Jump to content

DC spinnt, kein SYSVOL-Zugriff und fehlende Berechtigungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

habe folgendes Problem:

 

Win2000 Server SP4, alle aktuellen Patches (DC)

Win2000 pro Clients, alle aktuellen Patches

 

Auf dem DC laufen alle Dienste wie DHCP, DNS, das Active Directory usw usf

Dieser DC ist auch der role holder für die 5 Roles (Schema, RID usw)

 

Heute Morgen meldeten einige User, dass sie sich nicht mehr anmelden konnten. Sie konnten sich zwar am Client einloggen, bekamen aber nicht ihre Netzlaufwerke per Kixtart (läuft als Script auf dem DC wenn man sich einloggt) und sie konnten auch auf einige Ordner im Netz nicht zugreifen.

Es erscheint folgende Meldung:

"Mit diesem Konto kann man sich nicht von diesem computer aus anmelden"

Dies passiert auch, wenn man am DC selbst in der Netzwerkumgebung auf SYSVOL klickt.

Es sind keine besonderen Gruppenrichtlinien definiert, das SMB ist deaktiviert.

Im Ereignisprotokoll finden sich 2 Fehler:

 

1. Das Standardgruppenrichtlinienobjekt konnte nicht erstellt werden. Der Fehler 800704d8 ist beim Öffnen das Gruppenrichtlinienobjekts EFS-Wiederherstellungsrichtlinie der Domäne in der Domäne LDAP://DC=***,DC=***,DC=DE aufgetreten.

 

2. Auf die Registrierungsinformationen bei \\***.***.DE\sysvol\***.***.DE\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol mit (1240) kann nicht zugegriffen werden.

 

(Habe die Domäne mit *** im Thread ersetzt)

 

Wenn ich dcdiag verwende, bekomme ich auch keine Fehler angezeigt.

Ich habe schon die GPOs komplett resettet und die Freigaben alle überprüft. Ebenso habe ich das AD auf Konsistenz geprüft. Alles ok.

 

Ich bin total ratlos. Was kann das sein? Die User müssen sich wieder anmelden und auf die Laufwerke zugreifen können (Freigaben auf dem DC). Irgendwie kann man nicht aufs SYSVOL zugreifen (per Netz, lokal am DC kann man die Ordner öffnen). Auch sein Kennwort kann man nicht ändern, es fehlt einem auf einmal die Berechtigung dazu.

 

Hilfe! :confused:

Link zu diesem Kommentar

Hallo,

 

ist denn irgendwas an den Diensten geändert worden?

Hab zum Beispiel Arbeitskollegen, die gern mal an Diensten rumoptimieren wollen und sich dann wundern, warum einige Sachen nicht mehr laufen.

Frag mal rum, falls Du nicht die einzige Admin bin...

 

Kannst Du mir die Quelle und die ID's der Ereignisprotokoll-Einträge mal posten?

Vielleicht läßt sich ja noch was bei eventid.net finden.

 

Gruß

Andre

Link zu diesem Kommentar

Guten Morgen alle Miteinander,

 

danke erst mal an alle eure bisherigen Tips! Leider war noch nicht der entscheidene dabei.

 

Mir ist aber noch eine Meldung in dem Systemprotokoll aufgefallen, die vielleicht mit der ganzen Sache auch etwas zu tun hat. Sie lautet

 

Ereignistyp: Informationen

Ereignisquelle: BROWSER

Ereigniskategorie: Keine

Ereigniskennung: 8015

Datum: 13.12.2004

Zeit: 22:35:43

Benutzer: Nicht zutreffend

Computer: ******

Beschreibung:

Der Suchdiensttreiber hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{71CE4671-8718-4971-9A7C-20152AB1E4CC}" erzwungen, da ein Windows 2000 Server- (oder Domnenmaster-) Suchdienst gestartet wurde.

Link zu diesem Kommentar
Original geschrieben von Die_Heidi

Der Dienst ist gestartet und die Anbindungen an die einzige Netzwerkkarte im Rechner sind auch da.

 

Hi Heidi,

 

ich hoffe nicht, daß wir uns falsch verstehen. Meinst Du damit, daß das Netzwerkkabel ordnungsgemäß eingesteckt ist und eine Verbindung zustande kommt?

Das wär's nämlich dann nicht!

 

Geh mal in die Eigenschaften deiner LAN Verbindung und schau, ob die Haken bei "Client für Microsoft-Netzwerke" und "Datei- und Druckerfreigabe für Microsoft-Netzwerke" gesetzt sind.

 

Daß der Dienst "TCP/IP NetBIOS Helper" gestartet ist, hast Du ja schon bestätigt.

 

Diese ganzen Bindungen und Dienste sind nötig, um über SMB eine Verbindung zum DC herzustellen und die GPO's herunterzuladen.

 

Dasselbe gilt für die Clients: Auch bei denen sollten die Dienste gestartet sein bzw. die Bindungen vorhanden sein.

Da aber alle Clients Streß machen, denke ich mal das der Fehler beim Server liegt.

 

Der letzte Eintrag von Dir aus dem Eventlog ist nicht so wichtig.. das kann sporadisch mal vorkommen :) Stand bei COMPUTER der Name eines Servers oder Clients? Nur um die Wichtigkeit einzustufen.

 

Um Dark Knights Posting aufzugreifen: Was sagt DCDIAG.EXE?

Falls Dir die Ausgaben nicht weiterhelfen, leite sie doch mal in eine Textdatei um und hänge diese an.

Sollten Daten enthalten sein, die Du nicht weitergeben möchtest, ersetze sie bitte kurz durch Sternchen.

 

Ein Aufruf "dcdiag > c:\dcdiag_log.txt" sollte genügen.

Nach ein paar Sekunden steht die Log-Datei dann auf c:\

 

Viel Glück

Andre

Link zu diesem Kommentar

Hallo Heidi,

 

anhand der LOG Datei vermute ich, daß es am SMB Signing liegt.

Kannst Du mal schauen, wie folgende Werte in der Registry gesetzt sind? Ich vermute mal, daß Du die Richtlinien lokal am Server nicht mehr bearbeiten kannst.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

enablesecuritysignature = ?

requiresecuritysignature = ?

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

enablesecuritysignature = ?

requiresecuritysignature = ?

 

Du könntest die Keys jeweils für LanmanWorkstation und LanmanServer auf 1 für enableSecuritySignature setzen und 0 für den requireSecuritySignature key.

Danach die beiden Dienste "Arbeitsstationsdienst" und "Server" auf dem DC neustarten.

BITTE NICHT den ganzen DC neustarten, da die Einstellungen ansonsten wieder überschrieben werden könnten.

 

Danach mal probieren, ob Du auf \\domain.de\sysvol zugreifen kannst (domain.de entsprechend ersetzen).

 

Schreib Dir die alten Werte bitte vorher auf, und poste sie mal.

 

Diese Informationen hab ich jetzt von der Support Seite von Microsoft.. dort stehen auch noch ein paar Tipps zur Nacharbeit und vielleicht auch zum Verständnis.

 

http://support.microsoft.com/?kbid=839499

 

Hoffe, daß Dir das hilft... Sitzen Deine User jetzt eigentlich rum und räumen Schreibtische auf?

 

Bis gleich

Andre

Link zu diesem Kommentar

Hello Operator

 

Die aktuellen Werte sind

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

enablesecuritysignature = 0

requiresecuritysignature = 0

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

enablesecuritysignature = 1

requiresecuritysignature = 1

 

 

Werde jetzt deine Werte eintragen und dann mal probieren was passiert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...