mrandersson
Goto Top

Anmeldung an der Domäne fehlgeschlagen

Hallo,

ich habe vorgestern einen Windows 2003 Server installiert und nun den Domänencontroller und den DNS eingerichtet. Danach habe ich nun einen testuser angelegt um zu schauen, ob ich mich an der Domäne anmelden kann, allerdings tritt dann immer folgender Fehler auf:

361bfbf28c8cb1ed8da80b09355baee3-domaeneneinbindung_1

a95ac4eb0780904e009db3bcfe852df6-domaeneneinbindung_2

Unser Netzwerk: Clients -> Server -> Router (192.168.1.1)

Hier die Netzwerkkonfiguration des Servers:
IP-Adresse: 192.168.1.220
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 127.0.0.1

Hier die Netzwerkkonfiguration des XP-Clients:
IP-Adresse: 192.168.1.210
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.220
DNS: 192.168.1.220

Danach habe ich noch einmal Ping-tests durchgeführt (zusätzlich noch einen Vista-Client mitverwendet):

Hier die Netzwerkkonfiguration des Vista-Clients: (soll nicht in die Domäne eingebunden werden)
IP-Adresse: 192.168.1.23
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1

Server - VistaClient: erfolgreich
Server- XP-Client: Zeitüberschreitung der Anforderung

VistaClient - Server: Zeitüberschreitung der Anforderung
VistaClient - XPClient: Zeitüberschreitung der Anforderung

XPClient - Server: Zeitüberschreitung der Anforderung
XPClient - VistaClient: erfolgreich

Vielleicht wisst ihr vielleicht, was ich tun kann um den Rechner korrekt in die Domäne einzubinden?

Gruß

Content-ID: 111196

Url: https://administrator.de/forum/anmeldung-an-der-domaene-fehlgeschlagen-111196.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

ITwissen
ITwissen 12.03.2009 um 10:37:57 Uhr
Goto Top
Die Darstellung von "Unser Netzwerk" ist falsch.

Das Gateway beim XP Client ist falsch.

Wie lautet die IP von "internet.local" ?
MrAndersson
MrAndersson 12.03.2009 um 11:29:19 Uhr
Goto Top
Zitat von @ITwissen:
Die Darstellung von "Unser Netzwerk" ist falsch.
Was ist daran falsch?

Das Gateway beim XP Client ist falsch.
Was sollte denn hier eingetragen sein? Ist hier nicht der Server 2003 das Gateway?

Wie lautet die IP von "internet.local" ?
Dies ist ja die IP des Servers, auf dem der Domänencontroller installiert wurde, in dem Fall ja wie oben beschrieben 192.168.1.220
ITwissen
ITwissen 12.03.2009 um 11:37:17 Uhr
Goto Top
Server und Client sind normal gleichwertig, die unterscheiden sich nur in den Services die Laufen. Ein Server ist normal kein Router, wozu auch, dafür hat es ja ein extra Geraet.

Da der Server kein Router ist, ist er auch nicht das Gateway vom XP Rechner,. Also gleiche Gateway Einstellung wie beim Vista Rechner.

Welche IP bekommst du wenn du auf allen drei Rechner mit einem "ping internet.local" ?
MrAndersson
MrAndersson 12.03.2009 um 13:18:59 Uhr
Goto Top
Zitat von @ITwissen:
Server und Client sind normal gleichwertig, die unterscheiden sich nur
in den Services die Laufen. Ein Server ist normal kein Router, wozu
auch, dafür hat es ja ein extra Geraet.

Das habe ich glaube auch nicht behauptet,oder?
Ich wollte nur aufzeigen, welchen Weg die Pakete vom Client zum Internet gehen.
Also erst DNS-Anfrage an den W2k3s, der dann über den Forward-Eintrag das Paket weiter an den Router gibt.
Ist doch richtig, oder?

Da der Server kein Router ist, ist er auch nicht das Gateway vom XP
Rechner,. Also gleiche Gateway Einstellung wie beim Vista Rechner.
Okay, habe nun auf dem WindowsXP Rechner auch als Gateway die IP vom Router eingetragen.
DNS bleibt aber weiterhin die vom Win2003-Server, oder?
Welche IP bekommst du wenn du auf allen drei Rechner mit einem
"ping internet.local" ?
Wenn ich vom Vista oder XP Rechner anpinge erscheint folgende Fehlermeldung:
69d403e3445c019658b5221264f475e8-ping_fehler

Vom W2k3s bekomme ich eine Antwort von der Adresse 192.168.1.220
ITwissen
ITwissen 12.03.2009 um 13:36:26 Uhr
Goto Top
Ach, jetzt sehe ichs. Das haette mir schon vorher auffallen müssen. Natuerlich muss der Windows Server als DNS Server auf den XP/Vista Rechnern eingetragen sein. Auf dem XP ist das ja schon.
MrAndersson
MrAndersson 12.03.2009 um 13:47:31 Uhr
Goto Top
Zitat von @ITwissen:
Ach, jetzt sehe ichs. Das haette mir schon vorher auffallen
müssen. Natuerlich muss der Windows Server als DNS Server auf den
XP/Vista Rechnern eingetragen sein. Auf dem XP ist das ja schon.
Naja, auf dem Vista Rechner ja nicht, da dieser ja wie oben beschrieben nicht in die Domäne eingebunden werden soll.
Trotzdem besteht ja immer noch das Problem, dass ich den XP-Rechner nicht in die Domäne bekomme face-sad
ITwissen
ITwissen 12.03.2009 um 15:38:50 Uhr
Goto Top
Ja, weil der XP Rechner den falschen DNS Server benutzt.
chips1
chips1 12.03.2009 um 20:29:51 Uhr
Goto Top
Hallo
Mein Vorschlag:

Server
IP-Adresse: 192.168.1.220
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 127.0.0.1 (er selbst, ok, aber wenn der Server auch surfen soll als zweiten DNS den Router
also 192.168.1.1)

XP-Clients:
IP-Adresse: 192.168.1.210
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.220

Vista-Clients: (soll nicht in die Domäne eingebunden werden)
IP-Adresse: 192.168.1.23
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1

DNS-Service muss am Server natürlich richtig eingerichtet sein, sonst erkennt der XP ihn nie und kann auch nicht in die Domain bzw. AD.
XP hat deinen Server bis jetzt einfach noch nicht als solchen erkannt.
Probier mal und halte uns am auf dem Laufenden...

Gruss und viel Erfolg
MrAndersson
MrAndersson 13.03.2009 um 11:14:31 Uhr
Goto Top
Zitat von @chips1:
Hallo
Mein Vorschlag:

Server
IP-Adresse: 192.168.1.220
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 127.0.0.1 (er selbst, ok, aber wenn der Server auch surfen soll
als zweiten DNS den Router
also 192.168.1.1)

XP-Clients:
IP-Adresse: 192.168.1.210
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.220

Vista-Clients: (soll nicht in die Domäne eingebunden werden)
IP-Adresse: 192.168.1.23
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1

DNS-Service muss am Server natürlich richtig eingerichtet sein,
sonst erkennt der XP ihn nie und kann auch nicht in die Domain bzw.
AD.
XP hat deinen Server bis jetzt einfach noch nicht als solchen
erkannt.
Probier mal und halte uns am auf dem Laufenden...

Gruss und viel Erfolg

Vielen Dank für die Tipps, aber das hat leider auch nicht funktioniert.
Werde jetzt das ganze mal in einer VMWare als Host-Only (eigenes Netzwerk) installieren und schauen ob das klappt, werde da dann denke ich noch eine Aufzeichnung von meiner Konfiguration machen und diese hier bei Problemen einstellen, so ist denke ich auch eine präszisere Analyse machbar.

Gruß
ITwissen
ITwissen 13.03.2009 um 11:33:06 Uhr
Goto Top
Tut das "ping internet.local" inzwischen?
Solange das nicht tut, kann es auch mit der Domäne nicht funktionieren.
MrAndersson
MrAndersson 17.03.2009 um 07:53:04 Uhr
Goto Top
So meine Lieben,

ich bin nun der Lösung ein ganzes Stück weitergekommen:

Soviel schonmal vorab: Der Fehler lag in diesem Fall bei der Firewall !!!
Nun zu meinem Vorgehen:

Nachdem ich Windows Enterprise Server 2003 R2 und Windows XP in einer virtuellen Maschine (als Host-Only - eigenes abgeschottetes Netzwerk) installiert hatte, funktionierte dort die Einbindung in die Domäne problemlos. Bis auf einige seltsame Vorgänge, wie z.B. die automatisierte Installation von Win2k3 Server (keine Lizensierungsabfrage [pro Gerät/Benutzer], keine Sprach- und Regionseinstellungen, usw. - lediglich die Seriennummer & der Name wurden vor der Installation abgefragt) hat auch alles super funktioniert.

Nachdem ich dann auf meinen physikalischen Rechner die Installationen (Win2k3s + WinXP) durchgeführt habe, hatte ich wieder das selbe Problem: Keine Domäneneinbindung und auch kein Ping möglich.
Nun habe ich einmal nachgeschaut, ob denn beim XP Rechner unter ICMP die Echoanfragen zugelassen werden, habe da dann einen Haken eingestellt und schon konnte ich einen Ping vom Win2ks auf den WinXP Rechner durchführen. Dies habe ich dann ebenfalls beim Win2ks durchgeführt und auch ein Ping vom WinXP auf den Win2ks Rechner funktionierte, allerdings ging der ping auf meine Domäne (in dem Fall: Internet.local) nicht. Dann habe ich herausgefunden, dass man um einen Rechner in die Domäne einzubinden noch mehr Sachen (Ports für DNS,LDAP,Kerberos) am Server freischalten muss. Nun habe ich einmal kurz die Firewall ausgeschaltet und siehe da: Eine Anmeldung an der Domäne verlief wunderbar!
Da eine ausgeschaltete Firewall auf einem Server natürlich eine ganz schlechte Idee ist werde ich diese wieder anschalten und die entsprechenden Ports DNS,LDAP & Kerberos freischalten.
Weiss vielleicht noch jemand von euch, welche Ports noch zur Domäneneinbindung erforderlich sind und ob ich noch etwas beachten muss?
Ich hoffe, dass ich einigen die selbiges Problem hatten oder haben werden mit diesem Ansatz weiterhelfen kann.

Auf jedenfall danke ich schon einmal allen hier, die mir versucht haben Tipps zu geben!

Gruß
ITwissen
ITwissen 17.03.2009 um 12:28:11 Uhr
Goto Top
Da eine ausgeschaltete Firewall auf einem Server natürlich eine ganz schlechte Idee ist

Warum ist das eine schlechte Idee?
Bzw. anderst rum gefragt: Wenn du alle kritischen Ports öffnest, wozu brauchst du dann noch die Firewall?

Es gab vor kurzem mal ein Thema über "Personal Firewalls"
Personal Firewall toll oder unfug?
MrAndersson
MrAndersson 17.03.2009 um 13:24:46 Uhr
Goto Top
Was hat das mit kritischen Ports zu tun?
Ich muss diese Ports in der Windows Firewall öffnen, anderenfalls kann ich die Clients nicht in die Domäne einbinden.
Eine Liste mit den Ports (Standartports), die ich freigeben werde gibt es hier.
ITwissen
ITwissen 17.03.2009 um 13:37:44 Uhr
Goto Top
Werden dann überhaupt noch Ports von der Firewall geblockt?
MrAndersson
MrAndersson 17.03.2009 um 14:06:50 Uhr
Goto Top
Geblockt werden dann zum Beispiel noch Remotedesktop, DHCP, AD Replication Service, usw. , es werden eben alle Dienste, die nicht ausdrücklich benötigt werden, sicherheitshalber gesperrt.