- #1
I
ISO4715
Guest
Hallo zusammen,
ich habe ein schwerwiegendes Problem. Wir haben eine Migrierung durchgeführt, dabei wurde die Domäne ABC.local neu aufgesetzt. Da der Server als Proxy fungieren muss, werden beide verbaute Netzwerkkarten eingesetzt.
Server: Windows 2003 R2 SP2
Clients: Windows XP SP3
Router: 192.168.16.1 / 255.255.255.0 (24)
LAN Internetzugang: 192.168.16.2 / 255.255.255.0 (24)
Gateway: 192.168.16.1
DNS: 10.10.10.32 (im DNS selbst ist 192.168.16.1 zur Auflösung vermerkt, Internet funktioniert bei den Clients auch)
LAN internes Netz: 10.10.10.32 / 255.255.240.0 (20)
Gateway: leer
DNS: 10.10.10.32
DHCP ab: 10.10.10.33 / 255.255.240.0 (20)
Alles funktioniert theoretisch einwandfrei, nur gibt es hier ein Sicherheitsproblem. Um das Netz zu schützen, werden natürlich aus der LAN Internetzugang die Protokolle Client für MS Netze und (und darum geht es) Datei + Druckerfreigabe entfernt. Sobald die Datei + Druckerfreigabe entfernt und ein Neustart durchgeführt wird, ist ein Zugriff auf sämtliche GPOs sowie das Netzwerk nicht mehr möglich.
Es existieren dann auf einmal zwei Netzwerke, wie zuvor dass ABC.local (nun kein Zugriff mehr) und nur ABC (vollständiger Zugriff). Da aber die GPOs im ABC.local Netz verankert sind erscheint auch sehr regelmäßig im Fehlerprotokoll:
Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-*gekürzt* },CN=Policies,CN=System,DC=ABC,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ABC.local\sysvol\ABC.local\\Policies\{31B2F340-*gekürzt*}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.
Ich habe jetzt gesehen, dass der W2K3 Server auf die IP 192.168.16.2 antwortet, obwohl ich schon in der DNS nur noch die 10.10.10.32 angegeben habe. Aufgefallen ist mir dies, als ich den DHCP prüfte ... hier wird als autorisierter Server immer der W2K3 Server mit der IP 192.168.16.2 angezeigt.
Ich vermute mal es liegt also daran ... aber wie kann ich das System nun davon überzeugen, dass der Server die IP 10.10.10.32 hat und somit bei Entfernen der Datei + Druckerfreigabe bei LAN-Internetzugang nicht diese schwerwiegenden Probleme auftreten?
Eine vergleichbare Domänenstruktur funktioniert im Ürbigen nach entfernen der Datei + Druckerfreigabe bei LAN-Internetzugang weiterhin einwandfrei.
Vorab danke!
Gruß
ISO4715
ich habe ein schwerwiegendes Problem. Wir haben eine Migrierung durchgeführt, dabei wurde die Domäne ABC.local neu aufgesetzt. Da der Server als Proxy fungieren muss, werden beide verbaute Netzwerkkarten eingesetzt.
Server: Windows 2003 R2 SP2
Clients: Windows XP SP3
Router: 192.168.16.1 / 255.255.255.0 (24)
LAN Internetzugang: 192.168.16.2 / 255.255.255.0 (24)
Gateway: 192.168.16.1
DNS: 10.10.10.32 (im DNS selbst ist 192.168.16.1 zur Auflösung vermerkt, Internet funktioniert bei den Clients auch)
LAN internes Netz: 10.10.10.32 / 255.255.240.0 (20)
Gateway: leer
DNS: 10.10.10.32
DHCP ab: 10.10.10.33 / 255.255.240.0 (20)
Alles funktioniert theoretisch einwandfrei, nur gibt es hier ein Sicherheitsproblem. Um das Netz zu schützen, werden natürlich aus der LAN Internetzugang die Protokolle Client für MS Netze und (und darum geht es) Datei + Druckerfreigabe entfernt. Sobald die Datei + Druckerfreigabe entfernt und ein Neustart durchgeführt wird, ist ein Zugriff auf sämtliche GPOs sowie das Netzwerk nicht mehr möglich.
Es existieren dann auf einmal zwei Netzwerke, wie zuvor dass ABC.local (nun kein Zugriff mehr) und nur ABC (vollständiger Zugriff). Da aber die GPOs im ABC.local Netz verankert sind erscheint auch sehr regelmäßig im Fehlerprotokoll:
Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-*gekürzt* },CN=Policies,CN=System,DC=ABC,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ABC.local\sysvol\ABC.local\\Policies\{31B2F340-*gekürzt*}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.
Ich habe jetzt gesehen, dass der W2K3 Server auf die IP 192.168.16.2 antwortet, obwohl ich schon in der DNS nur noch die 10.10.10.32 angegeben habe. Aufgefallen ist mir dies, als ich den DHCP prüfte ... hier wird als autorisierter Server immer der W2K3 Server mit der IP 192.168.16.2 angezeigt.
Ich vermute mal es liegt also daran ... aber wie kann ich das System nun davon überzeugen, dass der Server die IP 10.10.10.32 hat und somit bei Entfernen der Datei + Druckerfreigabe bei LAN-Internetzugang nicht diese schwerwiegenden Probleme auftreten?
Eine vergleichbare Domänenstruktur funktioniert im Ürbigen nach entfernen der Datei + Druckerfreigabe bei LAN-Internetzugang weiterhin einwandfrei.
Vorab danke!
Gruß
ISO4715
