Hallo zusammen, ich muss das Thema leider mal wieder nach vorne kramen…..der Fehler ist doch nicht gelöst. Die 2000er DCs sind nun eliminiert und es existieren nur noch 2008er DCs. Das u.g. Problem besteht weiterhin auf 2008 R2 Membern….. Gruß Tom Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Thomas.Stemick@xxxxxxxxxxxxxx Gesendet: Mittwoch, 12. Januar 2011 14:01 An: adde@xxxxxxxxxxxxx Betreff: [adde] AW: AW: Re: Secure Channel Hallo zusammen, das unten beschriebene Problem ist nun gelöst. Es tritt in der Tat nur auf, wenn W2K8 R2 Member in einer Domäne mit W2K-DCs betrieben werden. Der folgende Hotfix brachte den lang ersehnten Erfolg ☺: http://support.microsoft.com/kb/976494/en Gruß Tom Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Thomas.Stemick@xxxxxxxxxxxxxx Gesendet: Donnerstag, 6. Januar 2011 09:35 An: adde@xxxxxxxxxxxxx Betreff: [adde] AW: Re: Secure Channel Hallo Florian, es sind zwar virtualisierte Systeme, aber sie sind nicht geimaged (war auch mein erster Gedanke). In den Eventlogs ist nichts zu finden. Es ist tatsächlich so, dass die W2K8 R2 Member Server ihr Kennwort ändern können….bis es irgendwann (warum auch immer) fehlschlägt. Der Secure Channel kann dann nicht mehr aufgebaut werden (beim nltest gibt es dann einen „access denied“). Witzigerweise laufen diese Server aber fast normal weiter, man kann sich mit einem Domänen-Konto (Admin) anmelden, Netlogon läuft und User können auf Dateisystem zugreifen. Lediglich im System-Eventlog sind ID 3210 (Netlogon)-Events zu finden („This computer could not authenticate with \\DCs....“). Wir versuchen nun herauszufinden, ob das nur in Kombination mit W2K und W2K8 DCs auftritt. Notfalls bauen wir für die W2K DCs eigene Sites. Den erwähnten Hotfix werden wir auch testen….. Gruß Tom Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Florian Frommherz Gesendet: Donnerstag, 6. Januar 2011 08:18 An: adde@xxxxxxxxxxxxx Betreff: [adde] Re: Secure Channel Howdie! Das Zurücksetzen der Computerkennworte sollte vom Client aus automatisch angestossen werden. Sind die betreffenden Memberserver virtualisiert? Oder etwa aus einem gleichen/ähnlichen „Masterimage“ entstanden, das zuvor nicht mit Sysprep generalisiert wurde? Findest du in den Eventlogs dieser Memberserver Hinweise darauf, dass sie die Passwortänderung versucht haben? Cheers, Florian From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of Thomas.Stemick@xxxxxxxxxxxxxx Sent: Mittwoch, 22. Dezember 2010 09:57 To: adde@xxxxxxxxxxxxx Subject: [adde] Secure Channel Hallo zusammen, ich habe nun auch mal wieder eine Frage. Ich habe bei einigen W2K8 R2 Memberservern das Phänomen, dass diese den SID-Lookup von Domänengruppen nicht mehr hinbekommen. Domänencontroller sind W2K und W2K8. Nimmt man die Member aus der Domäne und fügt sie wieder hinzu, so ist alles wieder ok. Bei meiner Recherche habe ich gestern entdeckt, dass bei diesen Memberservern das Computerkontokennwort lange Zeit (2 Monate) nicht mehr geändert wurde (pwdLastSet überprüft). Eine Verify oder Reset des Secure Channel geht auch schief. Hat jemand von euch ähnliche Erfahrungen gemacht? Gibt es eigentlich inzwischenzeit eine Möglichkeit den SC eines Memberservers zurückzusetzen? Ich weiß, es gibt dazu KB-Artikel, aber das dort beschriebene Verfahren funktioniert bekannterweise nicht (geht nur bei DCs). Gruß Thomas ________________________________ Der Inhalt dieser Nachricht oder eventueller Anlagen ist vertraulich und ausschließlich für den bezeichneten Adressaten bestimmt. Bitte stellen Sie sicher, dass die Information in dieser Nachricht ausschließlich an die adressierten Personen gelangt. Sollte diese Nachricht versehentlich an Sie gesendet worden sein, dann informieren Sie bitte umgehend den Absender und löschen Sie die Nachricht. Vielen Dank. The information in this e-mail and any attachments is confidential. The information must only be held in areas that have controlled and limited access to the addressed persons. If this e-mail has been sent to you in error, please immediately notify the sender and delete the e-mail. Thanks.