12
W2K8 mit DC und GPO für administrative Freigaben?
Hallo,
ich habe einen W2k8 Server als DC und einen W2k8 Server als File Server am laufen und einige Win7 Workstations, die alle in der Domäne eingebunden sind.
Um eine administrative Freigabe (z.B.: \\server\c$) für DOMÄNE\Administrator zur realisieren habe ich einfach unter den Win7 Workstations den DOMÄNE\Administrator mit in die Gruppe VORDEFINIERT\Administratoren eingefügt. Das funktioniert auch soweit. Aber unter den W2k8 Server geht das nicht, weil dieser meldet, dass der DOMÄNE\Administrator bereits in der Gruppe VORDEFENIERT\Administratoren ist aber ich kann nicht auf die Freigabe vom anderen Server drauf zugreifen. Aufgelistet wir dieser in der Gruppe nicht und zudem werden die Gruppen und User auf diesen Server alle mit den SID angezeigt, wenn sie irgendwo mal in der GPO auftauchen. Auf allen Workstations und den DC werden diese mit Namen aufgelistet.
Ist die GPO für einen Server anders als für eine Workstation. Der Server bekommt nämlich die gleiche GPO zugewiesen wie die Workstations auch. Abgesehen vom DC, der hat eine andere GPO.
Wäre dankbar für eure Hilfe, ich bin am verzweifeln.
ich habe einen W2k8 Server als DC und einen W2k8 Server als File Server am laufen und einige Win7 Workstations, die alle in der Domäne eingebunden sind.
Um eine administrative Freigabe (z.B.: \\server\c$) für DOMÄNE\Administrator zur realisieren habe ich einfach unter den Win7 Workstations den DOMÄNE\Administrator mit in die Gruppe VORDEFINIERT\Administratoren eingefügt. Das funktioniert auch soweit. Aber unter den W2k8 Server geht das nicht, weil dieser meldet, dass der DOMÄNE\Administrator bereits in der Gruppe VORDEFENIERT\Administratoren ist aber ich kann nicht auf die Freigabe vom anderen Server drauf zugreifen. Aufgelistet wir dieser in der Gruppe nicht und zudem werden die Gruppen und User auf diesen Server alle mit den SID angezeigt, wenn sie irgendwo mal in der GPO auftauchen. Auf allen Workstations und den DC werden diese mit Namen aufgelistet.
Ist die GPO für einen Server anders als für eine Workstation. Der Server bekommt nämlich die gleiche GPO zugewiesen wie die Workstations auch. Abgesehen vom DC, der hat eine andere GPO.
Wäre dankbar für eure Hilfe, ich bin am verzweifeln.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 225142
Url: https://administrator.de/contentid/225142
Printed on: April 23, 2024 at 17:04 o'clock
12 Comments
Latest comment
Moin,
also erst mal sind die administrativen Freigaben immer da sofern man sie nicht löscht. Darauf hat auch grundsätzlich der Domänenadmin Zugriff. Da muss man nichts einrichten. Da es bei dir nicht klappte verstehe ich zwar deine Denkerichtung, aber das ist hier ganz offenbar der falsche Ansatz.
Hier scheint was mit der Domänenmitgliedschaft des Servers nicht zu stimmen, wenn dort nur die SIDs angezeigt werden.
Versuche mal bitte auf dem Fileserver in der Kommandozeile:
und sag uns was bei raus kam.
Gruß
also erst mal sind die administrativen Freigaben immer da sofern man sie nicht löscht. Darauf hat auch grundsätzlich der Domänenadmin Zugriff. Da muss man nichts einrichten. Da es bei dir nicht klappte verstehe ich zwar deine Denkerichtung, aber das ist hier ganz offenbar der falsche Ansatz.
Hier scheint was mit der Domänenmitgliedschaft des Servers nicht zu stimmen, wenn dort nur die SIDs angezeigt werden.
Versuche mal bitte auf dem Fileserver in der Kommandozeile:
dcdiag /c /q /f:c:\dcdiag.logund sag uns was bei raus kam.
Gruß
Also das kam raus, aber der FileServer hat nicht diese IP, *.65 ist die fritzbox
[PROXY-SERVER] Auf dem Dom„nencontroller wurden keine
sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den
folgenden Befehl, um die Verbindung an einen bestimmten
Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>.
** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:"
nicht eingegeben wurde.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:54:35
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:56:35
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:59:49
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
......................... PROXY-SERVER hat den Test SystemLog nicht
bestanden.
[PROXY-SERVER] Auf dem Dom„nencontroller wurden keine
sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den
folgenden Befehl, um die Verbindung an einen bestimmten
Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>.
** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:"
nicht eingegeben wurde.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:54:35
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:56:35
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
Erstellungszeitpunkt: 12/21/2013 11:59:49
Ereigniszeichenfolge:
DCOM konnte mit dem Computer "192.168.10.65" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
......................... PROXY-SERVER hat den Test SystemLog nicht
bestanden.
Auf dem File Server kann ich ja auch kein dcdiag aufrufen, da dieser ja kein DC ist. Ein gpupdate funktioniert hingegen.
Wie gesagt, es ist nur der File Server der diese Problem hat, DC und die Workstations funktionieren alle wunderbar.
Wie gesagt, es ist nur der File Server der diese Problem hat, DC und die Workstations funktionieren alle wunderbar.
Was verbirgt sich hinter der 192.168.10.65?
Welche IP hat der DC? Welche der Fileserver?
Welche DNS Einträge hast du jeweils gesetzt?
Welche "Weiterleitungen" sind im DNS Server in den Eigenschaften hinterlegt?
Sind irgendwelche "Leichen" im DNS?
Ist der Fileserver im AD unter "Server" aufgelistet?
Gruß
Welche IP hat der DC? Welche der Fileserver?
Welche DNS Einträge hast du jeweils gesetzt?
Welche "Weiterleitungen" sind im DNS Server in den Eigenschaften hinterlegt?
Sind irgendwelche "Leichen" im DNS?
Ist der Fileserver im AD unter "Server" aufgelistet?
Gruß
Zitat von @sebastian748:
Auf dem File Server kann ich ja auch kein dcdiag aufrufen, da dieser ja kein DC ist. Ein gpupdate funktioniert hingegen.
Wie gesagt, es ist nur der File Server der diese Problem hat, DC und die Workstations funktionieren alle wunderbar.
Auf dem File Server kann ich ja auch kein dcdiag aufrufen, da dieser ja kein DC ist. Ein gpupdate funktioniert hingegen.
Wie gesagt, es ist nur der File Server der diese Problem hat, DC und die Workstations funktionieren alle wunderbar.
Jep stimmt ich vergaß. Ich hab das bei mir ein wenig anders konfiguriert
Ist das hier ein Testszenario oder produktiv?
Wenns nur ein Test ist würde ich den Fileserver, sofern da keine anderen Rollen installiert sind mal aus der Domäne entfernen und neu hinzufügen.
Sind noch irgendwelche Fehler im Eventlog des Fileservers?
192.168.10.65 ist die Fritzbox
255.255.255.192 das Subnetz
192.168.77 der DC, DNS Weiterleitung zur 192.168.10.65
192.168.75 der File Server, in der Liste Computer
Alles neu aufgebaut, keine Leichen im DNS
255.255.255.192 das Subnetz
192.168.77 der DC, DNS Weiterleitung zur 192.168.10.65
192.168.75 der File Server, in der Liste Computer
Alles neu aufgebaut, keine Leichen im DNS
es ist noch ein Test Szenario und ich habe auch schon paar mal den Server aus und wieder in die Domäne eingebunden. Immer das Gleiche.
Sonst sind keine Meldungen im Log zu sehen. Als DOMÄNE\Administrator kann ich mich ja auf den File Server einloggen aber es sind dann nur die SIDs zu sehen und die Freigabe geht nicht. Aber generell ist das dann ei Fehler wenn die SIDs anstelle der Namen angezeigt werden?
Sonst sind keine Meldungen im Log zu sehen. Als DOMÄNE\Administrator kann ich mich ja auf den File Server einloggen aber es sind dann nur die SIDs zu sehen und die Freigabe geht nicht. Aber generell ist das dann ei Fehler wenn die SIDs anstelle der Namen angezeigt werden?
Ok welche DNS hast du auf dem Fileserver und dem DC in der IP Konfiguration eingetragen? Ich hoffe die sind statisch?
Klar ist das ein Fehler, weil er die Benutzer nicht auflösen kann. Ich denke du wirst dich mit keinem anderen Benutzer aus dem AD am Fileserver anmelden können (unabhängig davon, dass du es als normaler Nutzer eh nicht kannst - das musst du konfigurieren)
Ok der Fehler mit der Fritzbox ist denke ich "normal".
Klar ist das ein Fehler, weil er die Benutzer nicht auflösen kann. Ich denke du wirst dich mit keinem anderen Benutzer aus dem AD am Fileserver anmelden können (unabhängig davon, dass du es als normaler Nutzer eh nicht kannst - das musst du konfigurieren)
Ok der Fehler mit der Fritzbox ist denke ich "normal".
Also der DNS Eintrag auf dem File Server ist 192.168.10.65 und der auf dem DC ist 127.0.0.1 (hat ja seinen eigenen DNS Server, Voraussetzung für DC) Als DNS Weiterleitung auf dem DC ist die 192.68.10.65 eingetragen.
Ok das mit der Namensauflösung wird mir jetzt klarer
Ok das mit der Namensauflösung wird mir jetzt klarer
Auf dem File Server kann ich mich auch mit anderen Benutzer aus der Domäne problemlos anmelden. schon seltsam?!
In der Tat seltsam.
Trage bitte die IP vom Server ein und nicht 127.0.0.1, also 192.168.10.77 - ich hab die Erfahrung gemacht, dass er die Loopbackadresse nicht will, auch wenn es standard ist. Auf dem Fileserver ebenfalls als Primärer die 192.168.10.77 und sekundär kannst du die 192.168.10.65 eintragen - ist denke ich kein muss.
Da du auf dem Fileserver nur auf die Fritzbox verweist als DNS, welche die ganzen Namen etc. nicht kennt wird er das nicht korrekt auflösen können. Ist eine Vermutung. Anschließend mal einen Neustart durchführen vom Fileserver. Oder bei beiden: Erst den DC und dann den Fileserver.
Gruß
Trage bitte die IP vom Server ein und nicht 127.0.0.1, also 192.168.10.77 - ich hab die Erfahrung gemacht, dass er die Loopbackadresse nicht will, auch wenn es standard ist. Auf dem Fileserver ebenfalls als Primärer die 192.168.10.77 und sekundär kannst du die 192.168.10.65 eintragen - ist denke ich kein muss.
Da du auf dem Fileserver nur auf die Fritzbox verweist als DNS, welche die ganzen Namen etc. nicht kennt wird er das nicht korrekt auflösen können. Ist eine Vermutung. Anschließend mal einen Neustart durchführen vom Fileserver. Oder bei beiden: Erst den DC und dann den Fileserver.
Gruß
Ok ich werde es versuchen, ich kann es auch nicht so ganz nachvollziehen... naja
Danke schon mal für die hilfreichen Tips. Ich werde hier noch berichten ob das was gebracht hat, jetzt muss ich was anderes machen
Danke schon mal für die hilfreichen Tips. Ich werde hier noch berichten ob das was gebracht hat, jetzt muss ich was anderes machen
