Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBASICBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDebianDigitiales FernsehenDNSDomain RegistrierungDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareGrundlagenHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetiOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOnlinediensteOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal & DelphiPerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSonstige PeripheriegeräteSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSun SolarisSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideoViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows NetzwerkWindows PhoneWindows ServerWindows SystemdateienWindows ToolsWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Weniger Werbung?
Cover IT-Administrator
Mit dem Heftschwerpunkt "IT-Support & Troubleshooting" startet das IT-Administrator Magazin ins neue Jahr. Dabei erfahren Sie, auf welchem Weg Sie Ihr eigenes Ticket-System mit osTicket einrichten und die Windows Troubleshooting Platform für die Fehlersuche nutzen. Außerdem lesen Sie, wie die Performance-Analyse unter Linux mit collectd, serverstats, iostat und sar funktioniert und wie Sie Druckproblemen im Netzwerk Herr werden. In einem großen Vergleichstest nimmt die Redaktion ...

Kein Zugriff möglich auf Win8-PCs (RDP, DCOM, C) in ActiveDirectory

FrageMicrosoftWindows Server

Mitglied: hopinor

hopinor (Level 1) - Jetzt verbinden

29.07.2013 um 15:12 Uhr, 1827 Aufrufe, 15 Kommentare
Hallo,

Ist-Zustand:

Windows Server SBS 2011 (2 Server)192.168.2.2 / 192.168.2.4
Router192.168.2.1
Windows 8 Arbeitsplätze, 10 Stück192.168.2.2XX
Windows 7 Arbeitsplätze, 3 Stück192.168.2.2XX

Die Server wurdne bereits vor 1,5 Jahren von SBS 2003 auf SBS 2011 migriert.
Alle System sind mit aktuellen Patches versehen. Alle Arbeitsplätze können normal genutzt werden.
Serverfreigaben, Gruppenrichtlinien, Drucker..etc. funktionieren.

Problem:

Ich bekomme von den Servern (oder von anderen Arbeitsplätzen) keinen Zugriff auf die Windows-8-Arbeitsplätze.
Es sieht für mich so aus also ob alle Ports geblockt werden:

- Kein Zugriff auf RDP (z.B. mit telnet x.x.x.x 3389)
- Kein Zugriff auf DCOM, Port 135 (resultierend: etliche Einträgen im EreignisProtokoll mit Event 10009)
- Kein Zugriff auf Administrative Freigaben (C$) -> Fehler: 53 = Netzwerkpfad nicht gefunden
- teilweise kein Ping möglich. manchmal funktioniert es.. !?

Diese Probleme tauchen in allen möglichen Varianten auf:

Win8 PC -> Win8 PC
Server1 -> Win8 PC
Server2 -> Win8 PC

Ein Zugriff auf die Windows 7 Systeme ist immer möglich.
Zusätzlich dauern die Anmeldevorgänge an die Arbeitsstationen sehr lange (~ 3 Minuten).

Was habe ich bisher gemacht / geprüft:

  • dcdiag zeigt "nur" DCOM-Probleme:
Fehler. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 07/29/2013 09:30:22
Ereigniszeichenfolge: DCOM konnte mit dem Computer "PCXX.Domain.local" unter Verwendung eines
beliebigen, konfigurierten Protokolls keine Daten austauschen.

  • SYSVOL-Replizierung funktioniert

  • DNS-Konfiguration der Clients erscheint mir korrekt und Probleme tauchen auch bei Benutzung der IP-Adressen auf:

ip 192.168.2.2XX
gateway 192.168.2.1
dns 1 192.168.2.2
dns 2 192.168.2.4
mask 255.255.255.0

  • Gruppenrichtlinien werden verteilt / angewendet.

  • Alle PCs sind in der richtigen OU (MyBusines\Computers\SBSComputers)

  • netstat -an | find "3389" auf Windows 8 PC liefert:
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN
TCP [::]:3389 [::]:0 ABHÖREN
UDP 0.0.0.0:3389 *:*
UDP [::]:3389 *:*
Trotzdem ist ein Telnet x.x.x.x 3389 von einem anderen PC nicht möglich...

Die PC-Systeme hatten bisher WindowsXP. Ich habe dort jeweils eine komplette Win8-Neuinstallation vorgenommen (ohne die Systeme vorher aus der Domäne zu nehmen). Den Rechnernamen habe ich beibehalten. Nach erfolgter Installation habe ich die Rechner wieder der Domäne hinzugefügt.
War das vielleicht eine falsche Vorgehensweise ?

Ich hoffe mir kann jemand helfen..

DANKE

Grüße
Mitglied: Chonta
29.07.2013 um 15:17 Uhr
Hallo,

bei Win8 wude einiges bezüglich der Firewalls überarbeitet, was von vornherrein geblockt wird...

GPO und dann die Benötigten vordefini9erten Services freigeben, vor allem für das Domänennetzwerk und an den vordefenierten Reglen nix ändern, dann gehts danach auch.

Auf die C$ Freigaben kommst Du übrigens nur als DER Administrator, Domänen-Admin Mitgleidschaft reicht nicht.

Gruß

Chonta
Bitte warten ..
Mitglied: Dani
29.07.2013 um 15:22 Uhr
@Chonta
Auf die C$ Freigaben kommst Du übrigens nur als DER Administrator, Domänen-Admin Mitgleidschaft reicht nicht.
Ist das eine Neuerung von Windows 8 bzw. Server 2012? Funktioniert unter Windows 7 Professional und Server 2008R2 problemlos.


Grüße,
Dani
Bitte warten ..
Mitglied: hopinor
29.07.2013 um 15:30 Uhr
Hallo Chonta,

Die GPO sind entsprechend zugewiesen: z.B. "Windows SBS Client - Windows 8 Policy"

Was meinst Du mit vordefinierten Services ?

Der benutzer User ist Mitflied von "Domäne\Administratoren"

ich hatte auch testweise die Client-Firewall komplett deaktiviert... ohne das sich etwas geändert hat.

Grüße

hopinor
Bitte warten ..
Mitglied: DerWoWusste
29.07.2013 um 15:33 Uhr
Moin Dani.

Funktioniert unter Windows 7 Professional und Server 2008R2 problemlos.
Nein, das funktioniert keineswegs problemlos. Seit Vista muss zum Funktionieren ein Registryeintrag gesetzt werden: http://www.jimmah.com/vista/Networking/filtertoken.aspx
Bitte warten ..
Mitglied: jhinrichs
29.07.2013 um 15:33 Uhr
Moin,

nur zu meinem Verständnis. Du betreibst ZWEI SBS2011 in einem Netzwerk?

Viele Grüße
Bitte warten ..
Mitglied: hopinor
29.07.2013 um 15:36 Uhr
Hallo,

Nein, das Netzwerk hat 2 Server:

DC 1 = Windows SBS 2011, Exchange 2010..etc.
DC 2 = Windows 2008 R2, SQL...etc.

Grüße
Bitte warten ..
Mitglied: Chonta
29.07.2013 um 15:38 Uhr
Nehme alles zurück und behaupte das Gegenteil.
Bin eben im Test auf eine Administrative Freigabe raufgekommen.

Aber ich hatte vor einer weile auch die Firewalleinstellungen angepasst und davor ging es nur mit Administrator.


Gruß

Chonta
Bitte warten ..
Mitglied: Dani
29.07.2013 um 15:58 Uhr
Moin DWW,
leuchtet mir an sich ein... trotzdem funktion der Zugriff auf C$-Freigaben bei uns mit Domänen-Admin-Rechten. Wir haben laut unser Doku nicht nachgeholfen


Grüße,
Dani
Bitte warten ..
Mitglied: hopinor
29.07.2013 um 16:04 Uhr
Halo Dani, DWW

Soweit ich das verstanden habe, ist die LocalAccountTokenFilterPolicy nur bei Arbeitsgruppen notwendig, nicht bei Domänen.

Grüße

hopinor
Bitte warten ..
Mitglied: DerWoWusste
29.07.2013 um 17:11 Uhr
Genauer: es ist nur bei lokalen Nutzern (egal ob der PC Domänenmitglied ist, oder nicht) entscheidend, nicht bei Domänenkonten. Das war bei Vista früher noch anders (siehe Knowledgebaseartikel), mir scheint, das hat MS mit einem SP geändert.

Egal. Hat mit Deinem Problem eh nichts zu tun, denn das ist auf Netzwerkebene. Prüfe bitte, ob Du per gekreuztem Kabel auf 3389 mit telnet kommst (kannst natürlich auch den selben Switch nutzen).
Bitte warten ..
Mitglied: hopinor
29.07.2013 um 17:27 Uhr
Hallo DWW,

was soll das mit dem gekreuzten Kabel bringen ?

Die Systeme haben ja Zugriff auf Serverfreiagben, Internet..etc.

Grüße

hopinor
Bitte warten ..
Mitglied: DerWoWusste
29.07.2013 um 17:31 Uhr
Damit kannst Du ausschließen, dass es "auf dem Weg" ein Netzwerkproblem gibt.
Du hast mit netstat an der Quelle festgestellt, dass 3389 offen ist. Wenn Du Dich aber mit telnet nicht auf 3389 verbinden kann, muss ja etwas unterwegs passieren.
Bitte warten ..
Mitglied: hopinor
29.07.2013 um 19:25 Uhr
Hallo DWW,

Vielen Dank für die Antwort, aber es kann doch gar nicht am Kabel liegen.
wenn read und write vertauscht wären, warum auch immer, hätte ich doch gar keine Funktion.

Alle PC's waren bereits vorher mit derselbern Infrastruktur und WinXP im Einsatz.

Mal abgesehen davon, dass ich das Problem mit jedem Win8-Pc und mit keinem anderen habe..

Grüße
Bitte warten ..
Mitglied: DerWoWusste
30.07.2013 um 09:57 Uhr
Am Kabel? Das schrieb ich auch nicht.
Wenn ein Port am Rechner offen ist, aber nicht angetelnettet werden kann, dann stimmt was unterwegs nicht, was denn sonst. Um das also herauszufinden, hält man den Kommunikationsweg so simpel wie möglich und testet - so lange, bis man wieder alle Wegstrecken wie vorher benutzt und damit wahrscheinlich die Problemstrecke/Switch/Firewall ausmachen kann.
Bitte warten ..
Mitglied: hopinor
30.07.2013 um 14:38 Uhr
Hi,

Problem ist gelöst...Es lag an einer Gruppenrichtlinie in der die Firewalleinstelungen gesetzt wurden.
Obwohl ich das bereits mehrfach überprüft hatte, war folgender Fehler vorhanden:

Die erlaubten, eingehenden Regeln lassen sich beschränken auf z.B. das lokale Netzwerk.
Dafür muss ein Feld mit "localsubnet" gefüllt werden. Tja, und wenn man da dann " localsubnet"
(mit führendem Leerzeichen) reinschreibt, wird gar keiner zugelassen...

Das muss man erstmal finden, insbesonders weil "netstat -an" den Listener ja auch anzeigt...

Nun ist alles gut.

Danke an alle
Bitte warten ..
Neuester Wissensbeitrag
Windows XP
Bidschirm - Display Ausgabe in Graustufen (Schwarz - Weiß) (5)

Tipp: Da ich heute selbst auf der Suche nach einer Lösung war, die Bildschirmausgabe auf Graustufen umzustellen und mich dabei durch viele Seiten sowie Foren ohne eine wirklich vernünftige ... von Trecasim, in Windows XP

Diese Inhalte könnten dich auch interessieren
Webbrowser
Trassenauskunft Dt. Telekom - wg. 0.0.0.0-Fehler kein Zugriff möglich (3)

Frage: Servus, ich bin aktuell mit meinem Latein als Nebenzu-Admin echt am Ende, evtl. hatte jemand hier das Problem auch schon mal? Ich wil für Außenstellen (Windows 7 Pro ... von VGem-e, in Webbrowser

LAN, WAN, Wireless
GELÖST VPN aufgebaut - RDP möglich - Zugriff auf Webinterface schlägt fehl (10)

Frage: Hallo, ich wähle mich auf unser Firmennetz per FEC Secure IPsec Client ein. Die Verbindung wird aufgebaut und ich komme auf sämtliche RDP-Verbindungen. Auch der Zugriff auf die ... von kevische, in LAN, WAN, Wireless

Windows 7
GELÖST RDP Zugriff auf Desktopsystem zum arbeiten (3)

Frage: Hallo, bisher bin ich immer davon ausgegangenm das der RDP-Zugriff der Professional Versionen von Windows nur für den Administrativen Zugang sind und man nicht damit nicht normal arbeiten ... von Chonta, in Windows 7

Windows 8
GELÖST RDP Verbindung von Win8 zu Win8 DPC schlägt fehl (6)

Frage: Guten Abend, ich habe hier folgendes Problem (und mittlerweile ein paar graue Haare mehr^^): Auf einem Windows 8.1 Pro Rechner ist der RDP Zugriff aktiviert und funktioniert auch ... von yaDur1, in Windows 8

Ubuntu
Lubuntu - Drucken aus einer RDP Verbindung möglich? (5)

Frage: Hallo, ich habe Lubuntu als Betriebssystem von diesem verbinde ich mich via RDP zu einem Windows Server 2008 R2 Standard. Wie kann ich Dokumente während der Remot Desktop ... von Maxxx01, in Ubuntu

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Antivirus im Unternehmen (17)

Frage: Hallo zusammen In der Suche finde ich immer recht alte Beiträge zu dem Thema. Ich wollte mal eure Erfahrungen hören zu verschiedenen Antiviren System im Unternehmensfeld. Größenordnung +- ... von geocast, in Erkennung und -Abwehr

Windows Server
WSUS 3.0 auf einen neuen Server übertragen - anschließend SyncProbleme! (15)

Frage: Hallo Admins, der Server, auf dem unser WSUS vorher lief, ist leider veraltet und leistet nicht mehr genug Performance. Nun habe ich einen neuen Server mit ausreichend Ressourcen ... von CortaX, in Windows Server

Festplatten, Raid
GELÖST RAID: Software- und HardwareRAID gleichzeitig nutzen? (14)

Frage: Hi, kurze Frage: Sehe ich das gerade richtig, dass ich mich entweder für HW-RAID ODER SW-RAID entscheiden muss? Viele Grüße CSE ... von cse, in Festplatten, Raid

Windows Server
AD "Altlast" reparieren: Doppelte SIDs (13)

Frage: Ich habe einen Kunden geerbt, der im Dezember 2013 ein Problem mit einem alten DC / Exchanger hatte. In diesem Zusammenhang wurde diverse Benutzer gelöscht bzw. mit identischen ... von FA-jka, in Windows Server

Windows Server
Indizierung Fileserver - klappt nicht so richtig (11)

Frage: Hi Leute, habe hier einen Windows 2008R2 Server am Laufen. Dort liegen unsere NW-Laufwerke, homefolder und und und. Wie auch immer, die Nutzer erhalten beim Login ihre LW-Buchstaben. ... von cse, in Windows Server