andreas7
Goto Top

W2003-Server läßt keine Anmeldung von XP-Client aus vertrauter 2. Domain zu

Hallo,

habe ein Problem mit einem XP-Client. Es sieht so aus, als wenn man sich nicht an einer vertrauten W2003-Domain anmelden könnte. Das Anmeldefenster taucht immer wieder neu auf.

Server 1: Domäne 1, WinNT-Server, DC
Server 2: Domäne 2, W2003-Server, DC
Client: WinXP Pro, Computerkonto in Domäne 1

In der Netzwerkumgebung wird Server 2 zwar angezeigt, beim Doppelklick darauf öffnet sich nicht der Verzeichnisbaum mit den freigegebenen Verzeichnissen, sondern es erscheint ein Anmeldefenster. Und egal, was ich dort eingebe (Admin Domäne 1, Admin Domäne 2, User an Domäne 1, User an Domäne 2), keine Eingabe wird akzeptiert und das Anmeldefenster erscheint wieder.

Bidir. Vertrauensstellung ist eingerichtet und bestätigt. Das Eigenartige ist: wenn ich das Gleiche an einem W2k-Client mache, funzt alles tadellos.

1. Verdacht: Ist in den Gruppenrichtlinien irgendwo die Benutzeranmeldung von vertrauten Domains gesperrt?

Gruß
Andreas

Content-Key: 26458

Url: https://administrator.de/contentid/26458

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: Atti58
Atti58 20.02.2006 um 15:44:05 Uhr
Goto Top
Wie sieht es mit der Firewall auf dem XP-Client aus, ist die deaktiviert / richtig konfiguriert (geht das überhaupt face-wink ?) ?

Gruß

Atti
Mitglied: Andreas7
Andreas7 20.02.2006 um 15:57:44 Uhr
Goto Top
Sorry, hatte ich vergessen zu erwähnen: Client mit XP Pro SP1. Hat noch keine Firewall. Soll auch keine von MS bekommen.

Gruß
Andreas
Mitglied: Atti58
Atti58 20.02.2006 um 16:05:31 Uhr
Goto Top
Was passiert denn, wenn Du im Anmeldebildschirm die "entfernte" Domäne auswählst und versuchst, Dich anzumelden?

Gruß

Atti
Mitglied: Atti58
Atti58 20.02.2006 um 16:45:24 Uhr
Goto Top
Hast Du in den Freigaben auf Server 2 die "Freigabeberechtigungen" für "Jeder" auf "Voll" gestellt und in den "Berechtigungen auf Dateisystemebene" die Mitglieder der NT-Domäne zusätzlich zu denen der eigenen Domäne hinzugefügt?

Gruß

Atti
Mitglied: Andreas7
Andreas7 21.02.2006 um 14:37:55 Uhr
Goto Top
Ja. Sonst wäre die Anmeldung von einem w2k-Client nicht erfolgreich. Ist sie aber. Nur von XP-Client auf den w2003-Server gibt's Probleme.
Steht auf dem Server irgendetwas in den Group Policies, was eine Anmeldung von vertrauten Domains blockiert?

Gruß
Andreas
Mitglied: Atti58
Atti58 21.02.2006 um 15:24:22 Uhr
Goto Top
Auch diese Group Policies würden auf alle Systeme wirksam werden und nicht nur auf den XP-Client ... Hast Du denn etwas in den Policies verändert, satndardmäßig kann ich mir nicht vorastellen, dass es da Einschränkungen für vertraute Domänen gibt?

Was passiert denn, wenn Du im Anmeldebildschirm die "entfernte" Domäne auswählst und versuchst, Dich anzumelden?

Gruß

Atti
Mitglied: Andreas7
Andreas7 21.02.2006 um 17:26:56 Uhr
Goto Top
Bei Anmeldung an Domäne 2 wird das lokale Benutzerprofil geladen ohne Fehlermeldung.
ipconfig /all zeigt, dass der Rechner noch Mitglied der Domäne 1 ist. Und bei Zugriff auf Domäne 2 über die Netzwerkumgebung passiert das gleiche wie bei Anmeldung über Domäne 1: die Anmeldemaske erscheint und egal welchen Benutzernamen ich nehme, die Anmeldemaske taucht wieder auf, da die vorherige Anmeldung nicht akzeptiert wird.

In den Policies habe ich im Bereich Firewall und Remotedesktopbenutzer Änderungen vorgenommen.
Auf alle Systeme dürfen die Policies ruhig einwirken. Sind zum größten Teil NT-Rechner. Die kennen eh keine GP, oder?
Mitglied: Atti58
Atti58 21.02.2006 um 19:11:34 Uhr
Goto Top
Poste bitte mal die Textdatei aus:

"ipconfig /all >C:\ipconfig.txt"

auf dem Server 1 und dem Client, denke bitte daran, dass Du schreibst welche Datei zu welchem Server gehört,

Gruß

Atti.
Mitglied: Andreas7
Andreas7 22.02.2006 um 11:56:27 Uhr
Goto Top
Domäne 1
WinNT 4 Server SP6a
Windows NT IP-Konfiguration
Host-Name . . . . . . . . . : server1.einkauf
DNS-Server. . . . . . . . . : 192.168.2.70
Knotentyp . . . . . . . . . : Hybrid
NetBIOS-Bereichs-ID . . . . :
IP-Routing aktiviert. . . . : Ja
WINS-Proxy aktiviert. . . . : Nein
NetBIOS-Auswertung mit DNS : Ja

Ethernet-Adapter El90x1:
Beschreibung. . . . . . . . : 3Com 3C90x Ethernet Adapter
Physikalische Adresse . . . : 00-10-5A-9F-D2-53
DHCP aktiviert. . . . . . . : Nein
IP-Adresse. . . . . . . . . : 192.168.2.68
Subnet Mask . . . . . . . . : 255.255.255.0
Standard-Gateway. . . . . . : 192.168.2.71
Prim?rer WINS-Server. . . . : 192.168.2.68


Domäne 2
Windows 2003 Server R2 SP1
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : SERVER2
Primäres DNS-Suffix . . . . . . . : verlag.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : verlag.local

Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Intel(R) PRO/1000 MT-Netzwerkverbindung mit zwei Anschlüssen #2
Physikalische Adresse . . . . . . : 00-03-47-33-02-98
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.2.70
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.72
DNS-Server . . . . . . . . . . . : 127.0.0.1
Primärer WINS-Server . . . . . . : 192.168.2.68


XP-Client an Domäne 1
WinXP Pro SP1
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : givwl001
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : SiS 900-basierte PCI-Fast Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.2.121
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.72
DNS-Server. . . . . . . . . . . . : 192.168.2.70
Primärer WINS-Server. . . . . . . : 192.168.2.68

Hä? Wieso ist denn die MAC-Adresse 0? Kann das der Grund für mein Problem sein?

Gruß
Andreas
Mitglied: Atti58
Atti58 22.02.2006 um 13:14:05 Uhr
Goto Top
Soweit ich das sehen kann, ist alles in Ordnung, mich wundert nur die merkwürdige MAC-Adresse auf Deinem XP-Client - kann da der Hase im Pfeffer liegen oder hast Du die "editiert"?

Gruß

Atti
Mitglied: Andreas7
Andreas7 23.02.2006 um 18:41:47 Uhr
Goto Top
Die hat mich auch gewundert. Habe mal eine nachweislich funktionsfähige 3Com-Netzwerkkarte genommen, lokal angemeldet u. installiert. Genau das Gleiche: bei versuchtem Zugriff auf den W2003-Server über die Netzwerkumgebung kommt ein Anmeldefenster "Verbindung herstellen zu ..." mit Benutzername u. Paßwort. Aber keines geht, egal, welches ich eingebe. Das Fenster kommt immer wieder. Anscheinend kann keine Verbindung hergestellt werden. Aber warum?

Kleiner Nebeneffekt: die onboard-Karte hat jetzt die MAC-Adresse der wieder ausgebauten und deinstallierten 3Com-Karte. Irgendetwas ist da seltsam. (Aber mein Chef wollte ja unbedingt mal einen günstigen Aldi-PC ausprobieren...)

Noch eine Idee?

Gruß
Andreas
Mitglied: Atti58
Atti58 24.02.2006 um 08:14:38 Uhr
Goto Top
Hast Du den PC schon mal aus der Domäne rausgenommen und nach Löschen des Kontos im AD neu eingefügt?

Mir gehen langsam dei Ideen aus, haben hier auch keine Vertrauensstellungen mehr, kann also auch nichts "ausprobieren" face-sad ...

Gruß

Atti
Mitglied: Andreas7
Andreas7 24.02.2006 um 18:03:50 Uhr
Goto Top
Vielen Dank für Deine Mühe und Ausdauer. Aber das Ding will einfach nicht. Am besten, ich schmeiß den Rechner aus dem Fenster. Scheint ja alles nicht zu fruchten.
Neu einfügen geht nicht, da der Rechner erst gar keine Verbindung zum vertrauten Server herstellen kann.
Macht irgendwie gar keinen Spaß. Habe auf Win2003-Server in den Richtlinien für Domänencontroller, für Domänen und für Gruppen dem Admin der vertrauten Domäne ausdrücklich das Recht eingeräumt, sich am Server anmelden zu können. Fehlanzeige.
Muß ich halt weitersuchen.

Gruß
Andreas
Mitglied: Atti58
Atti58 24.02.2006 um 22:48:48 Uhr
Goto Top
... Du sollst ja auch nur den Rechner aus seiner eigenen Domäne raus .. und wieder rein nehmen,

Gruß

Atti.