Re: AD-Fehler nach Installation E2K3

From: Roger Wassner (anonymous_at_discussions.microsoft.com)
Date: 12/14/04 

Date: Tue, 14 Dec 2004 10:21:27 +0100

Hallo Stefan,

> >hier sehe ich einen 2000 DC
> >und einen 2003 Member
> Ja, richtig

> Es wurde nachinstalliert (ich fürchte jedoch, es war die adminpak.msi
> vom 2000er DC - schlimm?)

Schlimm ist es nicht, nur sind manche Dinge wie Barbara schon gesagt hat,
nicht ganz ganz kompatibel zu den Versionen untereinander. Da Du aber nur
2000 DCs im Einsatz hast und neuere Maschinen keine DCs sind, ost es kein
Problem.

(Die Tools können ja "das" konfigurieren, was der Server an Funktionen
anbietet. Beides gleiche Version)

> Nach wie vor gehen keine Netzzugriffe auf Shares.
> Woran kann das denn liegen? Kann das AD korrupt sein? Wenn ja, wie
> kann ich das überprüfen?

hm
die shares müssen erreichbar sein, mit user rehten hat man idR das Recht zu
lesen.
aber schau mal nach: net view \\servername oder an der console am server

sind die shares da / sichtbar ?
dann mappe dir mal eines als user und schaue was passiert
kannst du dich authentifizieren ? (an der domäin ? bei member an der lokalen
SAM ?)

> Seltsam ist halt, dass Zugriffe auf den DC gehen, nur auf die
> Memberserver nicht.

zugriffe auf den DC gehen,
dann scheint wohl die AD AUth zu funktionieren
aber
nur Gruppen wie Domain-Admins haben Zugriffsrechte auf DCs
User nicht, und zwar gleich nach DCPROMO
es sei denn man hat es geändert.

> Gibt es evtl. eine GPO, welche "plötzlich", nach
> der E2K3-Installation zieht?

Nein. Die GPOs kannst Du ja nachsehen.
Ausserdem gibt es keine GPO die nach einer Serverinstallation (etwa
Exchange) Shares verbietet.

> Bei der E2K3-Installation ist aufgefallen, dass der Exchangedienst
> MSexchangeIS (ich glaube, der war's) nicht installiert wurde und die
> Installation bei einem weiteren Dienst gestoppt wurde, da keine
> Berechtigungen vom DC geprüft werden konnten.

oops
ja die müssen da sein
der exchange installiert dienste auf der maschine, u.a. den MS Exchange
Information Store
keine Berechtigung vom DC ? TCP/IP Settings korrekt ?
lokeler DNS eingetragen ?
hier: Memberserver ?
schau doch mal, was der für GPOs bekommt: GPRESULT.exe (reskit?)
die kannst du ja dann gegenprüfen am DC

> Das erste Problem haben wir durch eine Reparaturinstalltion von E2K3
> gelöst (also noch mal installiert mit "Installation wiederholen").

und dann hat es geklappt ?!?
dann war es kein berechtigungsprob, sondern eher, dass die berechtigung
nicht ankam, also fehlerhafte netzkomponente oder so was.
das gibts, ist aber HIER eine vermutung. mangelnder datenstrom vom DC usw,
gerne mit RealTek Netzkarten.

> So langsam wird's ernst... Kein Mitarbeiter kann auf irgendwelche
> Shares zugreifen...

Vielleicht das eine Option für Dich:
Du kannst mittels Secedit (bei 2000) die Security Templates erneut anwenden.
konfigurieren nach vorlagen sozusagen
es gibt welche, dass er aussieht wie "frisch installiert"
das betrifft aber nur die settings in den GPOs usw

die templates liegen in C:\WINDOWS\security\templates

Windows 2000 Professional Documentation - Predefined security templates
http://www.microsoft.com/windows2000/en/professional/help/default.asp?url=/windows2000/en/professional/help/sag_SCEdefaultpols.htm

Windows 2000 Advanced Server Documentation - Using Security Templates
http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/sag_SCEusingTN.htm

Windows XP Documentation - Predefined security templates
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scedefaultpols.mspx

Windows XP Documentation - Understanding Security Templates
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_sceunderstdgtn.mspx

MSDN - Security Templates
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/security_templates.asp

Security Templates overview
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scewhatis.mspx

HOW TO: Define Security Templates By Using the Security Templates Snap-In in
Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;en-us;816297

HOW TO: Define Security Templates in the Security Templates Snap-in in
Windows 2000
http://support.microsoft.com/default.aspx?scid=kb;en-us;313434

Ansonsten würde ich je nach Schwierigkeitsgrad und Druck mal darüber
nachdenken, einen externen Consultant mit einzubeziehen, der die Drähte und
Knöpfe von Windows beherrscht. Dass kann in so einer Situation vielleicht
eher das richtige sein und verhilft zum aufatmen.

Viel Glück und Grüsse
Roger

Relevant Pages

  • Re: Windows Server 2003 SP1 install failure
    ... Windows Server 2003 SP1 install failure ... Produced By Microsoft MimeOLE V6.00.3790.1830 ... nerating security templates ...
    (microsoft.public.windows.server.general)
  • Re: AD-Fehler nach Installation E2K3
    ... 2000 DCs im Einsatz hast und neuere Maschinen keine DCs sind, ... Du kannst mittels Secedit die Security Templates erneut anwenden. ... Windows 2000 Advanced Server Documentation - Using Security Templates ...
    (microsoft.public.de.exchange)
  • Re: Need help with getting IISState running.
    ... windows 2003 servers, and ofcourse we ran security templates. ... So I downloaded IISState 3.0. ...
    (microsoft.public.inetserver.iis)
  • RE: Monitor Services on Windows machines
    ... With Windows 2000 and later, it is possible to set permissions on services ... One method is to use the Windows Security Templates to define service ... Is there a way to monitor if services on Win 2K Professional machines have ...
    (Focus-Microsoft)