none
Windows Server 2008 R2: Netzwerk-Eigenschaften können nach dcpromo nicht mehr angezeigt/geändert werden RRS feed

  • Frage

  • Guten Tag

    Wir haben vor, unsere bestehenden Windows 2003 Server durch neue Windows 2008 R2 Server zu ersetzen. Die Server laufen virtuell auf VMware 4.1.0. Es wurden auch schon Windows 2008 R2 Server in die Domäne eingebunden, jedoch nicht als DC's.

    Das eigentliche Problem äussert sich wie folgt:

    Server wird aufgesetzt, dcpromo ausgeführt. Bis hierhin läuft der Server noch. In den Netzwerkeigenschaften ist auch angezeigt, dass der Server im Domänennetzwerk ist. Dann werden Windows Updates angezeigt:

    http://img153.imageshack.us/i/updatesn.jpg

    Sobald diese installiert sind und der Server neu gebootet wurde, wird die Netzwerkverbindung mit einem roten Kreuz dargestellt. Die dazugehörige Meldung lautet:

    "The dependency service or group failed to start."

    Bei DHCP kriegt der Server eine 169er Adresse, wenn ich eine fixe IP eingebe kann ich aber pingen und er gibt auch Antwort. Die Windows Firewall läuft nicht, ich kann auch keine Änderungen vornehmen. Wenn ich den Firewall Dienst starten möchte erhalten ich o.g. Fehler, dazu den Code "Error 1068". Auch der Diagnostic Policy Service lässt sich nicht starten: Error 5 Access is denied.

    Natürlich bin ich als Organisations-Admin eingeloggt und besitze somit alle nötigen Rechte für dcpromo bzw. Systemänderungen. Wie gesagt: der Server läuft bis dcpromo und Windows Updates einwandfrei.

    Leider sind wir mit unserem Latein am Ende und hoffen, hier einen Anhaltspunkt zu erhalten.

    Besten Dank für eure Hilfe

    Ronnie

    Montag, 7. März 2011 09:56

Alle Antworten

  • Hi,

    was sagen die log-dateien des ESXs ?

    Ich würde mal bei VMWare suchen unter http://kb.vmware.com/selfservice/microsites/microsite.do

    oder in deren Foren.

    Was für eine Hardware habt Ihr drunter ?


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Montag, 7. März 2011 20:44
  • Hallo

    Soweit ich das beurteilen kann, spucken die VMware Foren und Google nichts brauchbares zu diesem Thema aus. Die LOG Datei des ESX enthält meiner Meinung nach keine Fehlermeldungen diesbezüglich... Wir nehmen vielmehr an, dass es ein Problem der Updates in Kombination mit dcpromo ist - zumal der Fehler nur in dieser Konstellation auftritt (bestehende "normale" Windows 2008 Server verursachen keine Probleme dieser Art, erst nach dcpromo).

    Wir setzen IBM x3650 er Hardware ein...

    Danke

    Dienstag, 8. März 2011 13:35
  • Hi Akris Support,

    vielleicht postest du noch ein paar Fehlermeldungen aus dem EventLog.

    Probier mal den TCP/IP-Stack zu reseten:
    netsh winsock reset


    Viele Grüße
    Christian

    Dienstag, 8. März 2011 16:07
  • Hallo,

    wurde der Server aus einem Template geklont?
    Wenn ja, hast du diesen mittels VMWare Converter neu konfiguriert?

    Ich musste leider bei einigen Klons feststellen, dass teilweile einige Settings der Netzwerkkarte überhaupt nicht gesetzt werden können.

    Abhilfe bei uns war:
    - VMWare Tools deinstallierten
    - NIC aus dem Gerätemanager löschen
    - => Booten
    - VMWare Tools installieren
    - => Booten
    - NIC konfigurieren

    Dienstag, 8. März 2011 21:04
  • Hallo,

    ist das Problem noch aktuell? Konnten die Ansätze weiterhelfen?

    Gruß,
    Andrei

    Freitag, 11. März 2011 08:46
    Moderator
  • Hi

    Der Server wurde von einem Template geklont. VMware converter können wir nicht mehr einsetzen, da der Server bereits aufgesetzt ist und mit dcpromo in die Domäne eingebunden wurde.

    Die restlichen Schritte zur Abhilfe haben wir versucht, ohne Erfolg.

    Könnt ihr mir einen Tipp geben, welche Error Logs für euch interessant sind?

    Danke & Gruss

    Montag, 14. März 2011 15:52
  • Hi,

    eine mögliche Ursache könnten auch fehlerhafte Berechtigungen auf die Services sein.

    Führe bitte mal diese zwei Aktionen durch:
    http://support.microsoft.com/kb/313222

    sc sdshow mpssvc (und hier posten)
    (oder mit einem funktionierenden Server vergleichen)

     

     

    Montag, 14. März 2011 19:35
  • Hi.

    secedit (http://support.microsoft.com/kb/313222) wurde durchgeführt - ohne Erfolg.

    sc sdshow mpssvc:

    D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
    RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCRP;;;S-1-5-80-2006800713-1441093265-249754
    844-3404434343-1444102779)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Danke!

    Dienstag, 15. März 2011 09:03
  • Ok, also Berechtigung des Firewalldienstes passt.

    >Auch der Diagnostic Policy Service lässt sich nicht starten: Error 5 Access is denied.

    UAC ist nicht aktiviert auf dem Server?
    Bitte auch mal einen sc von diesem Dienst machen.

    Gibt es sonst noch Dienste, die beim Systemstart nicht gestartet werden können?

    Dienstag, 15. März 2011 09:37
  • sc sdshow dps

    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLO
    CRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    UAC ist nicht aktiviert.

    Anscheinend können einige Dienste, die irgend etwas mit Netzwerk zu tun haben nicht gestartet werden. Es werden aber keine expliziten Fehler beim Systemstart angezeigt. Falls ich einen bestimmten Dienst kontrollieren soll - bitte lasst es mich wissen.

    Obwohl die Berechtigung für den Firewall Dienst also stimmt, lässt er sich nicht starten.

    Danke

    Dienstag, 15. März 2011 13:48
  • Die Ergebnisse von sc sdshow mpssvc... wie interpretiere ich die?

    Habe ein anderes Problem und schon 100.000 Sachen probiert..

    dieser Befehl könnte eventuell mehr Aufschluss geben..

    naja, für mich gibt der Befehl sinnlose Grütze aus... :-(

     

    Montag, 29. August 2011 12:26
  • Am 29.08.2011 14:26, schrieb Nicolai.H:

    Die Ergebnisse von sc sdshow mpssvc... wie interpretiere ich die?

    MMC -> Sicherheitsvorlagen -> DIenste
    konfiguriere einen beliebigen Dienst und desses Sicherheit.
    Speichere die INF Datei, schliess die MMC.

    Kopier den shshow Befehl in die INF Datei öffne sie wieder mit der MMC.

    naja, für mich gibt der Befehl sinnlose Grütze aus... :-(

    Google: SDDI und SDDL
    http://msdn.microsoft.com/en-us/library/aa379567%28v=vs.85%29.aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 29. August 2011 12:51
  • Erstmal vielen Dank für die rasche Antwort.

    Also im msdn war ich auch schon, kann ja googlen ;-)

    Aber so ganz schlau werd ich da jetzt nicht, also das kann ja auch kein administratives Tool sein... warum für jeden Befehl einen neue Sprache und ein neuer Dialekt und dann noch sowas...

    Hier die Ausgabe aus dieser Diskussion...

    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLO
    CRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Erklärung der Seite:

    D:PAR - Snapshot the parent object's inheritable ACEs into the current object. Block future changes to the parent object's ACEs from propagating to the current object.

    D:PAI - Freeze the ACEs in the current object. Retain all previously inherited ACEs. Block future propagation of changes from the parent object.

    Versteh ich nciht, es gibt nur D: was bedeutet d:  ??

    Dann, es wird immer geiler...

    D:dacl_flags(string_ace1)(string_ace2)... (string_acen)

    aha.. verstehe ich nicht, sieht aus, wie sinnlose Grütze.. also ist schon klar, access list der werden strings übergeben, aber wo hilft mir das jetzt irgendwie den Sinn zu verstehen...??

    Ok, jetzt legen sie richtig los...

    String 1:

    "O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-0-0)"
    
    

    Security Descriptor 1:

     Revision: 0x00000001
     Control: 0x0004
     SE_DACL_PRESENT
     Owner: (S-1-5-32-548)
     PrimaryGroup: (S-1-5-21-397955417-626881126-188441444-512)
    DACL
     Revision: 0x02
     Size: 0x001c
     AceCount: 0x0001
     Ace[00]
     AceType: 0x00 (ACCESS_ALLOWED_ACE_TYPE)
     AceSize: 0x0014
     InheritFlags: 0x00
     Access Mask: 0x100e003f
        READ_CONTROL
        WRITE_DAC
        WRITE_OWNER
        GENERIC_ALL
        Others(0x0000003f)
     Ace Sid : (S-1-0-0)
    SACL
     Not present
    klar.. jetzt verstehe ich immer noch kein Wort, sorry.. also SID ist klar... da ist ne SID!! Kenn ich... :-(
    Also, entschuldigung... äh... ´mir ist nicht ansatzweise klar, wie ich Vorgabe und Erklärung ansatzweise in Zusammenhang bringe, für mich sind das zwei Mengen die keinen Bezug zu einander haben....



    Ahh jetzt komme ich der Sache näher.. Directory service object access rights...

    Ja... die SID ist die NULL-Autorität, die hab ich irgendwo in den Logs gesehen... Nee sorry... also, bevor ich so, irgendwie weitergekommen bin, da hah ich eher neuinstalliert... :-(

    Montag, 29. August 2011 13:14
  • >jetzt verstehe ich immer noch kein Wort, sorry.. also SID ist klar... da ist ne SID!!

    Warum nicht?
    Dort sind jede Menge SIDs:

     

    >"O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-0-0)"

    >Revision: 0x00000001
    >  Control:  0x0004
    >   SE_DACL_PRESENT
    >  Owner: (S-1-5-32-548)
    >  PrimaryGroup: (S-1-5-21-397955417-626881126-188441444-512)
    > DACL
    > Revision: 0x02
    >  Size:   0x001c
    >  AceCount: 0x0001
    >  Ace[00]
    >   AceType:    0x00 (ACCESS_ALLOWED_ACE_TYPE)
    >    AceSize:    0x0014
    >   InheritFlags: 0x00
    >   Access Mask:  0x100e003f
    >              READ_CONTROL
    >              WRITE_DAC
    >             WRITE_OWNER
    >              GENERIC_ALL
    >              Others(0x0000003f)
    >    Ace Sid   : (S-1-0-0)

     

     


    Montag, 29. August 2011 13:41
  • Am 29.08.2011 15:14, schrieb Nicolai.H:

    Aber so ganz schlau werd ich da jetzt nicht,

    an welcher stelle der MMC Sicherheitsvorlagen bist du gescheitert?

    ---------------------------
    [Unicode]
    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Service General Setting]
    "IrgendeinDienst",4,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    ---------------------------

    Die GUI anzuklicken solltest du schaffen. Ersetze "IrgendeinDienst" mit
    dem Dienstnamen, korrigere die Security und verteile sie per GPO.
    Oder definiere die Security "richtig" und entnehme der INF Datei die
    passende SDDL um sie per "sc sdset" zu verteilen.

    Das ist simple GUI Klickibunti Administration, die auch jemand schaffen
    kann, der nur Grütze kennt und nur Grütze verstehen will.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 29. August 2011 13:44
  • Ich will das nicht verteilen, ich wollte erkennen ob Dienste Einstellungen haben die völlig abstrus sind...

    Möglicherweise Berechtigungsfehler, die den Dienst vom Starten abhalten.

    aber D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

     

    sagt mir irgendwie gar nichts... also klar, wenn ich das aus einem Dienst exportiere, dann weiß ich, ein anderer Dienst dem ich das wieder zuweise, bekommt die Einstellungen, aber das was ich wollte da hilft es mir nicht.

    Sorry, war nicht böse gemeint. :-)

     

    davon ab, es geht nicht um GUI und klicki Bunti, ich kann auch Befehle in die Konsole hacken(mache ich hier schon den ganzen Tag, hat leider nur nicht den gewünschten Erfolg gebracht =-)) ), schreibe auch Scripts und kleinere DB-Anwendungen in C#

    aber

    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

    ist für mich halt gekritzel aus dem ich nicht soooo schlau werde, wie andere scheinbar... aber ich denke, mein Problem hier werd ich eh völlig anders angehen.

    Danke nochmal!

    Montag, 29. August 2011 13:53
  • @Matthias Wolf...

    Ja cool, genau, viele SIDs... hab ich auch gesehen...

    Jetzt noch der Bezug zu

    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLO
    CRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    denn das ist ja das, was der von dir zitierte Text erklären soll...

     

    Montag, 29. August 2011 14:05
  • Ich wollte die gar nicht als Vorlagen nutzen sondern, damit Fehler in meiner Dienste Konfiguration lösen bzw. finden, aber wie gesagt, mir hilft das nicht...

    kann mich da jetzt hinsetzen und Seitenweise kryptisches Zeug lesen, oder an meinem Problem arbeiten.

     

    Wie gesagt, ich glaube sowieso, dass ich damit auf dem falschen Dampfer war, selbst, wenn es (für mich) mehr Infos offenbart hätte, ist einfach ok.

    Alles gut, vielen Dank.


    Montag, 29. August 2011 14:07
  • Am 29.08.2011 16:07, schrieb Nicolai.H:

    damit Fehler in meiner Dienste Konfiguration lösen bzw. finden

    ... und genau das kannst du mit der Vorlage, denn die bietet die das
    SDDI das Grütze Interface zur Grütze Languge.
    Das Interface ist dein gewohnter Sicherheitsreiter aus jeder Stelle des
    Systems, an dem du Berechtigungen definierst.

    Unglaublich aber war, du kannst sogar mehrere Dienste darin eintragen
    und mit der "Sicherheitskonfiguration und analyse" dein Lifesystem gegen
    die Vorlage testen oder auch eine korrigierte Vorlage testen und
    hinterher sogar anwenden.

    Wenn also Fehler drin sind: Die MMC ist deine Korrekturmöglichkeit.

    Du kannst dich aber auch gerne weiterhin mit der SDDL rumschlagen und
    sie immer noch nicht verstehen. Was ich persönlich auch nicht tue, aber
    zum Glück auch nie brauche. Ich nehm die MMC.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 29. August 2011 14:43
  • >Ja cool, genau, viele SIDs... hab ich auch gesehen...

    Das ist ein Ton mit dem du dir sicherlich keine Freunde machen wirst.

    >Jetzt noch der Bezug zu

    Und woher hätte man das jetzt erahnen sollen?

     

    Was du mit SID meinst, ist das hier:

    D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRRC;;;BA)(A;;CCLCSWLO
    CRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

    Die vollständige Liste hier:

    http://msdn.microsoft.com/en-us/library/aa379602(v=VS.85).aspx

     

    Wenn es keine Well-known-SID ist, dann wird an dieser Stelle die SID angezeigt.

    http://msdn.microsoft.com/en-us/library/aa379649(v=VS.85).aspx

     

     

     



    Montag, 29. August 2011 14:50
  • Ok, das macht schon eher sinn...
    Montag, 29. August 2011 14:55
  • Am 29.08.2011 16:50, schrieb Matthias Wolf:

    Die vollständige Liste hier:
    http://msdn.microsoft.com/en-us/library/aa379602(v=VS.85).aspx

    Wie geil, das habe ich nie nachgeschaut, weil ich SY,CO,BA und BU nach
    x-mal reinschauen "erkannt" habe, aber das "WD" Jeder ist, ist das das
    Beste an der Liste.

    WD = Everyone. The corresponding RID is SECURITY_WORLD_RID.
    Die "Welt", das ist zu schön.

    Danke fürs posten, der Link ist gesichert.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 29. August 2011 18:26