Übernahme der Domänen-Sicherheitseinstellungen auf einen Client

Mitglied: AndiHenrich

AndiHenrich (Level 1) - Jetzt verbinden

04.11.2011 um 08:05 Uhr, 2992 Aufrufe, 7 Kommentare

Hallo,
als Neu-User möchte ich erst einmal ein "Hallo" in die Runde werfen. Kurz zu mir: Ich administriere in einer Einrichtung ca. 250 Arbeitsstationen und 5 Server (Win2003). Bin etwas über 40 Jahre jung und vieles im EDV-Bereich habe ich durch Lesen, Foren und Try&Error gelernt.

So und nun zu meinem Problem/Frage:
Durch veränderte Arbeitszeiten können sich nun unsere Mitarbeitenden die Arbeitszeit anders als bisher verteilen. Dies hatte (von mir erst nicht bemerkt) zur Folge, dass einige Kolleginen und Kollegen auf einmal das problem hatten, dass sie ab einer bestimmten Uhrzeit nicht mehr arbeiten konnten. Da aber keine direkte Systematik zu erkennen war und auch mit einem Neustart des Clients alles wieder ging, wanderte das problem erst mal nach hinten auf die Liste (ich weiß - nicht gut!).
Jetzt aber vermehren sich die Klagen und in den letzten beiden Tagen fiel mir folgendes ein: In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die max. Gültigkeit von Benutzertickets eingetragen werden kann. Diese steht Standartmäßig auf 10 Stunden, was jetzt nach der Recherche auch ziemlich gut passt. Immer ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt. Ich habe dann gestern im laufenden Betrieb den Wert auf 14 Stunden geändert, aber heute morgen festgestellt, dass es keine Wirkung gezeigt hat.
Die Fragen daher:
- Habe ich den richtigen Wert geändert und
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb

Für Tips und Such-Anregungen bedanke ich mich schon mal recht herzlich

Grüße
Andi Henrich
Mitglied: Logan000
04.11.2011 um 09:00 Uhr
Moin Moin

Zitat von @AndiHenrich:
In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die
max. Gültigkeit von Benutzertickets eingetragen werden kann.
Damit ist die DDP (Default Domain Policy) gemeint?

Die Fragen daher:
- Habe ich den richtigen Wert geändert und
Ich würde sagen Ja.
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb
Diese Einstellung ist eine Computereinstellung. Diese wird auf allen betroffenen Computern (Client, Server) nur bei Neustart übernommen.

Gruß L.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 09:34 Uhr
Hallo Logan000,
vielen Dank für Deine rasche Antwort.
Dann warte ich mal den heutigen Tag ab, ob es heute abend funktioniert.

Danke und Grüße
Andi
Bitte warten ..
Mitglied: DerWoWusste
04.11.2011 um 13:17 Uhr
Hi.

Du hast bei dem langen Text leider das Wichtigste, die Problembeschreibung, nur schwammig geliefert.
User können nicht mehr arbeiten
ist keine.
ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt.
schon eher. Aber was passiert dann? was passiert beim Versuch, z.B. auf ein Netzlaufwerk zuzugreifen?

Die Kerberos-Lifetimes sind doch überall default auf 10 STD., nirgendwo hab ich jemals von diesem Problem gelesen. Ich schätze, das hat mit Eurem Problem evtl. zu tun, aber es geht doch eher um ein Renewal des Tickets, das fehlschlägt.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 13:35 Uhr
Hallo DerWoWusste,

mit "User können nicht mehr arbeiten" meine ich:
- das Senden/Empfangen von Outlook schlägt fehl - Server kann nicht erreicht werden
- Netzwerkverbindungen (Laufwerk) sind nicht mehr erreichbar: Es kommt die Meldung Laufwerk nicht gefunden
- unsere Buchhaltung, die den ganzen Tag auf den Rechnern läuft ist nicht mehr erreichbar (Abakus Datenbank, die per Entire-Net-Work angesprochen wird)

Hilft das mehr?



Danke und Grüße
Andi
Bitte warten ..
Mitglied: DerWoWusste
04.11.2011 um 13:55 Uhr
Ein wenig mehr. Du solltest mal pingen um auszuschließen, dass sämtliche Konnektivität verloren geht - hol das nach.
Nimm auch Stellung zu meiner Anmerkung und informiere Dich, was Kerberos Ticket renewal ist und wie es Euch beeinflussen SOLLTE.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 17:06 Uhr
Hallo,
ich werde am Montagmorgen den Rechner starten und dann einmal prüfen, ob
- der Fehler gegen 17 Uhr noch auftritt
- der Ping noch geht

im Moment lese ich mich in die Tiefen von Kerberos ein (verstehe leider nicht alles). Ich habe da eine Ausarbeitung gefunden, die mir aber helfen kann.
Ich melde mich dann am Montag wieder...
Vielen Dank schon mal allen Helfern und schönes Wochenende
Andi
Bitte warten ..
Mitglied: AndiHenrich
17.11.2011 um 22:05 Uhr
Hallo,
jetzt mal zu meiner Rückmeldung.
Nachdem ich viel über/von Kerberos gelesen habe, bin ich mir sicher, an den richtigen Parametern geschraubt zu haben.
Denn...es funktioniert.
Vielen Dank an Euch für Tips und Schubsen in die richtige Richtung.
Andi
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit56 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 1 TagAllgemeinHyper-V20 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Off Topic
Nach 700 Tagen adwcleaner
altmetallerVor 1 TagAllgemeinOff Topic8 Kommentare

Hallo, ich habe in meinem Netzwerk diverse Maßnahmen, um nicht nur Angriffe, sondern auch - sagen wir mal - unerwünschte Datenabflüsse und Tracking zu ...

Server-Hardware
Was bedeuten die Abkürzungen beim HPE-Server wie z.B. NC, Mod-X?
gelöst kaineanungVor 1 TagFrageServer-Hardware19 Kommentare

Hallo Leute, ich habe ein HPE-Serverangebot vorliegen bei dem ich an 1-2 Positionen nicht weiß was diese überhaupt bedeuten. Suche ich im Internet danach ...

Netzwerkgrundlagen
DS-Lite Verständnisfrage Wireguard
gelöst fnbaluVor 1 TagFrageNetzwerkgrundlagen19 Kommentare

Hallo zusammen, bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so ...

Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

Microsoft Office
Jubiläen in Outlook 2016 korrekt eintragen
imebroVor 1 TagFrageMicrosoft Office16 Kommentare

Hallo an Alle. Wir haben nur einen recht kleinen Mitarbeiterkreis. Da in der Vergangenheit schon mehrfach versäumt wurde, Kolleg/-innen zu Betriebs-Jubiläen zu gratulieren, würde ...