Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Übernahme der Domänen-Sicherheitseinstellungen auf einen Client

Mitglied: AndiHenrich

AndiHenrich (Level 1) - Jetzt verbinden

04.11.2011 um 08:05 Uhr, 2919 Aufrufe, 7 Kommentare

Hallo,
als Neu-User möchte ich erst einmal ein "Hallo" in die Runde werfen. Kurz zu mir: Ich administriere in einer Einrichtung ca. 250 Arbeitsstationen und 5 Server (Win2003). Bin etwas über 40 Jahre jung und vieles im EDV-Bereich habe ich durch Lesen, Foren und Try&Error gelernt.

So und nun zu meinem Problem/Frage:
Durch veränderte Arbeitszeiten können sich nun unsere Mitarbeitenden die Arbeitszeit anders als bisher verteilen. Dies hatte (von mir erst nicht bemerkt) zur Folge, dass einige Kolleginen und Kollegen auf einmal das problem hatten, dass sie ab einer bestimmten Uhrzeit nicht mehr arbeiten konnten. Da aber keine direkte Systematik zu erkennen war und auch mit einem Neustart des Clients alles wieder ging, wanderte das problem erst mal nach hinten auf die Liste (ich weiß - nicht gut!).
Jetzt aber vermehren sich die Klagen und in den letzten beiden Tagen fiel mir folgendes ein: In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die max. Gültigkeit von Benutzertickets eingetragen werden kann. Diese steht Standartmäßig auf 10 Stunden, was jetzt nach der Recherche auch ziemlich gut passt. Immer ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt. Ich habe dann gestern im laufenden Betrieb den Wert auf 14 Stunden geändert, aber heute morgen festgestellt, dass es keine Wirkung gezeigt hat.
Die Fragen daher:
- Habe ich den richtigen Wert geändert und
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb

Für Tips und Such-Anregungen bedanke ich mich schon mal recht herzlich

Grüße
Andi Henrich
Mitglied: Logan000
04.11.2011 um 09:00 Uhr
Moin Moin

Zitat von AndiHenrich:
In der Domänen-Sicherheitseinstellung gibt es die Abteilung Sicherheitseinstellung-Kontoeinstellung-Kerberos-Richtlinie, wo die
max. Gültigkeit von Benutzertickets eingetragen werden kann.
Damit ist die DDP (Default Domain Policy) gemeint?

Die Fragen daher:
- Habe ich den richtigen Wert geändert und
Ich würde sagen Ja.
- Wird diese Einstellung auf dem Client evtl. nur bei Rechnerstart übernommen und nicht im laufenden Betrieb
Diese Einstellung ist eine Computereinstellung. Diese wird auf allen betroffenen Computern (Client, Server) nur bei Neustart übernommen.

Gruß L.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 09:34 Uhr
Hallo Logan000,
vielen Dank für Deine rasche Antwort.
Dann warte ich mal den heutigen Tag ab, ob es heute abend funktioniert.

Danke und Grüße
Andi
Bitte warten ..
Mitglied: DerWoWusste
04.11.2011 um 13:17 Uhr
Hi.

Du hast bei dem langen Text leider das Wichtigste, die Problembeschreibung, nur schwammig geliefert.
User können nicht mehr arbeiten
ist keine.
ca. 10 Stunden nach dem Anmelden eines Clients, wird die Netwerkverbindung zu diesem Server gekappt.
schon eher. Aber was passiert dann? was passiert beim Versuch, z.B. auf ein Netzlaufwerk zuzugreifen?

Die Kerberos-Lifetimes sind doch überall default auf 10 STD., nirgendwo hab ich jemals von diesem Problem gelesen. Ich schätze, das hat mit Eurem Problem evtl. zu tun, aber es geht doch eher um ein Renewal des Tickets, das fehlschlägt.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 13:35 Uhr
Hallo DerWoWusste,

mit "User können nicht mehr arbeiten" meine ich:
- das Senden/Empfangen von Outlook schlägt fehl - Server kann nicht erreicht werden
- Netzwerkverbindungen (Laufwerk) sind nicht mehr erreichbar: Es kommt die Meldung Laufwerk nicht gefunden
- unsere Buchhaltung, die den ganzen Tag auf den Rechnern läuft ist nicht mehr erreichbar (Abakus Datenbank, die per Entire-Net-Work angesprochen wird)

Hilft das mehr?



Danke und Grüße
Andi
Bitte warten ..
Mitglied: DerWoWusste
04.11.2011 um 13:55 Uhr
Ein wenig mehr. Du solltest mal pingen um auszuschließen, dass sämtliche Konnektivität verloren geht - hol das nach.
Nimm auch Stellung zu meiner Anmerkung und informiere Dich, was Kerberos Ticket renewal ist und wie es Euch beeinflussen SOLLTE.
Bitte warten ..
Mitglied: AndiHenrich
04.11.2011 um 17:06 Uhr
Hallo,
ich werde am Montagmorgen den Rechner starten und dann einmal prüfen, ob
- der Fehler gegen 17 Uhr noch auftritt
- der Ping noch geht

im Moment lese ich mich in die Tiefen von Kerberos ein (verstehe leider nicht alles). Ich habe da eine Ausarbeitung gefunden, die mir aber helfen kann.
Ich melde mich dann am Montag wieder...
Vielen Dank schon mal allen Helfern und schönes Wochenende
Andi
Bitte warten ..
Mitglied: AndiHenrich
17.11.2011 um 22:05 Uhr
Hallo,
jetzt mal zu meiner Rückmeldung.
Nachdem ich viel über/von Kerberos gelesen habe, bin ich mir sicher, an den richtigen Parametern geschraubt zu haben.
Denn...es funktioniert.
Vielen Dank an Euch für Tips und Schubsen in die richtige Richtung.
Andi
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Domänen User haben vollen Zugriff auf Sicherheitseinstellungen

Frage von kingcopyWindows Netzwerk25 Kommentare

Guten Tag, ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die ...

DNS

Namensauflösung in Domäne und Client nicht in der Domäne

Frage von gluckspilzzDNS5 Kommentare

Sehr geehrtes Administrator Team, ich habe folgendes Problem. Meine Firma hat ein kleines Netzwerk (20 Clients) mit Domäne, DHCP ...

Netzwerkmanagement

Übernahme einer "Gewachsenen Infrastruktur"

Tipp von agowa338Netzwerkmanagement11 Kommentare

Falls jemand von euch den Fehler gemacht hat, in einer Firma mit einer "Gewachsenen Infrastruktur" anzufangen, ohne größer drüber ...

Windows 7

Problem bei Übernahme von Domänenbenutzer-rechten

Frage von PanelMWindows 73 Kommentare

Hallo, ich habe folgendes Problem: Ein User, der über sein Domänenprofil auf seinem Rechner arbeitet, lädt sich über eine ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 16 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...