Jump to content

Problem mit DC, GPO, Freigaben... :(


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gibt es noch eine andere Lösung, um das Problem zu beheben? Hier (W2k3, XP Clients) treten auch BEIDE Fehler auf (also die von Rave unter http://www.mcseboard.de/windows-forum-ms-backoffice-31/sbs2003-sp1-ereignisanzeige-anwendung-event-id-1030-1058-a-89463.html ). Da ich für das Problem hinzugezogen wurde und alle durchgeführten Änderungen nicht dokumentiert wurden, ist es schwierig für mich, alle vorhandenen Probleme nachzuvollziehen.

So tritt z.B. auch das Problem auf, dass User das servergespeicherte Profil nicht laden können (Zugriff verweigert). Sowohl Freigabe- als auch NTFS-Rechte passen soweit denke ich. Auch unter Zuhilfenahme des Admin-Kontos können KEINE Verknüpfungen mit Freigaben auf eben jenem Server hergestellt werden.

Über eine "schnelle Hilfe" wäre ich dankbar. Ansonsten sehe ich keine Möglichkeit ausser dcgpofix auszuführen, was allerdings zu erheblichem Aufwand (und damit Kosten) führen würde...

Auch auf die default SYSVOL Freigabe kann nicht zugegriffen werden. Mir scheint, als wurde der DC komplett kaputt-konfiguriert - dennoch möchte ich eine Neuinstallation vermeiden.

 

edit: Ach ja, es gibt nur 1 DC.

Link zu diesem Kommentar

Ja, der Serverdienst läuft. Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte). Es kommt exakt die gleiche Meldung wie beim Zugriff auf SYSVOL oder NETLOGON.

Nach Gesprächen mit sog. IT-Bediensteten kann ich wohl auch davon ausgehen, dass direkt an den Domänensicherheitsrichtlinien "hantiert" wurde (OHNE KOPIE!!!! Das muss man sich mal vorstellen!). Evtl. wurden auch Rechte an den Freigaben verändert - jedoch konnte ich auf den ersten Blick keine grundsätzlichen Unverträglichkeiten feststellen.

Sowas ist mir nun auch noch nicht untergekommen, aber man lernt ja nie aus ;).

 

Mittlerweile habe ich weitere allgemeine Probleme ausgemacht: So wurden Clients geklont, ohne vorher eine neue SID zu vergeben....oh mann, da kommt glaube ich viel Arbeit auf mich zu :(.

Link zu diesem Kommentar
Wenn ich von einem Client (mit Benutzerrechten) auf die adm. Freigabe verbinden will, kommt (logischerweise) die Frage nach Benutzername und Passwort. Hier liegt jedoch AUCH ein Problem; es ist nämlich nicht möglich eine Verknüpfung dem Adminkonto aufzubauen (Fehlermeldung besagt, dass schon eine Verbindung besteht und diese erst abgebaut werden soll - was definitiv nicht richtig ist; oder - was wahrscheinlicher ist - es fehlen die entsprechende Rechte).

Dies Verhalten sollte normal sein. Probier mal statt \\SERVERNAME\c$ auf \\IP-ADRESSE\c$ zu verbinden. Die genannte schon bestehende Verbindung ist die durch den bereits angemeldeten Benutzer aufgebaute, außer Du bist mit Admin-Account angemeldet.

Link zu diesem Kommentar

Die Meldung kommt auch, wenn ich mit einem Benutzer einloggen möchte. Es wird nach dem Adminaccount + Passwort gefragt; dieses wird dann aber nicht akzeptiert. Wenn ich die IP anstatt dem Namen benutze ändert sich nichts an der Fehlermeldung (DNS funktioniert auch nach diversen Tests...).

Was mir aufgefallen ist: Verbindungen zu dem Domaincontroller funktionieren, wenn ich einen Rechner neu in die Domäne aufnehme sowie ein zugehöriges Benutzerkonto erstelle. Allerdings nur bis zum nächsten Neustart; dann kommt, dass das servergespeicherte Profil nicht geladen werden kann (Zugriff verweigert). Die Freigabe/NTFS Rechte für das Benutzerverzeichnis wurden testhalber auf Jeder - Vollzugriff gesetzt, was allerdings nichts geändert hat.

Link zu diesem Kommentar
kommst Du im Abgesicherten Modus rein?

Ich kann mich schon einloggen auf dem DC. Ob das im Abgesicherten Modus funktioniert kann ich leider nicht sagen, da ich den DC momentan nicht neustarten "darf", da er für die Arbeit benötigt wird; das erledige ich morgen abend. Muss leider heute noch zu einem weiteren Kunden.

 

Kannst Du dich eventuell noch als Org-Admin anmelden?

Hier gibt es in dem Sinne keine strukturierte Rechteverwaltung; der Account "Administrator" ist aber auch Mitglied der Gruppe Org.Admins (wie es halt default-mäßig ist).

 

Hast der Domänen-Admin das Recht Die Richtline zu lesen?

Nein. Bei Zugriff auf die Richtlinien mit der GPMC kommt bei den Einstellung der Domänenrichtlinie, Administrativen Vorlagen sowohl bei Benutzer- als auch Computerkonfiguration:

Fehler beim Zusammenstellen von Informationen für Administrative Vorlagen.

Unbekannter Fehler bei der Zusammenstellung von Informationen für Ordner für diese Erweiterung. Details: Der Zugriff auf den Pfad \\%DCNAME%.%DOMAINNAME%\sysvol\%DOMAINNAME%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\adm wurde verweigert.

 

Gibt es ein Backup vom Systemstatus das Du einspielen könntest?

Nein, "Backup" (des Servers) war bist jetzt noch kein Thema :shock: . Werde ich sofort einführen, sobald alles läuft. So langsam schwant mir auch, warum die vorherigen externen kein Interesse mehr hatten...

 

Wie sieht die Sicherheitsrichlinie für den DC aus?

Meinst du die lokale GP des DC? Falls ja, diese ist lesbar.

 

edit:

sehe gerade, dass mit der DNS Authentication was nicht stimmt:

TEST: Authentication (Auth)

Error: Authentication failed with specified credentials

 

liegt wahrscheinlich auch an den gesetzten Richtlinien...

Link zu diesem Kommentar

dcdiag führt folgende Fehler auf:

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\%DCNAME%

Starting test: Connectivity

......................... %DCNAME% passed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\%DCNAME%

Starting test: Replications

......................... %DCNAME% passed test Replications

Starting test: NCSecDesc

......................... %DCNAME% passed test NCSecDesc

Starting test: NetLogons

[%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert.

......................... %DCNAME% failed test NetLogons

Starting test: Advertising

......................... %DCNAME% passed test Advertising

Starting test: KnowsOfRoleHolders

......................... %DCNAME% passed test KnowsOfRoleHolders

Starting test: RidManager

......................... %DCNAME% passed test RidManager

Starting test: MachineAccount

Could not open pipe with [%DCNAME%]:failed with 5: Zugriff verweigert

Could not get NetBIOSDomainName

Failed can not test for HOST SPN

Failed can not test for HOST SPN

* Missing SPN :(null)

* Missing SPN :(null)

......................... %DCNAME% failed test MachineAccount

Starting test: Services

Could not open Remote ipc to [%DCNAME%]:failed with 5: Zugriff verweigert

......................... %DCNAME% failed test Services

Starting test: ObjectsReplicated

......................... %DCNAME% passed test ObjectsReplicated

Starting test: frssysvol

[%DCNAME%] An net use or LsaPolicy operation failed with error 5, Zugriff verweigert.

......................... %DCNAME% failed test frssysvol

Starting test: frsevent

......................... %DCNAME% failed test frsevent

Starting test: kccevent

Failed to enumerate event log records, error Zugriff verweigert

......................... %DCNAME% failed test kccevent

Starting test: systemlog

Failed to enumerate event log records, error Zugriff verweigert

......................... %DCNAME% failed test systemlog

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...