locked
Windows 7 in 2003er Domäne - Computerrichtlinie wird nicht übernommen RRS feed

  • Frage

  • Hallo,

     

    ich hatte schon mal eine Frage in einem anderen Forum gestellt, hoffe jedoch, dass sie hier besser aufgehoben ist:

    http://social.answers.microsoft.com/Forums/de-DE/w7networkde/thread/cb842445-a9a5-45a1-b365-82b01e214443

    Nochmal die "Kurz"form:

    Wir betreiben eine Domäne mit einem Windows 2003 R2 SP2 Server als DC. Clients waren bisher überwiegend XP Pro SP3, nun versuche ich, die ersten beiden Windows 7 Pro Clients einzurichten. Die PC's habe ich mit den Recovery-DVDs des Herstellers (es handelt sich um HP Workstations) "installiert" (wenn ich gewusst hätte was da auf mich zukommt hätte ich vermutlich des vorinstallierte XP draufgelassen, damit hatte ich noch nie solch ein Problem).

    Der Beitritt zur Domäne hat auch geklappt, Zugriff auf Netzwerklaufwerke, Daten und Programm ebenfalls. Dann fiel mir auf, dass einer der beiden Clients sich nicht beim WSUS (läuft ebenfalls auf dem DC) meldet. Im Systemereignisprotokoll auf beiden W7-Clients fand ich dann zwei Einträge, die nach dem Domänenbeitritt immer wieder auftreten:

    Protokollname: System
    Quelle:        Microsoft-Windows-Security-Kerberos
    Datum:         21.09.2010 16:26:14
    Ereignis-ID:   14
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      XX-X-XX.xxx-x.local
    Beschreibung:
    Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "XXX-X\si2" erneut ein.

    Protokollname: System
    Quelle:        Microsoft-Windows-GroupPolicy
    Datum:         21.09.2010 16:26:20
    Ereignis-ID:   1055
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:
    Benutzer:      SYSTEM
    Computer:      XX-X-X.xxx-x.local
    Beschreibung:
    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
    a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
    b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

    Zunächst habe versucht, das Kennwort in der Anmeldeinformationsverwaltung zurückzusetzen bzw. die Daten aus dem Tresor zu löschen - erfolglos. Dann habe ich das SMB-Signing anhand der Howto auf http://www.gruppenrichtlinien.de/ überprüft und sowohl in der Default Domain Policie als auch in der DC Policie die digitale Signatur aktiviert "wenn der Server / Client zustimmt" (war vorher deaktiviert). Die Einstellungen entsprechen jetzt dem Howto. Ich habe auch die Einstellungen in der Registry der CLients manuell darauf angepasst, da ja die Computerrichtlinie nicht übernommen wurde - ohne Erfolg.

    Weiterhin habe ich eingestellt:

    -LM und NTLM-Antworten senden (NTLMv2-Sitzungsicherheit verwenden, wenn ausgehandelt).

    -Immer auf das Netzwerk warten.

    -IP-Adresse manuell eingetragen (normal läuft DHCP).

    -Client raus aus der Domäne, nochmal neu beigetreten.

    -Hotfix http://support.microsoft.com/kb/939820/de auf dem Server installiert.

    Leider alles erfolglos. Es läuft nur die Windows-Firewall, inzwischen noch NOD32 (war beim ersten Auftreten der Probleme noch nicht installiert).

    Dann habe ich noch folgendes Vorgehen ausprobiert:

    - raus aus der Domäne,

    - Antivirensoftware deinst, alle Nicht-MS-Dienste deakt.

    - sysprep ausgeführt,

    beim anschließenden Neustart bleibt er immer hängen "Die Konfiguration des Systems konnte nicht abegschlossenn werden. Starten Sie den Computer neu..."

    Neustarts bringen immer wieder das gleiche Ergebnis.

    Was bleibt mir übrig? Neuinstallation? Das wäre natürlich sehr ärgerlich....

    Gruß Roland

    • Verschoben Alex Pitulice Donnerstag, 2. August 2012 14:07 Zusammenfuehrung Plan (aus:Windows 7 Installationsprobleme)
    Montag, 27. September 2010 11:37

Antworten

  • Hallo,

    nun ja. Die bisherigen Vorinstallationen (meist auf HP Workstations) waren durchaus brauchbar (allerdings ging es dabei immer um XP) und die vorinstallierten "Beigaben" des Herstellers eher überschaubar - kein Vergleich zu Consumer-Produkten, bei denen der Desktop zugepflastert ist. Daher habe ich ohne große Bedenken den Weg der Recovery-DVDs gewählt (andere Medien sind ja leider auch nicht dabei), bei denen man auch noch wählen kann, ob man überhaupt Software von HP installiert haben möchte (diverse Treiber werden natürlich immer mitinstalliert, so dass hier auch schon Fallen lauern können). Ich hatte nach meinen bisherigen Erfahrungen einfach nicht erwartet, auf solche Probleme zu stossen. 

    Natürlich ist der Mehraufwand für die paar Treiber, die man noch von Hand nachinstallieren muss vernachlässigbar im Vergleich zu dem was ich jetzt habe (mehrere Stunden Fehlersuche und erfolglose Tests, um zu versuchen das Problem zu beheben - zuzüglich einer nun bevorstehenden Neuinstallation mit mehreren Stunden, um die ganzen Programme und Druckertreiber etc. nochmal zu installieren, da ich den Fehler leider erst recht spät bemerkt habe), mal abgesehen davon, dass ich solche Sisyphusarbeit nicht ausstehen kann. Daher auch die Frage nach einer anderen Lösung...

    Aber trotzdem danke für die Aufmunterungen... ;-)

    Roland

    • Als Antwort markiert Rolando57 Dienstag, 28. September 2010 08:15
    Montag, 27. September 2010 13:15

Alle Antworten

  • Am 27.09.2010 schrieb Rolando57:

    Was bleibt mir übrig? Neuinstallation? Das wäre natürlich sehr ärgerlich....

    Eine saubere Neuinstallation mit einer "normalen" Windows 7 DVD. Die
    vom Hersteller sind mit allem möglichen zugepflastert und immer öfter
    äußerst kritisch bei solchen Vorgehen. Treiber kannst Du dir ja später
    noch vom Hersteller holen und installieren. Aber keine Tools vom
    Hersteller installieren.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 27. September 2010 11:49
  • Hi,

    ... wenn Nadine meine Antwort schon ankündigt, dann werde ich das
    wohl auch tun müssen ;-)

    Am 27.09.2010 13:49, schrieb Winfried Sonntag [MVP]:

    Eine saubere Neuinstallation mit einer "normalen" Windows 7 DVD. Die
    vom Hersteller sind mit allem möglichen zugepflastert  [...]

    FULL ACK!
    Ich kenne keinen einzigen Hersteller, der seine Geräte "ordentlich"
    installiert und auch keine Pre-Installation eines Systems, die ich
    "out-of-the-box" in meinem Netzwerk dulde.

    Mit anderen Worten:
    Du siehst welchen Ärger du jetzt mit den tollen Herstellerinstallationen
    hattest. Die Zeit, die es dich mit Basteln gekostet hat, hätte gereicht
    um das System schön per Hand so zu installieren, wie du es brauchst.
    Und nicht wie der Hersteller meint, das seine Werbepartner am besten
    bedient werden.

    Der Weg ist Installation und hinzufügen was man braucht, nicht buntes
    Image verwenden und rausnehmen und ignorieren, was man nicht möchte.
    Den erste Fall habe ich unter Kontrolle, beim 2ten bleibt immer ein
    Restrisiko.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 27. September 2010 12:35
  • Hallo,

    nun ja. Die bisherigen Vorinstallationen (meist auf HP Workstations) waren durchaus brauchbar (allerdings ging es dabei immer um XP) und die vorinstallierten "Beigaben" des Herstellers eher überschaubar - kein Vergleich zu Consumer-Produkten, bei denen der Desktop zugepflastert ist. Daher habe ich ohne große Bedenken den Weg der Recovery-DVDs gewählt (andere Medien sind ja leider auch nicht dabei), bei denen man auch noch wählen kann, ob man überhaupt Software von HP installiert haben möchte (diverse Treiber werden natürlich immer mitinstalliert, so dass hier auch schon Fallen lauern können). Ich hatte nach meinen bisherigen Erfahrungen einfach nicht erwartet, auf solche Probleme zu stossen. 

    Natürlich ist der Mehraufwand für die paar Treiber, die man noch von Hand nachinstallieren muss vernachlässigbar im Vergleich zu dem was ich jetzt habe (mehrere Stunden Fehlersuche und erfolglose Tests, um zu versuchen das Problem zu beheben - zuzüglich einer nun bevorstehenden Neuinstallation mit mehreren Stunden, um die ganzen Programme und Druckertreiber etc. nochmal zu installieren, da ich den Fehler leider erst recht spät bemerkt habe), mal abgesehen davon, dass ich solche Sisyphusarbeit nicht ausstehen kann. Daher auch die Frage nach einer anderen Lösung...

    Aber trotzdem danke für die Aufmunterungen... ;-)

    Roland

    • Als Antwort markiert Rolando57 Dienstag, 28. September 2010 08:15
    Montag, 27. September 2010 13:15
  • Hi,

    Am 27.09.2010 15:15, schrieb Rolando57:

    nun ja. Die bisherigen Vorinstallationen (meist auf HP Workstations)
     waren durchaus brauchbar [...]

    Nein. Die Erfahrung lehrt anders und "brauchbar" heisst, ich
    habe x-mal klicken müssen, x Minuten Zeit extra investiert, um was
    damit anzufangen.
    Mit anderen Worten: Gleiche Zeit und gleicher Aufwand für ein
    eigenes Image (RIS/WDS, sysprep, whatever) oder auch nur eine
    Mini-Unattended hätte sich schon längst gelohnt.

    Erfahrungen sind Fehler, die man nicht 3mal machten sollte.

    Daher auch die Frage nach einer anderen Lösung...

    Die ist ja legitim, hat aber den Nachteil, daß du nie sicher bist
    wie das System tickt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 27. September 2010 14:04