none
2008R2 Freigegeben für <unbekannter Kontakt> RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich stelle gerade fest, dass mir auf unseren W2K8R2 Servern (Domain Member) die Freigaben unten in der Explorer Leiste für in den NTFS Berechtigungen hinzugefügte (Sicherheits-) Gruppen als <unbekannter Kontakt> aufgelöst wird. Einzeln hinzugefügte Benutzer werden korrekt angezeigt. Das ganze schaut zB so aus:

    http://media.prontosystems.org/v/bk/unbekannt.png.html

    Weiß jemand warum das so sein könnte?

    Thx & Bye Tom

    Dienstag, 11. Januar 2011 10:03
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    eine weitere Problemzone liefert zB cacls, dort wird bei den ACLs für die Domänengruppen "Kontendomäne nicht gefunden " angezeigt. Wir haben haben aber einen Workaround gefunden, der die fehlerhaften Anzeigen behebt. Wenn die Windows Firewall deaktiviert wird, werden auch die Namen der Domänen Gruppen sauber aufgelöst. Zufall, Bug oder Feature?

    Thx & Bye Tom

    Dienstag, 11. Januar 2011 16:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich wollte das Thema noch ein mal nach oben bringen. Die Namen werden auch erst nach einem Neustart nach der Deaktivierung der Firewall sauber aufgelöst. Ich konnte das Verhalten bislang an jedem W2K8R2 System (vier Stück) reproduzieren. Ich vermute da einen Bug dahinter aber dann sollten wir vermutlich nicht die Einzigsten sein, mit diesem Problem. Kann das sonst so niemand bestätigen oder wenigstens erklären, warum das so ist?

    Thx & Bye Tom

    Donnerstag, 13. Januar 2011 13:42
    |
  • Question
    Anmelden
    0
    Anmelden

    * Thomas Pronto Wildgruber (Thu, 13 Jan 2011 13:42:38 +0000)

    Die Namen werden auch erst nach einem Neustart nach der Deaktivierung
    der Firewall sauber aufgelöst. Ich konnte das Verhalten bislang an
    jedem W2K8R2 System (vier Stück) reproduzieren. Ich vermute da einen
    Bug dahinter aber dann sollten wir vermutlich nicht die Einzigsten

    einzigen

    sein, mit diesem Problem. Kann das sonst so niemand bestätigen oder
    wenigstens erklären, warum das so ist?

    Nun, offensichtlich blockiert die Firewall Pakete mit denen der Server versucht, die Namen aufzulösen. Wenn du eine Firewall einsetzt, mußt du (*DU*) auch sicherstellen, daß sie sauber konfiguriert ist.

    Thorsten

    Donnerstag, 13. Januar 2011 15:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Nun, offensichtlich blockiert die Firewall Pakete mit denen der Server versucht, die Namen aufzulösen. Wenn du eine Firewall einsetzt, mußt du (*DU *) auch sicherstellen, daß sie sauber konfiguriert ist.

    so offensichtlich ist das nicht. Es werden ja die Namen der Domänen User und Gruppen im Dialog "Sicherheit" in den Eigenschaften eines betroffenen Verzeichnisses sauber aufgelöst. Nur in der Statuszeile des Explorers und bei cacls habe ich dieses Problem. Die Firewall ist auch in der Standardeinstellung, zumindest das Testsystem zum Verifizieren des Problems ist nagelneu installiert und es wurden keinerlei Programme installiert, außer die Windows Updates. Also die Information als solche kommt schon am System an, auch ohne den Zenober mit der Firewall.

    Und wenn ich jetzt hergehe und schalte die Firewall wieder ein, wird der Name immer noch korrekt aufgelöst, starte ich das System neu ebenfalls. Dieses Verhalten mit dem wieder einschalten der Firewall kann ich ebenfalls an allen Maschinen reproduzieren.

    Bye Tom

    Donnerstag, 13. Januar 2011 15:13
    |
  • Question
    Anmelden
    0
    Anmelden

    * Thomas Pronto Wildgruber (Thu, 13 Jan 2011 15:13:01 +0000)

    Nun, offensichtlich blockiert die Firewall Pakete mit denen der
    Server versucht, die Namen aufzulösen. Wenn du eine Firewall
    einsetzt, mußt du (*DU *) auch sicherstellen, daß sie sauber
    konfiguriert ist.

    so offensichtlich ist das nicht. Es werden ja die Namen der Domänen
    User und Gruppen im Dialog "Sicherheit" in den Eigenschaften eines
    betroffenen Verzeichnisses sauber aufgelöst. Nur in der Statuszeile
    des Explorers und bei cacls habe ich dieses Problem.

    Okay, das ist ein Argument. Wenn du das Problem mit cacls einfach reproduzieren kannst, dann mach doch einen Netzwerk-Trace im Erfolg- und Fehlerfall und vergleiche beide Traces. Das cacls sollte sehr schnell gehen, also solltest du auch keinen großen Trace haben, wenn du schnell bist und den Trace vorher startest und sofort danach beendest.

    Zweite Möglichkeit wäre AD Insight[1].

    Thorsten
    [1] <http://www.microsoft.com/technet/sysinternals/utilities/adinsight.mspx>

    Donnerstag, 13. Januar 2011 15:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    > [1] <http://www.microsoft.com/technet/sysinternals/utilities/adinsight.mspx >

    Ich bekomme das irgendwie nicht geregelt mit dem adinsight. Wenn ich das Tool auf einem File (Member) Server (2008r2) starte und ein, zwei Stunden laufen lasse, wird nichts (rein gar nichts) mitgeloggt. Als Gegenprobe habe ich das Tool auf einem DC (2003) gestartet und da füllt sich das Fenster schneller als ich schauen kann.

    Bye Tom

    Montag, 17. Januar 2011 11:50
    |
  • Question
    Anmelden
    0
    Anmelden

    * Thomas Pronto Wildgruber (Mon, 17 Jan 2011 11:50:34 +0000)

    /> [1] <http://www.microsoft.com/technet/sysinternals/utilities/adinsight.mspx

    /

    Ich bekomme das irgendwie nicht geregelt mit dem adinsight. Wenn ich
    das Tool auf einem File (Member) Server (2008r2) starte und ein, zwei
    Stunden laufen lasse, wird nichts (rein gar nichts) mitgeloggt. Als
    Gegenprobe habe ich das Tool auf einem DC (2003) gestartet und da
    füllt sich das Fenster schneller als ich schauen kann.

    Interessant. Bei mir genau das gleiche. Vielleicht nicht kompatibel mit 2008R2 oder mit 64bit (das Tool ist seit drei Jahren nicht aktualisiert wordne). Nun ja, dann bliebe noch die erste Möglichkeit (Wireshark).

    Thorsten

    Montag, 17. Januar 2011 13:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tom

    war etwas im Netzwerktrace bezüglich des Problems zu erkennen?

    Gruß
    Andrei

    Mittwoch, 26. Januar 2011 08:33
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    nicht wirklich, da läßt sich kein Muster erkennen und in den Paketen steht nichts was auf einen Fehler hindeuten würde. Aber ich hab noch eine andere Idee. Wenn ich den Logonserver auf den betroffenen Maschinen abfrage, wird der ältere W2K Domänencontroller angezeigt. Den nehmen wir die Tage jetzt offline und ersetzen ihn gegen einen neuen W2K8r2 DC. Das mit dem deaktivieren der Firewall war auch nicht die Lösung, das war offensichtlich Zufall, dass es danach ging. Jetzt habe ich einen W2K8r2 Member Server mit deaktivierter Firewall und der löst die Gruppennamen auch nicht auf. Vielleicht hängt es ja wirklich damit zusammen, dass da noch ein alter W2K DC rumgeistert.

    Kann man den Logonserver irgendwie festlegen?

    Bye Tom

    Mittwoch, 26. Januar 2011 08:44
    |
  • Question
    Anmelden
    0
    Anmelden

    eine Möglichkeit wäre die Priorität oder das Gewicht der SRV Records anzupassen:

    http://technet.microsoft.com/en-us/library/cc787370(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc957290.aspx

    http://support.microsoft.com/kb/816587

    Aber wenn Ihr diesen sowieso ablöst..

    Mittwoch, 26. Januar 2011 09:19
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tom

    wurde der W2K DC inzwischen abgelöst? Ist das Problem damit behoben?

    Gruß
    Andrei

    Dienstag, 1. Februar 2011 08:03
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Servus, nein soweit sind wir noch nicht aber wir haben parallel jetzt einen W2K3 Filer installiert und der hat das (und andere) Problem(e) nicht. Wir ziehen jetzt auf diesen Filer um und treten den anderen in die Tonne. Thx & Bye Tom
    Dienstag, 1. Februar 2011 08:07
    |