1
Zugriff verweigert beim hinzufügen einen Clients in eine Domäne
Hallo,
wir hatten heute bei allen Rechnern das problem,
das sich alle nur mit dem Lokalen Profil anmelden konnten, obwohl wir Servergespeicherte Profile verwenden.
Ich habe danach die Rechner alle aus der Domäne genommen und wollte Sie wieder, nach einem Neustart,
wieder hinein nehmen.
Da kam dann das Problem, das der Zugriff verweigert wurde.
Es half dann nur der Punkt3 aus der KB 908372 von Microsoft:
http://support.microsoft.com/default.aspx?scid=kb;de;908372
genauer gesagt war der Wert:
3. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Stellen Sie sicher, dass für den Enablesecuritysignature-Registrierungseintrag ein Wert 1 festgelegt ist.
nicht auf 1, sondern auf 0
Nach einem Neustart konnte man den Client wieder der Domäne hinzufügen.
Das Problem ist aber nun, dass wenn der Rechner wieder neu gestartet wird, wieder nur das lokale Profil geladen wird
und das ganze Problem von vorne los geht!
Das würde bedeutet, dass ich morgen hier um 5 Uhr da sein muss und jeden Rechner wieder in ordnung bringen muss...
Übermorgen dann wieder etc...
Da bin ich dann jedes mal >3h beschäftigt
Das Problem tritt bei alles W2k und XP Clients auf - Server = Windows Server 2003 Standard
Alle Clients haben eine feste IP.
Habt Ihr vielleicht eine Idee, wie man das umgeht und einstellt, das der Registry Wert erhalten bleibt?
Grüße
Marcel
wir hatten heute bei allen Rechnern das problem,
das sich alle nur mit dem Lokalen Profil anmelden konnten, obwohl wir Servergespeicherte Profile verwenden.
Ich habe danach die Rechner alle aus der Domäne genommen und wollte Sie wieder, nach einem Neustart,
wieder hinein nehmen.
Da kam dann das Problem, das der Zugriff verweigert wurde.
Es half dann nur der Punkt3 aus der KB 908372 von Microsoft:
http://support.microsoft.com/default.aspx?scid=kb;de;908372
genauer gesagt war der Wert:
3. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Stellen Sie sicher, dass für den Enablesecuritysignature-Registrierungseintrag ein Wert 1 festgelegt ist.
nicht auf 1, sondern auf 0
Nach einem Neustart konnte man den Client wieder der Domäne hinzufügen.
Das Problem ist aber nun, dass wenn der Rechner wieder neu gestartet wird, wieder nur das lokale Profil geladen wird
und das ganze Problem von vorne los geht!
Das würde bedeutet, dass ich morgen hier um 5 Uhr da sein muss und jeden Rechner wieder in ordnung bringen muss...
Übermorgen dann wieder etc...
Da bin ich dann jedes mal >3h beschäftigt
Das Problem tritt bei alles W2k und XP Clients auf - Server = Windows Server 2003 Standard
Alle Clients haben eine feste IP.
Habt Ihr vielleicht eine Idee, wie man das umgeht und einstellt, das der Registry Wert erhalten bleibt?
Grüße
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80559
Url: https://administrator.de/contentid/80559
Printed on: April 25, 2024 at 05:04 o'clock
1 Comment
Du kannst SMB Signing auch über eine GPO deaktivieren. Um die clients erst einmal wieder ans netz zu bekommen, mache bitte folgendes:
1. Am server erzwungene SMB Signierung abschalten (default domain controllers policy)
2. Am Server erzwungene SMB Signierung für clients abschalten (Default domain Policy)
3. Am Client die die lokale richtlinie edieren, die Option deaktivieren, den dienst "Server" und die LAN-Verbindung kurz ab und wieder einschalten.
4. gpupdate /force ausführen um die saubere einstellung vom Server zu erhalten.
Wie die das Konfigurierst, steht hier: http://support.microsoft.com/kb/916846
(Im GPO-Tree findest du diese Einstellungen unter Computereinst. Sicherheitsein. Lokale Einst. Sicherheitsoptionen) Sry für die ungenaue Positionsangabe, habe gerade kein windows zur Hand.
Sollte es noch immer nicht behoben sein, prüfe bitte die Einstellungen für den Sicheren Kanal, LDAP-Signierung und patchstatus der Server und Clients. Auch abgelaufene Zertifikate oder ungültige DNS-Einträge (letzteres zwar unwarscheinlich aber möglich) können diese Probleme verursachen.
Ich warte auf Rückmeldung wie das ausgeht
[EDIT]
Evt. könnten die Signing-Einstellungen auch in den SBS Richtlinien stecken. Prüfe bitte mit dem richtlinienergebnissatz auf einem Server und einem Client wo die Einstellungen gesetzt sind. Du kannst das Tool in der mmc (mmc.exe) unter Snap-Ins Hinzufügen hinzufügen.
[/EDIT]
1. Am server erzwungene SMB Signierung abschalten (default domain controllers policy)
2. Am Server erzwungene SMB Signierung für clients abschalten (Default domain Policy)
3. Am Client die die lokale richtlinie edieren, die Option deaktivieren, den dienst "Server" und die LAN-Verbindung kurz ab und wieder einschalten.
4. gpupdate /force ausführen um die saubere einstellung vom Server zu erhalten.
Wie die das Konfigurierst, steht hier: http://support.microsoft.com/kb/916846
(Im GPO-Tree findest du diese Einstellungen unter Computereinst. Sicherheitsein. Lokale Einst. Sicherheitsoptionen) Sry für die ungenaue Positionsangabe, habe gerade kein windows zur Hand.
Sollte es noch immer nicht behoben sein, prüfe bitte die Einstellungen für den Sicheren Kanal, LDAP-Signierung und patchstatus der Server und Clients. Auch abgelaufene Zertifikate oder ungültige DNS-Einträge (letzteres zwar unwarscheinlich aber möglich) können diese Probleme verursachen.
Ich warte auf Rückmeldung wie das ausgeht
[EDIT]
Evt. könnten die Signing-Einstellungen auch in den SBS Richtlinien stecken. Prüfe bitte mit dem richtlinienergebnissatz auf einem Server und einem Client wo die Einstellungen gesetzt sind. Du kannst das Tool in der mmc (mmc.exe) unter Snap-Ins Hinzufügen hinzufügen.
[/EDIT]
