[adde] Re: Secure Channel
- From: "Stemick, Thomas" <Thomas.Stemick@xxxxxxxxxxxxxx>
- To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
- Date: Mon, 28 Feb 2011 15:16:13 +0000
Hallo zusammen,
ich muss das Thema leider mal wieder nach vorne kramen…..der Fehler ist doch
nicht gelöst. Die 2000er DCs sind nun eliminiert und es existieren nur noch
2008er DCs. Das u.g. Problem besteht weiterhin auf 2008 R2 Membern…..
Gruß
Tom
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Thomas.Stemick@xxxxxxxxxxxxxx
Gesendet: Mittwoch, 12. Januar 2011 14:01
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: Re: Secure Channel
Hallo zusammen,
das unten beschriebene Problem ist nun gelöst. Es tritt in der Tat nur auf,
wenn W2K8 R2 Member in einer Domäne mit W2K-DCs betrieben werden. Der folgende
Hotfix brachte den lang ersehnten Erfolg ☺:
http://support.microsoft.com/kb/976494/en
Gruß
Tom
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Thomas.Stemick@xxxxxxxxxxxxxx
Gesendet: Donnerstag, 6. Januar 2011 09:35
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: Re: Secure Channel
Hallo Florian,
es sind zwar virtualisierte Systeme, aber sie sind nicht geimaged (war auch
mein erster Gedanke). In den Eventlogs ist nichts zu finden. Es ist tatsächlich
so, dass die W2K8 R2 Member Server ihr Kennwort ändern können….bis es
irgendwann (warum auch immer) fehlschlägt. Der Secure Channel kann dann nicht
mehr aufgebaut werden (beim nltest gibt es dann einen „access denied“).
Witzigerweise laufen diese Server aber fast normal weiter, man kann sich mit
einem Domänen-Konto (Admin) anmelden, Netlogon läuft und User können auf
Dateisystem zugreifen. Lediglich im System-Eventlog sind ID 3210
(Netlogon)-Events zu finden („This computer could not authenticate with
\\DCs....“). Wir versuchen nun herauszufinden, ob das nur in Kombination mit
W2K und W2K8 DCs auftritt. Notfalls bauen wir für die W2K DCs eigene Sites. Den
erwähnten Hotfix werden wir auch testen…..
Gruß
Tom
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Florian Frommherz
Gesendet: Donnerstag, 6. Januar 2011 08:18
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: Secure Channel
Howdie!
Das Zurücksetzen der Computerkennworte sollte vom Client aus automatisch
angestossen werden. Sind die betreffenden Memberserver virtualisiert? Oder etwa
aus einem gleichen/ähnlichen „Masterimage“ entstanden, das zuvor nicht mit
Sysprep generalisiert wurde?
Findest du in den Eventlogs dieser Memberserver Hinweise darauf, dass sie die
Passwortänderung versucht haben?
Cheers,
Florian
From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of
Thomas.Stemick@xxxxxxxxxxxxxx
Sent: Mittwoch, 22. Dezember 2010 09:57
To: adde@xxxxxxxxxxxxx
Subject: [adde] Secure Channel
Hallo zusammen,
ich habe nun auch mal wieder eine Frage. Ich habe bei einigen W2K8 R2
Memberservern das Phänomen, dass diese den SID-Lookup von Domänengruppen nicht
mehr hinbekommen. Domänencontroller sind W2K und W2K8. Nimmt man die Member aus
der Domäne und fügt sie wieder hinzu, so ist alles wieder ok. Bei meiner
Recherche habe ich gestern entdeckt, dass bei diesen Memberservern das
Computerkontokennwort lange Zeit (2 Monate) nicht mehr geändert wurde
(pwdLastSet überprüft). Eine Verify oder Reset des Secure Channel geht auch
schief. Hat jemand von euch ähnliche Erfahrungen gemacht? Gibt es eigentlich
inzwischenzeit eine Möglichkeit den SC eines Memberservers zurückzusetzen? Ich
weiß, es gibt dazu KB-Artikel, aber das dort beschriebene Verfahren
funktioniert bekannterweise nicht (geht nur bei DCs).
Gruß
Thomas
________________________________
Der Inhalt dieser Nachricht oder eventueller Anlagen ist vertraulich und
ausschließlich für den bezeichneten Adressaten bestimmt. Bitte stellen Sie
sicher, dass die Information in dieser Nachricht ausschließlich an die
adressierten Personen gelangt. Sollte diese Nachricht versehentlich an Sie
gesendet worden sein, dann informieren Sie bitte umgehend den Absender und
löschen Sie die Nachricht. Vielen Dank.
The information in this e-mail and any attachments is confidential. The
information must only be held in areas that have controlled and limited access
to the addressed persons. If this e-mail has been sent to you in error, please
immediately notify the sender and delete the e-mail. Thanks.
Other related posts:
