none
Keine Netzwerkverbindung NLA-Dienst beendent DHCP-Client Zugriff verweigert RRS feed

  • Frage

  • Hi Leute,
    habe zwei Standorte mit jeweils zwei Domänencontrollern. Am Standort Office läuft alles tadellos, nur der STandort Home macht Probleme.

    Am Standort Home laufen die DC`s nicht in 24/7 sondern eher täglich 2 - 3 Stunden.
    Nun habe ich vor 4 Tagen die FSMO-Rollen von einem DC vom Standort Office zum Standort Home verschoben, nachdem die Replizierung durch war, habe ich noch einige Stunden gewartet und den Server ausgeschaltet

    Nachdem ich in ein Tag später wieder einschaltete, bekomme ich kein Connect mehr zum Netzwerk. Die 1. protokollierte Fehlermeldung im Eventlog ist folgende:
    Der DHCP-Clientdienst wird beendet. Folgender Fehler ist aufgetreten:
    Zugriff verweigert

    Obwohl eine Verbindung der Netwerkkarte vorhanden ist und ein Lin auch sichtbar ist, wird mir der Netzwerkmonitor in der Taskleiste "ohne Verbindung" und mit der Meldung: Verbindungsstatus unbekannt Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnten nicht gestartet werden.

    Und noch folgenden Fehler:
    Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem dienstspezifischem Fehler beendet: 3221226008 (0xC0000218).

    Ich vermute mal, dass es nur ein Zufall ist, dass es nach der Verschiebung aufgetacht ist, da auch ein normaler Memberserver nun die gleichen Fehler anzeigt.
    Mit beiden SErvern habe ich keine Netzwerkverbindung mehr zur Außenwelt oder untereinander.

    Habt ihr ne Idee, wo hier der Fehler liegt oder was ich konfigurieren sollte,damit die Server wieder normal laufen?

    Danke!
    Freitag, 9. Oktober 2009 23:53

Alle Antworten

  • Keiner eine Idee? Den Memberserver könnte ich zwar neu installieren, aber beim DC ist das schon anders, da müsste ich dann wieder alle FSMO-Rollen herstellen.

    Es scheint ja ein Problem mit den Berechtigung auf Registry bzw. den Diensten zu sein, ich versteh nur nicht woher das kommen soll, da ich in meinen Gruppenrichtlinien keine Anpassung der Security-Einstellugen auf die Registry bzw. die Dienste vornehme.
    Sonntag, 11. Oktober 2009 13:10
  • >Keiner eine Idee?
    Doch viele.

    Lies noch mal genau was Du geschrieben hast. Buchstabe für Buchstabe
    [...]
    >Am Standort Home laufen die DC`s nicht in 24/7 sondern eher täglich 2 - 3 Stunden.
    >Nun habe ich vor 4 Tagen die FSMO-Rollen von einem DC vom Standort Office zum Standort Home verschoben
    [...]

    und wenn ich mir Deinen anderen Thread so ansehe...
    Gruß Ralph Andreas Altermann
    Sonntag, 11. Oktober 2009 13:28
  • Ja, was is an diesem Thread den falsch? Ich habe die Rollen verschoben, weil ich auf die DC`s am Standort Home auch physischen Zugang habe. Bei den DC`s am Standort Office habe ich nur virtuellen Zugang.
    Daher sind die FSMO-Rollen verschoben worden.
    Dies hat ja keinerlei Auswirkungen auf die Funktion der domäne, wenn der DC mit dem FSMO-Rollen regelmässig läuft und sich mt den anderen DC`s repliziert.

    Und was bitte meinst du mit "und wenn ich mir Deinen anderen Thread so ansehe..."?

    Was ist an den beiden Sätzen, die du markiert hast, falsch? Oder sehe ich den Wald vor lauter Bäumen nicht?
    Sonntag, 11. Oktober 2009 15:33
  • Hi,

    dann hast Du irgendetwas falsch geschrieben.

    Ein DC der alle FSMO hält und nur für 2-3 Stunden an ist, da kann ja wohl kaum eine Domäne funktionieren, oder ?
    Gruß Ralph Andreas Altermann
    Sonntag, 11. Oktober 2009 16:27
  • Da hast du wohl Recht, ich hatte aber eigentlich gedacht, dass es für eine gewisse Zeit kein Problem dastellt. Da derzeit keine Änderungen am AD vorgenommen werden. Der DC mit den FSMO-Rollen soll ab Montag wieder im normalen, 24/7 Betrieb gehen. Es liegt an einer Umstrukturierung der physischen Server, weswegen die FSMO-Rollen bereits übertragen wurden.

    Allerdings glaube ich nicht, dass es was mit dem Fehler zu tun hat oder?
    Da die DC`am Standort Office, die derzeit die FSMO-Rollen nicht erreichen, problemlos laufen und ausgerechnet der DC, der diese jetzt hält, die oben genannten Probleme zeigt.

    Sonntag, 11. Oktober 2009 17:06
  • Könntest Du mal den kompletten Auszug zu o.g. Fehler posten und, ob es weitere Fehlermeldungen gibt.
    Gruß Ralph Andreas Altermann
    Sonntag, 11. Oktober 2009 17:37
  • Klar, also hier die Fehlermeldungen mit denen es begann und die nun wiederkehrend im Eventlog erscheinen:

    Angefangen hat es mit:
    Protokollname: System
    Quelle:        TermDD
    Datum:         06.10.2009 13:31:13
    Ereignis-ID:   56
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      F1NaLDC1.domain.de
    Beschreibung:
    Die Terminalserver-Sicherheitsschicht hat einen Fehler im Protokollablauf erkannt und den Client getrennt.
        <EventID Qualifiers="49162">56</EventID>
        <Level>2</Level>

    Protokollname: System
    Quelle:        Microsoft-Windows-Dhcp-Client
    Datum:         06.10.2009 18:14:11
    Ereignis-ID:   1004
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      F1NaLDC1.domain.de
    Beschreibung:
    Der DHCP-Clientdienst wird beendet. Folgender Fehler ist aufgetreten:
    Zugriff verweigert
        <Provider Name="Microsoft-Windows-Dhcp-Client" Guid="{15A7A4F8-0072-4EAB-ABAD-F98A4D666AED}" EventSourceName="Dhcp" />
        <EventID Qualifiers="0">1004</EventID>

    Ereignis-ID:   54
    Beschreibung:
    Der Zeitdienst kann nicht gestartet werden, da ein Fehler beim Lesen der Konfiguration aus der Registrierung festgestellt wurde. Fehler: Zugriff verweigert (0x80070005)
        <Provider Name="Microsoft-Windows-Time-Service" Guid="{06EDCFEB-0FD0-4E53-ACCA-A6F8BBF81BCB}" EventSourceName="W32Time" />
        <EventID Qualifiers="49754">54</EventID>

    Ereignis-ID:   7023
    Beschreibung:
    Der Dienst "Basisfiltermodul" wurde mit folgendem Fehler beendet:
    Zugriff verweigert
        <Provider Name="Service Control Manager" Guid="{555908D1-A6D7-4695-8E1E-26931D2012F4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7023</EventID>

    Ereignis-ID:   7023
    Beschreibung:
    Der Dienst "Basisfiltermodul" wurde mit folgendem Fehler beendet:
    Zugriff verweigert
        <Provider Name="Service Control Manager" Guid="{555908D1-A6D7-4695-8E1E-26931D2012F4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7023</EventID>

    Ereignis-ID:   7001
    Beschreibung:
    Der Dienst "Windows-Firewall" ist vom Dienst "Basisfiltermodul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
    Zugriff verweigert
        <Provider Name="Service Control Manager" Guid="{555908D1-A6D7-4695-8E1E-26931D2012F4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7001</EventID>

    Ereignis-ID:   7023
    Beschreibung:
    Der Dienst "Diagnoserichtliniendienst" wurde mit folgendem Fehler beendet:
    Zugriff verweigert
        <EventID Qualifiers="49152">7023</EventID>

    Ereignis-ID:   7024
    Beschreibung:
    Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem dienstspezifischem Fehler beendet: 3221226008 (0xC0000218).
        <Provider Name="Service Control Manager" Guid="{555908D1-A6D7-4695-8E1E-26931D2012F4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7024</EventID>

    Das sind die wiederkehrenden Fehlermeldungen. Irgendwas scheint meine Security-Settings geschossen zu haben, kann mir allerdings nicht erklären was es sein soll.
    Da ich auf dem DC keine Software installiert habe oder etwas an den Berechtigungen geändert habe.
    Sonntag, 11. Oktober 2009 18:51
  • Guten Morgen,

    schwer zu sagen, was da bei Dir passiert ist, aber mit dem Verschieben der FSMOs hat es IMHO nichts zu tun.

    Ich denke da ist was anderes schief gegangen und tippe mal auf "verdrehte" Berechtigungsstrukturen.
    Hast Du mit den ACL "gespielt" gerade im TCP/IP Bereich ?
    Hier Dein Thread mit DNS/VPN der DCs ?

    Versuch erst einmal folgendes: http://support.microsoft.com/kb/317518

    Dann sehen wir weiter.
    PS Quelle TermDD kannst Du ersteinmal ignorieren.
    Gruß Ralph Andreas Altermann
    Montag, 12. Oktober 2009 07:31
  • Hallo, wie so oft kommt alles zusammen, bei meinem Notebook verabschiedet sich gerade die Platte.
    Aber das nur nebenbei.

    Wie schon geschrieben, habe ich die Berechtigungen nicht angerühert und das ist ja auch das, was mich so stutzig macht. Ich habe die Server den einen Abend heruntergefahren, den nächsten Tag gestartet und auf einmal waren zwei Server hin. Und am Vorabend war, ausser der Replikation der DC`s über besagte VPN-Verbindung nur die FSMO-Rollen auf dem Schirm.
    Nun hab ich den File-Server einfach neu aufgesetzt, da ich diesen brauchte.
    Den DC möchte ich aber ungern neu aufsetzen, dazu müsste ich ja nun auch die FSMO-Rollen per ntdsutil wiederherstellen und den DC dazu noch löschen.

    Habe mir auch noch einmal die GPO`s angesehen, aber 1. habe ich nur wenige und 2. ist in denen nichts bei den Sicherheitsrichtlinien oder Dienste konfiguriert.
    Daher kann ich eben nicht nachvollziehen, was da passiert ist.
    Zumal der Fileserver andere Gruppenrichtlinien als der DC zieht, ausser der übergeordneten GPO.

    Leider hat der Link nichts gebracht, hatte ich aber auch nicht mit gerechnet, da es ja nun einige Dienste gibt, die nicht laufen.
    Gibt es eine Möglichkeit, die Registrysettings auf einen ursprünglichen Wert zurück zu setzen, so wie sie nach der installation bzw, auf einem DC gesetzt sind?
    Dienstag, 13. Oktober 2009 21:02
  • Hi,

    >Habe mir auch noch einmal die GPO`s angesehen, aber 1. habe ich nur wenige
    Na Ja, ein reicht ja ggf. schon :-)

    >Gibt es eine Möglichkeit, die Registrysettings auf einen ursprünglichen Wert zurück zu setzen
    Nein.

    Ich denke ohne tieferen Einblick in Dein System werden wir hier im Forum Dir wohl kaum weiterhelfen können.
    Evtl. solltest Du Dir üerlegen ggf. doch einen MS Call aufzumachen.
    Gruß Ralph Andreas Altermann
    Mittwoch, 14. Oktober 2009 19:29
  • Da hast du wohl recht, dass eine Reicht :-)
    Aber ich kann dir versichern, dass in dieser Umgebung, keine GPO Registry- oder Security-Settings vornimmt. Bisher zumindest nicht. Das ist alles noch auf Standard gesetzt.
    Zumal die GPO`s auf allen DC`s gleich wirken und es keine Einschränkungen auf einzelne DC`s bzw. Server gibt.

    Nun ja, der Call wäre eine Möglichkeit, aber bekanntlich fehlt das Geld.

    Habe die FSMO-Rollen bereits wieder zum ursprünglichen DC übertragen, die beiden DC`s über NTDSUtil aus der Domäne entfernt und die DNS-Einstellungen angepasst.
    Werde die nun neu aufsetzen und wieder der Domäne hinzufügen.
    Auf dem File-Server habe ich ein sehr einfach strukturiertes System, weswegen ich die Freigaben, nach Neuinstallation, neu erstellen kann.

    Das Backup der SystemStates läuft leider nur im anderen Standort, dass werde ich jetzt nochmal für diesen Standort anpassen ;-)

    Danke erstmal.

    Freitag, 16. Oktober 2009 07:37
  • Danke für die Info's.
    Viel Glück und vielleicht gibt es ja noch ein Feedback wenn Du fertig bist.


    Gruß Ralph Andreas Altermann
    Freitag, 16. Oktober 2009 18:00