Toon posts:

Active directory DNS probleem

Pagina: 1
Acties:

maandag 14 november 2005 16:28

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Ik heb problemen om een win XP pro client te integreren in een domein. Alles werkt nog als ik de client in het domein join. Maar vanaf ik de local users NTFS rechten op de lokale schijf wegdoe (en laat inheriten) krijg ik problemen. Het inloggen gaat heeeeeel traag, en het lijkt alsof windows niet wil booten als hij er dan uiteindelijk doorkomt. De functionaliteit is echter verstoord, ik kan nergens eigenschappen van zien en sommige services starten niet op en willen niet gestart worden. De domain users en domain admins zijn dan te zien als 2 onbekende objecten.

NTFS rechten op c: lokale schijf van de client:
domain users, domain admins en system met full control


FOUTMELDINGEN IN DE EVENTVWR OP DE CLIENT:
----------------------------------------------------------------------------------------------------------------------
Windows cannot log you on because your profile cannot be loaded. Check that you are connected to the network, or that your network is functioning correctly. If this problem persists, contact your network administrator.

DETAIL - Access is denied.
----------------------------------------------------------------------------------------------------------------------
Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.
----------------------------------------------------------------------------------------------------------------------
Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=mijnfirma. The file must be present at the location <\\mijnfirma\sysvol\mijnfirma\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was not found. ). Group Policy processing aborted.
----------------------------------------------------------------------------------------------------------------------

FOUTMELDINGEN IN DE EVENTVWR OP DE DNS SERVER
----------------------------------------------------------------------------------------------------------------------
Dynamic registration or deregistration of one or more DNS records failed because no DNS servers are available.
----------------------------------------------------------------------------------------------------------------------
The DNS server was unable to complete directory service enumeration of zone 1.192.in-addr.arpa. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The event data contains the error.
----------------------------------------------------------------------------------------------------------------------


De DNS server heeft een AD geintegreerde DNS zone, staat dynamic updates toe en kan zone transfers doen naar gelijk welke server.

Naar mijn denken scheelt er iets aan de DNS, maar wat?
bedankt voor uw hulp! :*)

P.s:
  • Kabel is goed
  • er zitten redelijk veel clients op het domein reeds maar die hebben de everyone NTFS rechten op hun lokale schijf staan.
  • WinS is geactiveerd voor querying

SvennieG

maandag 14 november 2005 16:34

Acties:

Verwijderd

HEb je in de client wel die server als DNS server ingesteld?

dinsdag 15 november 2005 12:08

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 13:48

mbaltus

ehhh, volgens mij is het een heel slecht idee om de lokale varianten van gebruikers te verwijderen. Wat is de reden daarachter? Als je een systeem aan een domain toevoegd, dan verzorgd Windows alle instellingen die nodig zijn. Het verwijderen van lokale rechten is absoluut niet noodzakelijk en mijn verwachting is dat dit de bron is van je problemen.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

dinsdag 15 november 2005 12:23

Acties:
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 09:28

Grolsch

inderdaad, waarom haal je lokale beveiligings gegevens weg van die PC :?
Daar gaat het verkeerd natuurlijk.

De groep "domain users' is default lid van de groep users op je pc.

Windows schrijft al zaken op de lokale harde schijf, voordat jij bent ingelogt op je computer, dus voordat je account gegevens hebt vanuit de AD.

maar, nog steeds de hamvraag "waarom heb je de lokale groepen van je lokale schijf afgehaalt" :?

zit hier een filosofie achter ofzo :?

PVOUPUT - 13.400WP - Twente

dinsdag 15 november 2005 12:37

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
HEb je in de client wel die server als DNS server ingesteld?
yep, dat staat in orde
inderdaad, waarom haal je lokale beveiligings gegevens weg van die PC :?
Daar gaat het verkeerd natuurlijk.
De groep "domain users' is default lid van de groep users op je pc.
Windows schrijft al zaken op de lokale harde schijf, voordat jij bent ingelogt op je computer, dus voordat je account gegevens hebt vanuit de AD.
Omdat ik dacht dat de gewone lokale gebruikers niets meer te doen hadden met het domein. Ik bedoel, waarom moet ik lokale users rechten geven als er niet eens zijn? Behalve local admin, maar die is dus nog steeds aanwezig.

update
Ondertussen heb ik de local users weer toegevoegd met full control over de locale schijf, dat werkt alvast weer. Maar als ik nu naar de rechten van de lokale schijf kijk dan zijn domain admins en domain users aangeduid als onbekende objecten? hoe zit dat nu? :?

SvennieG

woensdag 16 november 2005 11:58

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 13:48

mbaltus

Ik zou het volgende doen (tenminste, als een herinstallatie geen optie is):
1. Maak eerst even een back-up van belangrijke bestanden!
2. Haal de PC uit het domein
2. Zie MS Technet artikel 266118, ik verwacht dat dit voor XP ook werkt.
3. Voeg de PC opnieuw toe aan het domein.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 16 november 2005 12:38

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
mbaltus schreef op woensdag 16 november 2005 @ 11:58:
Ik zou het volgende doen (tenminste, als een herinstallatie geen optie is):
1. Maak eerst even een back-up van belangrijke bestanden!
2. Haal de PC uit het domein
2. Zie MS Technet artikel 266118, ik verwacht dat dit voor XP ook werkt.
3. Voeg de PC opnieuw toe aan het domein.
Dat heb ik al eens geprobeerd, toch bedankt voor je reactie.

Sommige andere clients in het netwerk heb last van het probleem dat domain admins en domain users als onbekende objecten worden aangeduid. Is dat een teken dat de active directory niet goed draait?

SvennieG

woensdag 16 november 2005 12:48

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 13:48

mbaltus

Zou kunnen. Wat ik wel weet is dat het soms wat langer duurt om de SID te vertalen naar een gebruikersnaam. Ik neem aan dat je de PC wel een paar seconden geeft om die vertaling uit te voeren?

Verder denk ik inderdaad wel dat je ook flinke DNS problemen hebt. Jammer dat je de eventid's er niet bij zet. Wat altijd een goed idee is, is om die id's even te checken op www.eventid.net
De DNS service draait ook op de server? dat is nl. het eerste wat ik even zou controleren.

Zijn de PC's inmiddels weer sneller? Zo niet, dan duidt dit ook op DNS problemen (voor inloggen moeten ze de AD server kunnen vinden en bij DNS problemen gaat dat niet zomaar). Je geeft aan dat de clients de AD-server als DNS server hebben ingesteld, is dat ook de enige DNS server (dus geen secondary DNS servers naar Internet ofzo?).

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 16 november 2005 15:48

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Zou kunnen. Wat ik wel weet is dat het soms wat langer duurt om de SID te vertalen naar een gebruikersnaam. Ik neem aan dat je de PC wel een paar seconden geeft om die vertaling uit te voeren?
Inloggen gaat snel. Maar als ik eigenschappen van lokale bestanden opvraag dan komt er na 10 minuten eindelijk iets door, maar das toch niet echt normaal?
Verder denk ik inderdaad wel dat je ook flinke DNS problemen hebt. Jammer dat je de eventid's er niet bij zet. Wat altijd een goed idee is, is om die id's even te checken op www.eventid.net
Doe ik, dat zal me alvast wel een tijdje duren vrees ik.
De DNS service draait ook op de server? dat is nl. het eerste wat ik even zou controleren.
De DNS draait op de server. forward en reverse zones zijn active directory integrated. Wat wel niet gebeurt zijn de dynamic updates in de forward zone, terwijl die wel geallowed zijn. De reverse zone heeft daar geen last van, de clients updaten daar automatisch hun records.
Zijn de PC's inmiddels weer sneller? Zo niet, dan duidt dit ook op DNS problemen (voor inloggen moeten ze de AD server kunnen vinden en bij DNS problemen gaat dat niet zomaar). Je geeft aan dat de clients de AD-server als DNS server hebben ingesteld, is dat ook de enige DNS server (dus geen secondary DNS servers naar Internet ofzo?).
De pc's zijn ondertussen weer sneller, maar ze kunnen inloggen zonder dat er fysieke connectie is met het netwerk. Daar mee bedoel ik dat ze kunnen inloggen zonder kabel, terwijl ik niet eens een lokale user gedefineerd heb, ik snap het niet :?

Die server waarover ik spreek is primary DNS server, en forward naar ISP-dns servers als ie de record niet kent.
WINS-staat aan in de forward zone, indien de host name daar niet word gevonden. De forward zone is vrij leeg van A-records, hier en daar ééntje maar das alles :/

bijna alle clients geven deze fout:

The system failed to register host (A) resource records (RRs) for network adapter
with settings:

Adapter Name : {BDE0F237-36CF-45F5-B079-739AAF526605}
Host Name : PC10--sg
Primary Domain Suffix : mijnfirma
DNS server list :
129.1.1.10
Sent update to server : <?>
IP Address(es) :
129.1.2.10

The reason the system could not register these RRs was because the DNS server contacted refused the update request. The reasons for this might be (a) you are not allowed to update the specified DNS domain name, or (b) because the DNS server authoritative for this name does not support the DNS dynamic update protocol.

To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.

Daar ga ik eerst even naar moeten zoeken

[ Voor 22% gewijzigd door Tybo op 16-11-2005 20:09 ]

SvennieG

woensdag 16 november 2005 17:04

Acties:
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 09:28

Grolsch

Je snapt het duidelijk niet helemaal, misschien tijd voor een goed boek over AD en DNS etc.
Tybo schreef op woensdag 16 november 2005 @ 15:48:
[...]

Inloggen gaat snel. Maar als ik eigenschappen van lokale bestanden opvraag dan komt er na 10 minuten eindelijk iets door, maar das toch niet echt normaal?


[...]

Doe ik, dat zal me alvast wel een tijdje duren vrees ik.
Dan staan je permisions nog steeds niet lekker. Normalite zet je lokaal helemaal niks geen rechten. Lekker standaard laten staan, data zet je toch op een server
[...]

De DNS draait op de server. forward en reverse zones zijn active directory integrated. Wat wel niet gebeurt zijn de dynamic updates in de forward zone, terwijl die wel geallowed zijn. De reverse zone heeft daar geen last van, de clients updaten daar automatisch hun records.
Gewoon in de forward zone allow update's only secure" zetten, dan mogen alleen computers met een account in de AD hun naam in de DNS zetten.
[...]

De pc's zijn ondertussen weer sneller, maar ze kunnen inloggen zonder dat er fysieke connectie is met het netwerk. Daar mee bedoel ik dat ze kunnen inloggen zonder kabel, terwijl ik niet eens een lokale user gedefineerd heb, ik snap het niet :?
cached credentials, is vrij normaal hoor, wat dacht je hoe laptops in een domein die ff offline zijn anders in kunnen loggen :?
Die server waarover ik spreek is primary DNS server, en forward naar ISP-dns servers als ie de record niet kent.
WINS-staat aan in de forward zone, indien de host name daar niet word gevonden. De forward zone is vrij leeg van A-records, hier en daar ééntje maar das alles :/

bijna alle clients geven deze fout:

The system failed to register host (A) resource records (RRs) for network adapter
with settings:

Adapter Name : {BDE0F237-36CF-45F5-B079-739AAF526605}
Host Name : PC10--sg
Primary Domain Suffix : helioscreen
DNS server list :
129.1.1.10
Sent update to server : <?>
IP Address(es) :
129.1.2.10

The reason the system could not register these RRs was because the DNS server contacted refused the update request. The reasons for this might be (a) you are not allowed to update the specified DNS domain name, or (b) because the DNS server authoritative for this name does not support the DNS dynamic update protocol.

To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.

Daar ga ik eerst even naar moeten zoeken
dat komt dus omdat je geen dynamic update's accepteerd in je DNS zone.

PVOUPUT - 13.400WP - Twente

woensdag 16 november 2005 20:20

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Je snapt het duidelijk niet helemaal, misschien tijd voor een goed boek over AD en DNS etc.
No shit :P I know, maar ik leer snel bij hoor. Mede door jouw uitleg ;) Waarvoor heel erg bedankt!
Dan staan je permisions nog steeds niet lekker. Normalite zet je lokaal helemaal niks geen rechten. Lekker standaard laten staan, data zet je toch op een server
Wat dan met een vertegenwoordigers-laptop die offline bestanden op de lokale schijf moet hebben? Of laptop die door meerdere gebruikers moet worden gebruikt. Wat met de docs and settings van de local admin of domain admin (het profiel zoals ze zeggen, toch?), als daar nu belangrijke dingen in zitten die de user niet mag accessen? Of zie ik het helemaal verkeerd?
Gewoon in de forward zone allow update's only secure" zetten, dan mogen alleen computers met een account in de AD hun naam in de DNS zetten.
Vroeger mocht alles dynamic updaten, nu enkel de secure. Maar nu zit ik nog steeds met het probleem dat mijn A records niet geupdate worden.
Microsoft zegt dat het is omdat ik een single label domein gebruik. Misschien moet ik er mijnfirma.local ofzo van maken? (daar moet ik eens een nieuwe thread van maken, of ik dat zonder veel slag of stoot kan doen, die domein-naam veranderen :P )

Note: Dit domein heb ik niet opgezet, dus schiet niet op de pianist :)
cached credentials, is vrij normaal hoor, wat dacht je hoe laptops in een domein die ff offline zijn anders in kunnen loggen :?
Stel nu dat ik wil dat ze enkel en alleen maar kunnen inloggen als ze toegang hebben tot een DC, welke optie moet ik dan instellen? kben gewoon eens curieus....
dat komt dus omdat je geen dynamic update's accepteerd in je DNS zone.
Dat doe ik wel, zowel in mijn forward als in mijn reverse. Microsoft zegt dat het is omdat ik een single label domein gebruik.

SvennieG

donderdag 17 november 2005 09:20

Acties:
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 09:28

Grolsch

Tybo schreef op woensdag 16 november 2005 @ 20:20:
[...]

No shit :P I know, maar ik leer snel bij hoor. Mede door jouw uitleg ;) Waarvoor heel erg bedankt!
YW :P
[...]

Wat dan met een vertegenwoordigers-laptop die offline bestanden op de lokale schijf moet hebben?
Off-line bestanden, druk maar eens op F1 in Windows XP
Of laptop die door meerdere gebruikers moet worden gebruikt. Wat met de docs and settings van de local admin of domain admin (het profiel zoals ze zeggen, toch?), als daar nu belangrijke dingen in zitten die de user niet mag accessen? Of zie ik het helemaal verkeerd?
Default komen "domain users" in de lokale groep "users".
Wat kunnen mensen die in de lokale groep users zitten ? idd, niet in andere users hun profiel.
Die rechten staan automagisch al goed, zonder dat jij daar iets aan hoeft te doen.

Log maar eens met 2 users in op 1 systeem waarvan je de rechten nog niet verneukt hebt :P en probeer dan maar eens bij elkanders profiel te komen.
Users welke lid zijn van de groep "domain admins" komen bij het joinen van een pc aan een domain standaard in de lokale "administrators" groep, dus die kunnen wel overal bij.
[...]

Vroeger mocht alles dynamic updaten, nu enkel de secure. Maar nu zit ik nog steeds met het probleem dat mijn A records niet geupdate worden.
Microsoft zegt dat het is omdat ik een single label domein gebruik. Misschien moet ik er mijnfirma.local ofzo van maken? (daar moet ik eens een nieuwe thread van maken, of ik dat zonder veel slag of stoot kan doen, die domein-naam veranderen :P )

Note: Dit domein heb ik niet opgezet, dus schiet niet op de pianist :)
ik citeer MS:
Note We do not recommend that you use domains that have single-label DNS names for the following reasons:• Single-label DNS names cannot be registered with an Internet registrar.
• Domains that have single-label DNS names require additional configuration.
• The DNS Server service might not be used to locate domain controllers in domains that have single-label DNS names.
• By default, Windows Server 2003-based domain members, Windows XP-based domain members, and Windows 2000-based domain members do not perform dynamic updates to single-label DNS zones.
dat geeft dus blijkbaar idd problemen. Ik weet niet hoe groot je domein is, maar misschien is een clean install een optie? Lees anders dit artikel van MS eens door:
http://support.microsoft.com/kb/300684
[...]

Stel nu dat ik wil dat ze enkel en alleen maar kunnen inloggen als ze toegang hebben tot een DC, welke optie moet ik dan instellen? kben gewoon eens curieus....
Daar is ongetwijfeld een policy voor te vinden in je GPO editor.
ik vermoed hier ergens : Administrative Templates\System\User Profiles
[...]

Dat doe ik wel, zowel in mijn forward als in mijn reverse. Microsoft zegt dat het is omdat ik een single label domein gebruik.
check bovenstaande MS KB artikel

[ Voor 13% gewijzigd door Grolsch op 17-11-2005 09:23 ]

PVOUPUT - 13.400WP - Twente

vrijdag 18 november 2005 10:14

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
dat geeft dus blijkbaar idd problemen. Ik weet niet hoe groot je domein is, maar misschien is een clean install een optie? Lees anders dit artikel van MS eens door:
http://support.microsoft.com/kb/300684
Clean install is geen optie, het domein bestaat uit 2 dc's en een 90 domeinleden (met member servers). Dus dat wordt nogal moeilijk.

Allemaal die instellingen om je DNS werkende te krijgen op een single label domain, is me ook een beetje foefelen. En de optie die MS voorstelt werkt niet op alle soorten clients.

Kan ik de domeinnaam niet veranderen zonder dat ik al te veel werk heb? :?

alvast bedankt,

Update: Ondertussen werken de dynamic updates al gedeeltelijk!

Enkel de clients die DHCP hebben updaten nu hun records in zowel forward als reverse zone.

I know, I know:
Computers use the DHCP Client service to dynamically register and update their PTR RR in DNS when an IP configuration change occurs.

Hoe krijg ik het zover dat de pc's met static IP daar ook in komen zonder dat ik ze daar statisch moet gaan inzetten? Stomme vraag voor nog maar een beetje gelijk welke IT admin, I KNOW 

[ Voor 30% gewijzigd door Tybo op 18-11-2005 13:51 ]

SvennieG

vrijdag 18 november 2005 13:53

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 13:48

mbaltus

Welkom in de wondere wereld van Active Directory en het belang van een goed ontwerp!

Het hernoemen van een Windows 2003 AD wordt kort aangestipt in <Link>. Verder kom je met zoeken denk ik een heel eind. Als je Windows 2000 hebt, dan is het niet mogelijk om te renamen en zul je toch de dingen uit het betreffende TechNet artikel moeten proberen.

Ik ben bang dat dat je enige oplossing is. AD is de kern van je netwerk. Als het niet goed werkt, zul je daar altijd veel hinder van ondervinden.

edit:
toevoeging als reactie op tweede vraag in laatste post

Opnemen van statische IP adressen kun je doen door ze handmatig aan de DNS toe te voegen als Host (A) record. Maar dan betekend dat wel dat je ook handmatig zal moeten beheren (bij wijzigingen).

[ Voor 23% gewijzigd door mbaltus op 18-11-2005 13:56 ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 18 november 2005 14:39

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Welkom in de wondere wereld van Active Directory en het belang van een goed ontwerp!
Dank u, tot dat inzicht was ik al een tijdje gekomen :) Maar ik ben hier enkel om de brokken te lijmen die mijn voorganger heeft gemaakt.
Het hernoemen van een Windows 2003 AD wordt kort aangestipt in <Link>. Verder kom je met zoeken denk ik een heel eind. Als je Windows 2000 hebt, dan is het niet mogelijk om te renamen en zul je toch de dingen uit het betreffende TechNet artikel moeten proberen.
Servers zijn allen win2k. Het domein beginnen renamen daar begin ik niet aan als het zo complex is. Daar komt veel te veel downtime van. Dan blijven we maar lekker met zijn allen op Win NT 4.0-domein niveau verder doen.
Ik ben bang dat dat je enige oplossing is. AD is de kern van je netwerk. Als het niet goed werkt, zul je daar altijd veel hinder van ondervinden.
Eigenlijk nog geen”echte” hinder ondervonden. Gewoon gezien dat DNS op niks leek. :/
toevoeging als reactie op tweede vraag in laatste post. Opnemen van statische IP adressen kun je doen door ze handmatig aan de DNS toe te voegen als Host (A) record. Maar dan betekend dat wel dat je ook handmatig zal moeten beheren (bij wijzigingen).
Okay, doe ik.

Hartelijk bedankt voor je tips ;)

Update:
Ondertussen heb ik dit gevonden How to Rename the DNS Name of a Windows 2000 Domain?

[ Voor 7% gewijzigd door Tybo op 18-11-2005 14:47 ]

SvennieG

Pagina: 1
Reageer