Jump to content
Sign in to follow this  
Cookie

Problem mit DC, GPO, Freigaben... :(

Recommended Posts

Gibt es noch eine andere Lösung, um das Problem zu beheben? Hier (W2k3, XP Clients) treten auch BEIDE Fehler auf (also die von Rave unter http://www.mcseboard.de/windows-forum-ms-backoffice-31/sbs2003-sp1-ereignisanzeige-anwendung-event-id-1030-1058-a-89463.html ). Da ich für das Problem hinzugezogen wurde und alle durchgeführten Änderungen nicht dokumentiert wurden, ist es schwierig für mich, alle vorhandenen Probleme nachzuvollziehen.

So tritt z.B. auch das Problem auf, dass User das servergespeicherte Profil nicht laden können (Zugriff verweigert). Sowohl Freigabe- als auch NTFS-Rechte passen soweit denke ich. Auch unter Zuhilfenahme des Admin-Kontos können KEINE Verknüpfungen mit Freigaben auf eben jenem Server hergestellt werden.

Über eine "schnelle Hilfe" wäre ich dankbar. Ansonsten sehe ich keine Möglichkeit ausser dcgpofix auszuführen, was allerdings zu erheblichem Aufwand (und damit Kosten) führen würde...

Auch auf die default SYSVOL Freigabe kann nicht zugegriffen werden. Mir scheint, als wurde der DC komplett kaputt-konfiguriert - dennoch möchte ich eine Neuinstallation vermeiden.

 

edit: Ach ja, es gibt nur 1 DC.

Share this post


Link to post

Bist du sicher, daß das Dein Problem ist?

 

Läuft denn der Serverdienst?

 

Kommst du als Domänen-Admin auf die administrativen Freigaben? \\server\c$

Share this post


Link to post

Ja, der Serverdienst läuft. Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte). Es kommt exakt die gleiche Meldung wie beim Zugriff auf SYSVOL oder NETLOGON.

Nach Gesprächen mit sog. IT-Bediensteten kann ich wohl auch davon ausgehen, dass direkt an den Domänensicherheitsrichtlinien "hantiert" wurde (OHNE KOPIE!!!! Das muss man sich mal vorstellen!). Evtl. wurden auch Rechte an den Freigaben verändert - jedoch konnte ich auf den ersten Blick keine grundsätzlichen Unverträglichkeiten feststellen.

Sowas ist mir nun auch noch nicht untergekommen, aber man lernt ja nie aus ;).

 

Mittlerweile habe ich weitere allgemeine Probleme ausgemacht: So wurden Clients geklont, ohne vorher eine neue SID zu vergeben....oh mann, da kommt glaube ich viel Arbeit auf mich zu :(.

Share this post


Link to post

Mal ins Blaue geschossen:

Hat jemand auf dem DC eine Firewall installiert bzw. aktiviert?

 

Edit: Ups, das hat sich dann mal erledigt durch obiges Posting

Share this post


Link to post
Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte).

Dies Verhalten sollte normal sein. Probier mal statt \\SERVERNAME\c$ auf \\IP-ADRESSE\c$ zu verbinden. Die genannte schon bestehende Verbindung ist die durch den bereits angemeldeten Benutzer aufgebaute, außer Du bist mit Admin-Account angemeldet.

Share this post


Link to post

Die Meldung kommt auch, wenn ich mit einem Benutzer einloggen möchte. Es wird nach dem Adminaccount + Passwort gefragt; dieses wird dann aber nicht akzeptiert. Wenn ich die IP anstatt dem Namen benutze ändert sich nichts an der Fehlermeldung (DNS funktioniert auch nach diversen Tests...).

Was mir aufgefallen ist: Verbindungen zu dem Domaincontroller funktionieren, wenn ich einen Rechner neu in die Domäne aufnehme sowie ein zugehöriges Benutzerkonto erstelle. Allerdings nur bis zum nächsten Neustart; dann kommt, dass das servergespeicherte Profil nicht geladen werden kann (Zugriff verweigert). Die Freigabe/NTFS Rechte für das Benutzerverzeichnis wurden testhalber auf Jeder - Vollzugriff gesetzt, was allerdings nichts geändert hat.

Share this post


Link to post

Ein zentraler Punkt ist meiner Meinung nach der Zugriff auf die lokale Sicherheitsrichtlinie der Domäne - und bei Zugriff auf eben diese kommt eben auch als Domänenadmin "Zugriff verweigert".

Welche Möglichkeiten habe ich denn den Zugriff wiederherzustellen?

Share this post


Link to post

Hallo,

kommst Du im Abgesicherten Modus rein?

Kannst Du dich eventuell noch als Org-Admin anmelden?

Hast der Domänen-Admin das Recht Die Richtline zu lesen?

Gibt es ein Backup vom Systemstatus das Du einspielen könntest?

Wie sieht die Sicherheitsrichlinie für den DC aus?

 

MfG

Onewayticket

Share this post


Link to post
kommst Du im Abgesicherten Modus rein?

Ich kann mich schon einloggen auf dem DC. Ob das im Abgesicherten Modus funktioniert kann ich leider nicht sagen, da ich den DC momentan nicht neustarten "darf", da er für die Arbeit benötigt wird; das erledige ich morgen abend. Muss leider heute noch zu einem weiteren Kunden.

 

Kannst Du dich eventuell noch als Org-Admin anmelden?

Hier gibt es in dem Sinne keine strukturierte Rechteverwaltung; der Account "Administrator" ist aber auch Mitglied der Gruppe Org.Admins (wie es halt default-mäßig ist).

 

Hast der Domänen-Admin das Recht Die Richtline zu lesen?

Nein. Bei Zugriff auf die Richtlinien mit der GPMC kommt bei den Einstellung der Domänenrichtlinie, Administrativen Vorlagen sowohl bei Benutzer- als auch Computerkonfiguration:

Fehler beim Zusammenstellen von Informationen für Administrative Vorlagen.

Unbekannter Fehler bei der Zusammenstellung von Informationen für Ordner für diese Erweiterung. Details: Der Zugriff auf den Pfad \\%DCNAME%.%DOMAINNAME%\sysvol\%DOMAINNAME%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\adm wurde verweigert.

 

Gibt es ein Backup vom Systemstatus das Du einspielen könntest?

Nein, "Backup" (des Servers) war bist jetzt noch kein Thema :shock: . Werde ich sofort einführen, sobald alles läuft. So langsam schwant mir auch, warum die vorherigen externen kein Interesse mehr hatten...

 

Wie sieht die Sicherheitsrichlinie für den DC aus?

Meinst du die lokale GP des DC? Falls ja, diese ist lesbar.

 

edit:

sehe gerade, dass mit der DNS Authentication was nicht stimmt:

TEST: Authentication (Auth)

Error: Authentication failed with specified credentials

 

liegt wahrscheinlich auch an den gesetzten Richtlinien...

Share this post


Link to post

dcdiag führt folgende Fehler auf:

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\%DCNAME%

Starting test: Connectivity

......................... %DCNAME% passed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\%DCNAME%

Starting test: Replications

......................... %DCNAME% passed test Replications

Starting test: NCSecDesc

......................... %DCNAME% passed test NCSecDesc

Starting test: NetLogons

[%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert.

......................... %DCNAME% failed test NetLogons

Starting test: Advertising

......................... %DCNAME% passed test Advertising

Starting test: KnowsOfRoleHolders

......................... %DCNAME% passed test KnowsOfRoleHolders

Starting test: RidManager

......................... %DCNAME% passed test RidManager

Starting test: MachineAccount

Could not open pipe with [%DCNAME%]:failed with 5: Zugriff verweigert

Could not get NetBIOSDomainName

Failed can not test for HOST SPN

Failed can not test for HOST SPN

* Missing SPN :(null)

* Missing SPN :(null)

......................... %DCNAME% failed test MachineAccount

Starting test: Services

Could not open Remote ipc to [%DCNAME%]:failed with 5: Zugriff verweigert

......................... %DCNAME% failed test Services

Starting test: ObjectsReplicated

......................... %DCNAME% passed test ObjectsReplicated

Starting test: frssysvol

[%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert.

......................... %DCNAME% failed test frssysvol

Starting test: frsevent

......................... %DCNAME% failed test frsevent

Starting test: kccevent

Failed to enumerate event log records, error Zugriff verweigert

......................... %DCNAME% failed test kccevent

Starting test: systemlog

Failed to enumerate event log records, error Zugriff verweigert

......................... %DCNAME% failed test systemlog

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...