[AD]: users syncen wel, GPO niet - Windows clients

dinsdag 14 juni 2005 14:27

Acties:

Topicstarter

Ik heb een beetje raaar probleem. Ik heb een windows 2003 server AD en Exchange. Dat werkt prima, mensen die ik heb aangemaakt in AD kunnen inloggen op de server, en in Exchange, Als ik vanaf een andere pc een exchange Account aanmaak in Outlook werkt dat ook prima.

Nu wil een client toevoegen aan het domein, dus ik doe in AD "add >> computer", vul naam in, en klik, toegevoegd.

Nu hang ik die pc in het domein en dan krijg ik de melding "Windows kan voor deze computer geen account vinden in het domein blabla"...

mmmz, ik zeg "toch toevoegen" en hopla: "u moet de computer opnieuw opstarten". Prima, opniew opstarten.

Als ie weer draait, kan ik het betreffende domein selecteren en met een account uit de AD inloggen. Kortom het lijkt te werken.

Op dit punt na: de GPO wordt niet door de client opgepakt... Ik dacht eerst dat het aan de GPO lag, maar op mn server wordt ie wel (iig gedeeltelijk) toegepast: ik heb folder redirection aanstaan, en dat doet het dus wel op de server. De GPO geldt voor iedereen die aangemeld is.

Ik ben zelf firewallbeheerder, dus van nature niet zoveel AD kennis, maar ik heb er even een collega bijgehaald die er wel veel vanaf weet, en die ziet t ook niet...

gegevens:
Server: 2003 ENT + SP1
Client: XP + SP2

dinsdag 14 juni 2005 14:31

Acties:

Verwijderd

Eerste gedachte:

Staat de computer daadwerkelijk ook in de Active Directory? Of heb je hem alleen aangemaakt. Je kan dit controleren door op naar de properties te kijken van het object dat je hebt aangemaakt. Als het allemaal in orde is moet daar bijvoorbeeld ook informatie over het OS zoals versie en service pack staan. Zo niet dat staat de Computer niet goed in de AD.

dinsdag 14 juni 2005 14:38

Acties:

sQuarecoW

Topicstarter

neej, dat staat er ook niet bij.

dinsdag 14 juni 2005 14:53

Acties:

Krypt

Kijk eens in je eventviewer naar fouten; geeft ie aan dat ie de DC niet kan vinden?

In de command prompt NSLOOKUP draaien; als ie zegt dat ie de server niet kan vinden, dan even een reverse lookup-zone aanmaken.. heb regelmatig gezien dat bij het niet bestaan van een Reverse-lookup-zone, je een boel elende krijgt met gpo's (DNS Problemen)

[ Voor 4% gewijzigd door Krypt op 14-06-2005 14:53 ]

Pvouput live

dinsdag 14 juni 2005 15:34

Acties:

Verwijderd

je voegt een pc toe via de ad user & comps mmc en dan zet je de pc pas aan?
zet de pc aan en hang hem in het domain, door bij my computer properties > netwerk identification een domain in te kloppen.

verder moet je denk ik gewoon even lezen hoe grouppolicies werken...

dinsdag 14 juni 2005 15:47

Acties:

mutsje

Certified Prutser

Op de client pc DNS verwijzen naar jou Domain Controller waar jij DNS geconfigureerd hebt staan.

Het is inderdaad heel gebruikelijk om eerst een computer toe te voegen in de Active Directory en daarna pas daadwerkelijk toe te voegen, het heeft zijn voor en nadelen echter

dinsdag 14 juni 2005 15:49

Acties:

Verwijderd

Onder windows 2000 server kon je je pc toevoegen door op je client naar systeem en dan netwerk id te gaan en dan via een gerechtigd account je PC toevoegen, in 2003 moet je eerst een computeraccount aanmaken voor die PC.

Heb je toevallig beveiligde verbindingen ge-eisd die er nog niet zijn?

dinsdag 14 juni 2005 15:55

Acties:

Archie_T

Ik lees niet dat je de PC in de goede OU gezet heb, als je een PC in het domein hangt komt ie standaard in Computers te staan. Daar kan je geen policies op zetten, tenzij je het natuurlijk in de default domain policy gezet hebt.. Dan houd ik mijn mond.

dinsdag 14 juni 2005 15:57

Acties:

Verwijderd

Archie_T schreef op dinsdag 14 juni 2005 @ 15:55:
Ik lees niet dat je de PC in de goede OU gezet heb, als je een PC in het domein hangt komt ie standaard in Computers te staan. Daar kan je geen policies op zetten, tenzij je het natuurlijk in de default domain policy gezet hebt.. Dan houd ik mijn mond.

Niet dus, in 2003 niet, en je hebt het computerbeleid en het gebruikersbeleid en het computerbeleid is eventueel per pc aan te passen.

dinsdag 14 juni 2005 16:16

Acties:

Verwijderd

Verwijderd schreef op dinsdag 14 juni 2005 @ 15:57:
[...]

Niet dus, in 2003 niet, en je hebt het computerbeleid en het gebruikersbeleid en het computerbeleid is eventueel per pc aan te passen.

je eerste opmerking zou nog kunnen, ik hang nooit een client in het domain, al kan ik me nauwelijks voorstellen dat je eerst een computer account moet aanmaken, terwijl de pc uitstaat. maar nu loop je echt te blaten.

dinsdag 14 juni 2005 16:20

Acties:

Archie_T

Verwijderd schreef op dinsdag 14 juni 2005 @ 15:57:
[...]

Niet dus, in 2003 niet, en je hebt het computerbeleid en het gebruikersbeleid en het computerbeleid is eventueel per pc aan te passen.

Ok.. op die manier zou het kunnen, ik ben zelf alleen niet zo'n fan van filteren op security groep (waar jij op doelt) maar per OU, vandaar deze vraag..

dinsdag 14 juni 2005 16:34

Acties:

OVERLORD_1982

C:\>?

Verwijderd schreef op dinsdag 14 juni 2005 @ 15:49:
Onder windows 2000 server kon je je pc toevoegen door op je client naar systeem en dan netwerk id te gaan en dan via een gerechtigd account je PC toevoegen, in 2003 moet je eerst een computeraccount aanmaken voor die PC.

Heb je toevallig beveiligde verbindingen ge-eisd die er nog niet zijn?

Dit is in niet waar, dit is nog steeds mogelijk in 2003, enkelt word deze dan idd in de default container computers gemikt, waar idd geen GPO op aangemaakt kan worden.
Dit is één van de reden waarom het raadzaam is om eerst een computer account aan te maken (uiteraard in de juiste OU met de juiste policy), zodat de policy dus meteen op de computer geset worden.

Het feit dat er geen extra gegevens verschijnen (zoals os versie etc.) duid erop dat de computer niet juist is gekoppeld aan het door jouw gecreëerde computer account. Ik stel voor om even een account reset te geven op de door jouw gecreëerde computer account (just 2b sure) en vervolgens de computer opnieuw aan te melden via:
Eigenschappen "Deze Compter"
Computernaam
Netwerk-id

dinsdag 14 juni 2005 16:42

Acties:

Verwijderd

Archie_T schreef op dinsdag 14 juni 2005 @ 16:20:
[...]

Ok.. op die manier zou het kunnen, ik ben zelf alleen niet zo'n fan van filteren op security groep (waar jij op doelt) maar per OU, vandaar deze vraag..

oh dat, dat is ook echt "bad practice" als je het zo doet.

dinsdag 14 juni 2005 16:46

Acties:

Verwijderd

Mijn inziens is iedereen al een stap te ver.

Even focussen waarom je Computer niet goed registreerd wordt in het domein. Waarom krijg je de melding dat er geen account gevonden kan worden voor de Computer? Mijn ervaring is om vanaf de Computer een Computer Account aan te maken door met administrator account (of qua rechten gelijke) deze creeeren als je domein wilt 'joinen'. Hierna krijg je melding welkom in het domein, rebooten, en de Computer neemt policies aan die je AD stuurt. Daarom gaat het ook mis volgens mij bij jou.

Kunnen andere Computers wel tot het domein toe treden door het domein te 'joinen' van de computer zelf?
Wat zegt de eventlog allemaal?

dinsdag 14 juni 2005 16:47

Acties:

Verwijderd

Verwijderd schreef op dinsdag 14 juni 2005 @ 16:16:
[...]

je eerste opmerking zou nog kunnen, ik hang nooit een client in het domain, al kan ik me nauwelijks voorstellen dat je eerst een computer account moet aanmaken, terwijl de pc uitstaat. maar nu loop je echt te blaten.

Dat hoeft ook niet je pc mag best aanstaan hoor, maar als je 2003 met security aanzet kan je geen PC toevoegen (anders kon iedere gek je domein in) de pc moet expliciet, het zij via de client of via computer toegevoegd worden.

Volgens mij lullen we langs elkaar

dinsdag 14 juni 2005 17:01

Acties:

Verwijderd

in nt4 kon iedere gek al niet je domain joinen. om een pc toe te voegen heb je rechten nodig (dit bedoelde je ook?)

waar het mij om gaat is de sid/guid van de pc. ik zie niet in hoe die zomaar aangemaakt kan worden en de guid geassigned wordt aan een pc met dezelfde naam (dit is wat de ts doet namelijk), want dat zou pas een security risico zijn (ff pc hernoemen naar een pc in het domain en gaan).

[ Voor 69% gewijzigd door Verwijderd op 14-06-2005 17:07 ]

dinsdag 14 juni 2005 18:52

Acties:

mutsje

Certified Prutser

Verwijderd schreef op dinsdag 14 juni 2005 @ 17:01:
in nt4 kon iedere gek al niet je domain joinen. om een pc toe te voegen heb je rechten nodig (dit bedoelde je ook?)

waar het mij om gaat is de sid/guid van de pc. ik zie niet in hoe die zomaar aangemaakt kan worden en de guid geassigned wordt aan een pc met dezelfde naam (dit is wat de ts doet namelijk), want dat zou pas een security risico zijn (ff pc hernoemen naar een pc in het domain en gaan).

Men kan een computeraccount aanmaken alvorens de pc daadwerkelijk toe te voegen aan het domain. Echter moet men voldoende rechten hebben in de betreffende OU (add computer...) en dan handeld AD de rest af

zo doen ze het bij getnics ook vaak.....(not in my domain however

)

dinsdag 14 juni 2005 19:10

Acties:

sQuarecoW

Topicstarter

Anyway... Krypt bedankt.. want dat was blijkbaar het probleem: de reversed DNS...

Toen ik m nog een keer aanmeldde, was er wel een account. En ik zie m nu met OS enz in AD.

Nu nog even de group policy tjekken, en dan komt t goed

dinsdag 14 juni 2005 19:13

Acties:

Verwijderd

mutsje schreef op dinsdag 14 juni 2005 @ 18:52:
[...]

Men kan een computeraccount aanmaken alvorens de pc daadwerkelijk toe te voegen aan het domain. Echter moet men voldoende rechten hebben in de betreffende OU (add computer...) en dan handeld AD de rest af zo doen ze het bij getnics ook vaak.....(not in my domain however )

Juist!!!!

woensdag 15 juni 2005 09:45

Acties:

Verwijderd

mutsje schreef op dinsdag 14 juni 2005 @ 18:52:
[...]

Men kan een computeraccount aanmaken alvorens de pc daadwerkelijk toe te voegen aan het domain. Echter moet men voldoende rechten hebben in de betreffende OU (add computer...) en dan handeld AD de rest af zo doen ze het bij getnics ook vaak.....(not in my domain however )

lol dat nt4 domaintje of zijn ze nu al eens over

woensdag 15 juni 2005 20:11

Acties:

sQuarecoW

Topicstarter

was ik weer..

computer is zoals gezegd aangemld, na het toevoegen van een reversed dns.

maarrr, nu krijg ik dit voor mn kiezen op de client:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 6/15/2005
Time: 8:47:03 AM
User: NT AUTHORITY\SYSTEM
Computer: MORPHEUS
Description:
Kan de domeincontrollernaam voor het computernetwerk niet verkrijgen. Het opgegeven domein bestaat niet of kan geen contact maken met dit domein. . Het verwerken van het groepsbeleid wordt afgebroken.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

aleen dan is er niet meer info

Heb ik nu toch nog iets vergeten in de DNS??

Owja, de client heeft als dns server de server ingesteld staan.

woensdag 15 juni 2005 21:27

Acties:

elevator

Officieel moto fan :)

Welke DNS servers heb je allemaal in je domein draaien?

[ Voor 19% gewijzigd door elevator op 15-06-2005 21:27 ]

woensdag 15 juni 2005 21:52

Acties:

sQuarecoW

Topicstarter

eentje op de domeincontroller en eentje in mn modem.

woensdag 15 juni 2005 22:00

Acties:

elevator

Officieel moto fan :)

Je modem heeft een DNS server? Dat lijkt me raar

Iig - je hebt alle servers zo ingesteld dat de enige opgegeven DNS server de DNS server op je domeincontroller is?

Je hintte eerder dit topic dat je DNS zou gaan deinstalleren - heb je dat gedaan? (zou ik niet doen eigenlijk) ?

Heeft het ooit wel eens goed gewerkt? Zijn je _msdcs records e.d. in je DNS geregistreerd?

[ Voor 39% gewijzigd door elevator op 15-06-2005 22:07 ]

woensdag 15 juni 2005 22:01

Acties:

sQuarecoW

Topicstarter

elevator schreef op woensdag 15 juni 2005 @ 22:00:
Je modem heeft een DNS server? Dat lijkt me raar

Toch wel hoor..

elevator schreef op woensdag 15 juni 2005 @ 22:00:
Iig - je hebt alle servers zo ingesteld dat de enige opgegeven DNS server de DNS server op je domeincontroller is?

Jebs

en in de dns-server heb ik weer een forwarder ingestekd naar mn modem en de dns van mn provider.

elevator schreef op woensdag 15 juni 2005 @ 22:00:
Je hintte eerder dit topic dat je DNS zou gaan deinstalleren - heb je dat gedaan? (zou ik niet doen eigenlijk) ?

he?? Ik weet van nix...

elevator schreef op woensdag 15 juni 2005 @ 22:00:
Heeft het ooit wel eens goed gewerkt? Zijn je _msdcs records e.d. in je DNS geregistreerd?

Jaw. Volgens mij wel. Als je AD installeert samen met exchange, dan doet ie dat automatisch. En aangezien ik nu op mn client mn eigen DNS server heb ingesteld als enige DNS, en daarna een aantal nslookupjes naar sites waar ik nooit kom.. Dus ik zou zeggen dat het werkt...

edit:
zo'n beetje alles

[ Voor 179% gewijzigd door sQuarecoW op 15-06-2005 22:37 ]