Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Neuer Admin braucht HILFE Domäne läuft unter Windows 10 nicht Keine GPOs

Mitglied: ntmn3r0

ntmn3r0 (Level 1) - Jetzt verbinden

25.03.2020, aktualisiert 16:34 Uhr, 1224 Aufrufe, 32 Kommentare, 1 Danke

Heyho liebe Community,

zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.
Aktuell habe ich da ein Problem was ich einfach nicht gelöst bekomme.

Zuerst einmal erklär ich euch wie das ganze Netz aufgebaut ist, ziemlich simpel eigentlich.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.
Alle Pc's sind mit einem Switch Verbunden das an den Servern und am Router ist. Also sozusagen alles direkt miteinander Verbunden.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.

Zuerst habe ich einen Windows 7 Test-Client hinzugefügt, dies lief alles ohne Probleme.Sprich Einloggen und die GPO's sind auch alle genommen worden.

Jetzt kommt aber das große Ding, natürlich sollten alle Pc's Windows 10 nutzen, bzw. darauf umgestellt werden.
Der Server ist folgender Maßen konfiguriert:
https://administrator.de/images/c/1/6/2137de3e39cd79a842441e9fcb49e189.j ...
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.

Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
https://administrator.de/images/c/1/6/d8b774f792aad4d83211ab64b597fe92.j ...

Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:

Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..

Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.

LG
serverip - Klicke auf das Bild, um es zu vergrößern
clientip - Klicke auf das Bild, um es zu vergrößern
32 Antworten
Mitglied: itisnapanto
25.03.2020 um 13:27 Uhr
Moin ,

bei den GPOs evtl nen WMI Filter drin ?
Was steht im Ereignisprotokoll des Clients bei EIngabe von GPupdate / force ?


Gruss
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 13:34 Uhr
Da steht was von Ereignis-ID 1030.
WMI Filter ist auch keiner drin.
Bitte warten ..
Mitglied: certifiedit.net
25.03.2020 um 13:35 Uhr
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.

Wäre es unter dem Aspekt nicht sinnig, der GF ehrlich zu sagen, dass du hier Unterstützung brauchst? Mir klingt das auch etwas so, als wäre ggf. ein Neuaufbau mit Struktur sinnvoller?
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 13:39 Uhr
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 25.03.2020 10:02:35
Ereignis-ID: 1030
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: neuertestw10pc.DOMAENE.NET
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
<EventID>1030</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2020-03-25T09:02:35.193974600Z" />
<EventRecordID>494</EventRecordID>
<Correlation ActivityID="{74b61df8-3297-4bba-b424-9d6e90109250}" />
<Execution ProcessID="6796" ThreadID="6832" />
<Channel>System</Channel>
<Computer>neuertestw10pc.DOMAENE.NET</Computer>
<Security UserID="S-1-5-18" />
</System>
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 13:47 Uhr
Ganz ehrlich, ich würde das liebend gerne neu aufsetzen alles, nur leider wurde von anfang an gesagt dass, die NTFS Freigaben mit dennen die Firma permanent arbeitet laufen müssen.
Somit bin ich an die von vornherein erstellte Domäne gebunden.
Desweiteren wurden wohl vorher immer externe ITler eingesetzt, und die GF ist extrem geizig, darum wurde ich hier eingestellt.
Jetzt darf ich hier den Spaß machen.
Bitte warten ..
Mitglied: certifiedit.net
25.03.2020 um 13:50 Uhr
Zitat von ntmn3r0:

Ganz ehrlich, ich würde das liebend gerne neu aufsetzen alles, nur leider wurde von anfang an gesagt dass, die NTFS Freigaben mit dennen die Firma permanent arbeitet laufen müssen.

24/7?

Somit bin ich an die von vornherein erstellte Domäne gebunden.

Nicht unbedingt, muss man halt ordentlich planen.

Desweiteren wurden wohl vorher immer externe ITler eingesetzt,

aber anscheinend richtig bescheidene.
und die GF ist extrem geizig, darum wurde ich hier eingestellt.

Hilft aber nichts, wenn du es nicht stemmen kannst (oder darfst).

Jetzt darf ich hier den Spaß machen.
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 13:56 Uhr
Daran kann ich natürlich nix mehr ändern.
Was ich natürlich machen könnte wäre den DHCP vom 1. Server zu deaktivieren und auf dem aktuellen DomänenServer einen neuen DHCP aktivieren, mit den selben Bereichsoptionen etc.
Rein theoretisch müsste dies doch möglich sein? alle Clients im Netzt müssten ja dann automatisch den neuen DHCP annehmen und alles so weiterlaufen wie bisher?

Denn dann könnte ich den 1. Server vollumfänglich neu aufbauen sprich Domäne/DHCP/DNS , den 2. dann später einfach herabstufen, und zur domäne des 1. server hinzufügen wegen den NTFS berechtigungen?

Ist mein Denkansatz so sinnvoll? xD
Bitte warten ..
Mitglied: radiogugu
25.03.2020 um 15:07 Uhr
Zitat von ntmn3r0:
Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen, allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:
https://administrator.de/images/c/1/6/d8b774f792aad4d83211ab64b597fe92.j ...

Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:

Achso btw. der Client selbst nutzt als GW und als DNS die IP des DomänenServers, beide können sich auch anpingen....
Wie gesagt bin völlig ratlos da es bei Windows 7 geht..

Bitte dringend um Hilfe, falls noch Fragen bestehen(ja das werden sie ^^) bitte fragen.

LG

Hallo.

Was ist das für ein Betriebssystem auf dem der Domänen Controller sitzt? Windows Server 2008 hat nicht alle ADMX Templates für GPOs für die "neueren" Betriebssysteme wie Win 8 / 10. Die muss man manuell nachladen.

Gruß
Radiogugu
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 15:19 Uhr
Windows Server 2019.
Bitte warten ..
Mitglied: erikro
25.03.2020 um 16:10 Uhr
Moin,

irgendwie klingt das Fehlerbild und das, was schon nachgefragt wurde, danach, als könnte der Client die Policies nicht lesen. Was passiert, wenn Du auf einem betroffenen Rechner

und

im Windows-Explorer eingibst?

domain.tld ersetzt Du natürlich an allen Stellen mit Deinem vollständigen Domainname und domaincontroller mit dem Namen des Domaincontrollers.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 16:17 Uhr
Dann komm ich ganz normal auf die Freigabe, ohne Probleme D:
Bitte warten ..
Mitglied: erikro
25.03.2020 um 16:22 Uhr
Zitat von ntmn3r0:

Dann komm ich ganz normal auf die Freigabe, ohne Probleme D:

Schade.
Bitte warten ..
Mitglied: radiogugu
25.03.2020, aktualisiert um 17:26 Uhr
Mit welchem Benutzer meldest Du Dich denn an? Ist dieser in der Gruppe Domänen-Admins? Diese werden bei manchen GPOs ja bewusst ausgeklammert.

Wird nichts zur Sache tun, aber warum ist der DC denn DNS und Gateway? Aus Deinem ersten Screenshot ist das Gateway .254 bei. Server eingetragen.
Das wird ein Router sein, oder hat der Sever eine zweite Netzwerkkarte und den Routing Dienst installiert?

Gruß
Radiogugu
Bitte warten ..
Mitglied: ntmn3r0
25.03.2020 um 17:30 Uhr
Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist
Bitte warten ..
Mitglied: erikro
25.03.2020 um 18:55 Uhr
Zitat von ntmn3r0:

Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist

Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?
Bitte warten ..
Mitglied: radiogugu
25.03.2020, aktualisiert um 19:03 Uhr
Zitat von erikro:

Zitat von ntmn3r0:

Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist

Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?

Mir schwant Böses.

Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.

Gruß
Radiogugu
Bitte warten ..
Mitglied: erikro
25.03.2020 um 19:17 Uhr
Zitat von radiogugu:

Zitat von erikro:

Zitat von ntmn3r0:

Routing Habe ich aktiviert ja und nein der hat nur eine Schnittstelle die aktiv ist

Und wie genau routet er dann mit nur einer Schnittstelle? Und wohin?

Mir schwant Böses.

Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.

Nicht ganz. Du kannst schon mit nur einer Netzwerkkarte zwischen VLANs routen. Aber dann hätte die auch zwei IPs aus zwei Netzen. Ich habe da so meine Zweifel, dass das der TO so eingerichtet hat.
Bitte warten ..
Mitglied: erikro
LÖSUNG 25.03.2020, aktualisiert um 21:30 Uhr
Moin,

fangen wir mal von vorne an:

Zitat von ntmn3r0:
zu erstmal zu mir ich bin jetzt ganz frisch aus der Ausbildung zum Systemintegrator raus und in eine Firma reingerutscht in der so ziemlich garnichts läuft.

Ich hoffe, Du wirst wenigstens anständig bezahlt.

Zuerst einmal erklär ich euch wie das ganze Netz aufgebaut ist, ziemlich simpel eigentlich.
Hier stehen 2 Server auf einem läuft der DHCP und auf dem anderen die Domäne/DNS und ne Menge NTFS Freigaben die die Firma zum arbeiten braucht.

Nicht gerade geschickt aufgeteilt. Aber nun gut.

Ist der DHCP in der Domain authorisiert?

Alle Pc's sind mit einem Switch Verbunden das an den Servern und am Router ist.

Du meinst den Router direkt ins Internet? Oder kommt da noch was dahinter? Ist das ein managed switch?

Also sozusagen alles direkt miteinander Verbunden.
Da alle PC's lokal laufen mit Adminrechten wollte ich jetzt natürlich die Domäne nutzen.

Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?

Zuerst habe ich einen Windows 7 Test-Client hinzugefügt, dies lief alles ohne Probleme.Sprich Einloggen und die GPO's sind auch alle genommen worden.

OK.

Jetzt kommt aber das große Ding, natürlich sollten alle Pc's Windows 10 nutzen, bzw. darauf umgestellt werden.
Der Server ist folgender Maßen konfiguriert:
https://administrator.de/images/c/1/6/2137de3e39cd79a842441e9fcb49e189.j ...
Als kleine info( DNS Suffix hab ich mal entfernt die sind ALLE gleich) ServerName auch entfernt.

Du meinst, Du hast sie auf dem Bild geschwärzt?

Jetzt kann ich den Windows 10 Client ganz normal zur Domäne hinzufügen,

Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?

allerdings lädt er keine Gruppenrichtlinien, die unter W7 alle geladen wurden.
Als beispiel mal was die cmd auf dem W10 Client sagt:

Was sagen denn die Logfiles auf dem Client und auf dem Server zu dem Thema? Achja, steht ja da unten. Event-ID 1030. Wie ich schon vermutete, die können die GPOs nicht lesen. Jetzt ist die große Frage warum?

1. Rechte auf die Freigaben SYSVOL und NETLOGON prüfen.
Dürfen User und Computer lesen? Wird der Zugriff gewährt?
https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)

2. SMB-Protokolle prüfen.
Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit

prüfen. Bleibt das leer, dann gilt der Standard des jeweiligen BS. Es sollte nur 2 und 3 an sein. Aber Vorsicht! Wenn da noch irgendwo ein altes Multifunktionsgerät rumsteht, mit dem auf Freigaben gescannt wird, kann es sein, dass Du SMB1 leider doch noch brauchst.
<edit>Ist aber für das Problem nicht zileführend, da Du ja schon mit dem Explorer auf die Freigaben lesend zugreifen konntest. Trotzdem prüfen </edit>

3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?

4. DNS prüfen.
Siehe unten Meister Yoda.
Was sagt:
auf den betroffenen Maschinen? Was Du auf dem Server testen musst, steht hier:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/manage/tr ...

Mehr fällt mir jetzt erstmal nicht ein. Aber das reicht ja für einen Arbeitstag.

Das Internet gibt mir da auch keine wirklich sinnvollen Hinweise und ich hab schon einiges Probiert D:

Meister Yoda sagt: Google benutzen Du lernen noch musst.

Achso btw. der Client selbst nutzt als GW

Bitte einmal ipconfig /all vom Client. Du kannst das auch hier reinkopieren. Vorne bitte < code> und hinten </ code> (ohne die Leertasten) einfügen.

und als DNS die IP des DomänenServers, beide können sich auch anpingen....

Anpingen sagt noch gar nichts. Da weißt Du nur, dass OSI3 prinzipiell funktioniert. Das sagt überhaupt nichts darüber aus, ob DNS funktioniert oder nicht.

Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?

Wie gesagt bin völlig ratlos da es bei Windows 7 geht..

Du tust mir echt leid. Frisch von der Schule ohne jede Erfahrung wirst Du in so eine Situation geworfen und darfst Dir nicht mal externe Hilfe holen. Aber eins sage ich Dir: Wenn Du erfolgreich durch das Feuer gehst, dann kannst Du Dir in ein paar Jahren einen richtig geilen Job an Land ziehen. Ich kenne solche verwarzten Systeme. An denen lernt man so viel. Vor allem Fehleranalyse.

Der Sache, warum da auf dem Server der Router aktiviert ist und was der da eigentlich macht, solltest Du unbedingt nachgehen. Man sollte das Netz kennen, das man administriert. Gibt es denn gar keine Doku?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: SeaStorm
25.03.2020 um 22:49 Uhr
Hi

ich tippe mal darauf das hier die Domäne und vor allem der DNS verpfuscht wurde.
Geh mal auf den DC und lass da den BestPractice Check laufen.
Und dann schau mal was dcdiag /test:dns sagt, bzw dcdiag /c
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020, aktualisiert um 07:49 Uhr
Danke dir erstmal für die ganzen Anlaufstellen, das motiviert mich wirklich :D, werde das heute mal alles durcharbeiten und hoffe da ist der Fehler dabei.
Gleich vorweg das routing habe ich jetzt einfach eiskalt entfernt, war wohl nur LAN-Routing ohne spezifischen Sinn.

Melde mich dann nochmal wenn ich das alles durch bin :P

Bitte warten ..
Mitglied: erikro
26.03.2020 um 08:46 Uhr
Zitat von ntmn3r0:

Danke dir erstmal für die ganzen Anlaufstellen, das motiviert mich wirklich :D,

Gerne.

werde das heute mal alles durcharbeiten und hoffe da ist der Fehler dabei.

Viel Spaß beim Lesen.

Noch eine Abendlektüre. Ist zwar Server 2012 R2, das meiste stimmt aber noch. Für das Grundlagenverständnis auf jeden Fall hilfreich:
http://openbook.rheinwerk-verlag.de/windows_server_2012r2/index.html
(Wieso ist das eigentlich in der Ausbildung nicht Pflichtlektüre?)

Gleich vorweg das routing habe ich jetzt einfach eiskalt entfernt, war wohl nur LAN-Routing ohne spezifischen Sinn.

Das war eine gute Idee. Wenn noch alles funktioniert, dann war das überflüssig.

Melde mich dann nochmal wenn ich das alles durch bin :P

Bis dann
Bitte warten ..
Mitglied: BernhardMeierrose
26.03.2020 um 08:53 Uhr
Zitat von radiogugu:> Warum und wofür würde denn geroutet von dem DC? Gibt es ein weiteres Netz für Maschinen oder Ähnliches dahinter? Ohne zweite NIC routet der nichts, wie @erikro schon schrieb.

Der Server hat eine NIC mit zwei Interfaces, von dem aber nur ein Kabel gesteckt ist. Irgendwer hat da offenbar in der Vergangenheit Routing angeworfen, das dürfte aber in der aktuellen Konstellation keine Auswirkung haben.
Sollte aber trotzdem deaktiviert werden weil nutzlose Dinge deaktiviert man.
Zusätzlich würde ich empfehlen, das zweite Interface entweder zu deaktivieren oder per Teaming zu nutzen. Aber das hat Zeit, erstmal die Clients ans Laufen bekommen

Gibt es einen tieferen Grund, warum der DHCP auf einem separaten Server läuft? Irgendwo kam ja auch schon der Hinweis, dass der DHCP dann in der Domain authorisiert werden muss - das solltest Du auf jeden Fall prüfen.

War dein Win7-Testclient auch per DHCP konfiguriert oder hast Du den von Hand eingestellt?

Gruß
Bernhard
PS: als nächstes Projekt dann Updates
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020, aktualisiert um 09:59 Uhr
So bin jetzt soweit alles durchgegangen und das kam dabei raus:

Ist der DHCP in der Domain authorisiert?
Ich denke mal, er ist jetzt in der Liste der Autorisierten Server drin.
Allerdings wie im Bild(grüner Pfeil zu sehen) kann ich ihn nicht zur Konsole hinzufügen.
https://administrator.de/images/c/1/6/116b9b7e8cebf6c3eeed2bffafaa6dbe.j ...


Du meinst den Router direkt ins Internet? Oder kommt da noch was dahinter? Ist das ein managed switch?
Wie gesagt Routing habe ich jetzt entfernt aufm Server war total sinnlos, Der Router hängt direkt mit am Switch.


Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?

Die Domäne selbst ist wohl gut 3 jahre in diesem Zustand.
Alle Rechner laufen Lokal , es wurden ein paar Nutzer angelegt.
Die NTFS Freigaben sind so eingerichtet, dass sich jeder der auf die Freigabe will mit diesen Domänenloggs irgendwann im Mittelalter mal eingeloggt hatte(Rechner laufen aber trotzdem lokal xD).


Du meinst, Du hast sie auf dem Bild geschwärzt?

Jap


Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?

Ja ich geh da immer den sicheren Weg.
Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.


1. Rechte auf die Freigaben SYSVOL und NETLOGON prüfen.
Dürfen User und Computer lesen? Wird der Zugriff gewährt?
Ja "Jeder" hat das Leserecht, sollte ja genügen?Hab den Computer auch nochmal extra eingefügt mit Leserecht.

Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)

Ich bezweifel das sich die Firma da beschweren wird, da eh noch keiner in der Domäne angemeldet ist, abgesehen von den NTFS Logins und ein Großteil mit gecrackten Windows Lizenzen unterwegs ist ....(Das wurde bereits bei der GF angesprochen, hab dennen auch direkt gesagt ich fass die Rechner nur an wenn da eine offizielle Lizenz drauf läuft und mein Test-PC ist ohne Lizenz also frisch installiert, aber das sollte ja kein Problem sein)

2. SMB-Protokolle prüfen.
Wenn ich höre, der Chef ist geizig und hatte vorher einen Externen, dann kann ich mir vorstellen, was für ein Externer das war. Und denen traue ich auch "Workarounds" zu, dass sie auf dem Server SMB1 aktivieren und 2 und 3 ausschalten. Ob 1, 2 und 3 an sind, kannst Du mit

Hm da ist mir aufgefallen das smb 3 nicht aktiv ist aber auch nicht aktivierbar?(Siehe Bild)
https://administrator.de/images/c/1/6/b69877359085c520b3d0b2f5bdff7db5.j ...


3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Nope, kommt auch keine Meldung in den Logs dazu, hab nochmal Konten erstellt und mich eingeloggt das funktioniert einwandfrei.

Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?

Pro(glaube Version 1909),hab aber alle Updates gemacht.

4. DNS prüfen.
Eh ja das sieht dann wohl nicht mehr so schön aus
"(Siehe Bild, Paintskills bitte nicht beachten)
Server:nslookup, sieht auf dem Client genauso aus
https://administrator.de/images/c/1/6/c00b157c011f942a1e4b9e87ec70e9cb.j ...

Was mir beim DNS aufgefallen ist: Es sind zwei DNS Server drin einmal der lokale SRV DNS und der Domain DNS und jeweils 2 Zonen??:
https://administrator.de/images/c/1/6/314a7a661a69a2352d8ebc45a90bf167.j ...

Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?

Also Server und Client sind zwar Sync aber die Uhr geht 10 Min vor zur tatsächlichen Zeit

So wie es aussieht liegt es tatsächlich an dem total verpeilten DNS Einstellungen, ich bin mittlerweile so verwirrt davon...Ich werde jetzt eine neue Forward und ReverseZone einrichten und die anderen Teile löschen, oder erst löschen und dann einrichten?

Danke schonmal für die Antworten
dhcp - Klicke auf das Bild, um es zu vergrößern
smb - Klicke auf das Bild, um es zu vergrößern
dnslookup - Klicke auf das Bild, um es zu vergrößern
dnswtf - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020 um 10:12 Uhr
Kleiner Nachtrag von mir, mir ist gerade aufgefallen das auf dem Server 172.22.23.1 wo der DHCP läuft der DHCP mit der IP 172.22.23.2 eingerichtet wurde?!
Bitte warten ..
Mitglied: BernhardMeierrose
26.03.2020 um 10:55 Uhr
Zitat von ntmn3r0:

Kleiner Nachtrag von mir, mir ist gerade aufgefallen das auf dem Server 172.22.23.1 wo der DHCP läuft der DHCP mit der IP 172.22.23.2 eingerichtet wurde?!

Was genau meinst Du damit? Hat der Server 2 IP-Adressen?
Ich würde mir an Deiner Stelle überlegen, ob Du nicht den DHCP-Server auf den DC migrierst...
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020 um 11:07 Uhr
Nein der Server hat nur die Adresse 172.22.23.1, aber der DHCP ist mit der Adresse 172.22.23.2 konfiguriert....(Man muss sagen er funktioneirt aber lol)
Ich wüsste noch nichtmal wieso man NICHT die Adresse des Servers nehmen sollte auf dem der DHCP sitzt?!
Bitte warten ..
Mitglied: radiogugu
26.03.2020 um 11:11 Uhr
Da hat einer aber wirklich gefrickelt was das Zeug hielt.

Hier würde ich empfehlen einen neuen DC sauber aufsetzen und diesen dann Schritt für Schritt zum PDC befördern.

Es sieht nämlich schwer danach, dass hier gebastelt wurde bis es funktioniert hat, aber nur so halb. Da alle lokale Benutzer verwenden ist hier die Domäne wirklich stark in Frage zu stellen.

Ein Konzept muss her und dann einen Dienst nach dem anderen sauber aufgebaut werden.

Gruß
Radiogugu
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020 um 12:02 Uhr
Ja ein Konzept habe ich ja schon....ist ja eigentlich kein ding DC - DNS - DHCP und fertig...aber scheinbar hat hier irgendwer überall durch geklickt bis es irgendwann mal funktioniert hat...>_>.
Ihr wollt garnicht wissen wie die PC's aussehen und wie das mit den arbeitsabläufen, Programmen, EMails etc. hier abläuft....eine reinste Katastrophe.
Den externen DHCP habe ich jetzt schon eliminiert. hab auf dem DC einen neuen Autorisierten erstellt.
Bitte warten ..
Mitglied: radiogugu
26.03.2020 um 12:44 Uhr
Kleine Schritte zur Besserung. Am Ende solltest Du hier eine Dokumentation vorweisen, was Du alles verändert hast. Mit Vorher / Nachher Gegenüberstellung und Begründung und Risikoeinschätzung Deinerseits. Das würde ich der Geschäftsleitung vorlegen. Die werden Dir nicht mehr Geld bezahlen oder Dich loben oder Dir einen Tag Urlaub mehr geben, aber zumindest sind sie damit informiert, was alles im Argen lag.

Eventuell sogar den Wisch unterschreiben lassen und zu Deiner Personalakte legen lassen Hier geht es einfach nur um Absicherung, dass keiner mit einem hocherhobenen Finger auf Dich zukommt, dass das alles vorher besser war.

Gruß
Radiogugu
Bitte warten ..
Mitglied: certifiedit.net
26.03.2020 um 12:49 Uhr
ein Konzept habe ich ja schon....ist ja eigentlich kein ding DC - DNS - DHCP und fertig...aber scheinbar hat hier irgendwer

Das ist noch kein Konzept. Dazu gehört Struktur, rechte, etc

DHCP und DNS sollte eigentlich nur ein kleiner Task sein
Bitte warten ..
Mitglied: ntmn3r0
26.03.2020 um 13:44 Uhr
Soooo habe es jetzt geschafft das er die GPO's nimmt.
Zwar habe ich den Fehler nicth direkt gefunden, aber nunja.
Habe jetzt einfach den externen DHCP gelöscht, auf dem DC einen neuen DHCP ohne irgendwelchen Mist.
Habe dann den 2. DNS gelöscht, alle Zonen aus dem 1. DNS rausgehauen und den DNS komplett neu konfiguriert.
Auf einmal lief alles wie es laufen soll
Ist es nicht wunderschön? :D

Danke nochmal an alle die sich mein Leid angenommen haben ;)
Bitte warten ..
Mitglied: erikro
26.03.2020, aktualisiert um 18:50 Uhr
Moin,

Zitat von ntmn3r0:
Das heißt, bisher wurde die Domain nicht genutzt? Es waren/sind noch keine Benutzer- und Computerkonten angelegt gewesen? Wie lange befand sich die Domain in diesem armseligen Zustand?

Die Domäne selbst ist wohl gut 3 jahre in diesem Zustand.

Die arme Domain. Die hat sich sicher furchtbar gelangweilt.

Das heißt genau was? Erstellst Du erst ein Computerkonto im AD und fügst dann hinzu oder direkt vom Client aus ohne Vorbereitung im AD?

Ja ich geh da immer den sicheren Weg.
Erst Konto erstellen dann zur Domäne hinzufügen. Hab das bestimmt schon 100x gemacht.

Das ist gut. Man sollte dann noch das Einfügen an einen Nichtadmin delegieren. Das hat den Vorteil, dass, wenn man sich im Namen des Rechners vertippt hat (egal auf welcher Seite), läuft das Einfügen gegen die Wand der fehlenden Rechte. Fügt ein Domain-Admin ein, dann wird der vertippte Name eingefügt in den Container Computer. Und dann wundert man sich wieder, warum die GPOs nicht gezogen werden.

Ja "Jeder" hat das Leserecht, sollte ja genügen?Hab den Computer auch nochmal extra eingefügt mit Leserecht.

Mach das wieder rückgängig. An den Rechten dieser Freigaben sollte man nur fummeln, wenn sie nicht stimmen. Bzw. sie stimmen, wenn man nicht daran rumfummelt.

Ich würde auch den erfolgreichen Zugriff loggen, da man nur so sicher sein kann, dass überhaupt zugegriffen wurde. Es könnte ja auch sein, dass gar kein Zugriff stattfindet.
(Vorsicht! Das kann recht viel werden. Außerdem ist das im Echtbetrieb nicht ohne Zustimmung der Betroffenen erlaubt.)

Ich bezweifel das sich die Firma da beschweren wird, da eh noch keiner in der Domäne angemeldet ist,

Deswegen ja auch der Hinweis auf den Echtbetrieb.

abgesehen von den NTFS Logins und ein Großteil mit gecrackten Windows Lizenzen unterwegs ist ....(Das wurde bereits bei der GF angesprochen, hab dennen auch direkt gesagt ich fass die Rechner nur an wenn da eine offizielle Lizenz drauf läuft und mein Test-PC ist ohne Lizenz also frisch installiert, aber das sollte ja kein Problem sein)

Nicht sagen, sondern unbedingt aufschreiben. Mache eine Bestandsaufnahme, wieviele Installationen vorhanden sind und wieviele Lizenzen. Das legst Du der Geschäftsführung vor mit dem Hinweis, dass der Zustand dringend geändert werden muss, da sonst straf- und zivilrechtliche Konsequenzen drohen. Freundlich aber deutlich. Am Besten so formuliert, dass Du das im Interesse der Firma mitteilst.

Hm da ist mir aufgefallen das smb 3 nicht aktiv ist aber auch nicht aktivierbar?(Siehe Bild)
https://administrator.de/images/c/1/6/b69877359085c520b3d0b2f5bdff7db5.j ...

Weil es den Parameter -enablesmb3protocol nicht gibt. Da gibt es nur 1 und 2. Wenn unter Windows 10 der von mir genannte Befehl für SMB3 nichts zurückgibt, dann ist es an.

3. Sind die Computer korrekt in der Domain authentifiziert?
Guck mal in die Sicherheitslogs des Servers. Wurden die Computerkonten evtl. abgelehnt?
Nope, kommt auch keine Meldung in den Logs dazu, hab nochmal Konten erstellt und mich eingeloggt das funktioniert einwandfrei.

Ich gehe immer so vor, dass ich erst das Konto im AD erstelle und dann den Rechner einfüge. Das hat noch nie Probleme bereitet. Das sollte zwar keinen Unterschied machen, aber einen Versuch wäre es wert. Evtl. geht bei der Erstellung des Computerkontos was schief bei Windows 10. BTW: Was ist das denn für ein Windows 10? Pro? Enterprise? Release? Alle Updates gemacht?

Pro(glaube Version 1909),hab aber alle Updates gemacht.

4. DNS prüfen.
Eh ja das sieht dann wohl nicht mehr so schön aus "(Siehe Bild, Paintskills bitte nicht beachten)

Was sieht denn da nicht schön aus, junger Padawan? Und ich meine nicht Deine Malkünste.

Was mir beim DNS aufgefallen ist: Es sind zwei DNS Server drin einmal der lokale SRV DNS und der Domain DNS und jeweils 2 Zonen??:
https://administrator.de/images/c/1/6/314a7a661a69a2352d8ebc45a90bf167.j ...

Das sieht sehr seltsam aus. Jetzt weiß ich auch, warum der "Kollege", der das vorher betreut hat, die Domain nie in Betrieb genommen hat. Das konnte ja nichts werden.

Dabei fällt mir nochwas ein. Solche Experten fummeln auch gerne mal am Zeitservice rum. Guck mal auf die Uhren der Maschinen. Sind die synchron (max 00:04:59 asynchron)?

Also Server und Client sind zwar Sync aber die Uhr geht 10 Min vor zur tatsächlichen Zeit

Hauptsache die Uhren gehen nicht mehr als 5 Minuten auseinander. Wenn Du wissen willst, warum, dann lies was zum Thema Kerberos. Das die Zeit stimmt, ist dann die Kür.

Ein Tipp: Lass mal über den ganzen Schmutz den Best Practice Analyzer laufen. Den findest Du im Servermanager, ich glaube auf dem Dashboard. Keine Lust, jetzt nachzugucken. Der gibt Dir eine Liste der Fehler und schlechten Konfigurationen aus. Unter anderem findest Du da auch, wie man dem PDC einen externen Zeitserver zuweist.

So wie es aussieht liegt es tatsächlich an dem total verpeilten DNS Einstellungen, ich bin mittlerweile so verwirrt davon...Ich werde jetzt eine neue Forward und ReverseZone einrichten und die anderen Teile löschen, oder erst löschen und dann einrichten?

Genau richtig. Fehler erkannt und behoben. Herzlichen Glückwunsch!

Nochwas: Geh zu Deinem Chef und verlange ein Budget für Literatur. Ich hatte Dir ja einen Link gegeben auf das Handbuch vom Server 2012 R2. Sowas brauchst Du für Deine aktuelle Version. Dann noch zwei, drei andere Nachschlagewerke. Muss ja nicht auf Papier sein. Aber auch digital sind die nicht ganz billig.

Liebe Grüße

Erik
Bitte warten ..
Ähnliche Inhalte
Windows Server
Domain Admin GPOs
Frage von winlinWindows Server4 Kommentare

Hallöchen Leute, wir haben eine GPO-Rule welche auf alle Server/Clients in unserer Domäne verteilt ist. Nun gehe ich gerade ...

Windows Server
Windows 10 GPOs funktionieren nicht
gelöst Frage von slanskyWindows Server19 Kommentare

Hallo Leute, ich habe das Problem das die GPOs für Windows 10 in meiner Umgebung nicht funktionieren. Meine Umgebung: ...

Windows Netzwerk

Windows Admin Center - Sagt was ihr braucht!

Tipp von JuanitoWindows Netzwerk22 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Windows Installation

Windows 10 neu installieren

Frage von imebroWindows Installation24 Kommentare

Da auf meinem Laptop seit ca. einem Jahr kein großes Update mehr installiert werden kann, möchte ich das Windows ...

Neue Wissensbeiträge
Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 7 StundenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von Frank vor 8 StundenInstant Messaging4 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Off Topic
Die Känguru-Chroniken - ab April im Streaming
Information von Frank vor 1 TagOff Topic2 Kommentare

Die Corona-Krise hat auch die Kinos zum Stillstand gebracht. Daher gehen einige Verleiher neue Wege und stellen ihre Filme ...

Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Information von System-Fehler vor 2 TagenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Heiß diskutierte Inhalte
Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell17 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Internet Domänen
Subdomain auf subdomain bzw. dyndns mit port weiterleiten?
Frage von DynlaraBartisInternet Domänen15 Kommentare

hey ich habe einen server bei mir mit proxmox auf diesem habe ich vm´s im heimnetz habe ich eine ...

Windows 10
Über Remotedesktopverbindung erkennen, ob Monitor angeschaltet ist
Frage von Tomac84Windows 1013 Kommentare

Hallo Zusammen, Auf Grund der Krise arbeite ich vom Home Office aus. Ich melde mich per Remotedesktopverbindung an meinen ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWussteOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...