[Win2k3] AD lijkt goed maar geen logins

Wat staat er in het eventlog na een mislukte inlogpoging ???
Met welk OS werken de clients.

[ Voor 22% gewijzigd door KillerAce_NL op 23-11-2004 10:06 ]

Wat is die expliciete foutmelding ?

Marlibica schreef op dinsdag 23 november 2004 @ 10:22:
Wat is die expliciete foutmelding ?

idd, misschien makkelijk als je verteld WAT de error is.
Als je niet verteld wat er verkeerd gaat, kunnen mij nogal lastig zeggen wat het probleem is

edsutil gebruiken om je AD db te schonen misschien een oplossing? Genoeg over te vinden.
Als je op de server inlogt (lokaal dus) heb je dan ook problemen?

TuRk schreef op dinsdag 23 november 2004 @ 10:48:
Ik zie nu pas dat er in het DNS logboek een error 3000 komt.
Dit betekent dat hij teveel fouten voor zn kiezen krijgt en ze niet weer geeft voordat het er minder worden. Ik zie iets eerder terug dat de enumerator service het moeilijk heeft.
Deze schrijft vanuit de LDAP natuurlijk......
Iemand hier wat suggesties voor ik zoek dit iig alvast uit op technet e.d.

je hebt vast en zeker je DC's al een keer gereboot?

Werkt je replicatie proces wel? Wij hebben dit probleem ook gehad. Toen hebben we er een 3e server bij gezet toen repliceerde ze weer wel. Misschien ligt het probleem daar wel. Of ligt het misschien aan dat het gebruikersprofiel gestored wordt op de lokale machine bekijk of de pc niet vol staat. En kijk daarna of je de policy heb aan gezet bij computerbeheer

Ik heb de afgelopen dagen verscheidene AD domain controllers op hun plaat zien gaan. Een reboot van die servers heeft een hoop opgelost. Maar zoals Grolsch al zei: dat heb je vast en zeker al geprobeerd.... ;-)

Wat mij nu dus lichtelijk begint te irriteren is het feit dat je nog steeds geen foutmeldingen hebt gepost. Niet dat we meteen kunnen zeggen 'dat is het', maar het kan toch wel bijdragen aan de oplossing van je probleem

TuRk schreef op dinsdag 23 november 2004 @ 10:03:
.......

Ineens kon 1 user niet meer inloggen zonder dat deze een expliciete error kreeg.

...........

Er staat hier toch dat er geen expliciete error naar voren komt.....

Ik ben een collega van TS en ik heb net nog even een blik op de events in de eventviewer geworpen.

Het enige wat naar voren zou kunnen komen is een DNS error

(event 5504: The DNS server encountered an invalid domain name in a packet from "ip". The packet will be rejected. The event data contains the DNS packet.

Is dit een mogelijke oorzaak denken jullie?

[ Voor 40% gewijzigd door Brainwaste op 23-11-2004 11:55 ]

Brainwaste schreef op dinsdag 23 november 2004 @ 11:50:
[...]


Er staat hier toch dat er geen expliciete error naar voren komt.....

Ik ben een collega van TS en ik heb net nog even een blik op de events in de eventviewer geworpen.

Het enige wat naar voren zou kunnen komen is een DNS error

(event 5504: The DNS server encountered an invalid domain name in a packet from "ip". The packet will be rejected. The event data contains the DNS packet.

Is dit een mogelijke oorzaak denken jullie?

Ja, dat zou best eens kunnen, je client probeert blijkbaar een lookup te doen (bijvoorbeeld voor je dc) en dit wordt geweigerd door je DNS, waardoor je client niet weet waar aan te melden...

Is maar een gooi, we hebben een beetje weinig info om zo kant en klaar de oplossing aan te dragen...

Check iig. eerst eens of je DNS server goed werkt, de zone er nog goed instaat etc.

Er staat hier toch dat er geen expliciete error naar voren komt.....

Hmmm... ik interpreteerde dat dat er dus wel ingelogd kan worden, maar met een foutmelding. Bij eerdere verzoeken om een foutmelding te posten is er verder niet gereageerd. Maar goed, excuses bij deze.

klopt in de DNS nog alles

zijn alle SRV records aanwezig
hebben de DC's correct A-host records
draait overal de netlogon service

Ik ga nu de DNS verwijderen, is het aan te raden om tevens het bestand met DNS informatie (.dns) te verwijderen? Het lijkt mij van wel omdat je dan meer zekerheid hebt dat er geen ouder records gebruikt worden.

@Marlibica
No worries, we zijn al blij met je intresse voor ons probleem!

met dns problemen doe ik altijd het volgende


laat ALLE DC's naar 1 DNS server kijken
verwijder op ALLE DNS servers alle zone's
creeer op je ene dns server een PRIMAIRE zone voor je domein
laat eerst al je dc's zich keurig registeren in de dns dmv het stoppen/start van de netlogon.
Controleer of alle records aanwezig zijn
verifieer of alles aanwezig is door te pingen (alle mogelijke combinatie's)

en kijk nu of het werkt.

werkt alles 100% upgrade dan de primaire zone naar een AD integrated zone, en ga de eventuele load verdelen dmv meerdere DNS servers

[ Voor 17% gewijzigd door Grolsch op 23-11-2004 12:26 ]

Volgens mij worden de .dns bestanden bijgewerkt als je iets via de manager wijzigt. Ik denk dat je beter eerst via add/remove programs dns kunt verwijderen en toevoegen, maar ik geef absoluut stoepgarantie op die opmerking...

@Marlibica
No worries, we zijn al blij met je intresse voor ons probleem!

Thnx

Marlibica schreef op dinsdag 23 november 2004 @ 12:26:
Volgens mij worden de .dns bestanden bijgewerkt als je iets via de manager wijzigt. Ik denk dat je beter eerst via add/remove programs dns kunt verwijderen en toevoegen, maar ik geef absoluut stoepgarantie op die opmerking...


[...]


Thnx

als je het programma dns verwijderd, blijft de database gewoon in je active directory hangen (als deze AD integrated was), en los je daarmee dus het probleem niet op

De bestanden waar ik op doelde zijn de files waar de dns server z'n records in stored.

Brainwaste schreef op dinsdag 23 november 2004 @ 12:32:
De bestanden waar ik op doelde zijn de files waar de dns server z'n records in stored.

waarom verwijder je die dan? je kunt toch ook gewoon de hele zone verwijderen?

TuRk schreef op dinsdag 23 november 2004 @ 14:42:
De DHCP werkt goed en laat elke client netjes zijn goede ip krijgen.
Het opnieuw toevoegen van de client aan het domain is nog een optie.

Maar het lijkt er nu op na het opnieuw aanmaken van de DNS dat de clients weer in kunnen loggen 1 voor 1 komen er weer mensen in.

en nu maar hopen dat de fouten zich op de één of andere manier niet terug repliceren of in een loop zitten

Repliceren zal op dit moment in ieder geval niet gaan omdat we nu nog maar met 1 AD controller draaien.
We hopen vanavond de 2e er weer bij te kunnen zetten.....mits alles nog steeds goed gaat uiteraard....
We zijn jullie in ieder geval onze dankbaarheid verschuldigd door ons op het juiste spoor te zetten

Brainwaste schreef op dinsdag 23 november 2004 @ 15:11:
Repliceren zal op dit moment in ieder geval niet gaan omdat we nu nog maar met 1 AD controller draaien.
We hopen vanavond de 2e er weer bij te kunnen zetten.....mits alles nog steeds goed gaat uiteraard....
We zijn jullie in ieder geval onze dankbaarheid verschuldigd door ons op het juiste spoor te zetten

DNS het het hart van je AD

geen goed werkende DNS = een drama AD met veel rare problemen

TuRk schreef op woensdag 24 november 2004 @ 10:08:
Het probleem heeft zich weer voor gedaan!!!
En komt allemaal door spy/adware die telkes de DNS flood en vandaar de 5504 errors. We moeten nu dus overal scannen op spyware en hier meteen actie op ondernemen. De gebruikers hebben hun enorme vrijheid misbruikt en zijn deze dan ook per direct kwijt.

We moeten nu dus alleen een hele hoop uren maken om spyware te verwijderen en daar zijn we niet heel erg blij mee....

tjah, ik zeg altijd maar zo,

"vertrouwen is goed, controle is beter"

wel vreemd trouwens, ik heb nog nooit gehoord dat spyware een fatsoenlijke DNS server onderuit kan schoppen, maar ik ken je situatie natuurlijk niet.

succes iig

Tja....er zit ergens spyware to klooien en deze spyware wil constant resolven naar 216.73.x.x wellicht klinkt dit adres bekend bij een aantal mensen. Wat ik gevonden heb (via www.eventid.net) is het volgende, veel spyware (vooral hetgene dat iets met doubleclick te maken heeft) gebruikt de dns servers van dat 216 netwerk.
Waarschijnlijk zorgt dit ervoor dat de DNS op z'n plaat gaat. Dit vind ik echt ontzettend vreemd, vooral omdat we met 2 DNS servers draaiden toen dit probleem zich voor het eerst voor deed.
Het lijkt mij dat 2 DNS servers alle request van een 15 tal users wel aan moet kunnen.

Heeft er iemand toevallig een idee over software of hardware oplossingen die spy en adware effectief tegen gaan? Wat wij tot nu toe hebben gevonden is Spy Sweeper enterprise van Webroot (www.webroot.com) Heeft er iemand ervaring met deze software?

http://www.hitmanpro.nl/

http://www.switch2firefox.com

Firefox is inderdaad een optie waar we zelf ook al over nagedacht hebben.
We zijn tevens nog steeds naar iets op zoek om vanaf de server spyware tegen te gaan.

We zijn in het bezit van een Watchguard SOHO 6, hier kunnen we tegen niet zulke hoge kosten een Web Content Filtering dienst op installeren.
We zijn alleen nog op zoek naar ervaringen van mensen die dat daadwerkelijk gebruiken.

Iemand hier ?

Ik begrijp uit het gehele verhaal dat er maar 1 DC is en deze dus gebruikt maakt van AD en DNS. Dan hoeft deze in principe alleen naar zichzelf te laten luisteren m.b.t. DNS.

Om even terug te komen op de gebruikersprofielen, bekijk de rechten en eigenaarschap van de getroffen profielen. Wanneer je dus een profielverwijzing defineert bijv:
\\servername\homedir\%USERNAME%\profile
krijgt dus alleen de groep "Administrators" en de betreffende user rechten tot de map profile.

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.
En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.

Verder heb je binnen de DHCP natuurlijk dat deze wel ge-activeerd moet zijn.
wanneer je met een client inlogt geef ff onder een command prompt de opdracht:
ipconfig /all
Als de gesugereerde DNS database corrupt zou zijn dan zou de client waar je deze opdracht uitvoerd:
1 - de DNS niet vinden
2 - geen ip adress van de dhcp hebben gekregen welke binnen de range gedefineerd is.

Word er gebruik gemaakt van domain policies? Zoja, staan deze goed geconfigureert? Controlleer deze m.b.t Domain Security Policies en Domain Controller Security Policies, deze niet te verwarren met elkaar. Maak in geval van policie(s)gebruik, voor deze gebruik van 2 verschillende policies en vergeet met "reloaden" van deze de database niet eerst te ledigen.

P.s ... helpdesk is isoleren, systeembeheer is je helpdesk-skills niet verleren

Verwijderd schreef op donderdag 25 november 2004 @ 21:58:

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.
En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.

Dit klinkt allemaal heel intressant hoor wat je zegt. Maar ten eerst heeft hij het over Spyware op de gebruikers en niet op de DC.

Oh en als je clients geen name resolve kunnen doen hoe kunnen ze dan %SERVERNAAM%\Profiles vinden?? Dus indirect zou hier zich ook een probleem kunnnen voordoen.

Trouwens als je spyware ed tegen wil gaan. Je kan als je je er een beetje in thuis maakt met ISA erg veel tegenhouden. www.isaserver.org

Verwijderd schreef op donderdag 25 november 2004 @ 21:58:
Ik begrijp uit het gehele verhaal dat er maar 1 DC is en deze dus gebruikt maakt van AD en DNS. Dan hoeft deze in principe alleen naar zichzelf te laten luisteren m.b.t. DNS.

Hi, en welkom op GoT

Om even terug te komen op de gebruikersprofielen, bekijk de rechten en eigenaarschap van de getroffen profielen. Wanneer je dus een profielverwijzing defineert bijv:
\\servername\homedir\%USERNAME%\profile
krijgt dus alleen de groep "Administrators" en de betreffende user rechten tot de map profile.

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.

Als je goed leest, heeft het probleem niets te maken met rechten op het profiel.
En DNS heeft zeker WEL te maken inloggen.
Op het moment dat jij inlogt op het domein bedrijf.nl zal de WS een DNS query doen naar de SRV records van je DC. Als de DNS dan plat ligt om wat voorn reden dan ook, zal het inloggen niet lukken.

En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.

hij heeft het dus helemaal niet over spyware op de server, maar over clients met spyware, welke de DNS service op zijn DC onderuit halen.

Verder heb je binnen de DHCP natuurlijk dat deze wel ge-activeerd moet zijn.
wanneer je met een client inlogt geef ff onder een command prompt de opdracht:
ipconfig /all
Als de gesugereerde DNS database corrupt zou zijn dan zou de client waar je deze opdracht uitvoerd:
1 - de DNS niet vinden
2 - geen ip adress van de dhcp hebben gekregen welke binnen de range gedefineerd is.

op een client kun jij met ipconfig/all niet zien of de DNS server nog functioneerd.
Als jij dat wel kan wil ik ff weten welke "ipconfig/all powerpack tweakui" jij hebt ge-installeerd

Word er gebruik gemaakt van domain policies? Zoja, staan deze goed geconfigureert? Controlleer deze m.b.t Domain Security Policies en Domain Controller Security Policies, deze niet te verwarren met elkaar. Maak in geval van policie(s)gebruik, voor deze gebruik van 2 verschillende policies en vergeet met "reloaden" van deze de database niet eerst te ledigen.

ik weet niet wat je hierboven duidelijk wil maken, maar het klinkt mij als wartaal in de oren. Wat ik kan zien in de TS wordt er niet gevraagt wat de verschillende policy mogelijkheden zijn in een domein.

P.s ... helpdesk is isoleren, systeembeheer is je helpdesk-skills niet verleren

da's idd een goeie

Ghehe.....ik zag deze post vanmorgen al en ik had toen even geen tijd om te reageren.
Ik denk dat ik niets meer aan de post van Grolsch toe te voegen heb.

Het heeft dus wel degelijk nut om firefox op de client te gaan gebruiken in plaats van IE. Vooral omdat Firefox veel minder gevoelig is voor spy en adware.
Als we allemaal WinXP machines hadden gehad met SP2 dan had het een heel ander verhaal geweest. Maar omdat we ook te maken hebben met een substantieel aantal Win2k machines kunnen we beter een andere browser gaan gebruiken.

Dit weekend gaan we even bikkelen om alles weer schoon te krijgen. Ook gaan we waarschijnlijk 2 servers opnieuw installeren zodat we weer kunnen beschikken over 2 AD controllers, 2 DNS servers en 2 WINS servers.
Tevens gaan we naar alle waarschijnlijkheid onze Watchguard firewall upgraden met een content filter.

Brainwaste schreef op vrijdag 26 november 2004 @ 09:19:
Ghehe.....ik zag deze post vanmorgen al en ik had toen even geen tijd om te reageren.
Ik denk dat ik niets meer aan de post van Grolsch toe te voegen heb.

Het heeft dus wel degelijk nut om firefox op de client te gaan gebruiken in plaats van IE. Vooral omdat Firefox veel minder gevoelig is voor spy en adware.
Als we allemaal WinXP machines hadden gehad met SP2 dan had het een heel ander verhaal geweest. Maar omdat we ook te maken hebben met een substantieel aantal Win2k machines kunnen we beter een andere browser gaan gebruiken.

Dit weekend gaan we even bikkelen om alles weer schoon te krijgen. Ook gaan we waarschijnlijk 2 servers opnieuw installeren zodat we weer kunnen beschikken over 2 AD controllers, 2 DNS servers en 2 WINS servers.
Tevens gaan we naar alle waarschijnlijkheid onze Watchguard firewall upgraden met een content filter.

welke rechten hebben je users lokaal
toch geen administrator/hoofd gebruiker mag ik hopen?
indien wel, zou ik dat eerst eens aanpakken!

Tja....dat is een zeer heikel punt. Wij hadden liever niet gezien dat dit het geval had geweest maar dat is dus wel zo.
Het management heeft er met klem op aangedrongen dat gebruikers wel zelf dingen konden installeren.
Nu zijn ze mede daardoor al lekker op hun falie gegaan. Ze hebben er zeker wel van geleerd (vooral omdat ze al iets meer als een week niet hebben kunnen mailen)
Na dit weekend is er niemand meer local admin op de machine, dat is een ding wat vast staat

Brainwaste schreef op vrijdag 26 november 2004 @ 09:44:
Tja....dat is een zeer heikel punt. Wij hadden liever niet gezien dat dit het geval had geweest maar dat is dus wel zo.
Het management heeft er met klem op aangedrongen dat gebruikers wel zelf dingen konden installeren.
Nu zijn ze mede daardoor al lekker op hun falie gegaan. Ze hebben er zeker wel van geleerd (vooral omdat ze al iets meer als een week niet hebben kunnen mailen)
Na dit weekend is er niemand meer local admin op de machine, dat is een ding wat vast staat

dan heb je 90% van de hardnekkige zelf service installerende spyware al aangepakt.

Inderdaad. Veel spyware heeft schrijfrechten nodig op de HKEY_LOCAL_MACHINE sleutel in het register, en in Win2k/XP is die netjes beveiligd en beperkt tot de groep 'Administrators'.
Probleem ver opgelost. Verder heb je veel aan de Spybot S&D resident, die kon geloof ik worden ingesteld om registrychanges (opstartpagina e.d.) automatisch te weigeren.
Verder kan je met Lavasoft's AdWatch ook nog e.e.a. tegenhouden...