Nach BSI GPOs kennt DC sich selbst nicht mehr - PDC not found?

0xffff
Goto Top
Hallo zusammen,

mir ist gestern etwas ziemliches dummes passiert.

Ich habe das GPO Bündel vom BSI importiert und ausgerollt. Nunja, seither geht gar nichts mehr.
Der DC kennt sich nun gar nicht mehr, geschweige das AD.
"RPC Server nicht verfügbar"

Der Netlogon Dienst mag nicht mehr hoch kommen weil Abhängigkeiten nicht hoch kommen (lt. Eventvwr: es fehlen Abhängigkeiten die sich allerdings auch nicht starten lassen)
Das hochfahren vom Server dauert ewig. ...

Ich tippe ganz schwer, dass die GPOs einiges zerbröselt haben.

Server: SBS11 (Flame on!)
2ter DC da inkl. Verzeichnis etc.
Allerdings fehlt hier überall der SBS11 als DC(?).

Mir gehen die Ideen aus.
Probiert habe ich:
einiges - ja das hilft Euch nun nicht weiter allerdings habe ich gar nicht mehr alles im Kopf was probiert wurde.

Auch den SBS Manager habe ich bereits durchlaufen lassen "Beheben von Netzwerkproblemen"
Versucht die lokalen Sicherheitsrichtlinien zurückzusetzen:

SFC und DISM durchgelaufen.

dcdiag:

Irgendwie macht mir das ein ungutes Gefühl.

Mich ärgert der Missklick auf das aktivieren der Verknüpfung ace-sad"

Hat mir wer vielleicht noch einen Ansatz?

Bzgl: SBS11 und .local = bedarf es keine weiteren Kommentare..


Viele Grüße

Content-Key: 3386783919

Url: https://administrator.de/contentid/3386783919

Ausgedruckt am: 07.08.2022 um 07:08 Uhr

Mitglied: w1k33d
w1k33d 20.07.2022 um 12:37:19 Uhr
Goto Top
Hi,

sind die Server vom Client denn noch auflösbar per cmd?

Kannst du dich noch auf dem 2ten DC anmelden und das AD bearbeiten?

VG
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 12:39:47 Uhr
Goto Top
Hi,

sind die Server vom Client denn noch auflösbar per cmd?
Jap, auch nslookup vom Client aus sieht gut aus (geht über 2ten DC).


Kannst du dich noch auf dem 2ten DC anmelden und das AD bearbeiten?
Jep. Da geht "komischerweise" alles recht gut. Auch der SBS meint, er synchronisiert das Verzeichnis..


Kann ich Dir sonst noch Daten liefern?

LG
Mitglied: w1k33d
w1k33d 20.07.2022 um 12:43:45 Uhr
Goto Top
Dann heb die Verknüpfung der BSI GPO doch erstmal wieder auf, auf dem funktionierenden DC oder ist es ein schreibgeschützter DC?
Mitglied: 0xFFFF
0xFFFF 20.07.2022 aktualisiert um 12:47:30 Uhr
Goto Top
Die Verknüpfung ist schon nicht mehr aktiv. Die Sache ist eigentlich erst auffällig geworden, als einige SMB 1 Maschinen keinen Share mehr herstellen konnten. Heute Morgen war es dann der Gau bei der Anmeldung am Rechner.

So wie ich das sehe, wurden die Sicherheitseinstellungen lokal übernommen - auch ohne die GPO bleiben wohl die Einstellungen erhalten und genau diese würde ich gerne zurücksetzen. Eigentlich kann es nur an der BSI Vorlage hängen, vermutlich ...

LG

Wie auf dem Screenshot: ist da allerhand noch gesetzt auf dem fauligen DC.
Von Hand mag ich es eigentlich nicht zurücksetzen, da ich die Standards gar nicht kenne.
asdf
Mitglied: w1k33d
w1k33d 20.07.2022 um 12:52:28 Uhr
Goto Top
Dann müsste man sich die BSI GPO mal genau anschauen was sie genau alles geändert hat. Wenn die das SMB1 Protokoll deaktiviert hat kann auch nichts mehr funktioneren bei den XP? Maschinen.

Da bleibt vermutlich nur raus aus der Domäne und neu hinzufügen damit er sich die jetzige Richtlinie zieht.
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 12:53:57 Uhr
Goto Top
Wenn die das SMB1 Protokoll deaktiviert hat kann auch nichts mehr funktioneren bei den XP? Maschinen
Genau face-smile

Ich schätze aber dass da noch eine Konfig mit reinspielt, dass der DC sich selbst nicht mehr kennt?!
Da bleibt vermutlich nur raus aus der Domäne und neu hinzufügen damit er sich die jetzige Richtlinie zieht.
Klappt das bei einem SBS?
Das kackteil macht mir Sorge..

LG
Mitglied: Njord90
Njord90 20.07.2022 um 12:59:38 Uhr
Goto Top
Hast du ne aktuelle Sicherung vom SBS? Wenn ja wirds wahrscheinlich bedeutend schneller sein das Backup einzuspielen als zu versuchen die ganzen gemachten Einstellungen rückgängig zu machen.
Mitglied: w1k33d
w1k33d 20.07.2022 um 13:00:14 Uhr
Goto Top
Bevor ich damit anfange, würde ich die ganzen aktivierten Richtlinien erstmal auf nicht definiert stellen und schauen wie es sich nach einem Neustart des Servers verhält. Ich habe mit SBS Servern nur schlechte Erfahrungen gemacht und möchte hier keine falschen Tipps geben.
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 13:01:53 Uhr
Goto Top
Hast du ne aktuelle Sicherung vom SBS?
Habe ich, ist aber bei einem DC doch recht schwierig bzgl. Vertrauensstellung etc.?

nicht definiert
Genau da liegt mein Problem. Das gibt es da schlicht nicht ace-sad" Er will eine Einstellung.

SBS Servern nur schlechte Erfahrungen gemacht
Samesame..

Danke Euch!
Mitglied: 0xFFFF
0xFFFF 20.07.2022 aktualisiert um 13:07:30 Uhr
Goto Top
Das Verhalten ist echt spannend.

Server boot relativ schnell. Login OK!

Dann rödelt der Kreis um das Netzwerkicon. Dann kommt ein rotes X und nach einigen Minuten ist die Karre online. Allerdings ohne AD etc.

Ich verstehe es nicht.. >.<
Mitglied: w1k33d
w1k33d 20.07.2022 um 13:18:31 Uhr
Goto Top
Schau dir die BSI GPO doch mal an auf dem funktionierden DC. Speziell die auf dem Screenshot oben, dann stelle sie wieder auf das Gegenteil um auf dem SBS und schau ob sich was ändert.

Alternativ wenn der SBS nur DC ist und nichts anderes macht: Einen aktuellen DC hochziehen und den SBS für immer begraben. Vorher natürlich die FSMO Rollen prüfen usw.
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 13:19:39 Uhr
Goto Top
Alternativ wenn der SBS nur DC ist und nichts anderes macht: Einen aktuellen DC hochziehen und den SBS für immer begraben. Vorher natürlich die FSMO Rollen prüfen usw.

Hierrüber denke ich schon eine Weile nach. Problem: Exchange im Hybidmode.

Mäh..
Mitglied: nEmEsIs
nEmEsIs 20.07.2022 um 13:22:18 Uhr
Goto Top
Hi

Welche Policy genau vom BSI hast du aktiviert ?

Schau mal ob in der registry SMBv1 aus ist
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registrierungseintrag: SMB1
REG_DWORD: 0 = Deaktiviert

56012ec5-a7db-46b5-92b1-9fc342ca073b.

Veränder mal die rot markieren.

Mit freundlichen Grüßen
Nemesis
Mitglied: w1k33d
w1k33d 20.07.2022 um 13:25:49 Uhr
Goto Top
Warum dann nicht Cloud Only gehen? Der SBS ist ein enormes Sicherheitsrisiko.
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 13:27:25 Uhr
Goto Top
Welche Policy genau vom BSI hast du aktiviert ?
Hi, "Normaler Schutzbedarf Domänenmitglied (ND) Computer",

teste ich gerne, sobald ich an die Kiste wieder ran kann..

Das macht mich etwas stutzig. Im AD auf dem 2ten DC scheint unter msdcs der SBS gänzlich zu fehlen!?
Wie das?

LG
dcs
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 13:28:25 Uhr
Goto Top
Warum dann nicht Cloud Only gehen? Der SBS ist ein enormes Sicherheitsrisiko.
Der macht nichts mehr im Netz. Keine Ports frei nach außen etc.

Leider gleicht MS aber den Exchange vom SBS ab ace-sad"

Alles etwas doof eingerichtet/übernommen..

LG
Mitglied: nEmEsIs
nEmEsIs 20.07.2022 um 13:44:05 Uhr
Goto Top
Hi

Windows Firewall aus gemacht ?

Mit freundlichen Grüßen Nemesis
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 13:49:20 Uhr
Goto Top
Zu Testzwecken ja.

LG + Danke face-smile
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 15:41:38 Uhr
Goto Top
keiner mehr ein Ansatz?

LG
Mitglied: erikro
erikro 20.07.2022 um 15:59:24 Uhr
Goto Top
Moin,

Zitat von @0xFFFF:
mir ist gestern etwas ziemliches dummes passiert.

Nee, das war nicht dumm. Das war vollkommen bescheuert. face-wink

Ich habe das GPO Bündel vom BSI importiert und ausgerollt. Nunja, seither geht gar nichts mehr.

Also ich kenne nur die GPOs vom BSI, die zum Härten der Windows 10 Clients gedacht sind. Hast Du die allen Ernstes auf einen SBS11 (also Basis Windows XP) angewendet? Und dann wunderst Du Dich, das nichts mehr geht? Hast Du denn nicht vor der Anwendung auf einen DC mal reingeschaut, was denn da so alles abgeschaltet wird? Ich habe das getan: Du hast Deinem alten SBS11 so ziemlich alles abgeknippst, was er als DC so braucht.

Der DC kennt sich nun gar nicht mehr, geschweige das AD.
"RPC Server nicht verfügbar"

Works as designed. In den GPOs des BSI wird der RPC-Server so abgesichert, dass er mit den alten Techniken nicht mehr läuft. Hmmmmmmm, der SBS11 ist dafür aber zu alt.

Ich tippe ganz schwer, dass die GPOs einiges zerbröselt haben.

So ist es.

Es nützt nichts, wenn Du die GPOs einfach wieder entfernst. Wenn man mal ganz unten in den Einstellungen schaut, dann sieht man, dass auch deaktiviert wurde, dass die Richtlinien wieder rückgängig gemacht werden, wenn sie entfernt werden. Also, die einzige Möglichkeit ist, die Richtlinien wieder zu aktivieren und dann Einstellung für Einstellung das Gegenteil zu konfigurieren. In der Reihenfolge sollte dann die GPO vor der DDCP stehen, damit letztere wieder angewendet wird. Danach kannst Du die GPO des BSI wieder entfernen.

Viel Spaß dabei.

Erik
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 16:03:44 Uhr
Goto Top
Nee, das war nicht dumm. Das war vollkommen bescheuert. face-wink
Das hast Du wunderschön gesagt :D

Windows 10 Clients gedacht sind
Sollte - nach Prüfung - auch nur die Win10 Clients betreffen. Meh..

Hast Du denn nicht vor der Anwendung auf einen DC mal reingeschaut, was denn da so alles abgeschaltet wird?
Plan war: Importieren, gucken was geht.
Passiert ist: Importiert, gucken was geht, bei aktiviert .. schon hatten es die ersten Clients. >:

Ich habe das getan: Du hast Deinem alten SBS11 so ziemlich alles abgeknippst, was er als DC so braucht.
Das befürchte ich eben auch. Kann ich denn die lokalen Sicherheitsrichtlinien "zurücksetzen"? Habe da was gefunden aber brachte im Prinzip null Erfolg.

Ich schaue mal, ob ich das Backup von der Möhre gebootet bekomme um da etwas abzuschauen.

Oh man, .. >:

LG + Danke für dein Feedback.
Mitglied: erikro
erikro 20.07.2022 um 16:22:59 Uhr
Goto Top
Moin,

Zitat von @0xFFFF:

Nee, das war nicht dumm. Das war vollkommen bescheuert. face-wink
Das hast Du wunderschön gesagt :D

hehehehe

Windows 10 Clients gedacht sind
Sollte - nach Prüfung - auch nur die Win10 Clients betreffen. Meh..

Ja, aber auch die werden dann mit dem SBS nicht mehr richtig zusammenarbeiten. Das fängt ja schon mit SMB1 an.

Hast Du denn nicht vor der Anwendung auf einen DC mal reingeschaut, was denn da so alles abgeschaltet wird?
Plan war: Importieren, gucken was geht.
Passiert ist: Importiert, gucken was geht, bei aktiviert .. schon hatten es die ersten Clients. >:

Es ist zu heiß für sowas. face-wink

Ich habe das getan: Du hast Deinem alten SBS11 so ziemlich alles abgeknippst, was er als DC so braucht.
Das befürchte ich eben auch. Kann ich denn die lokalen Sicherheitsrichtlinien "zurücksetzen"? Habe da was gefunden aber brachte im Prinzip null Erfolg.

Die Tools, die es da gibt setzen immer nur die DDP und DDCP bzw. die lokalen Standardeinstellungen zurück. Du musst aber die importierten Richtlinien zurückkonfigurieren.

Ich schaue mal, ob ich das Backup von der Möhre gebootet bekomme um da etwas abzuschauen.

Da wirst Du auch nicht viel sehen. Im Backup sind die Einstellungen ja alle nicht konfiguriert.

Liebe Grüße

Erik

P.S.: Bei der Hitze lass es und setzte Dich mit einem kühlen Bier in den Park.
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 16:47:24 Uhr
Goto Top
Ja, aber auch die werden dann mit dem SBS nicht mehr richtig zusammenarbeiten. Das fängt ja schon mit SMB1 an.
Da hatte ich bereits Freigaben gesetzt, dass unsere Maschinen ans Netz dürfen. Das ging mal. :D

Es ist zu heiß für sowas. face-wink
Fml, Du sagst es.. :/

importierten Richtlinien zurückkonfigurieren.
Ich komme nur noch auf die lokalen Sicherheitsrichtlinien - hast Du vielleicht eine Idee, wie ich das sinnig umsetzen kann?

Liebe Grüße
Liebe Grüße und vielen Dank!

P.S.: Bei der Hitze lass es und setzte Dich mit einem kühlen Bier in den Park.
No way: Chefin motzt und mein innrer Monk ist super genervt und will das wieder zum rennen bekommen.

SUCKS hard! >.<

Danke Euch!
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 17:07:53 Uhr
Goto Top
Habe mal die importierte GPO auseinander genommen.

Folgendes wird/wurde wohl geändert:


Soooweit so gut aber was sind hier die default werte?

LG
Mitglied: 0xFFFF
0xFFFF 20.07.2022 um 17:40:42 Uhr
Goto Top
..Habe ein Backup der Registry mal drüber gebügelt. Viel mehr kaputt machen kann ich ja nun nicht mehr.

Karre bootet, AD geht auf, Anmeldung läuft, Shares sind wieder da!

Irre!

Mal schauen, wann das ganze Konstrukt zerbricht. Direkt ein Termin fürs WE um das Ding final zu killen. Niemehr SBS!

LG und vielen Dank für euren Support.

PS: Ich lasse den Thread mal noch als Ungelöst.
Mitglied: 0xFFFF
0xFFFF 21.07.2022 aktualisiert um 10:33:05 Uhr
Goto Top
..einen wunderschönen guten Morgen.

Ich konnte das OpenAir gestern doch noch genießen - trotz Regen aber hey, immerhin können die Leute wieder arbeiten.

Nun kommt das dicke ABER:
Der SBS weiß immer noch nicht, dass er DC ist(?)

Sag Ihm aber, dass er noch so gelistet ist.

Nach einigen Tests steht im DNS nun auch der SBS wieder als DC drin.
ABER: das Netlogon + sysvol fehlt gänzlich auf dem SBS. Der Ordner unter /windows/ ist vorhanden (SYSVOL_DFSR)
Hier waren gar keine Daten mehr drin -> Aus dem Backup wieder hergestellt und seither gehen auch die GPOs wieder auf und gpupdate verläuft soweit fehlerfrei auf den Clients.

dcdiag meckert allerdings ziemlich rum:

Replikation vom AD funktioniert problemlos.


Stoße ich den RepliDienst direkt an erscheint folgendes:

Natürlich ist noch mehr als genügend Platz auf der Partition frei.
Der Ordner besteht auch bereits? Löschen lässt er sich natürlich nicht weil wegen im Zugriff.

Habe nun mal wieder eine Dinge getestet aber bekomme das Ding einfach nicht mehr freigegeben.

Hat hier noch wer 'ne Idee? Gerne auch als Workaround, hauptsache die Möhre läuft erstmal.
SMB1 + Maschinen verschiebe iche rstmal auf später, die Jungs können mit USB Sticks arbeiten bis dahin.

Freue mich auf Feedback.

Beste Grüße
Mitglied: 0xFFFF
0xFFFF 21.07.2022 um 13:38:26 Uhr
Goto Top
So, ich glaube, ich habe wieder einen halbwegs brauchbaren Untersatz bis zum WE.

Ich habe den DFSR Dienst beendet, den Ordner SYSVOL_DFSR umbenannt.
Klappte aber immer noch nicht bzw. nur teilweise. Ordner wurde angelegt, Rest fehlte.

1+1 zusammengezählt => DFSR geht aus dem SYSVOL Ordner hervor - klar, wenn der nicht da ist..
Also aus dem Backup den SYSVOL Ordner in %windir% geklatscht, Dienst gestartet, etwas gewartet und siehe da, das Ding ist glücklich und hat sysvol + netlogon wieder freigegeben.

Eventvwr sieht soweit schon etwas grüner aus aber ja, bisher traue ich mich noch nicht, den Server neuzustarten.


Wenn ich noch etwas finde was nicht passt oder angepasst werden muss, würde ich hier weiter spamen.

Danke an administrator.de und deren Supporter ♥

Viele Grüße