Übernahme der Domänen-Sicherheitseinstellungen auf einen Client
Hallo,
als Neu-User möchte ich erst einmal ein "Hallo" in die Runde werfen. Kurz zu mir: Ich administriere in einer Einrichtung ca. 250 Arbeitsstationen und 5 Server (Win2003). Bin etwas über 40 Jahre jung und vieles im EDV-Bereich habe ich durch Lesen, Foren und Try&Error gelernt.
So und nun zu meinem Problem/Frage:
Durch veränderte Arbeitszeiten können sich nun unsere Mitarbeitenden die Arbeitszeit anders als bisher verteilen. Dies hatte (von mir erst nicht bemerkt) zur Folge, dass einige Kolleginen und Kollegen auf einmal das problem hatten, dass sie ab einer bestimmten Uhrzeit nicht mehr arbeiten konnten. Da aber keine direkte Systematik zu erkennen war und auch mit einem Neustart des Clients alles wieder ging, wanderte das problem erst mal nach hinten auf die Liste (ich weiß - nicht gut!).
Jetzt aber vermehren sich die Klagen und in den letzten beiden Tagen fiel mir folgendes ein: In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die max. Gültigkeit von Benutzertickets eingetragen werden kann. Diese steht Standartmäßig auf 10 Stunden, was jetzt nach der Recherche auch ziemlich gut passt. Immer ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt. Ich habe dann gestern im laufenden Betrieb den Wert auf 14 Stunden geändert, aber heute morgen festgestellt, dass es keine Wirkung gezeigt hat.
Die Fragen daher:
- Habe ich den richtigen Wert geändert und
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb
Für Tips und Such-Anregungen bedanke ich mich schon mal recht herzlich
Grüße
Andi Henrich
Durch veränderte Arbeitszeiten können sich nun unsere Mitarbeitenden die Arbeitszeit anders als bisher verteilen. Dies hatte (von mir erst nicht bemerkt) zur Folge, dass einige Kolleginen und Kollegen auf einmal das problem hatten, dass sie ab einer bestimmten Uhrzeit nicht mehr arbeiten konnten. Da aber keine direkte Systematik zu erkennen war und auch mit einem Neustart des Clients alles wieder ging, wanderte das problem erst mal nach hinten auf die Liste (ich weiß - nicht gut!).
Jetzt aber vermehren sich die Klagen und in den letzten beiden Tagen fiel mir folgendes ein: In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die max. Gültigkeit von Benutzertickets eingetragen werden kann. Diese steht Standartmäßig auf 10 Stunden, was jetzt nach der Recherche auch ziemlich gut passt. Immer ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt. Ich habe dann gestern im laufenden Betrieb den Wert auf 14 Stunden geändert, aber heute morgen festgestellt, dass es keine Wirkung gezeigt hat.
Die Fragen daher:
- Habe ich den richtigen Wert geändert und
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb
Für Tips und Such-Anregungen bedanke ich mich schon mal recht herzlich
Grüße
Andi Henrich
7 Antworten
- LÖSUNG Logan000 schreibt am 04.11.2011 um 09:00:39 Uhr
- LÖSUNG AndiHenrich schreibt am 04.11.2011 um 09:34:10 Uhr
- LÖSUNG DerWoWusste schreibt am 04.11.2011 um 13:17:13 Uhr
- LÖSUNG AndiHenrich schreibt am 04.11.2011 um 13:35:02 Uhr
- LÖSUNG DerWoWusste schreibt am 04.11.2011 um 13:55:22 Uhr
- LÖSUNG AndiHenrich schreibt am 04.11.2011 um 17:06:15 Uhr
- LÖSUNG AndiHenrich schreibt am 17.11.2011 um 22:05:40 Uhr
- LÖSUNG AndiHenrich schreibt am 04.11.2011 um 17:06:15 Uhr
- LÖSUNG DerWoWusste schreibt am 04.11.2011 um 13:55:22 Uhr
- LÖSUNG AndiHenrich schreibt am 04.11.2011 um 13:35:02 Uhr
LÖSUNG 04.11.2011 um 09:00 Uhr
Moin Moin
Gruß L.
Zitat von @AndiHenrich:
In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die
max. Gültigkeit von Benutzertickets eingetragen werden kann.
Damit ist die DDP (Default Domain Policy) gemeint?In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die
max. Gültigkeit von Benutzertickets eingetragen werden kann.
Die Fragen daher:
- Habe ich den richtigen Wert geändert und
Ich würde sagen Ja.- Habe ich den richtigen Wert geändert und
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb
Diese Einstellung ist eine Computereinstellung. Diese wird auf allen betroffenen Computern (Client, Server) nur bei Neustart übernommen.Gruß L.
LÖSUNG 04.11.2011 um 09:34 Uhr
LÖSUNG 04.11.2011 um 13:17 Uhr
Hi.
Du hast bei dem langen Text leider das Wichtigste, die Problembeschreibung, nur schwammig geliefert.
Die Kerberos-Lifetimes sind doch überall default auf 10 STD., nirgendwo hab ich jemals von diesem Problem gelesen. Ich schätze, das hat mit Eurem Problem evtl. zu tun, aber es geht doch eher um ein Renewal des Tickets, das fehlschlägt.
Du hast bei dem langen Text leider das Wichtigste, die Problembeschreibung, nur schwammig geliefert.
User können nicht mehr arbeiten
ist keine.ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt.
schon eher. Aber was passiert dann? was passiert beim Versuch, z.B. auf ein Netzlaufwerk zuzugreifen?Die Kerberos-Lifetimes sind doch überall default auf 10 STD., nirgendwo hab ich jemals von diesem Problem gelesen. Ich schätze, das hat mit Eurem Problem evtl. zu tun, aber es geht doch eher um ein Renewal des Tickets, das fehlschlägt.
LÖSUNG 04.11.2011 um 13:35 Uhr
Hallo DerWoWusste,
mit "User können nicht mehr arbeiten" meine ich:
- das Senden/Empfangen von Outlook schlägt fehl - Server kann nicht erreicht werden
- Netzwerkverbindungen (Laufwerk) sind nicht mehr erreichbar: Es kommt die Meldung Laufwerk nicht gefunden
- unsere Buchhaltung, die den ganzen Tag auf den Rechnern läuft ist nicht mehr erreichbar (Abakus Datenbank, die per Entire-Net-Work angesprochen wird)
Hilft das mehr?
Danke und Grüße
Andi
mit "User können nicht mehr arbeiten" meine ich:
- das Senden/Empfangen von Outlook schlägt fehl - Server kann nicht erreicht werden
- Netzwerkverbindungen (Laufwerk) sind nicht mehr erreichbar: Es kommt die Meldung Laufwerk nicht gefunden
- unsere Buchhaltung, die den ganzen Tag auf den Rechnern läuft ist nicht mehr erreichbar (Abakus Datenbank, die per Entire-Net-Work angesprochen wird)
Hilft das mehr?
Danke und Grüße
Andi
LÖSUNG 04.11.2011 um 13:55 Uhr
LÖSUNG 04.11.2011 um 17:06 Uhr
Hallo,
ich werde am Montagmorgen den Rechner starten und dann einmal prüfen, ob
- der Fehler gegen 17 Uhr noch auftritt
- der Ping noch geht
im Moment lese ich mich in die Tiefen von Kerberos ein (verstehe leider nicht alles). Ich habe da eine Ausarbeitung gefunden, die mir aber helfen kann.
Ich melde mich dann am Montag wieder...
Vielen Dank schon mal allen Helfern und schönes Wochenende
Andi
ich werde am Montagmorgen den Rechner starten und dann einmal prüfen, ob
- der Fehler gegen 17 Uhr noch auftritt
- der Ping noch geht
im Moment lese ich mich in die Tiefen von Kerberos ein (verstehe leider nicht alles). Ich habe da eine Ausarbeitung gefunden, die mir aber helfen kann.
Ich melde mich dann am Montag wieder...
Vielen Dank schon mal allen Helfern und schönes Wochenende
Andi
LÖSUNG 17.11.2011 um 22:05 Uhr