Anmeldung an Domäne nicht möglich
diverse Errors an win2003
Hallo Forum,
die Anmeldung an Domäne ist nicht mehr möglich. Es gibt in Ereignissanzeige diverse Fehler
- alle Rechner im gleichen Netz
- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
- Fehler in Ereignisanzeige - Ereignisquellen :
. DNS
. Perflib
. WinMgmt
. Windows SharePoint Services
. MSDTC
. MSExchangeAL
. DAVEX
. Userenv
- vorgenommene Änderungen
. Aktivieren der lokalen Firewall
. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
. DNSmgmt : Als DNS Server wurde die IP von Firewall in die IP Liste hinzugefügt(1. vom Server - 2. vom Firewall)
Was kommt als Ursache in Frage?
Welche Dienste sind für die Anmeldung zuständig ?
Brauche dringend Hilfe. Danke im voraus.
Hallo Forum,
die Anmeldung an Domäne ist nicht mehr möglich. Es gibt in Ereignissanzeige diverse Fehler
- alle Rechner im gleichen Netz
- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
- Fehler in Ereignisanzeige - Ereignisquellen :
. DNS
. Perflib
. WinMgmt
. Windows SharePoint Services
. MSDTC
. MSExchangeAL
. DAVEX
. Userenv
- vorgenommene Änderungen
. Aktivieren der lokalen Firewall
. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
. DNSmgmt : Als DNS Server wurde die IP von Firewall in die IP Liste hinzugefügt(1. vom Server - 2. vom Firewall)
Was kommt als Ursache in Frage?
Welche Dienste sind für die Anmeldung zuständig ?
Brauche dringend Hilfe. Danke im voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41200
Url: https://administrator.de/forum/anmeldung-an-domaene-nicht-moeglich-41200.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo pipo,
In einer Domäne sollte die Netzwerksicherheit NICHT auf den Clients geregelt werden. Dafür gibt es entspr. Komponenten bspw. PIX oder NetScreen.
Bei 2 DCs gehört die jeweils eigene IP als bevorzugter Nameserver und die IP des anderen DC als alternativer NS eingetragen.
Die IP der Firewall gehört, soweit sie DNS-Forwarding unterstützt, in die Nameserver-Weiterleitungen.
Auf dem Clients gehören nur die IPs des/der DCs eingetragen.
Ausnahmelos alle DNS-Anfragen müssen an den DC gestellt werden, dieser entscheidet dann, falls die IP nicht im Cache ist, über die Weiterleitung.
HTH
gemini
- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
Ich würde auf ein DNS-Problem tippen und zwar bei der Auflösung von Clientseite aus.- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
. Aktivieren der lokalen Firewall
Ist damit die Windows-XP-Firewall gemeint?In einer Domäne sollte die Netzwerksicherheit NICHT auf den Clients geregelt werden. Dafür gibt es entspr. Komponenten bspw. PIX oder NetScreen.
. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
Das ist OK! 2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
Auf dem DC muss als bevorzugter Nameserver nur der DC selbst mit seiner IP (nicht dem loopback-Interface) stehen.Bei 2 DCs gehört die jeweils eigene IP als bevorzugter Nameserver und die IP des anderen DC als alternativer NS eingetragen.
Die IP der Firewall gehört, soweit sie DNS-Forwarding unterstützt, in die Nameserver-Weiterleitungen.
Auf dem Clients gehören nur die IPs des/der DCs eingetragen.
Ausnahmelos alle DNS-Anfragen müssen an den DC gestellt werden, dieser entscheidet dann, falls die IP nicht im Cache ist, über die Weiterleitung.
HTH
gemini
Hi pipo,
wenn ich deine Frage richtig verstanden habe aus du zwar die Firewall gewechselt, aber die IP Adressen von der Firewall und dem Server sind die gleichen geblieben. Stimmt das so?
Was meinst du mit "Aktivieren der lokalen Firewall" ? Hast du auf dem Server die Firewall aktiviert oder die neue Firewall an der Internetverbindung? Hast du Win2003 Server - SP1 installiert und die Microsoft Firewall aktiviert? Oder Zonealarm auf dem Server installiert? Wie ist die Firewall konfiguriert? Werden alle benötigten Dienste durchgelassen?
Wir versuchen mal den Fehler einzukreisen. Da DNS für die Microsoft Windows Welt sehr wichtig ist muss erst mal DNS funktionieren. Die meisten anderen evenltlog Einträge werden wahrscheinlich durch ein defekten DNS verursacht.
Ein ähnliches Problem wurde neulich mit Sojos diskutiert:
DNS Problem mit Win2k3
Fehlersuche und berichtigen der Einstellungen:
-- Auf dem Server --
In den Eigenschaften der Netzwerkkarte: Ein DNS Server sollte sich selber nicht über die loopback Adresse ansprechen sondern über seine eigene, echte Adresse. Der zweite Domain Controller, wenn es denn einen gibt, sollte der zweite DNS Eintrag sein.
Ob die Einstellungen richtig sind zeigt nslookup an:
Beispiel: ( Ich zeige nur die jetzt wichtigen Einträge )
In den Eigenschaften vom DNS Dienst, auf dem Tab Forwarders (Sorry, ich habe gerade nur einen englischen Server) werden die beiden DNS Server von deinem Internet Provider eingetragen, oder deine Firewall, die dann wiederum den DNS von eurem ISP fragt.
Test mit nslookup, in diesem Beispiel ist der Name der Domain meinefirma, der Domain Controller heißt Server
ergibt als Antwort die IP Adresse von dem Server, z.B. 192.168.1.250
und beantwortet wird die Frage von dem DomainController.
Falsch wäre 127.0.0.1 oder die IP Adresse von der Firewall / Router.
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250
-- Auf dem Client --
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250. Wenn das nicht funktioniert dann wird entweder der falsche Server gefragt, der Domainname ist falsch bei dem Client eingetragen oder die Firewall auf dem Server verhindert das die DNS Pakete beim Server ankommen.
sollte den Server fragen und auch eine Antwort erhalten, die der Server über den DNS Forwarders Eintrag, aus dem Internet geholt hat. Wenn das nicht funktioniert dann zur Kontrolle
eingeben. Denn diese Frage geht dann direkt an die Firwall und umgeht den Server.
Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet ob eine angebotene Lösung erfolgreich war oder auch nicht.
wenn ich deine Frage richtig verstanden habe aus du zwar die Firewall gewechselt, aber die IP Adressen von der Firewall und dem Server sind die gleichen geblieben. Stimmt das so?
Was meinst du mit "Aktivieren der lokalen Firewall" ? Hast du auf dem Server die Firewall aktiviert oder die neue Firewall an der Internetverbindung? Hast du Win2003 Server - SP1 installiert und die Microsoft Firewall aktiviert? Oder Zonealarm auf dem Server installiert? Wie ist die Firewall konfiguriert? Werden alle benötigten Dienste durchgelassen?
Wir versuchen mal den Fehler einzukreisen. Da DNS für die Microsoft Windows Welt sehr wichtig ist muss erst mal DNS funktionieren. Die meisten anderen evenltlog Einträge werden wahrscheinlich durch ein defekten DNS verursacht.
Ein ähnliches Problem wurde neulich mit Sojos diskutiert:
DNS Problem mit Win2k3
Fehlersuche und berichtigen der Einstellungen:
-- Auf dem Server --
In den Eigenschaften der Netzwerkkarte: Ein DNS Server sollte sich selber nicht über die loopback Adresse ansprechen sondern über seine eigene, echte Adresse. Der zweite Domain Controller, wenn es denn einen gibt, sollte der zweite DNS Eintrag sein.
Ob die Einstellungen richtig sind zeigt nslookup an:
Beispiel: ( Ich zeige nur die jetzt wichtigen Einträge )
C:\> ipconfig /allWindows-IP-KonfigurationHostname. . . . . . . . . . . . . : serverPrimäres DNS-Suffix . . . . . . . : meinefirma.deEthernetadapter LAN-Verbindung:DHCP aktiviert. . . . . . . . . . : NeinIP-Adresse. . . . . . . . . . . . : 192.168.1.250Subnetzmaske. . . . . . . . . . . : 255.255.255.0Standardgateway . . . . . . . . . : 192.168.1.1DNS-Server. . . . . . . . . . . . : 192.168.1.250
In den Eigenschaften vom DNS Dienst, auf dem Tab Forwarders (Sorry, ich habe gerade nur einen englischen Server) werden die beiden DNS Server von deinem Internet Provider eingetragen, oder deine Firewall, die dann wiederum den DNS von eurem ISP fragt.
Test mit nslookup, in diesem Beispiel ist der Name der Domain meinefirma, der Domain Controller heißt Server
nslookup meinefirma
ergibt als Antwort die IP Adresse von dem Server, z.B. 192.168.1.250
und beantwortet wird die Frage von dem DomainController.
Falsch wäre 127.0.0.1 oder die IP Adresse von der Firewall / Router.
nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250
-- Auf dem Client --
nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250. Wenn das nicht funktioniert dann wird entweder der falsche Server gefragt, der Domainname ist falsch bei dem Client eingetragen oder die Firewall auf dem Server verhindert das die DNS Pakete beim Server ankommen.
nslookup www.adac.de
sollte den Server fragen und auch eine Antwort erhalten, die der Server über den DNS Forwarders Eintrag, aus dem Internet geholt hat. Wenn das nicht funktioniert dann zur Kontrolle
nslookup www.adac.de 192.168.1.1
<- IP der Firewalleingeben. Denn diese Frage geht dann direkt an die Firwall und umgeht den Server.
Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet ob eine angebotene Lösung erfolgreich war oder auch nicht.
Anschließend habe ich auf DC unter Option DNS-Server Einstellungen in so fern
geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
In den Einstellungen der Netzwerkkarte? Mach den Eintrag wieder raus, die Clients haben ausnahmelos ihre DCs anzufragen, niemanden sonst. Was die DCs nicht beantworten können wird an die in den Weiterleitungen (hier gehört die IP des IPCop rein) eingatragenen Nameserver weitergeleitet.geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
Dann habe ich den Stand. Gateway (Ethernetkarte) der Server angepasst (IP Des
Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP
des Firewalls hinzugefügt.
Siehe oben. Weiters soll der Server auf sich selbst verweisen und zwar auf seine richtige IP, nicht auf das loopback-Interface. Den entspr. MSKB-Artikel habe ich jetzt nicht parat, ist aber in Redmond nachzulesen Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP
des Firewalls hinzugefügt.
Dannhabe ich die Firewall an DC aktiviert, da wir Virusproblem auf clients
hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)
Gegen Viren hilft dir die beste Firewall der Welt nicht, dafür gibts Virenscanner.hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)
Wenn du mit dem IPCop eine dedizierte Firewall hast, wieso eine zweite?
Wenn der IPCop sauber konfiguriert ist, leistet er mit Sicherheit mehr als die XP-Firewall.
IMHO ist es vorteilhafter, weniger aber dafür sauber konfigurierte Stellen zu haben.
Die etc\Hosts-Datei Client-seitig sind leer!
Hast du Linux-Clients oder meinst du die Windows-Hosts?Anyway, die Hosts-Dateien brauchst du nicht, sofern der DNS funktioniert. Wenn er nicht funktioniert hakt es an so vielen Stellen, dass dir die Hosts auch nicht weiterhilft.
HTH
gemini
Die Firewall macht Sinn wenn du damit z.B. die Adressbereiche eingrenzen möchtest.
Beispiel Netzwerk 192.168.1.0
.1 Firewall / Router
.254 der zu schützende Server
Die PCs werden in zwei Adressbereiche aufgeteilt:
.128 - .160 Mitarbeiter
.32 - .127 Schüler, Aushilfen.
Dann dürfen z.B. DNS alle benutzen, aber "Windows Datei und Drucker Server" nur die Mitarbeiter aus dem höheren Netzwerkteil
Firewall Regel DNS: 192.168.1.0 255.255.255.0
Firewall Regel Datei freigabe: 192.168.1.128 255.255.255.128
Gruß Rafiki
Beispiel Netzwerk 192.168.1.0
.1 Firewall / Router
.254 der zu schützende Server
Die PCs werden in zwei Adressbereiche aufgeteilt:
.128 - .160 Mitarbeiter
.32 - .127 Schüler, Aushilfen.
Dann dürfen z.B. DNS alle benutzen, aber "Windows Datei und Drucker Server" nur die Mitarbeiter aus dem höheren Netzwerkteil
Firewall Regel DNS: 192.168.1.0 255.255.255.0
Firewall Regel Datei freigabe: 192.168.1.128 255.255.255.128
Gruß Rafiki