gebruik laptops buiten domein - Serversoftware en clouddiensten

dinsdag 27 april 2004 17:18

Acties:

Topicstarter

Ik heb een vreemd probleem met ons netwerk.

we zijn vorige week gemigreerd van NT naar SBS 2003. alles werkt goed en alle clients zijn over naar het SBS 2003 'domein'.

de gebruikers loggen dus gewoon in op het domein. ook als ze bij een klant zitten. dat het domein dan niet beschikbaar is geeft niet, want je kunt dan wel gewoon inloggen. de lokale computer houdt namelijk de laatste logon-gegevens vast (cached credentials)

er is alleen een vaag probleem opgetreden. als een gebruiker nu op een ander netwerk zit (bijvoorbeeld met zijn laptop bij een klant) en hij probeert een share van een andere computer te benaderen krijgt hij een fout "Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsopdracht te verwerken"

dit gebeurt nog voordat het logon dialoogje getoond wordt dat je krijgt als je een share van een computer benadert, waarin je je gebruikersnaam/wachtwoord voor die computer op moet geven.

met het oude domein kon de gebruiker dit wel gewoon. dus inloggen bij het domein, zoals hij dat normaal ook doet (cached credentials) zonder dat hij verbinding had met het domein (dat werkt nu ook) en dan verbinding maken met een share van een computer die ook niet in het domein zit (dat werkt nu niet)

dit is een groot probleem voor onze consultants, die dus nu niet met hun normale profiel op het netwerk van de klant kunnen. (shares van computers bij klanten benaderen) het werkt wel als de gebruiker lokaal inlogt op zijn pc. maar dan is hij zijn normale profiel kwijt (dat dus bij inloggen op het domein gebruikt wordt) en dat is ook niet zo handig.

volgens mij probeert de pc zijn toegang tot ded share van een andere pc te verifieren op het domein (dat dus niet beschikbaar is). maar hoe kan dat dat 'ie dat op het oude NT domein nooit deed? zou het een optie zijn ergens? op de client of op de server?

[ Voor 27% gewijzigd door FragDaddy op 28-04-2004 11:34 ]

Have a wheelie good weekend!

dinsdag 27 april 2004 17:27

Acties:

djluc

Er is een policy waarmee je lokale logins blokkeerd. Heb je die ingesteld?

dinsdag 27 april 2004 20:04

Acties:

mutsje

Certified Prutser

djluc schreef op 27 april 2004 @ 17:27:
Er is een policy waarmee je lokale logins blokkeerd. Heb je die ingesteld?

wat jij bedoelt is de policie dat het verboden is om met "cached credentials" in te loggen. kijk eens bij je default domain policy > computer configuration > windows settings > security settings > local policies > "interactive logon:number of previous logons to cache (in case domain controller is unavailable"

dinsdag 27 april 2004 20:51

Acties:

djluc

mutsje schreef op 27 april 2004 @ 20:04:
[...]

Nee ik bedoel een andere, ik ga even kijken voor je. Je zult sowieso de juiste instellingen moeten maken zodat de profielen lokaal niet verwijderd worden. En dat je de juiste mappen offline beschikbaar maakt. In de resource kit, zo'n dik boek wat ik gelezen heb, staat een schat aan info over het omgaan met mobiele gebruikers. Echt hele interessante en handige dingen om te weten.

edit:Bij user rights assignment kun je ook lokale logons blokkeren.

[ Voor 8% gewijzigd door djluc op 27-04-2004 20:54 ]

dinsdag 27 april 2004 20:53

Acties:

FragDaddy

Topicstarter

mutsje schreef op 27 april 2004 @ 20:04:
[...]

wat jij bedoelt is de policie dat het verboden is om met "cached credentials" in te loggen. kijk eens bij je default domain policy > computer configuration > windows settings > security settings > local policies > "interactive logon:number of previous logons to cache (in case domain controller is unavailable"

dan kun je dus helemaal niet inloggen als de domaincontroller er niet is?

dat is juist niet de bedoeling. die laptops moeten in kunnen loggen zonder DC en als ze een verbinding met een andere computer willen maken niet gaan 'zeuren' dat de DC niet beschikbaar is.

dit zodat onze consultants ook verbinding met andere netwerken kunnen maken, terwijl ze gebruik blijven maken van hun eigen 'domein' profiel (zodat ze hun eigen documenten / bureaublad / etc. hebben)

het vervelende is dat dit onder NT gewoon automatisch goed ging. als een consultant bij een klant zat kon hij gewoon inloggen (zonder dat de DC beschikbaar was) en kon hij daarna verbinding maken met computers bij de klant. Nu kan er nog wel worden ingelogd als er geen verbinding met de DC is, maar kan er geen verbinding meer worden gemaakt met andere computers

[ Voor 31% gewijzigd door FragDaddy op 27-04-2004 20:57 ]

Have a wheelie good weekend!

dinsdag 27 april 2004 20:57

Acties:

Verwijderd

ja, dit probleem hadden wij ook op mn stage. Toen zijn we erachter gekomen dat 2003 toch nog niet helemaal een succes is. Er missen ongelovelijk veel dingen die in 2000 wel zaten. Misschien dat dit weer zoiets is wat mist in 2003?

dinsdag 27 april 2004 21:17

Acties:

djluc

Verwijderd schreef op 27 april 2004 @ 20:57:
ja, dit probleem hadden wij ook op mn stage. Toen zijn we erachter gekomen dat 2003 toch nog niet helemaal een succes is. Er missen ongelovelijk veel dingen die in 2000 wel zaten. Misschien dat dit weer zoiets is wat mist in 2003?

Lijkt me erg sterk, noem eens concrete voorbeelden. Het leieftst enigzins relevant met dit topic.

Krijg je misschien een melding dat je niet kunt inloggen? Of is dit gewoon geheel niet mogelijk?

[ Voor 11% gewijzigd door djluc op 27-04-2004 21:18 ]

dinsdag 27 april 2004 21:23

Acties:

Verwijderd

Volgens mij kun je wel drives mappen mbv het net use commando.
Wel user+pass opgeven op de command line

dinsdag 27 april 2004 21:34

Acties:

djluc

Verwijderd schreef op 27 april 2004 @ 21:23:
Volgens mij kun je wel drives mappen mbv het net use commando.
Wel user+pass opgeven op de command line

Volgens mij is dat niet echt het probleem van de TS?

woensdag 28 april 2004 08:44

Acties:

FragDaddy

Topicstarter

djluc schreef op 27 april 2004 @ 21:17:
[...]

Krijg je misschien een melding dat je niet kunt inloggen? Of is dit gewoon geheel niet mogelijk?

nee. zover kom ik niet.

wat ik doe: ik trek een laptop van het netwerk en verbind hem via een cross-cable aan een andere computer. (om te simuleren dat ik in het netwerk van een klant zit)

dan log ik in op de laptop alsof ik in het domein zit. dit werkt gewoon (cached login credentials).

vervolgens probeer ik een share te benaderen op de andere computer. dan krijg ik (nog voordat ik kan inloggen) de volgende foutmelding:

"Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsopdracht te verwerkt en"

dit probleem is opgetreden toen we van NT naar 2003 migreerden.

Volgens mij kun je wel drives mappen mbv het net use commando.
Wel user+pass opgeven op de command line

Dit zal best werken, maar het is natuurlijk niet uit te leggen aan de mensen die dit probleem hebben. die zijn gewoon gewend om bij de klant in de netwerkomgeving te browsen en de computer aan te klikken waar ze naar willen verbinden.

[ Voor 19% gewijzigd door FragDaddy op 28-04-2004 08:45 ]

Have a wheelie good weekend!

woensdag 28 april 2004 09:15

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

FragDaddy schreef op 28 april 2004 @ 08:44:
[...]
dan log ik in op de laptop alsof ik in het domein zit. dit werkt gewoon (cached login credentials).

vervolgens probeer ik een share te benaderen op de andere computer. dan krijg ik (nog voordat ik kan inloggen) de volgende foutmelding:

"Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsopdracht te verwerkt en"

Het kaan aan mij liggen, maar pas bij deze post begreep ik dat je doelde op het benaderen van shares, ik was in de veronderstelling dat je dit al bij het normale aanloggen op de PC kreeg.
Misschien handig om e.e.a. te verduidelijken ?

Tijd voor een nieuwe sig..

woensdag 28 april 2004 09:40

Acties:

dawg

🇪🇺 🇳🇱

Je kan toch een lokale gebruiker aanmaken waarmee de medewerkers inloggen, waarna je het profiel van de domeingebruiker kopieert naar de lokale gebruiker?
Dan is je probleem toch opgelost, of mis ik nu iets?

It’s the economy, stupid!

woensdag 28 april 2004 11:24

Acties:

FragDaddy

Topicstarter

dawg schreef op 28 april 2004 @ 09:40:
Je kan toch een lokale gebruiker aanmaken waarmee de medewerkers inloggen, waarna je het profiel van de domeingebruiker kopieert naar de lokale gebruiker?
Dan is je probleem toch opgelost, of mis ik nu iets?

dat kan. en dat is een oplossing, maar ik vind het zo vreemd dat het onder NT allemaal wel werkte en onder SBS 2003 niet meer.

ook lijkt het me voor de consultants lastig om te onthouden dat ze bij het inloggen moeten nadenken over of ze op het domein inloggen of lokaal.

dat is veel te moeilijk voor ze.

ik had eigenlijk gehoopt dat er ergens een instelling in SBS 2003 zit, die iets zegt van "je mag alleen shares openen van computers binnen het domein" ofzo.

Misschien handig om e.e.a. te verduidelijken ?

Het ligt waarschijnlijk niet aan jou. het is nogal lastig om te beschrijven. ik heb de startpost iets aangepast. ik hoop dat het nu duidelijker is. als het nog niet duidelijk is hoor ik het graag. pas ik het nogmaals aan.

het is eigenlijk heel simpel. een gebruiker wil een share van een computer die niet in het domein zit openen, terwijl hij zelf ook geen verbinding kan maken met het domein. (bijvoorbeeld omdat hij bij een klant zit).

dit kan dus niet, want dan krijgt hij een foutmelding dat er geen aanmeldingsserver is.

wat wel werkt is als lokale gebruiker inloggen op de PC en dan verbinding maken met de share van de andere computer. dit wil ik echter liever niet, want dan moet ik de consultants dit gaan uitleggen (je moet bij het inloggen niet domein X kiezen maar je lokale computer. en dan gewoon inloggen). daar komt nog bij de de profielen (bureaublad / mijn documenten / instellingen) dan kunnen verschillen. gebruiker.domein is iets anders dan gebruiker.

[ Voor 45% gewijzigd door FragDaddy op 28-04-2004 11:34 ]

Have a wheelie good weekend!

woensdag 28 april 2004 22:58

Acties:

Pogostokje

* twiet *

Ik begrijp wel wat er gebeurt, maar ik zou niet weten welke policy hiervoor verantwoordelijk is. Ik denk dat je het toch in de policies moet zoeken namelijk, waarschijnlijk op de laptop van de consultants.

Wat er gebeurt is dat je dus als cached user inlogt op de eigen PC. Zodra je een andere share wilt benaderen over het netwerk is het eerste wat laptop doet proberen in te loggen met de credentials van de gebruiker die ingelogd is (wat standaard niet zal lukken omdat de klant andere domeinen gebruikt en die user niet kent). Kennelijk probeert nu OF de ontvangende kant de username 'DOMEIN\NAAM' na te gaan of de laptop zelf probeert deze verificatie nog even te plegen. Dit moet je zien uit te krijgen.

Het interessante is dat ik dit probleem niet herken bij een soortgelijke opstelling. Is er niet ergens een GPO doorgesijpeld?

... ook ik heb soms per ongeluk gelijk.

woensdag 28 april 2004 23:23

Acties:

djluc

Ben je egwoon met een blanco policy begonnen of zijn er al vele instellingen gemaakt?

donderdag 29 april 2004 08:39

Acties:

FragDaddy

Topicstarter

Pogostokje schreef op 28 april 2004 @ 22:58:
Het interessante is dat ik dit probleem niet herken bij een soortgelijke opstelling. Is er niet ergens een GPO doorgesijpeld?

er is niets gewijzigd en er worden geen policies gebruikt. sterker nog. iedereen is op zijn laptop local administrator. (wij leveren software en het is nogal flauw als consultants geen software etc. kunnen installeren op hun laptop)

er zijn dus geen GPO's en een policies actief (voor zover ik weet).

het probleem is puur ontstaan bij het overschakelen van een NT domein naar een SBS 2003 domein.

behoorlijk irritant. ik zat gister thuis met mijn laptop en ik kon niet eens shares op mijn thuis-pc's benaderen.

het vervelende is ook dat ik de nederlandse foutmelding "Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsopdracht te verwerken" niet goed kan vertalen in het engels. ik kan dus niet op de engelse variant van de fout zoeken. dus als iemand nog vertaal-suggesties heeft ??

Have a wheelie good weekend!

donderdag 29 april 2004 08:52

Acties:

Verwijderd

Volgens mij staat hier dezelfde foutmelding in het Engels + tips
http://www.experts-exchan...s/Win2000/Q_20843177.html

donderdag 29 april 2004 09:32

Acties:

FragDaddy

Topicstarter

Verwijderd schreef op 29 april 2004 @ 08:52:
Volgens mij staat hier dezelfde foutmelding in het Engels + tips
http://www.experts-exchan...s/Win2000/Q_20843177.html

Bedankt six10again! $_/-\o_$ $_/-\o_$ $_/-\o_$

nu kan ik in iedergeval een stuk breder zoeken naar een oplossing. het probleem is dus nog niet opgelost. in het bovenstaande artikel worden wel oplossingen aangedragen, maar die oplossingen werken niet zoals ik wil.

dit is de foutmelding in het engels: "There are currently no logon servers available to service the logon request".

[ Voor 15% gewijzigd door FragDaddy op 29-04-2004 10:11 ]

Have a wheelie good weekend!

donderdag 29 april 2004 13:25

Acties:

Dennis

Ik ken het probleem hier van thuis. Het heeft volgens mij ook gedeeltelijk te maken met security, en dat Windows maar één loginnaam per pc kan toekennen. Dit klinkt vaag dus ik zal het even verduidelijken.

Het is hetzelfde als dat je twee shares hebt op een server, en je hebt naar één een drivemapping met bepaalde logingegevens, dan staat Windows niet toe dat je een andere netwerkshare op dezelfde server bezoekt met andere logingegevens. Dat is dus een keiharde beperking.

Overigens heb ik even snel het topic op Experts-Exchange gekeken, maar de oplossing onderaan dat het met WINS te maken kan hebben vind ik wel grappig. Ik neem aan dat je bij het aanmelden op het netwerk van die ander DHCP gebruikt dus die zou iig mee moeten worden gegeven.

donderdag 29 april 2004 13:51

Acties:

FragDaddy

Topicstarter

update:

ik ben er achter dat de fout zich niet voordoet als je via NET USE of via de verkenner een drivemapping maakt en een gebruikersnaam en wachtwoord meegeeft.

het lijkt er dus op dat de laptop bij het benaderen van een share zich eerst probeert aan te melden mijn zijn eigen gebruikersnaam/wachtwoord (wat normaal is) en dit probeert te verifieren met de domaincontroller (die dus niet beschikbaar is).

door vantevoren een gebruikersnaam/wachtwoord mee te geven hoeft 'ie dit niet te doen.

zou het iets te maken kunnen hebben met de kerberos authorisatie (die in 2000/2003 gebruikt wordt) versus de NTLM authorisatie (die in NT gebruikt wordt).

kan ik mijn workstation, voor de test, dwingen geen kerberos te gebruiken?

ik zit er namelijk aan te denken dat de melding wordt veroorzaakt doordat het workstation een kerberos authorisatie wil starten en dus een ticket wil opvragen, maar geen ticket-server kan vinden.

ik heb net even lopen zoeken in GPO en heb de kerberos policy "Enforce user logon restrictions". maar dit maakt niet uit.

[ Voor 22% gewijzigd door FragDaddy op 29-04-2004 14:56 ]

Have a wheelie good weekend!

donderdag 29 april 2004 21:33

Acties:

Verwijderd

FragDaddy schreef op 29 april 2004 @ 13:51:
ik ben er achter dat de fout zich niet voordoet als je via NET USE of via de verkenner een drivemapping maakt en een gebruikersnaam en wachtwoord meegeeft.

Dat net use waarschijnlijk wel werkt was hier overigens eergisteren al te lezen....

Kan dit probleem te maken hebben met de setting " mixed mode vs native mode" bij het aanmaken van het domein? mixed mode ondersteunt nog NT4 DCs, native alleen w2ks en 2003 als DC.