32
Neuer Admin braucht HILFE Domäne läuft unter Windows 10 nicht Keine GPOs
Heyho liebe Community,
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
Aktuell habe ich da ein Problem was ich einfach nicht gelöst bekomme.
Zuerst einmal erklär ich euch wie das ganze Netz aufgebaut ist, ziemlich simpel eigentlich.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.
Alle Pc's sind mit einem Switch Verbunden das an den Servern und am Router ist. Also sozusagen alles direkt miteinander Verbunden.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.
Zuerst habe ich einen Windows 7 Test-Client hinzugefügt, dies lief alles ohne Probleme.Sprich Einloggen und die GPO's sind auch alle genommen worden.
Jetzt kommt aber das große Ding, natürlich sollten alle Pc's Windows 10 nutzen, bzw. darauf umgestellt werden.
Der Server ist folgender Maßen konfiguriert:
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:
Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..
Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.
LG
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
Aktuell habe ich da ein Problem was ich einfach nicht gelöst bekomme.
Zuerst einmal erklär ich euch wie das ganze Netz aufgebaut ist, ziemlich simpel eigentlich.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.
Alle Pc's sind mit einem Switch Verbunden das an den Servern und am Router ist. Also sozusagen alles direkt miteinander Verbunden.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.
Zuerst habe ich einen Windows 7 Test-Client hinzugefügt, dies lief alles ohne Probleme.Sprich Einloggen und die GPO's sind auch alle genommen worden.
Jetzt kommt aber das große Ding, natürlich sollten alle Pc's Windows 10 nutzen, bzw. darauf umgestellt werden.
Der Server ist folgender Maßen konfiguriert:
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:
Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..
Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 560803
Url: https://administrator.de/contentid/560803
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
32 Kommentare
Neuester Kommentar
Moin ,
bei den GPOs evtl nen WMI Filter drin ?
Was steht im Ereignisprotokoll des Clients bei EIngabe von GPupdate / force ?
Gruss
bei den GPOs evtl nen WMI Filter drin ?
Was steht im Ereignisprotokoll des Clients bei EIngabe von GPupdate / force ?
Gruss
Da steht was von Ereignis-ID 1030.
WMI Filter ist auch keiner drin.
WMI Filter ist auch keiner drin.
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
Wäre es unter dem Aspekt nicht sinnig, der GF ehrlich zu sagen, dass du hier Unterstützung brauchst? Mir klingt das auch etwas so, als wäre ggf. ein Neuaufbau mit Struktur sinnvoller?
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 25.03.2020 10:02:35
Ereignis-ID: 1030
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: neuertestw10pc.DOMAENE.NET
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
<EventID>1030</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2020-03-25T09:02:35.193974600Z" />
<EventRecordID>494</EventRecordID>
<Correlation ActivityID="{74b61df8-3297-4bba-b424-9d6e90109250}" />
<Execution ProcessID="6796" ThreadID="6832" />
<Channel>System</Channel>
<Computer>neuertestw10pc.DOMAENE.NET</Computer>
<Security UserID="S-1-5-18" />
</System>
Quelle: Microsoft-Windows-GroupPolicy
Datum: 25.03.2020 10:02:35
Ereignis-ID: 1030
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: neuertestw10pc.DOMAENE.NET
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
<EventID>1030</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2020-03-25T09:02:35.193974600Z" />
<EventRecordID>494</EventRecordID>
<Correlation ActivityID="{74b61df8-3297-4bba-b424-9d6e90109250}" />
<Execution ProcessID="6796" ThreadID="6832" />
<Channel>System</Channel>
<Computer>neuertestw10pc.DOMAENE.NET</Computer>
<Security UserID="S-1-5-18" />
</System>
Ganz ehrlich, ich würde das liebend gerne neu aufsetzen alles, nur leider wurde von anfang an gesagt dass, die NTFS Freigaben mit dennen die Firma permanent arbeitet laufen müssen.
Somit bin ich an die von vornherein erstellte Domäne gebunden.
Desweiteren wurden wohl vorher immer externe ITler eingesetzt, und die GF ist extrem geizig, darum wurde ich hier eingestellt.
Jetzt darf ich hier den Spaß machen.
Somit bin ich an die von vornherein erstellte Domäne gebunden.
Desweiteren wurden wohl vorher immer externe ITler eingesetzt, und die GF ist extrem geizig, darum wurde ich hier eingestellt.
Jetzt darf ich hier den Spaß machen.
Zitat von @ntmn3r0:
Ganz ehrlich, ich würde das liebend gerne neu aufsetzen alles, nur leider wurde von anfang an gesagt dass, die NTFS Freigaben mit dennen die Firma permanent arbeitet laufen müssen.
Ganz ehrlich, ich würde das liebend gerne neu aufsetzen alles, nur leider wurde von anfang an gesagt dass, die NTFS Freigaben mit dennen die Firma permanent arbeitet laufen müssen.
24/7?
Somit bin ich an die von vornherein erstellte Domäne gebunden.
Nicht unbedingt, muss man halt ordentlich planen.
Desweiteren wurden wohl vorher immer externe ITler eingesetzt,
aber anscheinend richtig bescheidene.
und die GF ist extrem geizig, darum wurde ich hier eingestellt.
Hilft aber nichts, wenn du es nicht stemmen kannst (oder darfst).
Jetzt darf ich hier den Spaß machen.
Daran kann ich natürlich nix mehr ändern.
Was ich natürlich machen könnte wäre den DHCP vom 1. Server zu deaktivieren und auf dem aktuellen DomänenServer einen neuen DHCP aktivieren, mit den selben Bereichsoptionen etc.
Rein theoretisch müsste dies doch möglich sein? alle Clients im Netzt müssten ja dann automatisch den neuen DHCP annehmen und alles so weiterlaufen wie bisher?
Denn dann könnte ich den 1. Server vollumfänglich neu aufbauen sprich Domäne/DHCP/DNS , den 2. dann später einfach herabstufen, und zur domäne des 1. server hinzufügen wegen den NTFS berechtigungen?
Ist mein Denkansatz so sinnvoll? xD
Was ich natürlich machen könnte wäre den DHCP vom 1. Server zu deaktivieren und auf dem aktuellen DomänenServer einen neuen DHCP aktivieren, mit den selben Bereichsoptionen etc.
Rein theoretisch müsste dies doch möglich sein? alle Clients im Netzt müssten ja dann automatisch den neuen DHCP annehmen und alles so weiterlaufen wie bisher?
Denn dann könnte ich den 1. Server vollumfänglich neu aufbauen sprich Domäne/DHCP/DNS , den 2. dann später einfach herabstufen, und zur domäne des 1. server hinzufügen wegen den NTFS berechtigungen?
Ist mein Denkansatz so sinnvoll? xD
Zitat von @ntmn3r0:
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:
Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..
Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.
LG
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:
Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..
Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.
LG
Hallo.
Was ist das für ein Betriebssystem auf dem der Domänen Controller sitzt? Windows Server 2008 hat nicht alle ADMX Templates für GPOs für die "neueren" Betriebssysteme wie Win 8 / 10. Die muss man manuell nachladen.
Gruß
Radiogugu
Windows Server 2019.
Moin,
irgendwie klingt das Fehlerbild und das, was schon nachgefragt wurde, danach, als könnte der Client die Policies nicht lesen. Was passiert, wenn Du auf einem betroffenen Rechner
und
im Windows-Explorer eingibst?
domain.tld ersetzt Du natürlich an allen Stellen mit Deinem vollständigen Domainname und domaincontroller mit dem Namen des Domaincontrollers.
Liebe Grüße
Erik
irgendwie klingt das Fehlerbild und das, was schon nachgefragt wurde, danach, als könnte der Client die Policies nicht lesen. Was passiert, wenn Du auf einem betroffenen Rechner
\\domain.tld\SYSVOL\domain.tld\Policiesund
\\domaincontroller\SYSVOL\domain.tld\Policiesim Windows-Explorer eingibst?
domain.tld ersetzt Du natürlich an allen Stellen mit Deinem vollständigen Domainname und domaincontroller mit dem Namen des Domaincontrollers.
Liebe Grüße
Erik
Dann komm ich ganz normal auf die Freigabe, ohne Probleme D:
Mit welchem Benutzer meldest Du Dich denn an? Ist dieser in der Gruppe Domänen-Admins? Diese werden bei manchen GPOs ja bewusst ausgeklammert.
Wird nichts zur Sache tun, aber warum ist der DC denn DNS und Gateway? Aus Deinem ersten Screenshot ist das Gateway .254 bei. Server eingetragen.
Das wird ein Router sein, oder hat der Sever eine zweite Netzwerkkarte und den Routing Dienst installiert?
Gruß
Radiogugu
Wird nichts zur Sache tun, aber warum ist der DC denn DNS und Gateway? Aus Deinem ersten Screenshot ist das Gateway .254 bei. Server eingetragen.
Das wird ein Router sein, oder hat der Sever eine zweite Netzwerkkarte und den Routing Dienst installiert?
Gruß
Radiogugu
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Zitat von @ntmn3r0:
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Zitat von @erikro:
Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Zitat von @ntmn3r0:
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Mir schwant Böses.
Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.
Gruß
Radiogugu
Zitat von @radiogugu:
Mir schwant Böses.
Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.
Zitat von @erikro:
Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Zitat von @ntmn3r0:
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Mir schwant Böses.
Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.
Nicht ganz. Du kannst schon mit nur einer Netzwerkkarte zwischen VLANs routen. Aber dann hätte die auch zwei IPs aus zwei Netzen. Ich habe da so meine Zweifel, dass das der TO so eingerichtet hat.
Moin,
fangen wir mal von vorne an:
Ich hoffe, Du wirst wenigstens anständig bezahlt.
Nicht gerade geschickt aufgeteilt. Aber nun gut.
Ist der DHCP in der Domain authorisiert?
Du meinst den Router direkt ins Internet? Oder kommt da noch was dahinter? Ist das ein managed switch?
Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?
OK.
Du meinst, Du hast sie auf dem Bild geschwärzt?
Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?
Was sagen denn die Logfiles auf dem Client und auf dem Server zu dem Thema? Achja, steht ja da unten. Event-ID 1030. Wie ich schon vermutete, die können die GPOs nicht lesen. Jetzt ist die große Frage warum?
1. Rechte auf die Freigaben SYSVOL und NETLOGON prüfen.
Dürfen User und Computer lesen? Wird der Zugriff gewährt?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
2. SMB-Protokolle prüfen.
Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit
prüfen. Bleibt das leer, dann gilt der Standard des jeweiligen BS. Es sollte nur 2 und 3 an sein. Aber Vorsicht! Wenn da noch irgendwo ein altes Multifunktionsgerät rumsteht, mit dem auf Freigaben gescannt wird, kann es sein, dass Du SMB1 leider doch noch brauchst.
<edit>Ist aber für das Problem nicht zileführend, da Du ja schon mit dem Explorer auf die Freigaben lesend zugreifen konntest. Trotzdem prüfen</edit>
3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?
4. DNS prüfen.
Siehe unten Meister Yoda.
Was sagt:
auf den betroffenen Maschinen? Was Du auf dem Server testen musst, steht hier:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/manage/tr ...
Mehr fällt mir jetzt erstmal nicht ein. Aber das reicht ja für einen Arbeitstag.
Meister Yoda sagt: Google benutzen Du lernen noch musst.
Bitte einmal ipconfig /all vom Client. Du kannst das auch hier reinkopieren. Vorne bitte < code> und hinten </ code> (ohne die Leertasten) einfügen.
Anpingen sagt noch gar nichts. Da weißt Du nur, dass OSI3 prinzipiell funktioniert. Das sagt überhaupt nichts darüber aus, ob DNS funktioniert oder nicht.
Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?
Du tust mir echt leid. Frisch von der Schule ohne jede Erfahrung wirst Du in so eine Situation geworfen und darfst Dir nicht mal externe Hilfe holen. Aber eins sage ich Dir: Wenn Du erfolgreich durch das Feuer gehst, dann kannst Du Dir in ein paar Jahren einen richtig geilen Job an Land ziehen. Ich kenne solche verwarzten Systeme. An denen lernt man so viel. Vor allem Fehleranalyse.
Der Sache, warum da auf dem Server der Router aktiviert ist und was der da eigentlich macht, solltest Du unbedingt nachgehen. Man sollte das Netz kennen, das man administriert. Gibt es denn gar keine Doku?
Liebe Grüße
Erik
fangen wir mal von vorne an:
Zitat von @ntmn3r0:
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
Ich hoffe, Du wirst wenigstens anständig bezahlt.
Zuerst einmal erklär ich euch wie das ganze Netz aufgebaut ist, ziemlich simpel eigentlich.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.
Nicht gerade geschickt aufgeteilt. Aber nun gut.
Ist der DHCP in der Domain authorisiert?
Alle Pc's sind mit einem Switch Verbunden das an den Servern und am Router ist.
Du meinst den Router direkt ins Internet? Oder kommt da noch was dahinter? Ist das ein managed switch?
Also sozusagen alles direkt miteinander Verbunden.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.
Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?
Zuerst habe ich einen Windows 7 Test-Client hinzugefügt, dies lief alles ohne Probleme.Sprich Einloggen und die GPO's sind auch alle genommen worden.
OK.
Jetzt kommt aber das große Ding, natürlich sollten alle Pc's Windows 10 nutzen, bzw. darauf umgestellt werden.
Der Server ist folgender Maßen konfiguriert:
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.
Der Server ist folgender Maßen konfiguriert:
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.
Du meinst, Du hast sie auf dem Bild geschwärzt?
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen,
Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?
allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
Als beispiel mal was die cmd auf dem W10 Client sagt:
Was sagen denn die Logfiles auf dem Client und auf dem Server zu dem Thema? Achja, steht ja da unten. Event-ID 1030. Wie ich schon vermutete, die können die GPOs nicht lesen. Jetzt ist die große Frage warum?
1. Rechte auf die Freigaben SYSVOL und NETLOGON prüfen.
Dürfen User und Computer lesen? Wird der Zugriff gewährt?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
2. SMB-Protokolle prüfen.
Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol, EnableSMB3Protocolprüfen. Bleibt das leer, dann gilt der Standard des jeweiligen BS. Es sollte nur 2 und 3 an sein. Aber Vorsicht! Wenn da noch irgendwo ein altes Multifunktionsgerät rumsteht, mit dem auf Freigaben gescannt wird, kann es sein, dass Du SMB1 leider doch noch brauchst.
<edit>Ist aber für das Problem nicht zileführend, da Du ja schon mit dem Explorer auf die Freigaben lesend zugreifen konntest. Trotzdem prüfen
</edit>3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?
4. DNS prüfen.
Siehe unten Meister Yoda.
Was sagt:
nslookup domain.tld
nslookup server.domain.tld
nslookup serverhttps://docs.microsoft.com/de-de/windows-server/identity/ad-ds/manage/tr ...
Mehr fällt mir jetzt erstmal nicht ein. Aber das reicht ja für einen Arbeitstag.
Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:
Meister Yoda sagt: Google benutzen Du lernen noch musst.
Achso btw. der Client selbst nutzt als GW
Bitte einmal ipconfig /all vom Client. Du kannst das auch hier reinkopieren. Vorne bitte < code> und hinten </ code> (ohne die Leertasten) einfügen.
und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Anpingen sagt noch gar nichts. Da weißt Du nur, dass OSI3 prinzipiell funktioniert. Das sagt überhaupt nichts darüber aus, ob DNS funktioniert oder nicht.
Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..
Du tust mir echt leid. Frisch von der Schule ohne jede Erfahrung wirst Du in so eine Situation geworfen und darfst Dir nicht mal externe Hilfe holen. Aber eins sage ich Dir: Wenn Du erfolgreich durch das Feuer gehst, dann kannst Du Dir in ein paar Jahren einen richtig geilen Job an Land ziehen. Ich kenne solche verwarzten Systeme. An denen lernt man so viel.
Vor allem Fehleranalyse.Der Sache, warum da auf dem Server der Router aktiviert ist und was der da eigentlich macht, solltest Du unbedingt nachgehen. Man sollte das Netz kennen, das man administriert.
Gibt es denn gar keine Doku?Liebe Grüße
Erik
1
Hi
ich tippe mal darauf das hier die Domäne und vor allem der DNS verpfuscht wurde.
Geh mal auf den DC und lass da den BestPractice Check laufen.
Und dann schau mal was dcdiag /test:dns sagt, bzw dcdiag /c
ich tippe mal darauf das hier die Domäne und vor allem der DNS verpfuscht wurde.
Geh mal auf den DC und lass da den BestPractice Check laufen.
Und dann schau mal was dcdiag /test:dns sagt, bzw dcdiag /c
Danke dir erstmal für die ganzen Anlaufstellen, das motiviert mich wirklich :D, werde das heute mal alles durcharbeiten und hoffe da ist der Fehler dabei.
Gleich vorweg das routing habe ich jetzt einfach eiskalt entfernt, war wohl nur LAN-Routing ohne spezifischen Sinn.
Melde mich dann nochmal wenn ich das alles durch bin :P
Gleich vorweg das routing habe ich jetzt einfach eiskalt entfernt, war wohl nur LAN-Routing ohne spezifischen Sinn.
Melde mich dann nochmal wenn ich das alles durch bin :P
testGerne.
werde das heute mal alles durcharbeiten und hoffe da ist der Fehler dabei.
Viel Spaß beim Lesen.
Noch eine Abendlektüre. Ist zwar Server 2012 R2, das meiste stimmt aber noch. Für das Grundlagenverständnis auf jeden Fall hilfreich:
http://openbook.rheinwerk-verlag.de/windows_server_2012r2/index.html
(Wieso ist das eigentlich in der Ausbildung nicht Pflichtlektüre?)
Gleich vorweg das routing habe ich jetzt einfach eiskalt entfernt, war wohl nur LAN-Routing ohne spezifischen Sinn.
Das war eine gute Idee. Wenn noch alles funktioniert, dann war das überflüssig.
Melde mich dann nochmal wenn ich das alles durch bin :P
Bis dann
Zitat von @radiogugu:> Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.
Der Server hat eine NIC mit zwei Interfaces, von dem aber nur ein Kabel gesteckt ist. Irgendwer hat da offenbar in der Vergangenheit Routing angeworfen, das dürfte aber in der aktuellen Konstellation keine Auswirkung haben.
Sollte aber trotzdem deaktiviert werden weil nutzlose Dinge deaktiviert man.
Zusätzlich würde ich empfehlen, das zweite Interface entweder zu deaktivieren oder per Teaming zu nutzen. Aber das hat Zeit, erstmal die Clients ans Laufen bekommen
Gibt es einen tieferen Grund, warum der DHCP auf einem separaten Server läuft? Irgendwo kam ja auch schon der Hinweis, dass der DHCP dann in der Domain authorisiert werden muss - das solltest Du auf jeden Fall prüfen.
War dein Win7-Testclient auch per DHCP konfiguriert oder hast Du den von Hand eingestellt?
Gruß
Bernhard
PS: als nächstes Projekt dann Updates
So bin jetzt soweit alles durchgegangen und das kam dabei raus:
Allerdings wie im Bild(grüner Pfeil zu sehen) kann ich ihn nicht zur Konsole hinzufügen.
Alle Rechner laufen Lokal , es wurden ein paar Nutzer angelegt.
Die NTFS Freigaben sind so eingerichtet, dass sich jeder der auf die Freigabe will mit diesen Domänenloggs irgendwann im Mittelalter mal eingeloggt hatte(Rechner laufen aber trotzdem lokal xD).
Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.
Server:nslookup, sieht auf dem Client genauso aus
Was mir beim DNS aufgefallen ist: Es sind zwei DNS Server drin einmal der lokale SRV DNS und der Domain DNS und jeweils 2 Zonen??:
So wie es aussieht liegt es tatsächlich an dem total verpeilten DNS Einstellungen, ich bin mittlerweile so verwirrt davon...Ich werde jetzt eine neue Forward und ReverseZone einrichten und die anderen Teile löschen, oder erst löschen und dann einrichten?
Danke schonmal für die Antworten
Ist der DHCP in der Domain authorisiert?
Ich denke mal, er ist jetzt in der Liste der Autorisierten Server drin.Allerdings wie im Bild(grüner Pfeil zu sehen) kann ich ihn nicht zur Konsole hinzufügen.
Du meinst den Router direkt ins Internet? Oder kommt da noch was dahinter? Ist das ein managed switch?
Wie gesagt Routing habe ich jetzt entfernt aufm Server war total sinnlos, Der Router hängt direkt mit am Switch.Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?
Die Domäne selbst ist wohl gut 3 jahre in diesem Zustand.Alle Rechner laufen Lokal , es wurden ein paar Nutzer angelegt.
Die NTFS Freigaben sind so eingerichtet, dass sich jeder der auf die Freigabe will mit diesen Domänenloggs irgendwann im Mittelalter mal eingeloggt hatte(Rechner laufen aber trotzdem lokal xD).
Du meinst, Du hast sie auf dem Bild geschwärzt?
JapDas heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?
Ja ich geh da immer den sicheren Weg.Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.
1. Rechte auf die Freigaben SYSVOL und NETLOGON prüfen.
Dürfen User und Computer lesen? Wird der Zugriff gewährt?
Ja "Jeder" hat das Leserecht, sollte ja genügen?Hab den Computer auch nochmal extra eingefügt mit Leserecht.Dürfen User und Computer lesen? Wird der Zugriff gewährt?
Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
Ich bezweifel das sich die Firma da beschweren wird, da eh noch keiner in der Domäne angemeldet ist, abgesehen von den NTFS Logins und ein Großteil mit gecrackten Windows Lizenzen unterwegs ist ....(Das wurde bereits bei der GF angesprochen, hab dennen auch direkt gesagt ich fass die Rechner nur an wenn da eine offizielle Lizenz drauf läuft und mein Test-PC ist ohne Lizenz also frisch installiert, aber das sollte ja kein Problem sein)(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
2. SMB-Protokolle prüfen.
Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit
Hm da ist mir aufgefallen das smb 3 nicht aktiv ist aber auch nicht aktivierbar?(Siehe Bild)Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit
> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol, EnableSMB3Protocol
> 3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Nope, kommt auch keine Meldung in den Logs dazu, hab nochmal Konten erstellt und mich eingeloggt das funktioniert einwandfrei.Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?
Pro(glaube Version 1909),hab aber alle Updates gemacht.4. DNS prüfen.
Eh ja das sieht dann wohl nicht mehr so schön aus"(Siehe Bild, Paintskills bitte nicht beachten)> nslookup domain.tld
> nslookup server.domain.tld
> nslookup server
> Server:nslookup, sieht auf dem Client genauso aus
Was mir beim DNS aufgefallen ist: Es sind zwei DNS Server drin einmal der lokale SRV DNS und der Domain DNS und jeweils 2 Zonen??:
Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?
Also Server und Client sind zwar Sync aber die Uhr geht 10 Min vor zur tatsächlichen ZeitSo wie es aussieht liegt es tatsächlich an dem total verpeilten DNS Einstellungen, ich bin mittlerweile so verwirrt davon...Ich werde jetzt eine neue Forward und ReverseZone einrichten und die anderen Teile löschen, oder erst löschen und dann einrichten?
Danke schonmal für die Antworten
Kleiner Nachtrag von mir, mir ist gerade aufgefallen das auf dem Server 172.22.23.1 wo der DHCP läuft der DHCP mit der IP 172.22.23.2 eingerichtet wurde?!
Zitat von @ntmn3r0:
Kleiner Nachtrag von mir, mir ist gerade aufgefallen das auf dem Server 172.22.23.1 wo der DHCP läuft der DHCP mit der IP 172.22.23.2 eingerichtet wurde?!
Kleiner Nachtrag von mir, mir ist gerade aufgefallen das auf dem Server 172.22.23.1 wo der DHCP läuft der DHCP mit der IP 172.22.23.2 eingerichtet wurde?!
Was genau meinst Du damit? Hat der Server 2 IP-Adressen?
Ich würde mir an Deiner Stelle überlegen, ob Du nicht den DHCP-Server auf den DC migrierst...
Nein der Server hat nur die Adresse 172.22.23.1, aber der DHCP ist mit der Adresse 172.22.23.2 konfiguriert....(Man muss sagen er funktioneirt aber lol)
Ich wüsste noch nichtmal wieso man NICHT die Adresse des Servers nehmen sollte auf dem der DHCP sitzt?!
Ich wüsste noch nichtmal wieso man NICHT die Adresse des Servers nehmen sollte auf dem der DHCP sitzt?!
Da hat einer aber wirklich gefrickelt was das Zeug hielt.
Hier würde ich empfehlen einen neuen DC sauber aufsetzen und diesen dann Schritt für Schritt zum PDC befördern.
Es sieht nämlich schwer danach, dass hier gebastelt wurde bis es funktioniert hat, aber nur so halb. Da alle lokale Benutzer verwenden ist hier die Domäne wirklich stark in Frage zu stellen.
Ein Konzept muss her und dann einen Dienst nach dem anderen sauber aufgebaut werden.
Gruß
Radiogugu
Hier würde ich empfehlen einen neuen DC sauber aufsetzen und diesen dann Schritt für Schritt zum PDC befördern.
Es sieht nämlich schwer danach, dass hier gebastelt wurde bis es funktioniert hat, aber nur so halb. Da alle lokale Benutzer verwenden ist hier die Domäne wirklich stark in Frage zu stellen.
Ein Konzept muss her und dann einen Dienst nach dem anderen sauber aufgebaut werden.
Gruß
Radiogugu
Ja ein Konzept habe ich ja schon....ist ja eigentlich kein ding DC - DNS - DHCP und fertig...aber scheinbar hat hier irgendwer überall durch geklickt bis es irgendwann mal funktioniert hat...>_>.
Ihr wollt garnicht wissen wie die PC's aussehen und wie das mit den arbeitsabläufen, Programmen, EMails etc. hier abläuft....eine reinste Katastrophe.
Den externen DHCP habe ich jetzt schon eliminiert. hab auf dem DC einen neuen Autorisierten erstellt.
Ihr wollt garnicht wissen wie die PC's aussehen und wie das mit den arbeitsabläufen, Programmen, EMails etc. hier abläuft....eine reinste Katastrophe.
Den externen DHCP habe ich jetzt schon eliminiert. hab auf dem DC einen neuen Autorisierten erstellt.
Kleine Schritte zur Besserung. Am Ende solltest Du hier eine Dokumentation vorweisen, was Du alles verändert hast. Mit Vorher / Nachher Gegenüberstellung und Begründung und Risikoeinschätzung Deinerseits. Das würde ich der Geschäftsleitung vorlegen. Die werden Dir nicht mehr Geld bezahlen oder Dich loben oder Dir einen Tag Urlaub mehr geben, aber zumindest sind sie damit informiert, was alles im Argen lag.
Eventuell sogar den Wisch unterschreiben lassen und zu Deiner Personalakte legen lassen Hier geht es einfach nur um Absicherung, dass keiner mit einem hocherhobenen Finger auf Dich zukommt, dass das alles vorher besser war.
Gruß
Radiogugu
Eventuell sogar den Wisch unterschreiben lassen und zu Deiner Personalakte legen lassen
Hier geht es einfach nur um Absicherung, dass keiner mit einem hocherhobenen Finger auf Dich zukommt, dass das alles vorher besser war.Gruß
Radiogugu
ein Konzept habe ich ja schon....ist ja eigentlich kein ding DC - DNS - DHCP und fertig...aber scheinbar hat hier irgendwer
Das ist noch kein Konzept. Dazu gehört Struktur, rechte, etc
DHCP und DNS sollte eigentlich nur ein kleiner Task sein
Soooo habe es jetzt geschafft das er die GPO's nimmt.
Zwar habe ich den Fehler nicth direkt gefunden, aber nunja.
Habe jetzt einfach den externen DHCP gelöscht, auf dem DC einen neuen DHCP ohne irgendwelchen Mist.
Habe dann den 2. DNS gelöscht, alle Zonen aus dem 1. DNS rausgehauen und den DNS komplett neu konfiguriert.
Auf einmal lief alles wie es laufen soll
Ist es nicht wunderschön? :D
Danke nochmal an alle die sich mein Leid angenommen haben ;)
Zwar habe ich den Fehler nicth direkt gefunden, aber nunja.
Habe jetzt einfach den externen DHCP gelöscht, auf dem DC einen neuen DHCP ohne irgendwelchen Mist.
Habe dann den 2. DNS gelöscht, alle Zonen aus dem 1. DNS rausgehauen und den DNS komplett neu konfiguriert.
Auf einmal lief alles wie es laufen soll
C:\Users\Logistik>gpupdate /force
Die Richtlinie wird aktualisiert...
Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.Ist es nicht wunderschön? :D
Danke nochmal an alle die sich mein Leid angenommen haben ;)
Moin,
Die arme Domain. Die hat sich sicher furchtbar gelangweilt.
Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.
Das ist gut. Man sollte dann noch das Einfügen an einen Nichtadmin delegieren. Das hat den Vorteil, dass, wenn man sich im Namen des Rechners vertippt hat (egal auf welcher Seite), läuft das Einfügen gegen die Wand der fehlenden Rechte. Fügt ein Domain-Admin ein, dann wird der vertippte Name eingefügt in den Container Computer. Und dann wundert man sich wieder, warum die GPOs nicht gezogen werden.
Mach das wieder rückgängig. An den Rechten dieser Freigaben sollte man nur fummeln, wenn sie nicht stimmen. Bzw. sie stimmen, wenn man nicht daran rumfummelt.
Deswegen ja auch der Hinweis auf den Echtbetrieb.
Nicht sagen, sondern unbedingt aufschreiben. Mache eine Bestandsaufnahme, wieviele Installationen vorhanden sind und wieviele Lizenzen. Das legst Du der Geschäftsführung vor mit dem Hinweis, dass der Zustand dringend geändert werden muss, da sonst straf- und zivilrechtliche Konsequenzen drohen. Freundlich aber deutlich. Am Besten so formuliert, dass Du das im Interesse der Firma mitteilst.
Weil es den Parameter -enablesmb3protocol nicht gibt. Da gibt es nur 1 und 2. Wenn unter Windows 10 der von mir genannte Befehl für SMB3 nichts zurückgibt, dann ist es an.
Was sieht denn da nicht schön aus, junger Padawan? Und ich meine nicht Deine Malkünste.
Das sieht sehr seltsam aus. Jetzt weiß ich auch, warum der "Kollege", der das vorher betreut hat, die Domain nie in Betrieb genommen hat. Das konnte ja nichts werden.
Hauptsache die Uhren gehen nicht mehr als 5 Minuten auseinander. Wenn Du wissen willst, warum, dann lies was zum Thema Kerberos. Das die Zeit stimmt, ist dann die Kür.
Ein Tipp: Lass mal über den ganzen Schmutz den Best Practice Analyzer laufen. Den findest Du im Servermanager, ich glaube auf dem Dashboard. Keine Lust, jetzt nachzugucken. Der gibt Dir eine Liste der Fehler und schlechten Konfigurationen aus. Unter anderem findest Du da auch, wie man dem PDC einen externen Zeitserver zuweist.
Genau richtig. Fehler erkannt und behoben. Herzlichen Glückwunsch!
Nochwas: Geh zu Deinem Chef und verlange ein Budget für Literatur. Ich hatte Dir ja einen Link gegeben auf das Handbuch vom Server 2012 R2. Sowas brauchst Du für Deine aktuelle Version. Dann noch zwei, drei andere Nachschlagewerke. Muss ja nicht auf Papier sein. Aber auch digital sind die nicht ganz billig.
Liebe Grüße
Erik
Zitat von @ntmn3r0:
Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?
Die Domäne selbst ist wohl gut 3 jahre in diesem Zustand.Die arme Domain. Die hat sich sicher furchtbar gelangweilt.
Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?
Ja ich geh da immer den sicheren Weg.Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.
Das ist gut. Man sollte dann noch das Einfügen an einen Nichtadmin delegieren. Das hat den Vorteil, dass, wenn man sich im Namen des Rechners vertippt hat (egal auf welcher Seite), läuft das Einfügen gegen die Wand der fehlenden Rechte. Fügt ein Domain-Admin ein, dann wird der vertippte Name eingefügt in den Container Computer. Und dann wundert man sich wieder, warum die GPOs nicht gezogen werden.
Ja "Jeder" hat das Leserecht, sollte ja genügen?Hab den Computer auch nochmal extra eingefügt mit Leserecht.
Mach das wieder rückgängig. An den Rechten dieser Freigaben sollte man nur fummeln, wenn sie nicht stimmen. Bzw. sie stimmen, wenn man nicht daran rumfummelt.
Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
Ich bezweifel das sich die Firma da beschweren wird, da eh noch keiner in der Domäne angemeldet ist,(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)
Deswegen ja auch der Hinweis auf den Echtbetrieb.
abgesehen von den NTFS Logins und ein Großteil mit gecrackten Windows Lizenzen unterwegs ist ....(Das wurde bereits bei der GF angesprochen, hab dennen auch direkt gesagt ich fass die Rechner nur an wenn da eine offizielle Lizenz drauf läuft und mein Test-PC ist ohne Lizenz also frisch installiert, aber das sollte ja kein Problem sein)
Nicht sagen, sondern unbedingt aufschreiben. Mache eine Bestandsaufnahme, wieviele Installationen vorhanden sind und wieviele Lizenzen. Das legst Du der Geschäftsführung vor mit dem Hinweis, dass der Zustand dringend geändert werden muss, da sonst straf- und zivilrechtliche Konsequenzen drohen. Freundlich aber deutlich. Am Besten so formuliert, dass Du das im Interesse der Firma mitteilst.
Hm da ist mir aufgefallen das smb 3 nicht aktiv ist aber auch nicht aktivierbar?
Weil es den Parameter -enablesmb3protocol nicht gibt. Da gibt es nur 1 und 2. Wenn unter Windows 10 der von mir genannte Befehl für SMB3 nichts zurückgibt, dann ist es an.
3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Nope, kommt auch keine Meldung in den Logs dazu, hab nochmal Konten erstellt und mich eingeloggt das funktioniert einwandfrei.Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?
Pro(glaube Version 1909),hab aber alle Updates gemacht.4. DNS prüfen.
Eh ja das sieht dann wohl nicht mehr so schön aus "(Siehe Bild, Paintskills bitte nicht beachten)>> nslookup domain.tld
>> nslookup server.domain.tld
>> nslookup server
>> Was sieht denn da nicht schön aus, junger Padawan?
Und ich meine nicht Deine Malkünste.Was mir beim DNS aufgefallen ist: Es sind zwei DNS Server drin einmal der lokale SRV DNS und der Domain DNS und jeweils 2 Zonen??:
Das sieht sehr seltsam aus. Jetzt weiß ich auch, warum der "Kollege", der das vorher betreut hat, die Domain nie in Betrieb genommen hat. Das konnte ja nichts werden.
Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?
Also Server und Client sind zwar Sync aber die Uhr geht 10 Min vor zur tatsächlichen ZeitHauptsache die Uhren gehen nicht mehr als 5 Minuten auseinander. Wenn Du wissen willst, warum, dann lies was zum Thema Kerberos. Das die Zeit stimmt, ist dann die Kür.
Ein Tipp: Lass mal über den ganzen Schmutz den Best Practice Analyzer laufen. Den findest Du im Servermanager, ich glaube auf dem Dashboard. Keine Lust, jetzt nachzugucken. Der gibt Dir eine Liste der Fehler und schlechten Konfigurationen aus. Unter anderem findest Du da auch, wie man dem PDC einen externen Zeitserver zuweist.
So wie es aussieht liegt es tatsächlich an dem total verpeilten DNS Einstellungen, ich bin mittlerweile so verwirrt davon...Ich werde jetzt eine neue Forward und ReverseZone einrichten und die anderen Teile löschen, oder erst löschen und dann einrichten?
Genau richtig. Fehler erkannt und behoben. Herzlichen Glückwunsch!
Nochwas: Geh zu Deinem Chef und verlange ein Budget für Literatur. Ich hatte Dir ja einen Link gegeben auf das Handbuch vom Server 2012 R2. Sowas brauchst Du für Deine aktuelle Version. Dann noch zwei, drei andere Nachschlagewerke. Muss ja nicht auf Papier sein. Aber auch digital sind die nicht ganz billig.
Liebe Grüße
Erik
