W2k3-EE, u.a. Kennwortproblem

hallo,

ich habe zum testen eine w2k3-ee-eval.-version mit sp1 nach diesen hilfreichen artikeln installiert. http://www.wintotal.de/Artikel/w2003server1/w2003server1.php
danke an Jörg Alexander Ott

soweit funktioniert alles einwandfrei bis auf ein paar kleinigkeiten. vielleicht kann mir hier jemand die lösungen dazu geben !?

kurz hardware:
- testserver: athlon xp 1900, 768 mb ram
- testclient: sempron 2400, 512 mb ram
- netzwerk: 100mbit-nic´s, cat-5, draytek-router, noname-switch

1.)
ich habe einen xp-client (mit sp2) in die domäne gehoben. nach dem neustart und erstmaliger anmeldung mit einem zuvor im dc angelegten user, musste ich ca. 5 min. warten bis ich endlich den desktob sah. habe es danach mit einem weiteren user versucht, da habe ich ca. 4,5 min. gewartet, also genauso furchtbar lang.

frage: mache ich da was falsch ? dauert das immer so lange ? ist mein testserver zu klein/langsam ?


2.)
beim anlegen eines domain-user habe ich direkt mit der kennwortkomplexitätsprüfung bekanntschaft gemacht. mir reichen user mit keinem oder einfachen kennwort, deshalb habe ich die stelle gesucht, um diese kennwortkomplexitätsprüfung abzuschalten und bilde mir ein sie auch auf dem dc gefunden zu haben unter verwaltung/(lokale)sicherheitsrichtlinien... bin mir nicht ganz sicher, da ich im moment nicht davor sitze. hier habe ich eine option kennwortkomplexitätsprüfung de-/aktivieren gefunden und die habe ich auf deaktiviert gestellt. ich musste (auch nach neustart) weiterhin komplexe kennwörter vergeben.

frage: wo ist die genaue stelle um diese kennwortprüfung abzustellen ? muss man noch etwas machen, damit user kein (komplexes) kennwort benötigen ?

3.)
auf dem xp-client war bereits ein benutzer namens kevin eingerichtet. nachdem ich einen domänen-user kevin auf dem dc erstellt habe (mit superkomplexem kennwort ) und ich mich mit dem xp-client und dem nutzer kevin in der domäne angemeldet habe, hat das bs nicht das bestehende benutzer-konto übernommen, sondern ein neues erstellt (kevin.domäne).
dieser effekt ist unerwünscht, da jetzt alle benutzereinstellungen, eigene dateien etc. weg bzw. in dem alten benutzerkonto kevin sind.

frage: kann man bestehende (lokale) konten für einen domänen-user verwenden ? was kann ich jetzt machen, wo das neue benutzerkonto kevin.domäne bereits angelegt wurde ?

freue mich auf antworten, danke im voraus.

mfg
kevin

Tach auch,

also zu deiner Wartezeit kann ich nur sagen das es mit dem zweiten anmelden besser sein müsste, dennoch bracuht das anmelden jetzt länger da du dich gegen die AD authentifizierst.

zu deiner kennwort problematik... mir ist bisher nichts bekannt we du das abschalten kannst bzw. ändern... ich lebe bisher auch damit :'(

zu deiner benutzer sache ... ja es ist normal das ein neuer benutzer gezogen wird.

Möglichkeiten als Admin anmelden und das lokale profil umkopieren (inhalte) eventuell über migrationstools

cheers
archdruid

1. Mal ein ipconfig /all von der Maschine bitte
2. Du warst da schon richtig - allerdings solltest du mittels gpupdate /force die neuen Einstellungen auch übernehmen.
3. Nein, das ist genau richtig so - du meldest dich ja nicht als lokaler, sondern als Domänen-User an.

Cheers,
Joshua

archdruid schrieb:

also zu deiner Wartezeit kann ich nur sagen das es mit dem zweiten anmelden besser sein müsste, dennoch bracuht das anmelden jetzt länger da du dich gegen die AD authentifizierst.

Zum Vergrößern anklicken....

Was hat die Zahl der Anmeldung bzw. der Username mit der Dauer der Anmeldung zu tun ?!?
Ich tippe auf ein DNS-Problem....

zu deiner kennwort problematik... mir ist bisher nichts bekannt we du das abschalten kannst bzw. ändern... ich lebe bisher auch damit :'(

Zum Vergrößern anklicken....

Sicher kann man das ändern - er hat ja auch an der richtigen Stelle gesucht....

Cheers,
Joshua

danke erstmal für die antworten,

da ich noch im büro bin, gibts es ipconfig/all erst später. wenn du, joshua, auf die dns-einstellungen in der reverse-lookup-zone hinaus willst, da habe ich die reihenfolge: 1. router, 2. erster dns-server provider, 3. zweiter dns-server provider eingetragen.

zu den kennwörtern: heisst das, dass sämtliche optionen in den (lokalen) richtlinien nur mit dem gpupdate /force in der eingabeaufforderung übernommen werden ? *staun* und da gibt es keine schaltfläche o.ä. für ? man wird ja nicht mal drauf hingewiesen, das die einstellungen noch (irgendwie) übernommen werden müssen.

zum benutzer... das der lokale benutzer, der schon vor der domäne da war, etwas anderes ist (anderes objekt) als der domänen-benutzer, das verstehe ich ja auch irgendwo, aber das man das nicht irgendwie zusammenführen kann und zwei unterschiedliche konten hinsichtlich dateien und einstellungen führen und pflegen muss, finde ich sehr umständlich und überflüssig. gibt es da überhaupt gar keinen lösungsansatz ?

mfg
kevin

KevinKeegan schrieb:

da ich noch im büro bin, gibts es ipconfig/all erst später. wenn du, joshua, auf die dns-einstellungen in der reverse-lookup-zone hinaus willst, da habe ich die reihenfolge: 1. router, 2. erster dns-server provider, 3. zweiter dns-server provider eingetragen.

Zum Vergrößern anklicken....

So ähnlich dachte ich mir das: Innerhalb eines AD _MÜSSEN_ die Clients als prim. DNS-Server den DC bzw. den für die Domain zuständigen DNS-Server eingetragen haben. Da bei dir der Router drinsteht, ist es ganz logisch, warum die Anmeldung so ewig dauert.
Dein DC bzw. zuständiger DNS-Server muss dann eben ne Weiterleitung machen, z.B. direkt an einen DNS-Server deines Providers.
Aber die Clients selbst dürfen _NIEMALS_ direkt nach draussen DNS-Abfragen machen, das muss sich immer innerhalb des Netzes abspielen !

zu den kennwörtern: heisst das, dass sämtliche optionen in den (lokalen) richtlinien nur mit dem gpupdate /force in der eingabeaufforderung übernommen werden ? *staun* und da gibt es keine schaltfläche o.ä. für ? man wird ja nicht mal drauf hingewiesen, das die einstellungen noch (irgendwie) übernommen werden müssen.

Zum Vergrößern anklicken....

Prinzipiell würden die auch von allein übernommen - aber auch dafür _MUSS_ die DNS-Auflösung funktionieren, was bei deinen Einstellungen NICHT der Fall ist.....

zum benutzer... das der lokale benutzer, der schon vor der domäne da war, etwas anderes ist (anderes objekt) als der domänen-benutzer, das verstehe ich ja auch irgendwo, aber das man das nicht irgendwie zusammenführen kann und zwei unterschiedliche konten hinsichtlich dateien und einstellungen führen und pflegen muss, finde ich sehr umständlich und überflüssig. gibt es da überhaupt gar keinen lösungsansatz ?

Zum Vergrößern anklicken....

Afaik nein.

Cheers,
Joshua

...jetzt wird die sache langsam interessant.

jetzt muss ich nochmal fragen, weil das in den artikeln auf dieser hp zu w2k3-server für mich nicht ganz deutlich geworden ist, wenn man einen router verwendet.

bis zum gestrigen zeitpunkt gingen alle clients in meinem lan über den router ins internet. tcp/ip-einstellungen lauten bei allen clients:
standardgateway: 192.168.0.10 (=router)
erster dns-server: 192.168.0.10 (=router)

das sollte ja so richtig sein und funktioniert auch schon ewig einwandfrei. wenn ich mich nicht völlig irre, werden so alle dns-anfragen an den router geleitet und der wiederum gibt sie an die dns-server vom provider (die ihm autom. vom provider übermittelt wurden) weiter, es sei denn, er kann die anfrage selbst auflösen, das müsste ausschliesslich bei client zu client-anfragen innerhalb des lan der fall sein !?

jetzt habe ich den dc installiert und so wie die clients konfiguriert:
standardgateway: 192.168.0.10 (=router)
erster dns-server: 192.168.0.10 (=router)
wins-server: 192.168.0.100 (dc)

ist das so falsch ? die internet-verbindung klappt auf jeden fall mit dem dc, das habe ich erfolgreich getestet.

wenn ich dich, joshua, richtig verstehe, soll ich bei dem client als dns-server den dc eintragen, richtig ? aber wenn ich das mache, also den router als dns-server rausnehme und der dc ausgeschaltet ist, dann funktioniert doch meine internetverbindung nicht mehr. den dc schalte ich aus, da ich ihn nicht ständig brauche und die ganze sache ja nur eine testumgebung ist und der lerneffekt im vordergrund steht. aber das nur am rande...

wäre es richtig, als ersten dns-server den dc und als zweiten dns-server den router einzutragen ? welche tcp/ip-einstellungen muss dann der dc haben, damit ich mit ihm sowohl ins internet kann, als auch vom internet auf ihn zugreifen kann für eine test-hp (dynorg-adresse hab ich schon) ?

es wäre sehr schön, wenn du mir mal die tcp/ip-einstellungen des dc und der clients aufschreiben würdest unter berücksichtigung, dass ich einen router verwende und der dc nicht immer aktiv ist. besten danke im voraus.

mfg
kevin

KevinKeegan schrieb:

bis zum gestrigen zeitpunkt gingen alle clients in meinem lan über den router ins internet. tcp/ip-einstellungen lauten bei allen clients:
standardgateway: 192.168.0.10 (=router)
erster dns-server: 192.168.0.10 (=router)

das sollte ja so richtig sein und funktioniert auch schon ewig einwandfrei.

Zum Vergrößern anklicken....

Solange kein Active-Directory im Spiel ist und keine lokale DNS-Abfrage gebraucht wird - ja, dann ist es richtig.

jetzt habe ich den dc installiert und so wie die clients konfiguriert:
standardgateway: 192.168.0.10 (=router)
erster dns-server: 192.168.0.10 (=router)
wins-server: 192.168.0.100 (dc)

ist das so falsch ?

Zum Vergrößern anklicken....

Ja, das ist falsch, s. mein Posting oben - bei erster DNS-Server _MUSS_ die IP-Adresse des DCs eingetragen werden.

wenn ich dich, joshua, richtig verstehe, soll ich bei dem client als dns-server den dc eintragen, richtig ?

Zum Vergrößern anklicken....

S. oben - du sollst nicht, du _MUSST_.

aber wenn ich das mache, also den router als dns-server rausnehme und der dc ausgeschaltet ist, dann funktioniert doch meine internetverbindung nicht mehr.

Zum Vergrößern anklicken....

Auch das hatte ich schon erwähnt, du musst dann eben eine DNS-Weiterleitung konfigurieren:
http://www.joshuasworld.de/ <= direkt auf der Startseite; bezieht sich zwar auf W2k, funktioniert aber genauso.

den dc schalte ich aus, da ich ihn nicht ständig brauche und die ganze sache ja nur eine testumgebung ist und der lerneffekt im vordergrund steht. aber das nur am rande...

Zum Vergrößern anklicken....

Sorry, aber einen DC schaltet man NIE ab - es gibt auch keine Konfiguration, die das Abschalten eines DCs vorsieht. Entweder, du wirfst deine Clients wieder aus der Domäne raus oder du lässt den DC laufen.

wäre es richtig, als ersten dns-server den dc und als zweiten dns-server den router einzutragen ?

Zum Vergrößern anklicken....

Das könnte funktionieren. Wie gesagt, könnte....

welche tcp/ip-einstellungen muss dann der dc haben, damit ich mit ihm sowohl ins internet kann, als auch vom internet auf ihn zugreifen kann für eine test-hp (dynorg-adresse hab ich schon) ?

Zum Vergrößern anklicken....

DNS => er selbst
Gateway => der Router

Cheers,
Joshua

danke für die infos joshua. werde erst am we zeit finden (hoffentlich) alles auszuprobieren.

werde mich dann gewiss mit neuen fragen zurückmelden

bis dahin...erholsames we

mfg
kevin

moin moin,

nachdem ich alle dns-server-einträge korrigiert habe funktioniert die übernahme der (kennwort-) richtlinien auch einwandfrei. @joshua: an den clients habe ich als 1. dns-server den dc und als zweiten meinen router eingestellt. so funktioniert auch alles einwandfrei, wenn der dc nicht aktiv ist.

aber wie erwartet sind neue fragen aufgetaucht. eine ist mir besonders wichtig:

wie kann ich einem domänen-benutzer das recht erteilen programme zu installieren (den gruppenrichtlinieneditor habe ich schon installiert) ? an welcher stelle muss ich welche schraube in welche richtung drehen ?

danke im voraus und gruss
kevin

Eingeschränkte Gruppen heisst da dein Stichwort - du kannst über GPOs die Gruppenmitgliedschaft der Domänen-Benutzer auf den Clients im Netz fest vorgeben; um Software installieren zu können, benötigt der User ja mind. Hauptbenutzer-Rechte, diese kannst du ihm automatisch via GPO geben/entziehen.

Schau mal bei Mark vorbei:
www.gruppenrichtlinien.de

Cheers,
Joshua

moin moin,

danke für die unterstützung, joshua. bis jetzt läuft alles einwandfrei, meine benutzer können jetzt auch programme installieren. ist ne feine sache mit den gruppenrichtlinien. melde mich dann evtl. mit anderen server-problemem zurück

grusss
kevin

EOT