pipo
Goto Top

Anmeldung an Domäne nicht möglich

diverse Errors an win2003

Hallo Forum,

die Anmeldung an Domäne ist nicht mehr möglich. Es gibt in Ereignissanzeige diverse Fehler

- alle Rechner im gleichen Netz
- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
- Fehler in Ereignisanzeige - Ereignisquellen :
. DNS
. Perflib
. WinMgmt
. Windows SharePoint Services
. MSDTC
. MSExchangeAL
. DAVEX
. Userenv

- vorgenommene Änderungen

. Aktivieren der lokalen Firewall
. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
. DNSmgmt : Als DNS Server wurde die IP von Firewall in die IP Liste hinzugefügt(1. vom Server - 2. vom Firewall)

Was kommt als Ursache in Frage?
Welche Dienste sind für die Anmeldung zuständig ?

Brauche dringend Hilfe. Danke im voraus.

Content-ID: 41200

Url: https://administrator.de/forum/anmeldung-an-domaene-nicht-moeglich-41200.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

gemini
gemini 01.10.2006 um 09:47:04 Uhr
Goto Top
Hallo pipo,

- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
Ich würde auf ein DNS-Problem tippen und zwar bei der Auflösung von Clientseite aus.

. Aktivieren der lokalen Firewall
Ist damit die Windows-XP-Firewall gemeint?
In einer Domäne sollte die Netzwerksicherheit NICHT auf den Clients geregelt werden. Dafür gibt es entspr. Komponenten bspw. PIX oder NetScreen.

. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
Das ist OK!
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
Auf dem DC muss als bevorzugter Nameserver nur der DC selbst mit seiner IP (nicht dem loopback-Interface) stehen.
Bei 2 DCs gehört die jeweils eigene IP als bevorzugter Nameserver und die IP des anderen DC als alternativer NS eingetragen.
Die IP der Firewall gehört, soweit sie DNS-Forwarding unterstützt, in die Nameserver-Weiterleitungen.
Auf dem Clients gehören nur die IPs des/der DCs eingetragen.

Ausnahmelos alle DNS-Anfragen müssen an den DC gestellt werden, dieser entscheidet dann, falls die IP nicht im Cache ist, über die Weiterleitung.

HTH
gemini
Rafiki
Rafiki 01.10.2006, aktualisiert am 18.10.2012 um 17:57:16 Uhr
Goto Top
Hi pipo,

wenn ich deine Frage richtig verstanden habe aus du zwar die Firewall gewechselt, aber die IP Adressen von der Firewall und dem Server sind die gleichen geblieben. Stimmt das so?

Was meinst du mit "Aktivieren der lokalen Firewall" ? Hast du auf dem Server die Firewall aktiviert oder die neue Firewall an der Internetverbindung? Hast du Win2003 Server - SP1 installiert und die Microsoft Firewall aktiviert? Oder Zonealarm auf dem Server installiert? Wie ist die Firewall konfiguriert? Werden alle benötigten Dienste durchgelassen?

Wir versuchen mal den Fehler einzukreisen. Da DNS für die Microsoft Windows Welt sehr wichtig ist muss erst mal DNS funktionieren. Die meisten anderen evenltlog Einträge werden wahrscheinlich durch ein defekten DNS verursacht.
Ein ähnliches Problem wurde neulich mit Sojos diskutiert:
DNS Problem mit Win2k3


Fehlersuche und berichtigen der Einstellungen:

-- Auf dem Server --
In den Eigenschaften der Netzwerkkarte: Ein DNS Server sollte sich selber nicht über die loopback Adresse ansprechen sondern über seine eigene, echte Adresse. Der zweite Domain Controller, wenn es denn einen gibt, sollte der zweite DNS Eintrag sein.
Ob die Einstellungen richtig sind zeigt nslookup an:

Beispiel: ( Ich zeige nur die jetzt wichtigen Einträge )
C:\> ipconfig /allWindows-IP-KonfigurationHostname. . . . . . . . . . . . . : serverPrimäres DNS-Suffix . . . . . . . : meinefirma.deEthernetadapter LAN-Verbindung:DHCP aktiviert. . . . . . . . . . : NeinIP-Adresse. . . . . . . . . . . . : 192.168.1.250Subnetzmaske. . . . . . . . . . . : 255.255.255.0Standardgateway . . . . . . . . . : 192.168.1.1DNS-Server. . . . . . . . . . . . : 192.168.1.250


In den Eigenschaften vom DNS Dienst, auf dem Tab Forwarders (Sorry, ich habe gerade nur einen englischen Server) werden die beiden DNS Server von deinem Internet Provider eingetragen, oder deine Firewall, die dann wiederum den DNS von eurem ISP fragt.

Test mit nslookup, in diesem Beispiel ist der Name der Domain meinefirma, der Domain Controller heißt Server
nslookup meinefirma
ergibt als Antwort die IP Adresse von dem Server, z.B. 192.168.1.250
und beantwortet wird die Frage von dem DomainController.
Falsch wäre 127.0.0.1 oder die IP Adresse von der Firewall / Router.

nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250

-- Auf dem Client --
nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250. Wenn das nicht funktioniert dann wird entweder der falsche Server gefragt, der Domainname ist falsch bei dem Client eingetragen oder die Firewall auf dem Server verhindert das die DNS Pakete beim Server ankommen.

nslookup www.adac.de
sollte den Server fragen und auch eine Antwort erhalten, die der Server über den DNS Forwarders Eintrag, aus dem Internet geholt hat. Wenn das nicht funktioniert dann zur Kontrolle
nslookup www.adac.de 192.168.1.1 <- IP der Firewall
eingeben. Denn diese Frage geht dann direkt an die Firwall und umgeht den Server.

Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet ob eine angebotene Lösung erfolgreich war oder auch nicht.
pipo
pipo 01.10.2006 um 18:21:11 Uhr
Goto Top
Hi gemini !

Als Ergänzung:
ein Firewall (ipcop) wurde in betrieb genommen. Das funktioniert so weit und alle clients haben Internetzugang.
Anschließend habe ich auf DC unter Option DNS-Server Einstellungen in so fern geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
Dann habe ich den Stand. Gateway (Ethernetkarte) der Server angepasst (IP Des Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP des Firewalls hinzugefügt.
Dannhabe ich die Firewall an DC aktiviert, da wir Virusproblem auf clients hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)

Da Files auf einem Linux(PC) unter Samba sind, gibt's ohne Anmeldung an DC auch keine Zugang zu den Filesface-sad
Die etc\Hosts-Datei Client-seitig sind leer !

Liegt es nur daran (leere LMHosts bzw. Hosts) dass der Server nicht gefunden wird ?

Danke für deine Hilfe
gemini
gemini 01.10.2006 um 21:07:20 Uhr
Goto Top
Anschließend habe ich auf DC unter Option DNS-Server Einstellungen in so fern
geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
In den Einstellungen der Netzwerkkarte? Mach den Eintrag wieder raus, die Clients haben ausnahmelos ihre DCs anzufragen, niemanden sonst. Was die DCs nicht beantworten können wird an die in den Weiterleitungen (hier gehört die IP des IPCop rein) eingatragenen Nameserver weitergeleitet.

Dann habe ich den Stand. Gateway (Ethernetkarte) der Server angepasst (IP Des
Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP
des Firewalls hinzugefügt.
Siehe oben. Weiters soll der Server auf sich selbst verweisen und zwar auf seine richtige IP, nicht auf das loopback-Interface. Den entspr. MSKB-Artikel habe ich jetzt nicht parat, ist aber in Redmond nachzulesen face-wink

Dannhabe ich die Firewall an DC aktiviert, da wir Virusproblem auf clients
hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)
Gegen Viren hilft dir die beste Firewall der Welt nicht, dafür gibts Virenscanner.
Wenn du mit dem IPCop eine dedizierte Firewall hast, wieso eine zweite?
Wenn der IPCop sauber konfiguriert ist, leistet er mit Sicherheit mehr als die XP-Firewall.
IMHO ist es vorteilhafter, weniger aber dafür sauber konfigurierte Stellen zu haben.

Die etc\Hosts-Datei Client-seitig sind leer!
Hast du Linux-Clients oder meinst du die Windows-Hosts?
Anyway, die Hosts-Dateien brauchst du nicht, sofern der DNS funktioniert. Wenn er nicht funktioniert hakt es an so vielen Stellen, dass dir die Hosts auch nicht weiterhilft.

HTH
gemini
pipo
pipo 01.10.2006 um 22:33:52 Uhr
Goto Top
Hallo Rafiki,
vielleicht sollte ich unseren Netz darstellen und das Problem auch nochmal :

1 W2003 als DC
1 suse Linux als Fileserver (samba)
Clients: W2k u. XP

Einige Änderungen:

Ich habe versehentlich auf DC unter TCP/IP Einstellungen als DNS Server die ip von ipcop eingetragen.
Auch nach dem ich das zurückgesetzt und den Server rebootet habe, keine Anmeldung mehr möglich.

ping an Server : Unbekannter Host server.
ping fileserver : OK
InternetVerbindung aus Server: OK
IN DNS Eigenschaften auf Server ist unter Schnittstellen die Option nur folgende IP-Adresse
aktiviert mit der Ip von DomainControler und unter Weiterleitungen die von Firewall

- aktuelle Fehler auf dem Server(Ereignis.)
Ereignistyp: Fehler
Ereignisquelle: Perflib
Ereigniskategorie: Keine
Ereigniskennung: 1008
__________________________
- C:\>nslookup Domain_name (auf dem Server)
* Der Servername für die Adresse x.2.1 konnte nicht gefunden werden: Non
-existent domain
Server: UnKnown
Address: x.2.1
* servermaster wurde von UnKnown nicht gefunden: Non-existent domain
____________________________
- C:\>nslookup DomainControler (auf dem Server)
* Der Servername für die Adresse x.2.1 konnte nicht gefunden werden: Non
-existent domain
Server: UnKnown
Address: x.x.2.1

Name: DomainControler.Domain_name.local
Address: x.x.2.1
________________________
C:\>nslookup DomainControler bzw. Domain_name(auf dem Win-Client)
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse x.x.2.1 konnte nicht gefunden werden:
Timed out
Server: firewall.Domain_name.local
Address: x.x.2.8
* server wurde von firewall.Domain_name.local nicht gefunden: Non-existent do
main
____________________________
C:\>nslookup www.adac.de
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse x.x.2.1 konnte nicht gefunden werden:
Timed out
Server: firewall.Domain_name.local
Address: x.x.2.8

Nicht autorisierte Antwort:
Name: www.adac.de
Address: 80.146.237.33
___________________________
Kann es sein dass durch den falschen Eintrag der Firewall als DNS Server auf dem Domaincontroller diese Fehler verursacht wurden?

Wenn ich auf clients die DNS Adresse des Firewalls entferne habe ich keine Internet, sonst
gibt's Verbindung.

Bitte dringend um Hilfe und danke im voraus
pipo
pipo 02.10.2006 um 16:09:53 Uhr
Goto Top
Also es lag an die aktivierung der Firewall auf Win2003. Nun welche sinn macht ein Server Firewall, die alle Verbindungen blockiert? Da muß ich mich schlau machen face-smile
Trotzdem Danke an gemini und Rafiki
Rafiki
Rafiki 02.10.2006 um 17:32:44 Uhr
Goto Top
Die Firewall macht Sinn wenn du damit z.B. die Adressbereiche eingrenzen möchtest.
Beispiel Netzwerk 192.168.1.0
.1 Firewall / Router
.254 der zu schützende Server

Die PCs werden in zwei Adressbereiche aufgeteilt:

.128 - .160 Mitarbeiter
.32 - .127 Schüler, Aushilfen.

Dann dürfen z.B. DNS alle benutzen, aber "Windows Datei und Drucker Server" nur die Mitarbeiter aus dem höheren Netzwerkteil
Firewall Regel DNS: 192.168.1.0 255.255.255.0
Firewall Regel Datei freigabe: 192.168.1.128 255.255.255.128

Gruß Rafiki