Windows XP) sich genau gegen diesen Server authentifizieren ... Er sollte diese Frage klären, ob User oder die XPs gemeint sind, was mich mehr interessiert ist, welches Kerberosproblem solche Maßnahmen erfordert... für mich hört sich das nach XP an, was für JWD gut wäre ;) Gruß Dejan Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Hi ! Und selbst dann kann es immer noch schief gehen. Ich hatte schon den Fall, daß die WS einen DC abbekommen hat, der in einem WAN-gerouteten Netz stand, ob wohl 3 DC im LAN standen ! Und das reproduzierbar über mehrere Tage/Abende -im LAN lief zu der Zeit das Backup ! Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 OT: ich kenne auch solche Effekte, Tivoli Storage Manager (backup) backupt einige Server bei uns mit Linespeed, da macht der betroffene Server keinen Pieps mehr im Netzwerk... Man kann auch übertreiben, gelle IBM :D Dejan Zitieren Link zu diesem Kommentar
JWD 10 Geschrieben 8. Februar 2004 Autor Melden Teilen Geschrieben 8. Februar 2004 Hi! Erst einmal vielen Dank für eure Tipps! Leider funktioniert das alles nicht. Ich habe bei einem Kunden eine Domäne in der diese 3 Logonserver stehen. Keine Subnetzbastelei etc. ist möglich. Nun gibt es Anwender, die in mehr al 90 Gruppen drin sind. Dann ist aber das Standard Kerberos Token zu klein. Abhilfe : Hotfix oder SP4 auf die Logonserver und auf die betreffenden Clients. Nun ist der Kunde aber sehr sensibel was die SP angeht (kann man ja verstehen <smile>) und hat daher nur einen Server auf SP4 angehoben. Nun sollen alle betroffenen Anwender sich über genau diesen Server anmelden, damit auch die GPO-Verarbeitung wieder funktioniert ... Alle Clients im Unternehmen sind XP - die Server W2K. Ich hatte die Hoffnung, dass es soetwas wie den "preferred Server" (Novell) gibt ... Hat noch jemand Ideen? Danke! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Ich denke, es geht um dieses Problem: http://support.microsoft.com/default.aspx?scid=kb;en-us;280830&Product=win2000 Aber dafür gibt es ja einen speziellen Fix von MS, den man dort extra bestellen kann. Aber wie gesagt, einen preferred Server gibt es nicht, nur die Möglichkeit, einen DC mit höherer Prorität des SRV-Records im DNS als die anderen registrieren zu lassen. Anleitung hier im Abschnitt To Configure a Domain Controller to Register SRV Records with Particular Priority , was aber einem preferred Server fast gleich kommt. http://support.microsoft.com/default.aspx?scid=kb;en-us;306602&Product=win2000 grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Hi, Das mit der MaxTokenSize aus 280830 funktioniert einwandfrei. Ich hab den Wert bei uns auf 50000 gesetzt, dann kann das Token gut 500 Gruppenmitgliedschaften aufnehmen. cu blub Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Danke blub, gut zu wissen, wenn man es mal braucht ;) grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 muss aber überall drauf (DCs, Server, Clients). Am besten per GPO. Und Reboot ist nötig cu blub Zitieren Link zu diesem Kommentar
JWD 10 Geschrieben 9. Februar 2004 Autor Melden Teilen Geschrieben 9. Februar 2004 Hi, okay ... das bedeuted für mich, dass ich meinen Kunden drängen muss, mit ALLEN Servern auf SP4 zu gehen. Die MaxTokenSize muss aber auch bei den Clients gesetzt werden. Danke! JWD Zitieren Link zu diesem Kommentar
JWD 10 Geschrieben 9. Februar 2004 Autor Melden Teilen Geschrieben 9. Februar 2004 Ups - sorry - habe die 2'te Seite übersehen. Da stand ja schon, wo die MaxTokenSize eingetragen werden muss. CU JWD Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 9. Februar 2004 Melden Teilen Geschrieben 9. Februar 2004 Hi JWD, - SP4 brauchst du nicht installieren. - Wenn das Token grösser wird (ich weiss keine Grenze aus dem Stehgreif), solltest du Kerberos dazu zwingen, verbindungsorientierte TCP-Pakete statt UDP-Pakete zu verwenden. Such nach maxpacketsize in der Technet. - zur ausgangsfrage: zu kannst mit einer kleinen Firewall (kerio etc.) an den SP3-DNS Servern oder an den Clients den Anmeldeverkehr blocken. Die Clients nehmen dann einfach einen anderen Logon-Server, den sie erreichen können cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.