hopinor
Goto Top

Kein Zugriff möglich auf Win8-PCs (RDP, DCOM, C) in ActiveDirectory

Hallo,

Ist-Zustand:

Windows Server SBS 2011 (2 Server)192.168.2.2 / 192.168.2.4
Router192.168.2.1
Windows 8 Arbeitsplätze, 10 Stück192.168.2.2XX
Windows 7 Arbeitsplätze, 3 Stück192.168.2.2XX

Die Server wurdne bereits vor 1,5 Jahren von SBS 2003 auf SBS 2011 migriert.
Alle System sind mit aktuellen Patches versehen. Alle Arbeitsplätze können normal genutzt werden.
Serverfreigaben, Gruppenrichtlinien, Drucker..etc. funktionieren.

Problem:

Ich bekomme von den Servern (oder von anderen Arbeitsplätzen) keinen Zugriff auf die Windows-8-Arbeitsplätze.
Es sieht für mich so aus also ob alle Ports geblockt werden:

- Kein Zugriff auf RDP (z.B. mit telnet x.x.x.x 3389)
- Kein Zugriff auf DCOM, Port 135 (resultierend: etliche Einträgen im EreignisProtokoll mit Event 10009)
- Kein Zugriff auf Administrative Freigaben (C$) -> Fehler: 53 = Netzwerkpfad nicht gefunden
- teilweise kein Ping möglich. manchmal funktioniert es.. !?

Diese Probleme tauchen in allen möglichen Varianten auf:

Win8 PC -> Win8 PC
Server1 -> Win8 PC
Server2 -> Win8 PC

Ein Zugriff auf die Windows 7 Systeme ist immer möglich.
Zusätzlich dauern die Anmeldevorgänge an die Arbeitsstationen sehr lange (~ 3 Minuten).

Was habe ich bisher gemacht / geprüft:

  • dcdiag zeigt "nur" DCOM-Probleme:
Fehler. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 07/29/2013 09:30:22
Ereigniszeichenfolge: DCOM konnte mit dem Computer "PCXX.Domain.local" unter Verwendung eines
beliebigen, konfigurierten Protokolls keine Daten austauschen.

  • SYSVOL-Replizierung funktioniert

  • DNS-Konfiguration der Clients erscheint mir korrekt und Probleme tauchen auch bei Benutzung der IP-Adressen auf:

ip 192.168.2.2XX
gateway 192.168.2.1
dns 1 192.168.2.2
dns 2 192.168.2.4
mask 255.255.255.0

  • Gruppenrichtlinien werden verteilt / angewendet.

  • Alle PCs sind in der richtigen OU (MyBusines\Computers\SBSComputers)

TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN
TCP [::]:3389 [::]:0 ABHÖREN
UDP 0.0.0.0:3389 *:*
UDP [::]:3389 *:*
Trotzdem ist ein Telnet x.x.x.x 3389 von einem anderen PC nicht möglich...

Die PC-Systeme hatten bisher WindowsXP. Ich habe dort jeweils eine komplette Win8-Neuinstallation vorgenommen (ohne die Systeme vorher aus der Domäne zu nehmen). Den Rechnernamen habe ich beibehalten. Nach erfolgter Installation habe ich die Rechner wieder der Domäne hinzugefügt.
War das vielleicht eine falsche Vorgehensweise ?

Ich hoffe mir kann jemand helfen..

DANKE

Grüße

Content-ID: 212768

Url: https://administrator.de/forum/kein-zugriff-moeglich-auf-win8-pcs-rdp-dcom-c-in-activedirectory-212768.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

Chonta
Chonta 29.07.2013 um 15:17:09 Uhr
Goto Top
Hallo,

bei Win8 wude einiges bezüglich der Firewalls überarbeitet, was von vornherrein geblockt wird...

GPO und dann die Benötigten vordefini9erten Services freigeben, vor allem für das Domänennetzwerk und an den vordefenierten Reglen nix ändern, dann gehts danach auch.

Auf die C$ Freigaben kommst Du übrigens nur als DER Administrator, Domänen-Admin Mitgleidschaft reicht nicht.

Gruß

Chonta
Dani
Dani 29.07.2013 um 15:22:07 Uhr
Goto Top
@Chonta
Auf die C$ Freigaben kommst Du übrigens nur als DER Administrator, Domänen-Admin Mitgleidschaft reicht nicht.
Ist das eine Neuerung von Windows 8 bzw. Server 2012? Funktioniert unter Windows 7 Professional und Server 2008R2 problemlos.


Grüße,
Dani
hopinor
hopinor 29.07.2013 um 15:30:14 Uhr
Goto Top
Hallo Chonta,

Die GPO sind entsprechend zugewiesen: z.B. "Windows SBS Client - Windows 8 Policy"

Was meinst Du mit vordefinierten Services ?

Der benutzer User ist Mitflied von "Domäne\Administratoren"

ich hatte auch testweise die Client-Firewall komplett deaktiviert... ohne das sich etwas geändert hat.

Grüße

hopinor
DerWoWusste
DerWoWusste 29.07.2013 um 15:33:06 Uhr
Goto Top
Moin Dani.

Funktioniert unter Windows 7 Professional und Server 2008R2 problemlos.
Nein, das funktioniert keineswegs problemlos. Seit Vista muss zum Funktionieren ein Registryeintrag gesetzt werden: http://www.jimmah.com/vista/Networking/filtertoken.aspx
jhinrichs
jhinrichs 29.07.2013 um 15:33:28 Uhr
Goto Top
Moin,

nur zu meinem Verständnis. Du betreibst ZWEI SBS2011 in einem Netzwerk?

Viele Grüße
hopinor
hopinor 29.07.2013 um 15:36:24 Uhr
Goto Top
Hallo,

Nein, das Netzwerk hat 2 Server:

DC 1 = Windows SBS 2011, Exchange 2010..etc.
DC 2 = Windows 2008 R2, SQL...etc.

Grüße
Chonta
Chonta 29.07.2013 um 15:38:01 Uhr
Goto Top
Nehme alles zurück und behaupte das Gegenteil.
Bin eben im Test auf eine Administrative Freigabe raufgekommen.

Aber ich hatte vor einer weile auch die Firewalleinstellungen angepasst und davor ging es nur mit Administrator.


Gruß

Chonta
Dani
Dani 29.07.2013 um 15:58:47 Uhr
Goto Top
Moin DWW,
leuchtet mir an sich ein... trotzdem funktion der Zugriff auf C$-Freigaben bei uns mit Domänen-Admin-Rechten. Wir haben laut unser Doku nicht nachgeholfen


Grüße,
Dani
hopinor
hopinor 29.07.2013 um 16:04:15 Uhr
Goto Top
Halo Dani, DWW

Soweit ich das verstanden habe, ist die LocalAccountTokenFilterPolicy nur bei Arbeitsgruppen notwendig, nicht bei Domänen.

Grüße

hopinor
DerWoWusste
DerWoWusste 29.07.2013 aktualisiert um 17:17:37 Uhr
Goto Top
Genauer: es ist nur bei lokalen Nutzern (egal ob der PC Domänenmitglied ist, oder nicht) entscheidend, nicht bei Domänenkonten. Das war bei Vista früher noch anders (siehe Knowledgebaseartikel), mir scheint, das hat MS mit einem SP geändert.

Egal. Hat mit Deinem Problem eh nichts zu tun, denn das ist auf Netzwerkebene. Prüfe bitte, ob Du per gekreuztem Kabel auf 3389 mit telnet kommst (kannst natürlich auch den selben Switch nutzen).
hopinor
hopinor 29.07.2013 um 17:27:14 Uhr
Goto Top
Hallo DWW,

was soll das mit dem gekreuzten Kabel bringen ?

Die Systeme haben ja Zugriff auf Serverfreiagben, Internet..etc.

Grüße

hopinor
DerWoWusste
DerWoWusste 29.07.2013 um 17:31:27 Uhr
Goto Top
Damit kannst Du ausschließen, dass es "auf dem Weg" ein Netzwerkproblem gibt.
Du hast mit netstat an der Quelle festgestellt, dass 3389 offen ist. Wenn Du Dich aber mit telnet nicht auf 3389 verbinden kann, muss ja etwas unterwegs passieren.
hopinor
hopinor 29.07.2013 um 19:25:06 Uhr
Goto Top
Hallo DWW,

Vielen Dank für die Antwort, aber es kann doch gar nicht am Kabel liegen.
wenn read und write vertauscht wären, warum auch immer, hätte ich doch gar keine Funktion.

Alle PC's waren bereits vorher mit derselbern Infrastruktur und WinXP im Einsatz.

Mal abgesehen davon, dass ich das Problem mit jedem Win8-Pc und mit keinem anderen habe..

Grüße
DerWoWusste
DerWoWusste 30.07.2013 um 09:57:45 Uhr
Goto Top
Am Kabel? Das schrieb ich auch nicht.
Wenn ein Port am Rechner offen ist, aber nicht angetelnettet werden kann, dann stimmt was unterwegs nicht, was denn sonst. Um das also herauszufinden, hält man den Kommunikationsweg so simpel wie möglich und testet - so lange, bis man wieder alle Wegstrecken wie vorher benutzt und damit wahrscheinlich die Problemstrecke/Switch/Firewall ausmachen kann.
hopinor
hopinor 30.07.2013 um 14:38:10 Uhr
Goto Top
Hi,

Problem ist gelöst...Es lag an einer Gruppenrichtlinie in der die Firewalleinstelungen gesetzt wurden.
Obwohl ich das bereits mehrfach überprüft hatte, war folgender Fehler vorhanden:

Die erlaubten, eingehenden Regeln lassen sich beschränken auf z.B. das lokale Netzwerk.
Dafür muss ein Feld mit "localsubnet" gefüllt werden. Tja, und wenn man da dann " localsubnet"
(mit führendem Leerzeichen) reinschreibt, wird gar keiner zugelassen...

Das muss man erstmal finden, insbesonders weil "netstat -an" den Listener ja auch anzeigt...

Nun ist alles gut.

Danke an alle