axel-peter Geschrieben 5. September 2011 Geschrieben 5. September 2011 Hallo Fachinformatiker Gemeinde! Wir haben in unserem Firmennetzwerk ein größeres Problem. Die Clients finden wohl den DC nicht. Hier der Fehlercode aus der Ereignisanzeige: "Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen." Userenv/1054 Natürlich habe ich im Netz schon nach Ursachen gesucht. Meist handelt es sich um ein DNS-Problem. DNS funktioniert aber in diesem Netzwerk (meiner Meinung nach) tadellos. Woran kann das noch liegen? Gruß Axel Zitieren
janlutmeh Geschrieben 5. September 2011 Geschrieben 5. September 2011 Hallo Alex, wie hast du DNS getestet? Zunächst bitte die Clients testen. Welcher DNS wird abgefragt, funktioniert die Abfrage. Am DC prüfen ob er auf sich selbst verweist. Wurde die Konfiguration kürzlich geändert, bitte die Einträge in den Zonen prüfen. Gern gesehen sind auch mit dcdiag und netdiag am DC das System prüfen. Welche Probleme treten denn auf, ausser dem Eintrag? Lassen sich neue Systeme zur Domäne hinzufügen. Funktionieren sonstige DNS Geschichten (surfen etc.). Gruß Lutz Zitieren
axel-peter Geschrieben 5. September 2011 Autor Geschrieben 5. September 2011 Hallo Lutz, mit unzähligen pings und nslookups von Client zu Server und umgekehrt. Bei den Clients wird der korrekte DNS abgefragt. Auch surfen, Netzlaufwerkmapping usw funktioniert. Es lassen sich auch problemlos neue Clients in die Domain hinzufügen. Was genau meinst du damit, ob der DC auf sich selbst verweist? Ein weiteres Problem ist, dass die Gruppenrichtlinien nicht auf die Clients "verteilt" werden. Das seltsame ist, dass mir die einzelnen Richtlinien auf den Clients im "Richlinienergebinssatz" zwar angezeigt werden aber als "nicht übernommen (leer)" angezeigt werden, wobei eine Richtlinie als "übernommen" erscheint... netdiag: Computer Name: PDC DNS Host Name: pdc.xxx.com System info : Microsoft Windows Server 2003 (Build 3790) Processor : x86 Family 6 Model 2 Stepping 3, GenuineIntel List of installed hotfixes : KB2079403 KB2115168 KB2121546 KB2124261 KB2141007 KB2158563 KB2160329 KB2183461 KB2229593 KB2259922 KB2279986 KB2286198 KB2296011 KB2345886 KB2347290 KB2360131 KB2360937 KB2378111 KB2387149 KB2393802 KB2412687 KB2416451 KB2419635 KB2423089 KB2440591 KB2443105 KB2443685 KB2476490 KB2476687 KB2478953 KB2478960 KB2478971 KB2479628 KB2482017 KB2483185 KB2485376 KB2485663 KB2497640 KB2503658 KB2503665 KB2506212 KB2506223 KB2507618 KB2507938 KB2508272 KB2508429 KB2509553 KB2510587 KB2511455 KB2518295 KB2524375 KB2524426 KB2530548 KB2535512 KB2536276 KB2536276-v2 KB2544521 KB2544893 KB2555917 KB2559049 KB2562485 KB2562937 KB2566454 KB2567680 KB2570222 KB2570791 KB923561 KB924667-v2 KB925902-v2 KB926122 KB927891 KB930178 KB932168 KB933854 KB936357 KB938127 KB938464-v2 KB938759-v4 KB941569 KB942830 KB942831 KB943055 KB943460 KB943729 KB944338-v2 KB944653 KB945553 KB946026 KB948496 KB950759 KB950762 KB950974 KB951748 KB952004 KB952069 KB952954 KB953298 KB954155 KB954550-v5 KB954600 KB955069 KB955759 KB956572 KB956802 KB956803 KB956844 KB957097 KB958469 KB958644 KB958687 KB958869 KB959426 KB960225 KB960803 KB960859 KB961063 KB961118 KB961371-v2 KB961501 KB967715 KB967723 KB968389 KB968537 KB968816 KB969059 KB969805 KB969883 KB969947 KB970238 KB970430 KB970483 KB970653-v3 KB971029 KB971032 KB971468 KB971557 KB971633 KB971657 KB971737 KB971961 KB972270 KB973037 KB973346 KB973354 KB973507 KB973540 KB973687 KB973815 KB973825 KB973869 KB973904 KB973917-v2 KB974112 KB974318 KB974392 KB974571 KB975025 KB975467 KB975558_WM8 KB975560 KB975562 KB975713 KB977290 KB977816 KB977914 KB978037 KB978262 KB978338 KB978542 KB978601 KB978695 KB978706 KB979306 KB979309 KB979482 KB979559 KB979683 KB979687 KB979907 KB980182 KB980195 KB980218 KB980232 KB980436 KB981322 KB981350 KB981550 KB981793 KB981957 KB982132 KB982214 KB982381 KB982666 KB982802 Q147222 Netcard queries test . . . . . . . : Passed GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED] [WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets. GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED] Per interface results: Adapter : LAN-Verbindung 4 Netcard queries test . . . : Passed Host Name. . . . . . . . . : pdc IP Address . . . . . . . . : 192.168.4.2 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.4.1 Dns Servers. . . . . . . . : 192.168.4.1 AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Passed NetBT name test. . . . . . : Passed [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing. WINS service test. . . . . : Skipped There are no WINS servers configured for this interface. Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C} 1 NetBt transport currently configured. Autonet address test . . . . . . . : Passed IP loopback ping test. . . . . . . : Passed Default gateway test . . . . . . . : Passed NetBT name test. . . . . . . . . . : Passed [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined. Winsock test . . . . . . . . . . . : Passed DNS test . . . . . . . . . . . . . : Failed [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.4.1'. Please wait for 30 minutes for DNS server replication. [FATAL] No DNS servers have the DNS records for this DC registered. Redir and Browser test . . . . . . : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C} The redir is bound to 1 NetBt transport. List of NetBt transports currently bound to the browser NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C} The browser is bound to 1 NetBt transport. DC discovery test. . . . . . . . . : Passed DC list test . . . . . . . . . . . : Passed Trust relationship test. . . . . . : Skipped Kerberos test. . . . . . . . . . . : Passed LDAP test. . . . . . . . . . . . . : Passed Bindings test. . . . . . . . . . . : Passed WAN configuration test . . . . . . : Skipped No active remote access connections. Modem diagnostics test . . . . . . : Passed IP Security test . . . . . . . . . : Skipped Note: run "netsh ipsec dynamic show /?" for more detailed information The command completed successfully Als Info: Der DC ist nicht der DNS Server. Der DNS Server ist eine Linux-basierende Firewall namen pfSense. Geändert wurde nichts... Gruß Axel Zitieren
Thanks-and-Goodbye Geschrieben 5. September 2011 Geschrieben 5. September 2011 Lokaler DNS Server sollte in einem reinen Windwos Netz der (einer der) Windows DCs sein - AD ist DNS integriert. "Fremde" DNS Server haben damit Probleme. Also: der Server wird alleiniger DNS Server für die Clients, es erfolgt eine Weiterleitung (im DNS auf dem Win-Server einzustellen) auf die Linux-Box. Zitieren
Szel Geschrieben 5. September 2011 Geschrieben 5. September 2011 Ein weiteres Problem ist, dass die Gruppenrichtlinien nicht auf die Clients "verteilt" werden. Das seltsame ist, dass mir die einzelnen Richtlinien auf den Clients im "Richlinienergebinssatz" zwar angezeigt werden aber als "nicht übernommen (leer)" angezeigt werden, wobei eine Richtlinie als "übernommen" erscheint... Fehlen Client Side Extensions? Zitieren
janlutmeh Geschrieben 5. September 2011 Geschrieben 5. September 2011 DNS test . . . . . . . . . . . . . : Failed [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.4.1'. Please wait for 30 minutes for DNS server replication. [FATAL] No DNS servers have the DNS records for this DC registered. Was zu beweisen war. Erklärung und Abhilfe hat der Chief ja schon beschrieben. Gruß Lutz Zitieren
Tiro Geschrieben 6. September 2011 Geschrieben 6. September 2011 Ah. Mein Lieblingsfehler. Die Lösung dieses Problems hat mich ein Jahr meines Lebens gekostet. Drei mögliche Ursachen: 1) es ist eine Gigabit-NIC, die auf automatische Geschwindigkeit steht. Lösung: einmal umstellen auf 100 MBit Vollduplex, neu starten. 2) FAQ-GPO und mittlerweile bei "uns" die häufigste Ursache 3) Setzen eines Regkeys Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "GpNetworkStartTimeoutPolicyValue"=dword:0000003c und da unter Umständen die 60 (=3c) etwas erhöhen. Man sieht auf einen Blick ob es funktioniert hat, wenn man rsop.msc laufen läßt und es weder ein "X" noch ein "!" gibt. ;-) Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 Vielen Dank für die Antworten. Zum Verständnis: Ich habe jetzt auf dem DC die Forward- und Reverse lookupzonen eingerichtet. Die Linuxbox fungiert auch als DHCP. Hier wird anstatt der Linuxbox jetzt der DC als DNS für die Clients angegeben. Aber was meint ihr mit der Weiterleitung? Wo genau muss ich was konfigurieren? Und welchen DNS gebe ich auf dem DC in den Netzwerkkonfigurationen an? Den DC selbst oder die Linuxbox? Gruß Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 Danke Tiro, das werde ich als nächstes ausprobieren, sofern die DNS Geschichte keine Abhilfe schafft... Zitieren
Eye-Q Geschrieben 6. September 2011 Geschrieben 6. September 2011 So wie Du es jetzt eingerichtet hast, ist das schon in Ordnung, es wäre natürlich noch besser, wenn der Windows-Server auch den DHCP spielt, da dann das DHCP auch AD-integriert ist und sich das DNS dadurch automatisch aktualisiert, wenn sich ein Client eine neue Adresse holt. Auf dem DC solltest Du seine eigene IP-Adresse als DNS-Server eintragen. Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 (bearbeitet) Ich habe nun am DC und an 2 Testclients diese Konfigurationen vorgenommen. Die Clients geben keine Fehlermeldung mehr aus. Auch in der netdiag-Ausgabe erscheint bei DNS: passed... Das Problem mit den Gruppenrichtlinien besteht aber leider weiterhin (siehe Anhang). Gruß edit: es gibt weder ein "!" noch ein "X"... Bearbeitet 6. September 2011 von axel-peter Zitieren
Tiro Geschrieben 6. September 2011 Geschrieben 6. September 2011 Das "X" oder "!" wäre auch schon früher zu sehen. (Bild) Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 Wo das X und ! zu sehen wäre, ist mir schon klar. Aber hier bitteschön Zitieren
Tiro Geschrieben 6. September 2011 Geschrieben 6. September 2011 was sagt gpresult /h gpreport.html ? Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 Dort steht eigentlich dasselbe wie in meinem Anhang im Post von 13.14 Uhr, soweit ich das sehe. Hier der das Ergebnis: C:\Dokumente und Einstellungen\xx.xx>gpresult Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0 Copyright © Microsoft Corp. 1981-2001 Am 06.09.2011 um 14:39:54 erstellt RSOP-Ergebnisse für xx\xx auf xx : Protokollierungsmodus ------------------------------------------------------------------------ Betriebssystemtyp: Microsoft Windows XP Professional Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe Betriebssystemversion: 5.1.2600 Domänenname: xx Domänentyp: Windows 2000 Standortname: Standardname-des-ersten-Standorts Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\xxx.xxx Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------- CN=xx,CN=Computers,DC=xx,DC=com Zeit der letzten Gruppenrichtlinienanwendung: 06.09.2011 at 13:44:16 Gruppenrichtlinie wurde angewendet von: pdc.xxx.com Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Domänenrichtlinie Richtlinien der lokalen Gruppe Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder Benutzer NETZWERK Authentifizierte Benutzer xxx$ Domänencomputer BENUTZEREINSTELLUNGEN ---------------------- CN=xx xx,OU=MyUsers,DC=xx,DC=com Zeit der letzten Gruppenrichtlinienanwendung: 06.09.2011 at 13:44:27 Gruppenrichtlinie wurde angewendet von: pdc.xx.com Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Bildschirmschoner 15min mit Kennwortschutz Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt ert wurden. ---------------------------------------------------------------------------- ------------ Kennwortrichtlinie Filterung: Nicht angewendet (Leer) WSUS Filterung: Nicht angewendet (Leer) Userprofile Filterung: Nicht angewendet (Leer) Remotedesktopuntersützung aktiv Filterung: Nicht angewendet (Leer) LogonSkript Filterung: Nicht angewendet (Leer) Überwachungsrichtlinie Filterung: Nicht angewendet (Leer) Domänenrichtlinie Filterung: Nicht angewendet (Leer) Klassische Anmeldung Filterung: Nicht angewendet (Leer) NTP für Clients Filterung: Nicht angewendet (Leer) Kontosperrungsrichtlinie Filterung: Nicht angewendet (Leer) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Domänen-Benutzer Jeder Benutzer Administratoren INTERAKTIV Authentifizierte Benutzer LOKAL Verwaltung Orca-Server Domänen-Admins Zitieren
Tiro Geschrieben 6. September 2011 Geschrieben 6. September 2011 Da wirst Du Dir mal eine GPO rauspicken und untersuchen müssen, warum sie gefiltert wird. Ist uU die Verebung abgeschaltet oder blockiert etc. btw: tritt eigentlich Fehler 1054 noch im Eventlog auf? Zitieren
axel-peter Geschrieben 6. September 2011 Autor Geschrieben 6. September 2011 Also an den GPO´selbst sollte es nicht liegen. Ich hab nämlich extra heute eine neue GPO angelegt. Vererbung ist bei allen aktiv, GPO´s sind mit der richtigen OU verknüpft und aktiviert. Der Fehler 1054 tritt seit der DNS "Umstellung" nicht mehr auf... Zitieren
axel-peter Geschrieben 7. September 2011 Autor Geschrieben 7. September 2011 weis keiner mehr weiter? Zitieren
pantsoff Geschrieben 7. September 2011 Geschrieben 7. September 2011 Um was für eine GPO handelt es sich genau? Wie sind die Sicherheitsberechtigungen? Haben die entsprechenden User Das Recht "lesen" und "GPO anwenden"? Was sagt gpresult/r ? User oder COmputer GPO? Zitieren
axel-peter Geschrieben 7. September 2011 Autor Geschrieben 7. September 2011 Es handelt sich um mehrere GPO´s, nicht um eine explizit. Unter anderem die Konfiguration von NTP, eine Passwortrichtlinie, eine Richtlinie, dass die klassische Anmeldung verwendet werden soll usw... Es handelt sich um reine User-GPO´s, keine Computer GPO´s. Insgesamt habe ich 9 GPO´s erstellt und alle sind mit der OU "MyUsers" verknüpft und aktiviert. Auf den Clients wird aber nur eine von den 9 GPO´s angewendet. Die anderen 8 werden nicht übernommen. Das habe ich bereits alles gepostet, auch gpresult 4 Posts vorher... Ich hoffe, ihr könnt mir weiterhelfen. Gruß Zitieren
axel-peter Geschrieben 8. September 2011 Autor Geschrieben 8. September 2011 Leute ich brauch eure Hilfe. Weis denn keine mehr was. Ich bin ratlos... Zitieren
Tiro Geschrieben 8. September 2011 Geschrieben 8. September 2011 Es handelt sich um reine User-GPO´s, keine Computer GPO´s. Das wird Dein Problem sein sowie der Verknüpfungspunkt. zB Richtlinien zur Kennwörtern funktionieren nur auf Domänenebene und nicht in (Unter-)OUs. Such mal unter Group Policy Search nach Deinen GPOs und prüfe ob Deine GPO überhaupt am richtigen "Platz" ist ;-) Zitieren
axel-peter Geschrieben 9. September 2011 Autor Geschrieben 9. September 2011 Das wars, vielen vielen Dank. Ich hab die GPO´s alle auf Domänenebende verknüpft und schon funktioniert es Aber die Group Policy Search verstehe ich nicht ganz. Wo steht dort, an welchen "Platz" die GPO gehört, sprich, an welcher Stelle die GPOs verknüpft werden müssen? Nehmen wir als Beispiel \System\Windows Time Service\Time Providers\ Zitieren
Tiro Geschrieben 9. September 2011 Geschrieben 9. September 2011 Wo steht dort Ich meinte den "Category Path" und nicht den Verknüpfungspunkt im AD. Manche GPOs sind nur für Computer und manche nur für Benutzer. Alles unterhalb von "Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien" funktioniert beispielsweise nur auf Domänenebene. Außerhalb davon gilt diese Policy nur für lokale(!) Benutzer. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.