Problem mit Gruppenrichtlinie auf Domänencontroller SBS2003

Hallo

ich habe in meinem LAN (W2003SBS, Clients XP) das Problem, dass die Clients eine sehr langsame Kopierleistung haben. Ursache ist die EnableSecuritySignature-Einstellung, durch die Nutzung eines Dömänencontrollers.

Ich wollte nun über die DDomain Default Group Policy unter

Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheits Optionen

die Werte
Microsoft Netzwerk (Client): Kommunikation digital signieren (immer)
Microsoft Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)
Microsoft Netzwerk (Server) Kommunikation digital signieren (immer)
Microsoft Netzwerk (Server) Kommunikation digital siginieren (wenn Client zustimmt)

auf deaktiviert setzen.
Dies behebt das Problem.
Allerdings kann sich nach einem Neustart kein Client mehr anmelden. Ursache ist folgendes: Danach bitte den Richtlinieneditor schließen, und die Berechtigungen für die Default Domaincontroller Richtlinie auf Domänencomputer: Lesen/Ausführen und Richtlinie übernehmen erweitern. Solltet Ihr vergessen die Berechtigungen zu erweitern, werdet Ihr am Server Probleme bekommen die Default Domaincontroller Richtlinie abzuarbeiten d.h. es gibt Einträge im Ereignisprotokoll.

Nun die Frage: Wie führe ich den letzten Absatz im SBS 2003 aus ? Hier scheinen die Menüs anders zu sein als im W2003-Server.
Hat jemand eine Hilfestellung ?

Vorab Danke.

Ich grübele schon...

Gruß, Frank

Hallo Micha,

so ganz bin ich daraus noch nicht schlau geworden...

Der SBS benötigt doch einen DC zur Inst.. Aus diesem Grund müßten die Menüs, zumidndest für den DC, doch ziemlich identisch sein?

Gruß, Frank

Hallo

schreib mir doch mal, wie das beim richtigen Server gehen müsste und ich suche das analog und poste ggf. mal einen Screenshot.

In hab im Baum im AD die Gruppenrichlinien und kann dort fummeln und walten. Aber mir ist nicht klar, wie und wo ich Berechtigungen für die Default Domaincontroller Richtlinie auf Domänencomputer: Lesen/Ausführen und Richtlinie übernehmen erweitern einstellen soll. Wie wäre denn der Weg auf dem richtigen Server ?

Hallo Micha,

>ich habe in meinem LAN (W2003SBS, Clients XP) das Problem, dass
>die Clients eine sehr langsame Kopierleistung haben.

1. ich erinnere mich (Thread v. 31.12.03), daß Du eh ein Problem mit der Kopierleistung hattest und
2. (Thread v. 10.01.04) hattest Du noch ein Problem mit den Mehrfachverbindungen.

Diese Ereignisse würde ich nicht außer Acht lassen...

Zu 1. wie bereits damals gesagt, auch mir ist das Problem bekannt, ich habe allerdings in einer W2K3-DC-Umgebung mit Exchange, SQL etc., W2K-/XP- u. NT4-Clients nicht solche Probleme.

Zu 2. ist dies eine typische Client-Fehlermeldung. Nach meinem Kenntnisstand gilt auch für XP-Clients die magische Grenze von 10 Verbindungen, so ist's jedenfalls unter W2K. Und die sind verdammt schnell erreicht. 10 Verbindungen heißt ja schließlich nicht auf 5 Freigaben u. 5 Netzlaufwerke gleichzeitig zugreifen zu können - da laufen noch einige mehr im Hintergrund... O.K. so weit so gut.

Zum eigentlichen Problem:

Ausführen>dsa.msc (oder die Konsole direkt)>Container Domain Controllers und re. Maustaste auf diesen>Eigenschaften>Gruppenrichtlinie>da sollte dann als Einzige (?) die Default Domain Controllers Policy stehen>markieren wenn mehrere vorhanden>Eigenschaften>Sicherheit> unter Gruppen- u. Benutzernamen Hinzufügen wählen>Erweitert>Jetzt suchen>in den Suchergebnissen die Domänencomputer markieren>zweimal o.k. klicken>unten in Berechtigungen für Domaincomputer kannst Du dann die Einstellungen vornehmen (müßten eigentlich eh markiert sein)>übernehmen klicken!!>dann bist Du wieder im Dialogfeld Eigenschaften von Default Domain Controllers Policy/Sicherheit>zweimal o.k klicken - ENDE der Aktion. Alles schließen und mit Ausführen>gpupdate [/target:{computer | user}] mußt Du die Policy aktualisieren - oder Neustart. Die Otion /refreshpolicy für secedit gibt's nicht mehr.

Btw: Du hast da eine Vollversion oder Eva.-Copy vom SBS u. ausreichend CAL's?

Viel Erfolg.

Gruß, Frank

Hallo und erstmal Danke..ich teste das gleich mal aus.


Ich hab die SBS 2003 mit 10 ACLs aus dem ActionPack von Microsoft.


Das Problem mit den Mehrfachverbindungen bezog sich auf Serverprofile und ist gelöst. Ich habe noch immer den Bug, dass die Kopierleistung von Dateien über das Netz DIREKT auf dem DC massiv verlangsamt ist. Microsoft hat das Problem bestätigt und will mit dem SP2 Abhilfe schaffen.

Damit man das Problem umgehen kann, muss ich für die Dömäne komplett die Digitale Signierung eines jeden Datenpakets abschalten.

Bin mal gespannt und setze das gleich in die Tat um.

Rückmeldung folgt.

TATA !!


anscheinend war es genau das ! Hey. Danke für die tolle Info. Es hat wohl genau die Sicherheitseinstellung gefehlt.

Jedenfalls hast der DC nun meine Änderungen angenommen und die Kopiervorgänge dauern nicht mehr 15 Minunten sondern nur noch 15 Sekunden !

Wenn ich nicht hier der Mitbegründer wäre, hätte ich mich gleich als Mitglied angemeldet. Vorab mal ein fettes Danke.

Was ich nur nicht ganz raffe: Wenn der DC-Admin am DC-Controller die Gruppenrichtline für die Default Group Policy ändert, warum muss dann noch die zusätzliche Sicherheitseinstellung vorgenommen werden? Muss ich das jetzt verstehen ?


Zudem: Bewirkt die Option Erzwungen in den Gruppenrichtlinien für die Mitgliedsrechner das gleiche wie der Parameter Force über den Shell bei gpupdate ? Ich ging bisher davon aus, dass die GP-Richtlinien bei jedem Start des Rechners automatisch übernommen werden.

Hi Micha,

>TATA !!

für' Ständchen aber sehr kurz. ;-)

>Wenn ich nicht hier der Mitbegründer wäre...

Ich weiß, ich lese das Forum...

>Wenn der DC-Admin am DC-Controller die Gruppenrichtline für die
>Default Group Policy ändert, ...

Hoppla, hoppla (s.o.), in anbetracht der Sachlage kannst Du eigentlich nur die Default Domain-Controller Policy meinen und nicht die Default Domain Policy.

Diese Policy ist selbstredend auch nur für den DC zuständig. Da Du die Signierung zwischen Client und DC bearbeitest mußt Du dies auch beiden mitteilen. Indem Du auf dem DC die entsprechende Policy bearbeitest und die Clients zur Übernahme sozusagen verpflichtes, erzwingst Du deren Anwendung für die Domain-Computer.

[...]
>Muss ich das jetzt verstehen ?

Nö, MS-Terminologie. :-> Nein im Ernst, das macht schon Sinn. Schließlich änderst Du ja sonst nur die GPO des DC's und sonst nix.
Bsp: Wenn ich Dir den Schlüssel zu meinem PKW gebe u. Dir nicht sage wo ich die Kiste geparkt habe nützt Dir das auch wenig. (Oder?)

[...]
>Ich ging bisher davon aus, dass die GP-Richtlinien bei jedem Start des >Rechners automatisch übernommen werden.

Das ist richtig. In gr. Umgebungen kannst Du die DC's aber nicht mal eben so zum Testen etc. ständig neu starten - u.U. hast Du dann ein echtes Problem, gerade in Bezug auf Replikation z.B. bei vielen Standorten - der daraus resultierende Traffic kann im schlimmsten Fall Dein ganzes Netz zum Stillstand bringen. Ohne Sch...!! Es gibt zwar Mechanismen dies zu begrenzen, aber wie gesagt... und für diese Situationen dann eben gpupdate.

Das Erzwingen setzt diese einfach nur restriktiv durch und hat damit in diesem Zusammenhang nix zutun.

Ich find's immer super gut, wenn die Leute mitdenken, sonst hättest Du
[/force] nicht gefunden. ;-) Dito dickes Lob!

[...]
>Das Problem mit den Mehrfachverbindungen bezog sich auf
>Serverprofile und ist gelöst.

Ah ja, hatte ich wohl nicht richtig gelesen...

[...]
>Damit man das Problem umgehen kann, muss ich für die Dömäne
>komplett die Digitale Signierung eines jeden Datenpakets abschalten.

Hast Du versucht nur die Option immer auf den Clients u. dem DC zu deaktivieren? So bestünde noch die Möglichkeit der Aushandlung. Einen Versuch ist's wert, gerade wegen der Sicherheit!

Habe ich was vergessen?

Gutes Nächtle...

Gruß, Frank

Hallo und mal Danke für die Info.

Was mich nur wundert ist die Tatsache, dass bei Änderungen der Policy bisher nach einem Neustart zwar die Clients die Werte mit 0 in der REG übernommen haben, der DC selbst aber wieder in den Urzustand zurückverfallen ist und die zudem Zugriffsfehler auf die Policy anzeigte. Genau das wunderte mich. Ich hab irgendwie nicht verstanden, warum Domänencomputer noch in die Sicherheitseinstellungen mit aufgenommen werden musste. Mit dem GPupdate ist mir dagegen klar.


Aber egal, hinter das Geheimnis brauch ich als Nicht.Admin vorerst mal nicht zu kommen.

Zur digitalen Signatur: Das Problem ist, dass der der Server, da er auch DC ist, eine digitale Signatur IMMER verlangt und genau hier das Problem liegt. Wird dies auf den Clients per 0 deaktiviert (digitale Signatur nicht anbieten), können diese keine Verbindung mehr herstellen. Und bei dem Versuch immer auf dem DC abzuschalten versuchte der DC es mit dem Client dennoch, da dieser per Default es ja könnte, wenn der Server will.

Egal...Problem ist nun behoben.