Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmeldung an Domäne nicht möglich

Mitglied: pipo

pipo (Level 1) - Jetzt verbinden

01.10.2006, aktualisiert 18.10.2012, 8742 Aufrufe, 7 Kommentare

diverse Errors an win2003

Hallo Forum,

die Anmeldung an Domäne ist nicht mehr möglich. Es gibt in Ereignissanzeige diverse Fehler

- alle Rechner im gleichen Netz
- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
- Fehler in Ereignisanzeige - Ereignisquellen :
. DNS
. Perflib
. WinMgmt
. Windows SharePoint Services
. MSDTC
. MSExchangeAL
. DAVEX
. Userenv

- vorgenommene Änderungen

. Aktivieren der lokalen Firewall
. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
. DNSmgmt : Als DNS Server wurde die IP von Firewall in die IP Liste hinzugefügt(1. vom Server - 2. vom Firewall)

Was kommt als Ursache in Frage?
Welche Dienste sind für die Anmeldung zuständig ?

Brauche dringend Hilfe. Danke im voraus.
Mitglied: gemini
01.10.2006 um 09:47 Uhr
Hallo pipo,

- aus clients ist WIN2003 weder per ip noch per namensauflösung im nezt erreichbar
- aus d. Server sind alle Clients sowohl per ip als auch per name erreichbar
Ich würde auf ein DNS-Problem tippen und zwar bei der Auflösung von Clientseite aus.

. Aktivieren der lokalen Firewall
Ist damit die Windows-XP-Firewall gemeint?
In einer Domäne sollte die Netzwerksicherheit NICHT auf den Clients geregelt werden. Dafür gibt es entspr. Komponenten bspw. PIX oder NetScreen.

. IP der Server : 1. bisherige Gateway wurde durch den neuen Firewall IP ersetzt (internet funktioniert)
Das ist OK!
2. als DNS wurde zu loopback auch die ip des neuen firewalls hinzugefügt
Auf dem DC muss als bevorzugter Nameserver nur der DC selbst mit seiner IP (nicht dem loopback-Interface) stehen.
Bei 2 DCs gehört die jeweils eigene IP als bevorzugter Nameserver und die IP des anderen DC als alternativer NS eingetragen.
Die IP der Firewall gehört, soweit sie DNS-Forwarding unterstützt, in die Nameserver-Weiterleitungen.
Auf dem Clients gehören nur die IPs des/der DCs eingetragen.

Ausnahmelos alle DNS-Anfragen müssen an den DC gestellt werden, dieser entscheidet dann, falls die IP nicht im Cache ist, über die Weiterleitung.

HTH
gemini
Bitte warten ..
Mitglied: Rafiki
01.10.2006, aktualisiert 18.10.2012
Hi pipo,

wenn ich deine Frage richtig verstanden habe aus du zwar die Firewall gewechselt, aber die IP Adressen von der Firewall und dem Server sind die gleichen geblieben. Stimmt das so?

Was meinst du mit "Aktivieren der lokalen Firewall" ? Hast du auf dem Server die Firewall aktiviert oder die neue Firewall an der Internetverbindung? Hast du Win2003 Server - SP1 installiert und die Microsoft Firewall aktiviert? Oder Zonealarm auf dem Server installiert? Wie ist die Firewall konfiguriert? Werden alle benötigten Dienste durchgelassen?

Wir versuchen mal den Fehler einzukreisen. Da DNS für die Microsoft Windows Welt sehr wichtig ist muss erst mal DNS funktionieren. Die meisten anderen evenltlog Einträge werden wahrscheinlich durch ein defekten DNS verursacht.
Ein ähnliches Problem wurde neulich mit Sojos diskutiert:
https://www.administrator.de/forum/dns-problem-mit-win2k3-38794.html


Fehlersuche und berichtigen der Einstellungen:

-- Auf dem Server --
In den Eigenschaften der Netzwerkkarte: Ein DNS Server sollte sich selber nicht über die loopback Adresse ansprechen sondern über seine eigene, echte Adresse. Der zweite Domain Controller, wenn es denn einen gibt, sollte der zweite DNS Eintrag sein.
Ob die Einstellungen richtig sind zeigt nslookup an:

Beispiel: ( Ich zeige nur die jetzt wichtigen Einträge )
C:\> ipconfig /all
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . . . : meinefirma.de
Ethernetadapter LAN-Verbindung:
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.1.250
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.1
DNS-Server. . . . . . . . . . . . : 192.168.1.250



In den Eigenschaften vom DNS Dienst, auf dem Tab Forwarders (Sorry, ich habe gerade nur einen englischen Server) werden die beiden DNS Server von deinem Internet Provider eingetragen, oder deine Firewall, die dann wiederum den DNS von eurem ISP fragt.

Test mit nslookup, in diesem Beispiel ist der Name der Domain meinefirma, der Domain Controller heißt Server
nslookup meinefirma
ergibt als Antwort die IP Adresse von dem Server, z.B. 192.168.1.250
und beantwortet wird die Frage von dem DomainController.
Falsch wäre 127.0.0.1 oder die IP Adresse von der Firewall / Router.

nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250

-- Auf dem Client --
nslookup server
Der Befehl nslookup hat automatisch den Domainnamen angehängt und fragt "fully qualified" den DNS-Dienst nach server.meinefirma.de. Das ergibt dann wieder die Antwort: 192.168.1.250. Wenn das nicht funktioniert dann wird entweder der falsche Server gefragt, der Domainname ist falsch bei dem Client eingetragen oder die Firewall auf dem Server verhindert das die DNS Pakete beim Server ankommen.

nslookup www.adac.de
sollte den Server fragen und auch eine Antwort erhalten, die der Server über den DNS Forwarders Eintrag, aus dem Internet geholt hat. Wenn das nicht funktioniert dann zur Kontrolle
nslookup www.adac.de 192.168.1.1 <- IP der Firewall
eingeben. Denn diese Frage geht dann direkt an die Firwall und umgeht den Server.

Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet ob eine angebotene Lösung erfolgreich war oder auch nicht.
Bitte warten ..
Mitglied: pipo
01.10.2006 um 18:21 Uhr
Hi gemini !

Als Ergänzung:
ein Firewall (ipcop) wurde in betrieb genommen. Das funktioniert so weit und alle clients haben Internetzugang.
Anschließend habe ich auf DC unter Option DNS-Server Einstellungen in so fern geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
Dann habe ich den Stand. Gateway (Ethernetkarte) der Server angepasst (IP Des Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP des Firewalls hinzugefügt.
Dannhabe ich die Firewall an DC aktiviert, da wir Virusproblem auf clients hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)

Da Files auf einem Linux(PC) unter Samba sind, gibt's ohne Anmeldung an DC auch keine Zugang zu den Files
Die etc\Hosts-Datei Client-seitig sind leer !

Liegt es nur daran (leere LMHosts bzw. Hosts) dass der Server nicht gefunden wird ?

Danke für deine Hilfe
Bitte warten ..
Mitglied: gemini
01.10.2006 um 21:07 Uhr
Anschließend habe ich auf DC unter Option DNS-Server Einstellungen in so fern
geändert, dass als zweite DNS die IP von dem Firewall hinzugefügt.
In den Einstellungen der Netzwerkkarte? Mach den Eintrag wieder raus, die Clients haben ausnahmelos ihre DCs anzufragen, niemanden sonst. Was die DCs nicht beantworten können wird an die in den Weiterleitungen (hier gehört die IP des IPCop rein) eingatragenen Nameserver weitergeleitet.

Dann habe ich den Stand. Gateway (Ethernetkarte) der Server angepasst (IP Des
Firewalls) und unter 1. DNS war bis jetzt 127.0.0.1 und die 2.DNS habe ich auch die IP
des Firewalls hinzugefügt.
Siehe oben. Weiters soll der Server auf sich selbst verweisen und zwar auf seine richtige IP, nicht auf das loopback-Interface. Den entspr. MSKB-Artikel habe ich jetzt nicht parat, ist aber in Redmond nachzulesen

Dannhabe ich die Firewall an DC aktiviert, da wir Virusproblem auf clients
hatten.(kommischerweise finde ich den DC-Firewall nicht mehr?)
Gegen Viren hilft dir die beste Firewall der Welt nicht, dafür gibts Virenscanner.
Wenn du mit dem IPCop eine dedizierte Firewall hast, wieso eine zweite?
Wenn der IPCop sauber konfiguriert ist, leistet er mit Sicherheit mehr als die XP-Firewall.
IMHO ist es vorteilhafter, weniger aber dafür sauber konfigurierte Stellen zu haben.

Die etc\Hosts-Datei Client-seitig sind leer!
Hast du Linux-Clients oder meinst du die Windows-Hosts?
Anyway, die Hosts-Dateien brauchst du nicht, sofern der DNS funktioniert. Wenn er nicht funktioniert hakt es an so vielen Stellen, dass dir die Hosts auch nicht weiterhilft.

HTH
gemini
Bitte warten ..
Mitglied: pipo
01.10.2006 um 22:33 Uhr
Hallo Rafiki,
vielleicht sollte ich unseren Netz darstellen und das Problem auch nochmal :

1 W2003 als DC
1 suse Linux als Fileserver (samba)
Clients: W2k u. XP

Einige Änderungen:

Ich habe versehentlich auf DC unter TCP/IP Einstellungen als DNS Server die ip von ipcop eingetragen.
Auch nach dem ich das zurückgesetzt und den Server rebootet habe, keine Anmeldung mehr möglich.

ping an Server : Unbekannter Host server.
ping fileserver : OK
InternetVerbindung aus Server: OK
IN DNS Eigenschaften auf Server ist unter Schnittstellen die Option nur folgende IP-Adresse
aktiviert mit der Ip von DomainControler und unter Weiterleitungen die von Firewall

- aktuelle Fehler auf dem Server(Ereignis.)
Ereignistyp: Fehler
Ereignisquelle: Perflib
Ereigniskategorie: Keine
Ereigniskennung: 1008
__________________________
- C:\>nslookup Domain_name (auf dem Server)
* Der Servername für die Adresse x.2.1 konnte nicht gefunden werden: Non
-existent domain
Server: UnKnown
Address: x.2.1
* servermaster wurde von UnKnown nicht gefunden: Non-existent domain
____________________________
- C:\>nslookup DomainControler (auf dem Server)
* Der Servername für die Adresse x.2.1 konnte nicht gefunden werden: Non
-existent domain
Server: UnKnown
Address: x.x.2.1

Name: DomainControler.Domain_name.local
Address: x.x.2.1
________________________
C:\>nslookup DomainControler bzw. Domain_name(auf dem Win-Client)
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse x.x.2.1 konnte nicht gefunden werden:
Timed out
Server: firewall.Domain_name.local
Address: x.x.2.8
* server wurde von firewall.Domain_name.local nicht gefunden: Non-existent do
main
____________________________
C:\>nslookup www.adac.de
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse x.x.2.1 konnte nicht gefunden werden:
Timed out
Server: firewall.Domain_name.local
Address: x.x.2.8

Nicht autorisierte Antwort:
Name: www.adac.de
Address: 80.146.237.33
___________________________
Kann es sein dass durch den falschen Eintrag der Firewall als DNS Server auf dem Domaincontroller diese Fehler verursacht wurden?

Wenn ich auf clients die DNS Adresse des Firewalls entferne habe ich keine Internet, sonst
gibt's Verbindung.

Bitte dringend um Hilfe und danke im voraus
Bitte warten ..
Mitglied: pipo
02.10.2006 um 16:09 Uhr
Also es lag an die aktivierung der Firewall auf Win2003. Nun welche sinn macht ein Server Firewall, die alle Verbindungen blockiert? Da muß ich mich schlau machen
Trotzdem Danke an gemini und Rafiki
Bitte warten ..
Mitglied: Rafiki
02.10.2006 um 17:32 Uhr
Die Firewall macht Sinn wenn du damit z.B. die Adressbereiche eingrenzen möchtest.
Beispiel Netzwerk 192.168.1.0
.1 Firewall / Router
.254 der zu schützende Server

Die PCs werden in zwei Adressbereiche aufgeteilt:

.128 - .160 Mitarbeiter
.32 - .127 Schüler, Aushilfen.

Dann dürfen z.B. DNS alle benutzen, aber "Windows Datei und Drucker Server" nur die Mitarbeiter aus dem höheren Netzwerkteil
Firewall Regel DNS: 192.168.1.0 255.255.255.0
Firewall Regel Datei freigabe: 192.168.1.128 255.255.255.128

Gruß Rafiki
Bitte warten ..
Ähnliche Inhalte
Windows Server

Anmeldung an neuen Windows Domäne Client nicht möglich

Frage von FlorianNWindows Server16 Kommentare

Hallo zusammen, ich habe einen Laptop neu in eine Windows Domäne hinzugefügt (Client zuvor neuinstalliert mit Win10 Pro). Nun ...

Windows 7

PC wieder in Domäne aufnehmen, lokale Anmeldung nicht möglich

gelöst Frage von BluejetWindows 72 Kommentare

Hallo zusammen, ich habe hier derzeit ein Problem, bei dem ich etwas auf dem Schlauch stehe. Und zwar gibt ...

Windows 10

Windows 10: Keine Anmeldung mehr möglich nach verlassen der Domäne

gelöst Frage von klanaxWindows 105 Kommentare

Hallo an alle! Ich stehe hier vor einem seltsamen Problem. Kurz die Vorgeschichte: Unser Windows-10-Surface-Book, das in die Firmendomäne ...

Netzwerke

Domäne zu Domäne - nicht möglich?

Frage von huebymNetzwerke2 Kommentare

Hallo. Ich bin kein Netzwerkadministrator sondern Softwareentwickler und frage deshalb mal besser Leute die sich genauer damit auskennen. Situation ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 12 StundenErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 19 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 3 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server27 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS15 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...