none
Änderung DC: XP kein Zugriff auf die Domäne. Vista funktioniert RRS feed

  • Frage

  • Hallo,

    ich hatte einen DC 2k3 und 2 DC 2k8. Den 2k3 habe ich aus der Domäne entfernt (DCPROMO). Vorher alle FSMO übertragen. Seit dem kann kein XP-Client (SP3) mehr auf die Domäne zugreifen. Vista, Windows 7 u.ä. funktioniert.

    Mein bisheriger Lösungsweg: den XP-Rechner aus der Domäne in eine Arbeitsgruppe verschieben, Neustarten, Neu der Domäne beitreten. Dann funktionert alles wieder.
    Da ich dazu an jeden Rechner heran muss, ist das sehr mühselig. Gibt es einen besseren Weg?

    Vielen Dank. Uwe
    Dienstag, 2. Juni 2009 06:32

Antworten

  • Hallo,

    habe das Problem gefunden. Es lag Nicht in der Authentifizierung wie vermutet. Ein "uralter" GPO-Eintrag besagte, dass die Clients sich im DNS registrieren sollen. Dort war auch der DNS (des alten DC) vermerkt. Dieser Eintrag hat die Einstellung des DHCP überschrieben.

    Diese alte Richtlinie wurde im Zuge des DC-Wechsels entfernt, so dass jetzt die Einstellung des DHCP verwendet wird. Da die Änderung recht zeitnah erfolgte und die meisten XP-Rechner ausgeschaltet waren, haben sie die Änderung nicht mitbekommen.

    Jetzt habe ich auf dem alten DC eine DNS-Server installiert, welcher eine Weiterleitung auf den neuen macht. Nach einmaligem Start der Rechner wird die alte GPO gelöscht.

    Vielen Dank für die Hilfe.

    Uwe
    • Als Antwort markiert Uwe Gabbert Donnerstag, 4. Juni 2009 11:00
    Donnerstag, 4. Juni 2009 11:00

Alle Antworten

  • Hallo Uwe,

    welche Fehlermeldung erhältst Du, wenn Du den Domänenzugriff versuchst?

    Unter Umständen sind schlichtweg bestimmte Policies kontraproduktiv (etwa SMB-Signing, NTLM-Einschränkungen o.ä.) oder DNS-Einstellungen nicht korrekt. Ohne eine entsprechende Fehlermeldung ist das schwierig einzugrenzen.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Dienstag, 2. Juni 2009 11:31
    Beantworter
  • Hallo,

    ich erhalte folgende Meldungen:

    LSASRV     40960  (Es steht kein Anmeldeserver zur Verfügung)
    LSASRV     40961  (Es steht kein Authentifizierungsprotokoll zur Verfügung)
    NetLogon   5719   (Es steht kein Anmeldeserver zur Verfügung)
    W32Time           (Kein Zeitserver (DC) erreichbar)

    Folgende Einstellungen in der Default Policy und Default DC Policy:

    Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert
    Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Aktiviert

    Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert
    Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Aktiviert

    Uwe

    Donnerstag, 4. Juni 2009 05:54
  • Hallo Uwe,

    SMB-Signing scheint in Ordnung zu sein (wenn die Policies so auch auf dem Client ankommen, ggf. mittels RSOP Report überprüfbar).

    - Die Domäne kannst Du auf den betroffenen XP-Clients auflösen, sprich ein nslookup domain.tld gibt Dir die korrekten Nameserver / DCs zurück?
    - Liegt zwischen DCs und Clients eine Firewall? Falls ja, bitte folgende Änderung in Bezug auf die dynamischen RPC-Ports beachten: http://blogs.technet.com/deds/archive/2009/05/20/windows-server-2008-dcpromo-1722-the-rpc-server-is-unavailable.aspx
    - Sind tatsächlich alle XP-Client betroffen oder nur einige?
    - Wie ist die Einstellung zum Authentifizierungsprotokoll in den Group Policies (Network security: Lan Manager authentication level)?

    823659 Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments
    http://support.microsoft.com/default.aspx?scid=kb;EN-US;823659


    Viele Grüße
    Fabian


    http://blogs.technet.com/deds
    Donnerstag, 4. Juni 2009 07:14
    Beantworter
  • Hallo,

    habe das Problem gefunden. Es lag Nicht in der Authentifizierung wie vermutet. Ein "uralter" GPO-Eintrag besagte, dass die Clients sich im DNS registrieren sollen. Dort war auch der DNS (des alten DC) vermerkt. Dieser Eintrag hat die Einstellung des DHCP überschrieben.

    Diese alte Richtlinie wurde im Zuge des DC-Wechsels entfernt, so dass jetzt die Einstellung des DHCP verwendet wird. Da die Änderung recht zeitnah erfolgte und die meisten XP-Rechner ausgeschaltet waren, haben sie die Änderung nicht mitbekommen.

    Jetzt habe ich auf dem alten DC eine DNS-Server installiert, welcher eine Weiterleitung auf den neuen macht. Nach einmaligem Start der Rechner wird die alte GPO gelöscht.

    Vielen Dank für die Hilfe.

    Uwe
    • Als Antwort markiert Uwe Gabbert Donnerstag, 4. Juni 2009 11:00
    Donnerstag, 4. Juni 2009 11:00
  • Hallo Uwe,

    also wie schon vermutet ein DNS Problem. Freut mich, daß es nun klappt.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Donnerstag, 4. Juni 2009 15:13
    Beantworter