langsame Anmeldung und andere Dinge
Reiner Wolff
ich habe hier mit einem DC (Win2003) eine Reihe von Problemen, die mir
nicht so einfach in den Kopf wollen. Eigentlich ist er selbst total
zufrieden mit sich, die Probleme haben eigentlich die anderen Rechner:
Der Anmeldevorgang an einem beliebigen Mitglied der Domäne (Win2003- oder
Win2000-Server) dauert ca. 2,5 Minuten (nach Passworteingabe werden alle
Felder grau und dann passiert erstmal nichts sichtbares mehr).
Der auf dem DC laufende DHCP-Server vergibt anfragenden Clients im Netz
keine IP mehr.
Bei dem Versuch heute einen neuen Client in die Domäne zu integrieren, kam
zunächst auch die Benutzer- und Passwort-Abfrage vom Server nach einiger
Zeit dann aber die Meldung, dass der Domäne nicht beigetreten werden könne,
weil der Server zwischenzeitlich nicht mehr verfügbar sei.
Bezüglich der Anmeldevorgänge gibt es überhaupt keine Einträge in den
Ereignisprotokollen der Maschinen. NetDiag und DCDiag beenden ebenfalls die
gängigen Tests mit Erfolg. Die Namensauflösung via DNS funktioniert
einwandfrei.
Das Verhalten ist "plötzlich" aufgetreten. Zumindest war ich 2 Wochen im
Urlaub und danach war es dann so. Es ließ sich bislang nicht herausfinden,
was gemacht zu diesem Verhalten geführt hat.
Falls jemand dazu eine Idee hat oder mir mit ein paar Fragen auf die
richtige Fährte helfen könnte, wäre ich sehr dankbar.
Greetinx aus Kiel
Reiner
--
Ein Programm sollte nicht nur Hand und Fuss,
sondern auch Herz und Hirn haben.
(Michael Anton)
![Robert Pieroth [MVP]'s profile photo](https://lh3.googleusercontent.com/a/default-user=s40-c)
Robert Pieroth [MVP]
Hi Rainer,
netdiag kann man auch mal auf einem Client ausführen...
Ansonsten könnte der Netzwerkmonitor auf dem Server helfen.
Installiert wird der über "Netzwerk & DFÜ-Verbindungen" - Menü
"Erweitert" - "Optionale Netzwerkkomponenten" - "Verwaltungs-
und Überwachungsprogramme".
Hier eine kleine Anleitung dazu:
Starte den Monitor. Sammle Daten (Symbolleisten-Button mit dem > Pfeil).
Beende die Sammlung (Button mit Viereck - wie beim Videorecorder) und
drücke dann Taste F12. Jetzt siehst Du eine Liste von gesammelten
Ethernet-Frames.
Ein Doppelklick auf ein Frame wechselt die Ansicht. Oben ist nun die Liste
der Frames. In der Mitte sind Informationen zu Quelle und Ziel (woher/wohin)
der Daten, Portnummer (von Dienst/an Dienst) und Protokoll (TCP/UDP) und
im unteren Teil ist der Inhalt (Daten) des Frames zu sehen.
In der oberen Liste kann man dann Frame für Frame weiterblättern.
Wenn Du nur bestimmte Frames (von/an bestimmte Computern, nur mit
bestimmten Protokollen, etc.) auffangen willst, muß Du mit dem Trichter-
Symbol einen Sammlungsfilter definieren und dann erst sammeln.
Standardmäßig wird alles gesammelt was aus dem Server rauskommt und
in den Server reingeht. Um Kommunikation zwischen zwei speziellen Partnern
zu überwachen, muß auf diesen Computern der Netzwerkmonitortreiber
installiert werden (ist bei jedem Windows dabei - der Monitor selbst aber
nur auf Servern).
Bemühe auch mal die Hilfefunktion des Netzwerkmonitors.
--
Viele Grüße
Robert Pieroth
http://www.faq-o-matic.net
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
Frank Röder
> Wenn Du nur bestimmte Frames (von/an bestimmte Computern, nur mit
> bestimmten Protokollen, etc.) auffangen willst, muß Du mit dem Trichter-
> Symbol einen Sammlungsfilter definieren und dann erst sammeln.
> Standardmäßig wird alles gesammelt was aus dem Server rauskommt und
> in den Server reingeht. Um Kommunikation zwischen zwei speziellen Partnern
> zu überwachen, muß auf diesen Computern der Netzwerkmonitortreiber
> installiert werden (ist bei jedem Windows dabei - der Monitor selbst aber
> nur auf Servern).
> Bemühe auch mal die Hilfefunktion des Netzwerkmonitors.
Der beim Server mitgelieferte Netzwerkmonitor kann nur Pakete zwischen
Server und Client protokollieren und nicht zwischen zwei beliebigen
Rechnern. Für diese Funktion benötigst Du den mitgelieferten
Netzwerkmonitor vom SMS Server.
--
Viele Grüße
Frank Röder
"Ex oriente lux"
Reiner Wolff
vielen Dank für Deine ausführliche Antwort.
*Robert Pieroth [MVP]* schrieb:
> "Reiner Wolff" <sp...@wolffsrudel.de> schrieb
>> Der Anmeldevorgang an einem beliebigen Mitglied der Domäne (Win2003- oder
>> Win2000-Server) dauert ca. 2,5 Minuten (nach Passworteingabe werden alle
>> Felder grau und dann passiert erstmal nichts sichtbares mehr).
> netdiag kann man auch mal auf einem Client ausführen...
*mit der Hand an die Stirn schlag*
Das ist halt einfach mal wieder _so_ naheliegend, dass es mich ein bischen
ärgert, dass ich's vergessen hab'.
Ich habe das nun ganz schnell nachgeholt und viele Fehler sind mir dabei
angezeigt worden.
Hier mal ein kleiner Ausschnitt daraus:
DNS test . . . . . . . . . . . . . : Passed
[WARNING] Cannot find a primary authoritative DNS server for the name
'kucuksrv3.kucuk.kucuk-gmbh.de.'. [ERROR_TIMEOUT]
The name 'kucuksrv3.kucuk.kucuk-gmbh.de.' may not be registered in DNS.
[schnippel]
DC discovery test. . . . . . . . . : Failed
[FATAL] Cannot find DC in domain 'KUCUK'. [ERROR_NO_SUCH_DOMAIN]
DC list test . . . . . . . . . . . : Failed
'KUCUK': Cannot find DC to get DC list from [test skipped].
Trust relationship test. . . . . . : Failed
'KUCUK': Cannot find DC to get DC list from [test skipped].
[FATAL] Secure channel to domain 'KUCUK' is broken. [ERROR_NO_LOGON_SERVERS]
Das klingt für mich nach einem DNS-Problem. Dann habe ich versucht mittels
ipconfig /registerdns
die Maschine neu zu registrieren und erhielt im Ereignisprotokoll die
Fehlermeldung, dass dies nicht erfolgreich war.
Der DNS-Server steht bei dynamischen Updates derzeit auf 'nur sichere'.
Die IPConfigs der beiden Maschinen sehen für mich vernünftig aus.
Und da steh ich nun wieder an einem Punkt, über den ich erstmal länger
nachgrübeln muss.
> Ansonsten könnte der Netzwerkmonitor auf dem Server helfen.
[schnippel]
> Hier eine kleine Anleitung dazu:
[Anleitung gesnippt]
Vielen dank. Das ganze hat mir zumindest schonmal geholfen, das Teil zu
bedienen und mir die "Unterhaltung" der beiden Maschinen anzusehen. Aber
ausser, dass ich sehen kann, dass einiges wohl mehrfach versucht wurde und
dass es alles lange dauert, bin ich leider nicht in der Lage das Ergebnis
auszuwerten.
Vielen Dank für Eure Hilfe.
Greetinx aus Kiel
Reiner
--
Nichts verbessert ein Programm so sehr,
wie das Fehlen von Kontrollroutinen.
Frank Röder
>
> Das klingt für mich nach einem DNS-Problem. Dann habe ich versucht mittels
> ipconfig /registerdns
> die Maschine neu zu registrieren und erhielt im Ereignisprotokoll die
> Fehlermeldung, dass dies nicht erfolgreich war.
> Der DNS-Server steht bei dynamischen Updates derzeit auf 'nur sichere'.
>
> Die IPConfigs der beiden Maschinen sehen für mich vernünftig aus.
>
Poste doch einfach mal die "ipconfigs" von einem Server und von einem
Client. Vielleicht ist ja doch ein Fehler drin.
Reiner Wolff
*Frank Röder* schrieb:
> Poste doch einfach mal die "ipconfigs" von einem Server und von einem
> Client. Vielleicht ist ja doch ein Fehler drin.
Aber gern:
IPConfig vom DC:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : kucuksrv1
Primäres DNS-Suffix . . . . . . . : kucuk.kucuk-gmbh.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : kucuk.kucuk-gmbh.de
kucuk-gmbh.de
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Physikalische Adresse . . . . . . : 00-13-D4-6C-D8-C2
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.77.1
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.77.254
DNS-Server . . . . . . . . . . . : 192.168.77.1
IPConfig vom Member-Server:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : kucuksrv3
Primäres DNS-Suffix . . . . . . . : kucuk.kucuk-gmbh.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : kucuk.kucuk-gmbh.de
kucuk-gmbh.de
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Physikalische Adresse . . . . . . : 00-13-D4-6C-D8-4B
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.77.3
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.77.254
DNS-Server . . . . . . . . . . . : 192.168.77.1
Primärer WINS-Server . . . . . . : 192.168.77.1
Greetinx aus Kiel
Reiner
--
Ein Programm, das du Freitags ablieferst, siehst du Montag wieder.
Hauer Wolfgang
Hast du WIns am Server aktiv? Wenn nein, warum dann am Member-Server?
Vielleicht wars das!?
Wolfgang
"Reiner Wolff" <sp...@wolffsrudel.de> schrieb im Newsbeitrag
news:mftcnzrgqppb$.dlg@wolffsrudel.de...
Frank Röder
> Moin Frank,
>
> *Frank Röder* schrieb:
>> Poste doch einfach mal die "ipconfigs" von einem Server und von einem
>> Client. Vielleicht ist ja doch ein Fehler drin.
>
> Aber gern:
> IPConfig vom DC:
> Windows-IP-Konfiguration
> Hostname . . . . . . . . . . . . : kucuksrv1
> Primäres DNS-Suffix . . . . . . . : kucuk.kucuk-gmbh.de
> Knotentyp . . . . . . . . . . . . : Hybrid
> IP-Routing aktiviert . . . . . . : Nein
> WINS-Proxy aktiviert . . . . . . : Nein
> DNS-Suffixsuchliste . . . . . . . : kucuk.kucuk-gmbh.de
> kucuk-gmbh.de
> Ethernet-Adapter LAN-Verbindung:
> Verbindungsspezifisches DNS-Suffix:
> Beschreibung . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
> Physikalische Adresse . . . . . . : 00-13-D4-6C-D8-C2
> DHCP aktiviert . . . . . . . . . : Nein
> IP-Adresse. . . . . . . . . . . . : 192.168.77.1
> Subnetzmaske . . . . . . . . . . : 255.255.255.0
> Standardgateway . . . . . . . . . : 192.168.77.254
> DNS-Server . . . . . . . . . . . : 192.168.77.1
Da der Memberserver den DC als Wins nutzt nehme ich an, dass dort auch
ein Wins installiert ist. Trage bitte auf dem DC ihn selbst als Wins ein
damit er seine Einträge auch in der WINS Datenbank registrieren kann.
Das Suchsuffix "kucuk-gmbh.de" kannst Du auch entfernen, da dies der DNS
Client selbstständig bildet. Ansonsten sieht der Auszug OK aus.
Als nächstes würden mich die Eventlogs des DNS Server interessieren.
Steht da was interessantes drin. Wenn Du dort nichts finden kannst, dann
könnte man auch einmal die Debugprotokollierung des DNS-Servers anwerfen.
Zu Testzwecken könnte man auch einmal die AD integrierte Zone in eine
Primäre wandeln und dort die dynamische Aktualisierung aktivieren.
Arbeitet der DNS eigentlich überhaupt korrekt, sprich löst er sonst die
internen Namen korrekt auf?
Testen könnte man das so:
-----------------------------------------------
Start > Ausführen > CMD
nslookup
set type=SRV
_ldap._tcp.kucuk.kucuk-gmbh.de
------------------------------------------------
Werden dadurch alle DCs angezeigt?
Reiner Wolff
*Frank Röder* schrieb:
> Reiner Wolff schrieb:
> Da der Memberserver den DC als Wins nutzt nehme ich an, dass dort auch
> ein Wins installiert ist.
Ja, ist er.
> Trage bitte auf dem DC ihn selbst als Wins ein
> damit er seine Einträge auch in der WINS Datenbank registrieren kann.
War er eigentlich auch, ich hatte da nur kurz etwas ausgetestet.
> Das Suchsuffix "kucuk-gmbh.de" kannst Du auch entfernen, da dies der DNS
> Client selbstständig bildet. Ansonsten sieht der Auszug OK aus.
>
> Als nächstes würden mich die Eventlogs des DNS Server interessieren.
> Steht da was interessantes drin. Wenn Du dort nichts finden kannst, dann
> könnte man auch einmal die Debugprotokollierung des DNS-Servers anwerfen.
>
> Zu Testzwecken könnte man auch einmal die AD integrierte Zone in eine
> Primäre wandeln und dort die dynamische Aktualisierung aktivieren.
>
> Arbeitet der DNS eigentlich überhaupt korrekt, sprich löst er sonst die
> internen Namen korrekt auf?
>
> Testen könnte man das so:
> -----------------------------------------------
> Start > Ausführen > CMD
>
> nslookup
>
> set type=SRV
>
> _ldap._tcp.kucuk.kucuk-gmbh.de
> ------------------------------------------------
> Werden dadurch alle DCs angezeigt?
Werde ich ausprobieren und dann bzgl. Eventlog und NSLookup Rückmeldung
geben.
Bis später
Reiner
--
Press any key to continue or any other key to quit
Wolff@discussions.microsoft.com Reiner Wolff
"Reiner Wolff" schrieb:
> Werde ich ausprobieren und dann bzgl. Eventlog und NSLookup Rückmeldung
> geben.
Im DNS-Ereignisprotokoll des DC finden sich (lediglich) Fehler-Einträge vom
Systemstart:
19.03.2006,11:59:16, DNS, Fehler, Keine, 4015,
Nicht zutreffend,KUCUKSRV1,"DNS-Server hat einen kritischen Fehler im Active
Directory ermittelt. Stellen Sie sicher, dass das Active Directory
ordnungsgemäß funktioniert. Die erweitere Fehlerdebuginformation (die
eventuell leer ist), ist """". Die Ereignisdaten enthalten den Fehlercode."
19.03.2006,11:59:16, DNS, Fehler, Keine, 4004,
Nicht zutreffend,KUCUKSRV1,"Der DNS-Server konnte die Aufzählung der
Verzeichnisdienste der Zone ""."" nicht vollständig durchführen. Dieser
DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für
diese Zone benötigt, und kann diese ohne diese Informationen nicht laden.
Überprüfen Sie, dass das Active Directory richtig funktioniert und
wiederholen Sie die Aufzählung der Zone. Die erweiterte
Fehlerdebuginformation (die eventuell leer ist) ist """". Die Ereignisdaten
enthalten den Fehlercode."
19.03.2006,11:59:16, DNS, Fehler, Keine, 4004,
Nicht zutreffend,KUCUKSRV1,"Der DNS-Server konnte die Aufzählung der
Verzeichnisdienste der Zone ""_msdcs.kucuk.kucuk-gmbh.de"" nicht vollständig
durchführen. Dieser DNS-Server ist so konfiguriert, dass er
Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne
diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory
richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die
erweiterte Fehlerdebuginformation (die eventuell leer ist) ist """". Die
Ereignisdaten enthalten den Fehlercode."
19.03.2006,11:59:16, DNS, Fehler, Keine, 4004,
Nicht zutreffend,KUCUKSRV1,"Der DNS-Server konnte die Aufzählung der
Verzeichnisdienste der Zone ""77.168.192.in-addr.arpa"" nicht vollständig
durchführen. Dieser DNS-Server ist so konfiguriert, dass er
Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne
diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory
richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die
erweiterte Fehlerdebuginformation (die eventuell leer ist) ist """". Die
Ereignisdaten enthalten den Fehlercode."
19.03.2006,11:59:16, DNS, Fehler, Keine,4004,
Nicht zutreffend,KUCUKSRV1,"Der DNS-Server konnte die Aufzählung der
Verzeichnisdienste der Zone ""kucuk.kucuk-gmbh.de"" nicht vollständig
durchführen. Dieser DNS-Server ist so konfiguriert, dass er
Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne
diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory
richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die
erweiterte Fehlerdebuginformation (die eventuell leer ist) ist """". Die
Ereignisdaten enthalten den Fehlercode."
Im System-Ereignisprotokoll des "Clients" finden sich hingegen andere Fehler:
20.03.2006 08:40:20 NETLOGON Fehler Keine 5719
Nicht zutreffend KUCUKSRV3 "Der Computer konnte eine sichere Sitzung mit
einem Domänencontroller in der Domäne KUCUK aufgrund der folgenden Ursache:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung
verfügbar. nicht einrichten.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass
der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den
Domänenadministrator, wenn das Problem weiterhin besteht.
20.03.2006 06:57:11 LSASRV Warnung SPNEGO (Vermittlung) 40960 Nicht
zutreffend KUCUKSRV3
"Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server
cifs/KUCUKSRV1 festgestellt. Der Fehlercode des Authentifi-
zierungsprotokolls Kerberos war ""Es stehen momentan keine Anmeldeserver zur
Verfügung, um die Anmeldeanforderung zu verarbeiten.
(0xc000005e)""."
20.03.2006 06:36:30 W32Time Warnung Keine 14 Nicht zutreffend KUCUKSRV3 "Der
Zeitanbieter ""NtpClient"" konnte keinen Domänencontroller als Zeitquelle
finden. Der Vorgang wird in 960 Minuten wiederholt."
Das Ergebnis von NSLookup nach den Domänenkontrollern sieht wie folgt aus:
> _ldap._tcp.kucuk.kucuk-gmbh.de
Server: kucuksrv1.kucuk.kucuk-gmbh.de
Address: 192.168.77.1
DNS request timed out.
timeout was 2 seconds.
_ldap._tcp.kucuk.kucuk-gmbh.de SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = kucuksrv1.kucuk.kucuk-gmbh.de
kucuksrv1.kucuk.kucuk-gmbh.de internet address = 192.168.77.1
> _ldap._tcp.kucuk.kucuk-gmbh.de >C:\LDAP.txt
Unrecognized command: _ldap._tcp.kucuk.kucuk-gmbh.de >C:\LDAP.txt
> quit
Server: kucuksrv1.kucuk.kucuk-gmbh.de
Address: 192.168.77.1
Ist der TimeOut normal?
Schönen Dank für Deine Hilfe (und das lesen dieses langen Postings)
Grüße aus Kiel
Reiner
Frank Röder
scheinbar hat der DNS wirklich einen Treffer. Der Timeout sollte bei
nslookup nicht kommen. Ich würde als Erstes einfach mal die Zone in eine
primäre Zone konvertieren und dann die ganze Aktion noch einmal
durchspielen. Sollte das nicht helfen, dann würde ich den DNS Dienst
deinstallieren und *ohne* Neustart neuinstallieren und konfigurieren.
Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
Reiner Wolff
*Frank Röder* schrieb:
> nslookup nicht kommen. Ich würde als Erstes einfach mal die Zone in eine
> primäre Zone konvertieren und dann die ganze Aktion noch einmal
> durchspielen.
Das könnte ich morgen nochmal ausprobieren, aber ...
> Sollte das nicht helfen, dann würde ich den DNS Dienst
> deinstallieren und *ohne* Neustart neuinstallieren und konfigurieren.
Ich habe bereits am Samstag den DNS-Dienst de- und anschließend wieder
neuinstalliert und konfiguriert.
> Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
Vielen Dank für Deine Hilfe. Nehmen wir noch den Zahnstocher oder kommen
wir demnächst zur Mistgabel? ;-)
Greetinx aus Kiel
Reiner
--
Wenn eine Idee nicht zuerst absurd erscheint, taugt sie nichts.
(Albert Einstein)
Joachim Conrad
Reiner Wolff schrieb:
> Ich habe bereits am Samstag den DNS-Dienst de- und anschließend wieder
> neuinstalliert und konfiguriert.
Hast du nur den einen DC, bzw. nur einen wo der DNS-Server läuft?
Tschau
Joachim
--
Joachim Conrad - MS-MVP Windows Networking
Antworten bitte nur in der NG
Die genannte E-Mail Adresse existiert, die Eingänge werden
allerdings automatisch gelöscht.
Frank Röder
> Moin Frank,
>
> *Frank Röder* schrieb:
>> scheinbar hat der DNS wirklich einen Treffer. Der Timeout sollte bei
>> nslookup nicht kommen. Ich würde als Erstes einfach mal die Zone in eine
>> primäre Zone konvertieren und dann die ganze Aktion noch einmal
>> durchspielen.
>
> Das könnte ich morgen nochmal ausprobieren, aber ...
Nö, dann vergiss es.
>> Sollte das nicht helfen, dann würde ich den DNS Dienst
>> deinstallieren und *ohne* Neustart neuinstallieren und konfigurieren.
>
> Ich habe bereits am Samstag den DNS-Dienst de- und anschließend wieder
> neuinstalliert und konfiguriert.
>
>> Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
>
> Vielen Dank für Deine Hilfe. Nehmen wir noch den Zahnstocher oder kommen
> wir demnächst zur Mistgabel? ;-)
Da ich gerade meine Wohnung umbaue, hätte ich noch einen Schlagbohrer
zur Hand ;-)
Sage mal, die Zone "kucuk-gmbh.de", ist das auch ein AD? Wenn ja, steht
das im gleichen Netz.
Wenn das so ist, dann erzeuge mal auf dem DNS innerhalb der Zone
"kucuk-gmbh.de" eine Subdomain "kucuk" und lasse den Problem-DC auf
diesen DNS zeigen.
Mal sehen ob das hilft.
Robert Pieroth [MVP]
>> Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
>
> Vielen Dank für Deine Hilfe. Nehmen wir noch den Zahnstocher oder kommen
> wir demnächst zur Mistgabel? ;-)
Hi Reiner,
stelle mal Datum und Uhrzeit auf allen Systemen manuell identisch ein bzw.
überprüfe diese Einstellungen. Wenn die Zeit mehr als 5 Min. auseinanderläuft,
werden keine Kerberos Tickets ausgestellt und es klappt nichts mehr.
Außerdem könnte ich nmir Probleme/Fehleinstellungen der digitalen Signatur
und Verschlüsselung von RPC vorstellen. Für den Domänencontroller
sind diese Einstellungen normalerweise in der Default Domain Controllers Policy
bei Computereinstellungen - Sicherheitseinstellungen - Lokale Richtlinien -
Sicherheitsoptionen drin. Auf dem Member Server oder einem Client in der
lokalen Sicherheitsrichtlinie (Start - Ausführen - secpol.msc).
Bei 2000 heißt das dort: Sicherer Kanal:... usw.
Wenn z.Bsp. der Domänencontroller dort die Einstellung "(immer)" fordert,
aber beim Member alles deaktiviert ist, kommt keine Kommunikation zustande.
Reiner Wolff
*Joachim Conrad* schrieb:
> Reiner Wolff schrieb:
>> Ich habe bereits am Samstag den DNS-Dienst de- und anschließend wieder
>> neuinstalliert und konfiguriert.
> Hast du nur den einen DC, bzw. nur einen wo der DNS-Server läuft?
Ja, ist nur einer. Ich hoffe, dat reicht ;-)
Schonmal danke für Deinen Beitrag.
Greetinx aus Kiel
Reiner
--
"Computer werden kleiner und kleiner, bald verschwinden sie völlig."
(Ephraim Kishon)
Reiner Wolff
*Frank Röder* schrieb:
>> *Frank Röder* schrieb:
>>> Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
>> Vielen Dank für Deine Hilfe. Nehmen wir noch den Zahnstocher oder kommen
>> wir demnächst zur Mistgabel? ;-)
> Da ich gerade meine Wohnung umbaue, hätte ich noch einen Schlagbohrer
> zur Hand ;-)
Nicht schlecht, ich muss no ein paar Dinge in die Wand und an die Decke
bringen ;-)
> Sage mal, die Zone "kucuk-gmbh.de", ist das auch ein AD?
Nein.
> Wenn ja, steht das im gleichen Netz. Wenn das so ist, dann erzeuge mal
> auf dem DNS innerhalb der Zone "kucuk-gmbh.de" eine Subdomain "kucuk"
> und lasse den Problem-DC auf diesen DNS zeigen. Mal sehen ob das hilft.
Erübrigt sich dann wohl.
Trotzdem danke.
Greetinx aus Kiel
Reiner
--
Der Wert eines Programms ist umgekehrt proportional
dem von ihm verbrauchten Papier.
Reiner Wolff
*Robert Pieroth [MVP]* schrieb:
>>> Wenn das nicht hilft, dann müssen wir weiter rumstochern ;-)
>> Vielen Dank für Deine Hilfe. Nehmen wir noch den Zahnstocher oder kommen
>> wir demnächst zur Mistgabel? ;-)
> überprüfe diese Einstellungen. Wenn die Zeit mehr als 5 Min. auseinanderläuft,
> werden keine Kerberos Tickets ausgestellt und es klappt nichts mehr.
Werd' ich morgen prüfen.
> Außerdem könnte ich nmir Probleme/Fehleinstellungen der digitalen Signatur
> und Verschlüsselung von RPC vorstellen. Für den Domänencontroller
> sind diese Einstellungen normalerweise in der Default Domain Controllers Policy
> bei Computereinstellungen - Sicherheitseinstellungen - Lokale Richtlinien -
> Sicherheitsoptionen drin.
> Auf dem Member Server oder einem Client in der
> lokalen Sicherheitsrichtlinie (Start - Ausführen - secpol.msc).
> Bei 2000 heißt das dort: Sicherer Kanal:... usw.
Gibt bestimmt nen guten Grund, warum das in den lokalen
Sicherheitsrichtlinien eingebaut wurde und nicht über die
Gruppenrichtlinien der Domäne mit verteilt werden, gell?
> Wenn z.Bsp. der Domänencontroller dort die Einstellung "(immer)" fordert,
> aber beim Member alles deaktiviert ist, kommt keine Kommunikation zustande.
Werde ich ebenfalls prüfen und dann berichten.
Auch Dir ein Dank für Deine Mühe.
Greetinx aus Kiel
Reiner
--
Nur, weil der Arzt einen Namen für deinen Zustand
findet, heißt das nicht, daß er weiß, was dir fehlt.
Robert Pieroth [MVP]
> Gibt bestimmt nen guten Grund, warum das in den lokalen
> Sicherheitsrichtlinien eingebaut wurde und nicht über die
> Gruppenrichtlinien der Domäne mit verteilt werden, gell?
Ja, gibt es - damit man sich schwarz ärgert, wenn etwas
nicht läuft. Aus demselben Grund sind die Standardeinstellungen
dieser Richtlinien unter Win2000 gegenüber XP und 2003
unterschiedlich. Supporter müssen ja auch etwas zu tun haben ;-)
Reiner Wolff
"Reiner Wolff" schrieb:
> *Robert Pieroth [MVP]* schrieb:
>> stelle mal Datum und Uhrzeit auf allen Systemen manuell identisch ein bzw.
>> überprüfe diese Einstellungen. Wenn die Zeit mehr als
>> 5 Min. auseinanderläuft,
>> werden keine Kerberos Tickets ausgestellt und es klappt nichts mehr.
> Werd' ich morgen prüfen.
Die Zeiten waren zwar unterschiedlich, die Differenz lag allerdings unter
einer Minute. Das sollte also nicht das Problem sein (auch wenn man's besser
konfigurieren sollte).
>> Außerdem könnte ich nmir Probleme/Fehleinstellungen der digitalen Signatur
>> und Verschlüsselung von RPC vorstellen. Für den Domänencontroller
>> sind diese Einstellungen normalerweise in der
>> Default Domain Controllers Policy
>> bei Computereinstellungen - Sicherheitseinstellungen - Lokale Richtlinien -
>> Sicherheitsoptionen drin.
>> Auf dem Member Server oder einem Client in der
>> lokalen Sicherheitsrichtlinie (Start - Ausführen - secpol.msc).
>> Bei 2000 heißt das dort: Sicherer Kanal:... usw.
In der Default Domain Controllers Policy waren die Punkte
- Microsoft-Netzwerk(Server):Kommunikation digital signieren (immer)
- Microsoft-Netzwerk(Server):Kommunikation digital signieren (wenn Client
zustimmt)
beide aktiviert.
Auf dem Member-Server waren diese Punkte deaktiviert.
(Anzumerken ist hierbei, das der Start von secpol.msc ca. 10 bis 15 Sekunden
gedauert hat.)
Die entsprechenden Einträge für 'Domänenmitglied' waren bereits zuvor
aktiviert.
Ich habe diese Punkte aktiviert und den Rechner neu gestartet.
Einzige feststellbare Änderung war, dass die Systemfestplatte (SCSI) des DC
nun dafür sorgt, dass der Wechselrahmen (ohne weitere Fehleranzeigen) in
unregelmäßigen Abständen piept.
(Dieses Verhalten hatte der Server kürzlich auch schon, woraufhin ich
testhalber die Festplatte einmal getauscht habe. Das Piepen war daraufhin bis
eben verschwunden.)
>> Gibt bestimmt nen guten Grund, warum das in den lokalen
>> Sicherheitsrichtlinien eingebaut wurde und nicht über die
>> Gruppenrichtlinien der Domäne mit verteilt werden, gell?
> Ja, gibt es - damit man sich schwarz ärgert, wenn etwas
> nicht läuft.
*rofl*
Gedanklich komme ich der unbefriedigenden Lösung einer Neuinstallation immer
näher.
Grüße aus Kiel
Reiner
Frank Röder
>
> Gedanklich komme ich der unbefriedigenden Lösung einer Neuinstallation immer
> näher.
>
Installiere doch einfach mal auf einem PC einen DNS Server und
konfiguriere dort die entsprechende Zone. Danach lässt Du den DC diesen
DNS nutzen. Irgendwie muss sich doch dieses Problem eingrenzen lassen.
Robert Pieroth [MVP]
> Die Zeiten waren zwar unterschiedlich, die Differenz lag allerdings unter
> einer Minute. Das sollte also nicht das Problem sein (auch wenn man's besser
> konfigurieren sollte).
Hi Rainer,
nun, die Zeiten waren es dann insofern nicht.
> In der Default Domain Controllers Policy waren die Punkte
> - Microsoft-Netzwerk(Server):Kommunikation digital signieren (immer)
> - Microsoft-Netzwerk(Server):Kommunikation digital signieren (wenn Client
> zustimmt)
> beide aktiviert.
> Auf dem Member-Server waren diese Punkte deaktiviert.
Das ist digitale Signatur von SMB/CIFS - also Freigabenzugriff/Netzlaufwerke.
Wenn auf dem Member alles deaktiviert war und auf dem DC ist die
erste Option "(immer)" aktiviert, war das schonmal eine Fehlkonfiguration.
Der DC verlangte generell digitale Signatur und der Member konnte nicht,
weil dort alles auf deaktiviert stand.
Allerdings ist das nicht die richtige Ecke für Anmeldevorgänge und
Domänenkommunikation. Da gibt es noch weitere Einstellungen mit
"Sicherer Kanal:..". Das wäre die richtige Stelle für die Kommunikation
mit einem DC - es geht bei DC nicht um SMB, sondern um RPC.
Auf Windows 2000:
Sicherer Kanal: Daten des...digital signieren (wenn möglich)
Sicherer Kanal: Daten des...digital verschlüsseln (wenn möglich)
Sicherer Kanal: Daten des...digital signieren oder verschlüsseln (immer)
Auf Server 2003:
- beginnen obige Optionen mit "Domänenmitglied:"
> (Anzumerken ist hierbei, das der Start von secpol.msc ca. 10 bis 15 Sekunden
> gedauert hat.)
> Die entsprechenden Einträge für 'Domänenmitglied' waren bereits zuvor
> aktiviert.
Wenn "Domänenmitglied: Daten des sicheren Kanals ... (immer)"
auf dem DC aktiviert ist (um diese "immer" Option geht es), und beim
2000'er Member Server stehen die Optionen "Sicherer Kanal:..." alle
auf deaktiviert, kann's nicht klappen. Das solltest Du noch prüfen.
Nicht verwechseln - zwei paar Schuhe in den Sicherheitseinstellungen:
Einmal gibt es den SMB-Zugriff (Microsoft-Netzwerk). Das ist völlig
unabhängig von Domänenmitgliedschaft.
Zum anderen geht es um RPC-Zugriff (Domänenmitglied/Sicherer Kanal).
Das ist die Kommunikation mit DC.
> Ich habe diese Punkte aktiviert und den Rechner neu gestartet.
> Einzige feststellbare Änderung war, dass die Systemfestplatte (SCSI) des DC
> nun dafür sorgt, dass der Wechselrahmen (ohne weitere Fehleranzeigen) in
> unregelmäßigen Abständen piept.
> (Dieses Verhalten hatte der Server kürzlich auch schon, woraufhin ich
> testhalber die Festplatte einmal getauscht habe. Das Piepen war daraufhin bis
> eben verschwunden.)
Das kann mit der Policy nichts zu tun haben. Da gibt es noch andere
Fehler (eher in der Hardwarekonfiguration) auf dem System.
Reiner Wolff
"Robert Pieroth [MVP]" schrieb:
> Hi Rainer,
( e )
> nun, die Zeiten waren es dann insofern nicht.
>> In der Default Domain Controllers Policy waren die Punkte
>> - Microsoft-Netzwerk(Server):Kommunikation digital signieren (immer)
>> - Microsoft-Netzwerk(Server):Kommunikation digital signieren (wenn Client
>> zustimmt)
>> beide aktiviert.
>> Auf dem Member-Server waren diese Punkte deaktiviert.
> Das ist digitale Signatur von SMB/CIFS - also Freigabenzugriff/Netzlaufwerke.
Ah, OK.
> Wenn auf dem Member alles deaktiviert war und auf dem DC ist die
> erste Option "(immer)" aktiviert, war das schonmal eine Fehlkonfiguration.
Nein, nicht alles.
> Allerdings ist das nicht die richtige Ecke für Anmeldevorgänge und
> Domänenkommunikation. Da gibt es noch weitere Einstellungen mit
> "Sicherer Kanal:..". Das wäre die richtige Stelle für die Kommunikation
> mit einem DC - es geht bei DC nicht um SMB, sondern um RPC.
> Auf Windows 2000:
> Sicherer Kanal: Daten des...digital signieren (wenn möglich)
> Sicherer Kanal: Daten des...digital verschlüsseln (wenn möglich)
> Sicherer Kanal: Daten des...digital signieren oder verschlüsseln (immer)
> Auf Server 2003:
> - beginnen obige Optionen mit "Domänenmitglied:"
Auch der Member-Server ist ein Win2003.
Und die 'Domänenmitglied's-Optionen waren aktiviert.
> Wenn "Domänenmitglied: Daten des sicheren Kanals ... (immer)"
> auf dem DC aktiviert ist (um diese "immer" Option geht es), und beim
> 2000'er Member Server stehen die Optionen "Sicherer Kanal:..." alle
> auf deaktiviert, kann's nicht klappen. Das solltest Du noch prüfen.
Das war also nicht das Problem (schade eigentlich).
>> Einzige feststellbare Änderung war, dass die Systemfestplatte (SCSI) des
>> DC
>> nun dafür sorgt, dass der Wechselrahmen (ohne weitere Fehleranzeigen) in
>> unregelmäßigen Abständen piept.
>> (Dieses Verhalten hatte der Server kürzlich auch schon, woraufhin ich
>> testhalber die Festplatte einmal getauscht habe. Das Piepen war daraufhin bis
>> eben verschwunden.)
> Das kann mit der Policy nichts zu tun haben. Da gibt es noch andere
> Fehler (eher in der Hardwarekonfiguration) auf dem System.
Da hast Du natürlich recht, allerdings steht das Piepen _immer_ direkt mit
Vorgängen im System in Zusammenhang (und hat nun auch wieder aufgehört).
Grüße und Danke
Reiner
Frank Röder
> Moin Frank,
>
>> Installiere doch einfach mal auf einem PC einen DNS Server und
>> konfiguriere dort die entsprechende Zone. Danach lässt Du den DC diesen
>> DNS nutzen. Irgendwie muss sich doch dieses Problem eingrenzen lassen.
>
> Nur nicht geschafft. Wie richte ich denn dann auf dem DNS-Server die
> Einträge für den Domänencontroller ein?
> (Bislang hatte ich es nur mit ActiveDirectory-Integrierten Zonen zu tun.)
>
Du richtest eine Forward Lookupzone ein und aktivierst in der Zone die
dynamische Aktualisierung (Registerkarte "Allgemein")
Nachdem Du die DNS Einstellungen auf dem DC geändert hast, führst Du auf
dem DC folgendes aus:
Start -> Ausführen -> cmd
ipconfig /registerdns
und danach
net stop netlogon
und danach
net start netlogon
Danach sollten innerhalb kurzer Zeit die Einträge auftauchen.
Reiner Wolff
"Frank Röder" schrieb:
> Reiner Wolff schrieb:
>> Ich hab's versucht ...
>> Nur nicht geschafft. Wie richte ich denn dann auf dem DNS-Server die
>> Einträge für den Domänencontroller ein?
>> (Bislang hatte ich es nur mit ActiveDirectory-Integrierten Zonen zu tun.)
> Du richtest eine Forward Lookupzone ein und aktivierst in der Zone die
> dynamische Aktualisierung (Registerkarte "Allgemein")
Jau, soweit hatte ich's ;-)
> Nachdem Du die DNS Einstellungen auf dem DC geändert hast, führst Du auf
> dem DC folgendes aus:
>
> Start -> Ausführen -> cmd
> ipconfig /registerdns
> und danach
> net stop netlogon
> und danach
> net start netlogon
> Danach sollten innerhalb kurzer Zeit die Einträge auftauchen.
Supi, das hat alles wunderbar geklappt :-)
Allerdings hat es am Verhalten überhaupt nichts geändert.
Anmeldung bleibt gähnend lahm und auch die NSLookup-Frage nach
Domänencontrollern antwortet immer noch mit timeout.
Trotzdem danke :-)
Grüße aus Kiel
Reiner
Robert Pieroth [MVP]
>
> Auch der Member-Server ist ein Win2003.
> Und die 'Domänenmitglied's-Optionen waren aktiviert.
>
>> Wenn "Domänenmitglied: Daten des sicheren Kanals ... (immer)"
>> auf dem DC aktiviert ist (um diese "immer" Option geht es), und beim
>> 2000'er Member Server stehen die Optionen "Sicherer Kanal:..." alle
>> auf deaktiviert, kann's nicht klappen. Das solltest Du noch prüfen.
>
> Das war also nicht das Problem (schade eigentlich).
Na ja... Umgekehrt:.
auf dem Client "(immer)" aktiviert und auf dem DC deaktiviert
hat das dieselbe negative Wirkung.
Am Besten stellst Du diese Optionen überall (auf DC wie auch auf
Domänenmitgliedern) so ein, daß dieses "(immer)" auf deaktiviert
steht und die beiden anderen Optionen (wenn Server/Client zustimmt)
auf _aktiviert_.
Die Einstellungen bei "Microsoft-Netzwerk" für SMB-Zugriffe am
Besten auch so einstellen. Boote dann die Systeme nochmal durch.
Reiner Wolff
*Reiner Wolff* schrieb:
> Ich hatte gerade die Netzwerkkarten nochmal deinstalliert und neu
> eingebunden, bin nu a bisl frustriert, da sich an dem Problem leider so gar
> nichts bewegt und mache nun erstmal Feierabend.
Das Problem ist inzwischen durch eine komplette Neuinstallation des Servers
"gelöst" worden. Alles läuft jetzt wieder rund. Keine Festplatte piept
mehr, die Anmeldung der Clients läuft zügig ab und die Vertrauensstellung
zur anderen Domäne funktioniert auch wieder problemlos.
Dies nur als Rückmeldung für spätere Googler.
Als nächstes schaue ich dann mal nach unserem WSUS, da der beim "alten" DC
irgendwann auch etwas frustriert seinen Dienst eingestellt hatte ;-)
Greetinx aus Kiel und ein schönes Wochenende
Reiner
--
Ein Buch ist wie ein Spiegel: wenn ein
Affe hineinsieht, so kann kein Apostel
herausgucken.
Georg Christoph Lichtenberg
Winfried Sonntag [MVP]
> Als nächstes schaue ich dann mal nach unserem WSUS, da der beim "alten" DC
> irgendwann auch etwas frustriert seinen Dienst eingestellt hatte ;-)
Für den WSUS hab ich gleich noch ein paar Links für Dich:
http://www.wsuswiki.com/OfficeAdministrativeInstalls
http://wsusinfo.onsitechsolutions.com/
http://wsus.de/
http://www.msxfaq.net/verschiedenes/wsus.htm
Servus
Winfried
--
Win2000-FAQ: http://w2k-faq.ebend.de
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm
Reiner Wolff
Danke für deine Antwort. :-)
*Winfried Sonntag [MVP]* schrieb:
> Reiner Wolff schrieb:
>> Als nächstes schaue ich dann mal nach unserem WSUS, da der beim "alten" DC
>> irgendwann auch etwas frustriert seinen Dienst eingestellt hatte ;-)
> Für den WSUS hab ich gleich noch ein paar Links für Dich:
> http://www.wsuswiki.com/OfficeAdministrativeInstalls
> http://wsusinfo.onsitechsolutions.com/
> http://wsus.de/
> http://www.msxfaq.net/verschiedenes/wsus.htm
Die Links sind gut. Insbesondere den letzten kannte ich noch nicht.
Bis zu den DC-Problemen gab es mit dem WSUS auch noch nie Probleme.
Ich hab da nur häufig ein kleine Problem:
Wenn ich eine neue Maschine "kurz mal" updaten will, die mit unserer
Domäne überhaupt nichts zu tun hat, so benutze ich dafür einen 3-Punkte
Plan (Registry ändern, Dienste neu starten und WSUS-detect ausführen).
Dieses Vorgehen hatte ich irgendwo gefunden und es funktioniert auch.
Lediglich bei einigen Rechnern dauert es mehrere Stunden, bis sie sich beim
WSUS registriert haben.
Leider habe ich noch nicht herausgefunden, wie ich dieses unberechenbare
Verhalten beschleunigen kann.
Greetinx aus Kiel
Reiner
--
Winfried Sonntag [MVP]
Tach Reiner,
> Die Links sind gut. Insbesondere den letzten kannte ich noch nicht.
freut mich. Die Sache mit der E-Mail-Benachrichtigung ist sehr gut.
Auch die Möglichkeit mehrere WSUS-Server zentral auf einen
dokumentieren zu lassen.
> Bis zu den DC-Problemen gab es mit dem WSUS auch noch nie Probleme.
> Ich hab da nur häufig ein kleine Problem:
> Wenn ich eine neue Maschine "kurz mal" updaten will, die mit unserer
> Domäne überhaupt nichts zu tun hat, so benutze ich dafür einen 3-Punkte
> Plan (Registry ändern, Dienste neu starten und WSUS-detect ausführen).
> Dieses Vorgehen hatte ich irgendwo gefunden und es funktioniert auch.
> Lediglich bei einigen Rechnern dauert es mehrere Stunden, bis sie sich beim
> WSUS registriert haben.
> Leider habe ich noch nicht herausgefunden, wie ich dieses unberechenbare
> Verhalten beschleunigen kann.
Ich kann mir vorstellen was Du genau meinst. Das kann bei Clients
innerhalb der Domain auch manchmal etwas dauern. Versuch doch gleich
zu beginn den Schalter wuauclt /resetauthorization /detectnow und das
aber so ca. 30 - 40 x in der Commandline. Mit netstat immer wieder mal
kontrollieren ob es eine Verbindung zum WSUS via HTTP schon gibt. Mit
dieser Methode dauerts bei mir max. 5 Min. und schon ist der Client
vorhanden. In den TCP/IP-Eigenschaften sollte auch der richtige
DNS-Server eingetragen sein, auch wenns nur temporär ist. Der aktuelle
Windows-Update-Agent in Verbindung mit dem aktuellen Installer helfen
auch noch ein Stück weiter. ;-)
Reiner Wolff
*Winfried Sonntag [MVP]* schrieb:
> Reiner Wolff schrieb:
> freut mich. Die Sache mit der E-Mail-Benachrichtigung ist sehr gut.
Ja, das fand ich auch spontan interessant.
>> Leider habe ich noch nicht herausgefunden, wie ich dieses unberechenbare
>> Verhalten beschleunigen kann.
> Ich kann mir vorstellen was Du genau meinst. Das kann bei Clients
> innerhalb der Domain auch manchmal etwas dauern. Versuch doch gleich
> zu beginn den Schalter wuauclt /resetauthorization /detectnow und das
> aber so ca. 30 - 40 x in der Commandline.
Wow, jetzt bräuchte ich noch die Abfragemöglichkeit vom Client aus, den
WSUS zu fragen, ob der Client schon eingetragen ist. Gibt es irgendeinen
Abfragebefehl oder einen Datenbankzugriff auf den WSUS?
> Mit netstat immer wieder mal kontrollieren ob es eine Verbindung zum WSUS
> via HTTP schon gibt.
Danke für den Hinweis.
Gibt es dazu schon ein vorhandenes Skript, was einem das häufige Ausführen
abnimmt?
Wenn nicht, muss ich das unbedingt mal basteln.
> Mit dieser Methode dauerts bei mir max. 5 Min. und schon ist der Client
> vorhanden.
Ok, jetzt habe ich ein Ziel ;-)
> In den TCP/IP-Eigenschaften sollte auch der richtige DNS-Server
> eingetragen sein, auch wenns nur temporär ist.
Ich trage lediglich die IP des WSUS beim Client ein, da er keinen Kontakt
zu den Servern der Domäne (DNS läuft bei uns nicht auf dem WSUS) haben
soll.
> Der aktuelle Windows-Update-Agent in Verbindung mit dem aktuellen
> Installer helfen auch noch ein Stück weiter. ;-)
Hm, wenn die Versionen meinst, ohne die es ohnehin nicht geht, ...
Schönen Dank ;-)
Greetinx aus Kiel
Reiner
--
Die Arbeit am Computer ist eine Erfahrung extremer Isolation.
Winfried Sonntag [MVP]
Servus Reiner,
>>> Leider habe ich noch nicht herausgefunden, wie ich dieses unberechenbare
>>> Verhalten beschleunigen kann.
>> Ich kann mir vorstellen was Du genau meinst. Das kann bei Clients
>> innerhalb der Domain auch manchmal etwas dauern. Versuch doch gleich
>> zu beginn den Schalter wuauclt /resetauthorization /detectnow und das
>> aber so ca. 30 - 40 x in der Commandline.
>
> Wow, jetzt bräuchte ich noch die Abfragemöglichkeit vom Client aus, den
> WSUS zu fragen, ob der Client schon eingetragen ist. Gibt es irgendeinen
> Abfragebefehl oder einen Datenbankzugriff auf den WSUS?
Im IE einfach aufrufen: http://DeinWSUS/WSUSAdmin und das aufpoppende
Fenster mit den entsprechenden Daten füllen. Administrator etc.
>> Mit netstat immer wieder mal kontrollieren ob es eine Verbindung zum WSUS
>> via HTTP schon gibt.
>
> Danke für den Hinweis.
> Gibt es dazu schon ein vorhandenes Skript, was einem das häufige Ausführen
> abnimmt?
> Wenn nicht, muss ich das unbedingt mal basteln.
Auf die Schnelle hab ich da jetzt nichts. Vielleicht läßt sich auf den
Links von mir was finden. Ich mach das auf der Commandline immer mit
Pfeil nach oben + Enter in Kombination geht das recht schnell. ;-)
>> In den TCP/IP-Eigenschaften sollte auch der richtige DNS-Server
>> eingetragen sein, auch wenns nur temporär ist.
>
> Ich trage lediglich die IP des WSUS beim Client ein, da er keinen Kontakt
> zu den Servern der Domäne (DNS läuft bei uns nicht auf dem WSUS) haben
> soll.
Dann trag doch einfach den DNS-Server der Domain ein, sollte dann
vielleicht etwas schneller geh'n.
>> Der aktuelle Windows-Update-Agent in Verbindung mit dem aktuellen
>> Installer helfen auch noch ein Stück weiter. ;-)
>
> Hm, wenn die Versionen meinst, ohne die es ohnehin nicht geht, ...
> Schönen Dank ;-)
Genau, die meinte ich. Sind nicht immer installiert, die Systeme sind
ja auch manchmal richtig gruselig installiert. Viel Erfolg damit.
Reiner Wolff
*Winfried Sonntag [MVP]* schrieb:
>>> Installer helfen auch noch ein Stück weiter. ;-)
>> Hm, wenn die Versionen meinst, ohne die es ohnehin nicht geht, ...
>> Schönen Dank ;-)
> Genau, die meinte ich. Sind nicht immer installiert, die Systeme sind
> ja auch manchmal richtig gruselig installiert. Viel Erfolg damit.
Vielen Dank für die Hinweise.
Da die Systeme meist von uns selbst (und das auch noch frisch) installiert
wurden, hoffe ich, dass dat nicht gruselig ist ;-)
Aber wir haben natürlich auch mal Patienten, die schon älter sind ;-)
Greetinx aus Kiel
Reiner
--
Reiner Wolff
> Vielen Dank für die Hinweise.
So, WSUS läuft jetzt auch wieder wunderbar. :-)
Jetzt muss ich nur noch klären, warum ausgerechnet mein WinXP-Rechner
(einziger XP im Netz) die Einstellungen in der wuau.adm nicht in die
Registry übernimmt, obwohl die Gruppenrichtlinie laut gpresult übernommen
wurde.
Aber damit will ich diesen Thread nun wirklich nicht mehr überfrachten.
Vielen Dank nochmal für die Hinweise und bis demnächst in diesem Theater
;-)
Greetinx aus Kiel
Reiner
--
Multitasking erzeugt Schizophrenie!