[Win2k3] AD lijkt goed maar geen logins

Pagina: 1
Acties:
  • 108 views sinds 30-01-2008
  • Reageer

  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Sinds vorige week hebben wij op de zaak ineens een enorm probleem.
We hadden altijd netjes een win2k AD draaien die perfect werkte tot vorige week vrijdag. Ineens kon 1 user niet meer inloggen zonder dat deze een expliciete error kreeg. Wij dachten toen dat het probleem in zijn profiel zat (nogal wat spyware).

Wij hebben toen netjes de user verwijdert en zijn profiel ergens anders gezet zodat er een nieuw profiel aangemaakt moest worden. Maar toen we hiermee opnieuw trachtten in te loggen kregen we precies hetzelfde dat de user niet in kon loggen.
Het inloggen hangt dus vaak met het laden van het profiel of als hij hier net voorbij is als hij de desktop in wil laden. Nou ja 1 user is te overzien dachten wij nog dus hebben we een hele andere user aangemaakt voor deze persoon en toen kon hij weer inloggen.

Echter de maandag erop (gister dus) kon ineens bijna niemand meer inloggen met hetzelfde probleem. Toen hebben we besloten de 2000 server te demoten en alles op de 2e AD te gaan draaien.We hebben met het omzetten van 2 ad's naar 1 ad ook het domein opgewaardeerd van een mixed 2k/2k3 naar een volledig 2k3 ad. Hierna bleef het probleem ook staan dus het zit echt in de AD. Toen dachten we misschien aan toch nog een probleempje met bijv een virus maar een complete scan met de nieuwste norman leverde ook hier niks op.
Dus onze gedachte zijn de profielen maar we zitten een beetje met onze handen in het haar!

Want als we met mijn eigen profiel inloggen werkt het perfect op elke machine en die is gelijkwaardig bijna aan de rest van de users. Dus nu werkt bijna iedereen op mijn profiel.

Heeft iemand zoiets eerder gehad of een suggestie !?

  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Wat staat er in het eventlog na een mislukte inlogpoging ???
Met welk OS werken de clients.

[ Voor 22% gewijzigd door KillerAce_NL op 23-11-2004 10:06 ]


  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Helemaal niks alles wijst er op dat alles netjes werkt en er word ook netjes een audit afgegeven van de user die inlogt.
Dus het lijkt erop dat het gewoon normaal werkt.

De clients werken met XP en 2000 en alles geeft dezelfde uitwerkingen.

[ Voor 18% gewijzigd door TiMMieJ op 23-11-2004 10:13 ]


  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Wat is die expliciete foutmelding ?

Sign here against sigs


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Marlibica schreef op dinsdag 23 november 2004 @ 10:22:
Wat is die expliciete foutmelding ?
idd, misschien makkelijk als je verteld WAT de error is.
Als je niet verteld wat er verkeerd gaat, kunnen mij nogal lastig zeggen wat het probleem is ;)

PVOUPUT - 13.400WP - Twente


  • McMiGHtY
  • Registratie: December 1999
  • Laatst online: 18-02 10:48

McMiGHtY

- burp -

edsutil gebruiken om je AD db te schonen misschien een oplossing? Genoeg over te vinden.
Als je op de server inlogt (lokaal dus) heb je dan ook problemen?

NEW - Het Grote - 2026 Tweakers Social Ride- Topic!


  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Ik zie nu pas dat er in het DNS logboek een error 3000 komt.
Dit betekent dat hij teveel fouten voor zn kiezen krijgt en ze niet weer geeft voordat het er minder worden. Ik zie iets eerder terug dat de enumerator service het moeilijk heeft.
Deze schrijft vanuit de LDAP natuurlijk......
Iemand hier wat suggesties voor ik zoek dit iig alvast uit op technet e.d.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
TuRk schreef op dinsdag 23 november 2004 @ 10:48:
Ik zie nu pas dat er in het DNS logboek een error 3000 komt.
Dit betekent dat hij teveel fouten voor zn kiezen krijgt en ze niet weer geeft voordat het er minder worden. Ik zie iets eerder terug dat de enumerator service het moeilijk heeft.
Deze schrijft vanuit de LDAP natuurlijk......
Iemand hier wat suggesties voor ik zoek dit iig alvast uit op technet e.d.
je hebt vast en zeker je DC's al een keer gereboot?

PVOUPUT - 13.400WP - Twente


Verwijderd

Werkt je replicatie proces wel? Wij hebben dit probleem ook gehad. Toen hebben we er een 3e server bij gezet toen repliceerde ze weer wel. Misschien ligt het probleem daar wel. Of ligt het misschien aan dat het gebruikersprofiel gestored wordt op de lokale machine bekijk of de pc niet vol staat. En kijk daarna of je de policy heb aan gezet bij computerbeheer

  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

Ik heb de afgelopen dagen verscheidene AD domain controllers op hun plaat zien gaan. Een reboot van die servers heeft een hoop opgelost. Maar zoals Grolsch al zei: dat heb je vast en zeker al geprobeerd.... ;-)

Better to have loved and lost then never loved at all... yeah right.


  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Ze repliceerden eerst perfect met elkaar en dit werkte ook goed.
Maar de users konden niet inloggen ineens. Ook hadden we de lokale zwervende profielen overal al verwijderd voordat we hier mee begonnen.

We hebben gister dus de 1e ad weg gehaald en alles overgehesen naar de 2e 2003 AD.
De 2000 is gedemote en draait dus niet meer. Er is nu dus nog maar 1 AD.
Maar het probleem is gebleven. De DNS is ook weer in orde lijkt het nu.

De profiles worden geredirect naar de mappen op de server die wij hebben aangemaakt.

  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Ja hij is van het weekend al meerder malen plat geweest maar ik kan het nog wel een keertje doen vanavond na werktijd.

  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Wat mij nu dus lichtelijk begint te irriteren is het feit dat je nog steeds geen foutmeldingen hebt gepost. Niet dat we meteen kunnen zeggen 'dat is het', maar het kan toch wel bijdragen aan de oplossing van je probleem

Sign here against sigs


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
TuRk schreef op dinsdag 23 november 2004 @ 10:03:
.......

Ineens kon 1 user niet meer inloggen zonder dat deze een expliciete error kreeg.

...........
Er staat hier toch dat er geen expliciete error naar voren komt.....

Ik ben een collega van TS en ik heb net nog even een blik op de events in de eventviewer geworpen.

Het enige wat naar voren zou kunnen komen is een DNS error

(event 5504: The DNS server encountered an invalid domain name in a packet from "ip". The packet will be rejected. The event data contains the DNS packet.

Is dit een mogelijke oorzaak denken jullie?

[ Voor 40% gewijzigd door Brainwaste op 23-11-2004 11:55 ]


Verwijderd

Brainwaste schreef op dinsdag 23 november 2004 @ 11:50:
[...]


Er staat hier toch dat er geen expliciete error naar voren komt.....

Ik ben een collega van TS en ik heb net nog even een blik op de events in de eventviewer geworpen.

Het enige wat naar voren zou kunnen komen is een DNS error

(event 5504: The DNS server encountered an invalid domain name in a packet from "ip". The packet will be rejected. The event data contains the DNS packet.

Is dit een mogelijke oorzaak denken jullie?
Ja, dat zou best eens kunnen, je client probeert blijkbaar een lookup te doen (bijvoorbeeld voor je dc) en dit wordt geweigerd door je DNS, waardoor je client niet weet waar aan te melden...

Is maar een gooi, we hebben een beetje weinig info om zo kant en klaar de oplossing aan te dragen...

Check iig. eerst eens of je DNS server goed werkt, de zone er nog goed instaat etc.

  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Er staat hier toch dat er geen expliciete error naar voren komt.....
Hmmm... ik interpreteerde dat dat er dus wel ingelogd kan worden, maar met een foutmelding. Bij eerdere verzoeken om een foutmelding te posten is er verder niet gereageerd. Maar goed, excuses bij deze.

Sign here against sigs


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
klopt in de DNS nog alles :?

zijn alle SRV records aanwezig :?
hebben de DC's correct A-host records :?
draait overal de netlogon service :?

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Ik ga nu de DNS verwijderen, is het aan te raden om tevens het bestand met DNS informatie (.dns) te verwijderen? Het lijkt mij van wel omdat je dan meer zekerheid hebt dat er geen ouder records gebruikt worden.

@Marlibica
No worries, we zijn al blij met je intresse voor ons probleem!

  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Geen probleem maar we gaan nu de DNS opnieuw opzetten want dat zou dan nog de meest logische oplossing zijn zoals Gixxer al zei.
En Marlibica no offence taken ik had het daarna nog een keer moeten melden.
Zometeen meer na de herinstall van de DNS.

We zagen die 5504 niet omdat deze als informatie omhoog komt en niet als waarschuwing of als error!!!! Beetje tricky dus.

Zie hier iig voor meer informatie over de 5504 message:

http://www.eventid.net/di...no=642&source=DNS&phase=1

[ Voor 16% gewijzigd door TiMMieJ op 23-11-2004 12:23 ]


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
met dns problemen doe ik altijd het volgende


laat ALLE DC's naar 1 DNS server kijken
verwijder op ALLE DNS servers alle zone's
creeer op je ene dns server een PRIMAIRE zone voor je domein
laat eerst al je dc's zich keurig registeren in de dns dmv het stoppen/start van de netlogon.
Controleer of alle records aanwezig zijn
verifieer of alles aanwezig is door te pingen (alle mogelijke combinatie's)

en kijk nu of het werkt.

werkt alles 100% :? upgrade dan de primaire zone naar een AD integrated zone, en ga de eventuele load verdelen dmv meerdere DNS servers

[ Voor 17% gewijzigd door Grolsch op 23-11-2004 12:26 ]

PVOUPUT - 13.400WP - Twente


  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11-2025

Marlibica

Tijd voor een ondertitel.

Volgens mij worden de .dns bestanden bijgewerkt als je iets via de manager wijzigt. Ik denk dat je beter eerst via add/remove programs dns kunt verwijderen en toevoegen, maar ik geef absoluut stoepgarantie op die opmerking... :)
@Marlibica
No worries, we zijn al blij met je intresse voor ons probleem!
Thnx

Sign here against sigs


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Marlibica schreef op dinsdag 23 november 2004 @ 12:26:
Volgens mij worden de .dns bestanden bijgewerkt als je iets via de manager wijzigt. Ik denk dat je beter eerst via add/remove programs dns kunt verwijderen en toevoegen, maar ik geef absoluut stoepgarantie op die opmerking... :)


[...]


Thnx
als je het programma dns verwijderd, blijft de database gewoon in je active directory hangen (als deze AD integrated was), en los je daarmee dus het probleem niet op

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
De bestanden waar ik op doelde zijn de files waar de dns server z'n records in stored.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Brainwaste schreef op dinsdag 23 november 2004 @ 12:32:
De bestanden waar ik op doelde zijn de files waar de dns server z'n records in stored.
waarom verwijder je die dan? je kunt toch ook gewoon de hele zone verwijderen?

PVOUPUT - 13.400WP - Twente


  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Ja maar als je de zone's verwijderd blijft je cache gewoon staan.
Dus kan je die volgens ons het best verwijderen ook.
Zodat de records geleegd worden.
We hebben nu iig de DNS opnieuw aangemaakt en het ziet er naar uit dat de 5004 melding niet meer komt maar we laten nu als test een paar users inloggen.
Iig is er al 1 die nu wel in kon loggen en hiervoor totaal niet !

Verwijderd

Krijgen de clients wel juiste ip toestand? Zijn de client machines wel nog aanwezig in het domain? Gooi voor de grap eens een machine in het domain en maak hem eens opnieuw aan.

Verwijderd

O ja, wellicht geeft een repair van de netwerkverbinding een kleine verlichting. Ook kan het zijn dat ergens een rotte netwerkkaart de verbindingen platlegt. Gooi de DC's eens los en probeer in te loggen met een geisoleerd werkstation.

  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
De DHCP werkt goed en laat elke client netjes zijn goede ip krijgen.
Het opnieuw toevoegen van de client aan het domain is nog een optie.

Maar het lijkt er nu op na het opnieuw aanmaken van de DNS dat de clients weer in kunnen loggen 1 voor 1 komen er weer mensen in.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
TuRk schreef op dinsdag 23 november 2004 @ 14:42:
De DHCP werkt goed en laat elke client netjes zijn goede ip krijgen.
Het opnieuw toevoegen van de client aan het domain is nog een optie.

Maar het lijkt er nu op na het opnieuw aanmaken van de DNS dat de clients weer in kunnen loggen 1 voor 1 komen er weer mensen in.
en nu maar hopen dat de fouten zich op de één of andere manier niet terug repliceren of in een loop zitten O-)

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Repliceren zal op dit moment in ieder geval niet gaan omdat we nu nog maar met 1 AD controller draaien.
We hopen vanavond de 2e er weer bij te kunnen zetten.....mits alles nog steeds goed gaat uiteraard....
We zijn jullie in ieder geval onze dankbaarheid verschuldigd door ons op het juiste spoor te zetten :)

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Brainwaste schreef op dinsdag 23 november 2004 @ 15:11:
Repliceren zal op dit moment in ieder geval niet gaan omdat we nu nog maar met 1 AD controller draaien.
We hopen vanavond de 2e er weer bij te kunnen zetten.....mits alles nog steeds goed gaat uiteraard....
We zijn jullie in ieder geval onze dankbaarheid verschuldigd door ons op het juiste spoor te zetten :)
DNS het het hart van je AD

geen goed werkende DNS = een drama AD met veel rare problemen

PVOUPUT - 13.400WP - Twente


  • TiMMieJ
  • Registratie: Juli 2001
  • Laatst online: 19-02 10:44

TiMMieJ

PSN: Orixez

Topicstarter
Het probleem heeft zich weer voor gedaan!!!
En komt allemaal door spy/adware die telkes de DNS flood en vandaar de 5504 errors. We moeten nu dus overal scannen op spyware en hier meteen actie op ondernemen. De gebruikers hebben hun enorme vrijheid misbruikt en zijn deze dan ook per direct kwijt.

We moeten nu dus alleen een hele hoop uren maken om spyware te verwijderen en daar zijn we niet heel erg blij mee....

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
TuRk schreef op woensdag 24 november 2004 @ 10:08:
Het probleem heeft zich weer voor gedaan!!!
En komt allemaal door spy/adware die telkes de DNS flood en vandaar de 5504 errors. We moeten nu dus overal scannen op spyware en hier meteen actie op ondernemen. De gebruikers hebben hun enorme vrijheid misbruikt en zijn deze dan ook per direct kwijt.

We moeten nu dus alleen een hele hoop uren maken om spyware te verwijderen en daar zijn we niet heel erg blij mee....
tjah, ik zeg altijd maar zo,

"vertrouwen is goed, controle is beter"

wel vreemd trouwens, ik heb nog nooit gehoord dat spyware een fatsoenlijke DNS server onderuit kan schoppen, maar ik ken je situatie natuurlijk niet.

succes iig

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Tja....er zit ergens spyware to klooien en deze spyware wil constant resolven naar 216.73.x.x wellicht klinkt dit adres bekend bij een aantal mensen. Wat ik gevonden heb (via www.eventid.net) is het volgende, veel spyware (vooral hetgene dat iets met doubleclick te maken heeft) gebruikt de dns servers van dat 216 netwerk.
Waarschijnlijk zorgt dit ervoor dat de DNS op z'n plaat gaat. Dit vind ik echt ontzettend vreemd, vooral omdat we met 2 DNS servers draaiden toen dit probleem zich voor het eerst voor deed.
Het lijkt mij dat 2 DNS servers alle request van een 15 tal users wel aan moet kunnen.

Heeft er iemand toevallig een idee over software of hardware oplossingen die spy en adware effectief tegen gaan? Wat wij tot nu toe hebben gevonden is Spy Sweeper enterprise van Webroot (www.webroot.com) Heeft er iemand ervaring met deze software?

  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Firefox is inderdaad een optie waar we zelf ook al over nagedacht hebben.
We zijn tevens nog steeds naar iets op zoek om vanaf de server spyware tegen te gaan.

We zijn in het bezit van een Watchguard SOHO 6, hier kunnen we tegen niet zulke hoge kosten een Web Content Filtering dienst op installeren.
We zijn alleen nog op zoek naar ervaringen van mensen die dat daadwerkelijk gebruiken.

Iemand hier ?

Verwijderd

Ik begrijp uit het gehele verhaal dat er maar 1 DC is en deze dus gebruikt maakt van AD en DNS. Dan hoeft deze in principe alleen naar zichzelf te laten luisteren m.b.t. DNS.

Om even terug te komen op de gebruikersprofielen, bekijk de rechten en eigenaarschap van de getroffen profielen. Wanneer je dus een profielverwijzing defineert bijv:
\\servername\homedir\%USERNAME%\profile
krijgt dus alleen de groep "Administrators" en de betreffende user rechten tot de map profile.

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.
En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.

Verder heb je binnen de DHCP natuurlijk dat deze wel ge-activeerd moet zijn.
wanneer je met een client inlogt geef ff onder een command prompt de opdracht:
ipconfig /all
Als de gesugereerde DNS database corrupt zou zijn dan zou de client waar je deze opdracht uitvoerd:
1 - de DNS niet vinden
2 - geen ip adress van de dhcp hebben gekregen welke binnen de range gedefineerd is.

Word er gebruik gemaakt van domain policies? Zoja, staan deze goed geconfigureert? Controlleer deze m.b.t Domain Security Policies en Domain Controller Security Policies, deze niet te verwarren met elkaar. Maak in geval van policie(s)gebruik, voor deze gebruik van 2 verschillende policies en vergeet met "reloaden" van deze de database niet eerst te ledigen.

P.s ... helpdesk is isoleren, systeembeheer is je helpdesk-skills niet verleren :)

  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

Verwijderd schreef op donderdag 25 november 2004 @ 21:58:

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.
En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.
Dit klinkt allemaal heel intressant hoor wat je zegt. Maar ten eerst heeft hij het over Spyware op de gebruikers en niet op de DC.

Oh en als je clients geen name resolve kunnen doen hoe kunnen ze dan %SERVERNAAM%\Profiles vinden?? Dus indirect zou hier zich ook een probleem kunnnen voordoen.

Trouwens als je spyware ed tegen wil gaan. Je kan als je je er een beetje in thuis maakt met ISA erg veel tegenhouden. www.isaserver.org

There is no art to find the minds construction in the face


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Verwijderd schreef op donderdag 25 november 2004 @ 21:58:
Ik begrijp uit het gehele verhaal dat er maar 1 DC is en deze dus gebruikt maakt van AD en DNS. Dan hoeft deze in principe alleen naar zichzelf te laten luisteren m.b.t. DNS.
Hi, en welkom op GoT
Om even terug te komen op de gebruikersprofielen, bekijk de rechten en eigenaarschap van de getroffen profielen. Wanneer je dus een profielverwijzing defineert bijv:
\\servername\homedir\%USERNAME%\profile
krijgt dus alleen de groep "Administrators" en de betreffende user rechten tot de map profile.

Niet om één of ander ... maar je profiles heeft HELEMAAL NIX met je DNS te maken.
Als je goed leest, heeft het probleem niets te maken met rechten op het profiel.
En DNS heeft zeker WEL te maken inloggen.
Op het moment dat jij inlogt op het domein bedrijf.nl zal de WS een DNS query doen naar de SRV records van je DC. Als de DNS dan plat ligt om wat voorn reden dan ook, zal het inloggen niet lukken.
En verder verwijs ik me naar eerder genoemd spyware probleem, deze los je echt niet op om firefox op je 2003 server te implementeren, ik neem aan dat je wel gebruik maakt van "Internet Explorer Enhanced Security Configuration" dan hoef je:
1 - geen gebruik te maken van een browser als firefox welke je systeem ECHT NIET veiliger maakt, daar het alleen maar gevoeliger is.
2 - krakemikkige en onoverdachte implementatie van anti-spyware programmatuur waarmee je je DC alleen maar extra belast.
hij heeft het dus helemaal niet over spyware op de server, maar over clients met spyware, welke de DNS service op zijn DC onderuit halen.
Verder heb je binnen de DHCP natuurlijk dat deze wel ge-activeerd moet zijn.
wanneer je met een client inlogt geef ff onder een command prompt de opdracht:
ipconfig /all
Als de gesugereerde DNS database corrupt zou zijn dan zou de client waar je deze opdracht uitvoerd:
1 - de DNS niet vinden
2 - geen ip adress van de dhcp hebben gekregen welke binnen de range gedefineerd is.
op een client kun jij met ipconfig/all niet zien of de DNS server nog functioneerd.
Als jij dat wel kan wil ik ff weten welke "ipconfig/all powerpack tweakui" jij hebt ge-installeerd :+
Word er gebruik gemaakt van domain policies? Zoja, staan deze goed geconfigureert? Controlleer deze m.b.t Domain Security Policies en Domain Controller Security Policies, deze niet te verwarren met elkaar. Maak in geval van policie(s)gebruik, voor deze gebruik van 2 verschillende policies en vergeet met "reloaden" van deze de database niet eerst te ledigen.
ik weet niet wat je hierboven duidelijk wil maken, maar het klinkt mij als wartaal in de oren. Wat ik kan zien in de TS wordt er niet gevraagt wat de verschillende policy mogelijkheden zijn in een domein.
P.s ... helpdesk is isoleren, systeembeheer is je helpdesk-skills niet verleren :)
da's idd een goeie ;)

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Ghehe.....ik zag deze post vanmorgen al en ik had toen even geen tijd om te reageren.
Ik denk dat ik niets meer aan de post van Grolsch toe te voegen heb.

Het heeft dus wel degelijk nut om firefox op de client te gaan gebruiken in plaats van IE. Vooral omdat Firefox veel minder gevoelig is voor spy en adware.
Als we allemaal WinXP machines hadden gehad met SP2 dan had het een heel ander verhaal geweest. Maar omdat we ook te maken hebben met een substantieel aantal Win2k machines kunnen we beter een andere browser gaan gebruiken.

Dit weekend gaan we even bikkelen om alles weer schoon te krijgen. Ook gaan we waarschijnlijk 2 servers opnieuw installeren zodat we weer kunnen beschikken over 2 AD controllers, 2 DNS servers en 2 WINS servers.
Tevens gaan we naar alle waarschijnlijkheid onze Watchguard firewall upgraden met een content filter.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Brainwaste schreef op vrijdag 26 november 2004 @ 09:19:
Ghehe.....ik zag deze post vanmorgen al en ik had toen even geen tijd om te reageren.
Ik denk dat ik niets meer aan de post van Grolsch toe te voegen heb.

Het heeft dus wel degelijk nut om firefox op de client te gaan gebruiken in plaats van IE. Vooral omdat Firefox veel minder gevoelig is voor spy en adware.
Als we allemaal WinXP machines hadden gehad met SP2 dan had het een heel ander verhaal geweest. Maar omdat we ook te maken hebben met een substantieel aantal Win2k machines kunnen we beter een andere browser gaan gebruiken.

Dit weekend gaan we even bikkelen om alles weer schoon te krijgen. Ook gaan we waarschijnlijk 2 servers opnieuw installeren zodat we weer kunnen beschikken over 2 AD controllers, 2 DNS servers en 2 WINS servers.
Tevens gaan we naar alle waarschijnlijkheid onze Watchguard firewall upgraden met een content filter.
welke rechten hebben je users lokaal :?
toch geen administrator/hoofd gebruiker mag ik hopen?
indien wel, zou ik dat eerst eens aanpakken!

PVOUPUT - 13.400WP - Twente


  • Brainwaste
  • Registratie: Juni 2001
  • Laatst online: 13-02 15:37
Tja....dat is een zeer heikel punt. Wij hadden liever niet gezien dat dit het geval had geweest maar dat is dus wel zo.
Het management heeft er met klem op aangedrongen dat gebruikers wel zelf dingen konden installeren.
Nu zijn ze mede daardoor al lekker op hun falie gegaan. Ze hebben er zeker wel van geleerd (vooral omdat ze al iets meer als een week niet hebben kunnen mailen)
Na dit weekend is er niemand meer local admin op de machine, dat is een ding wat vast staat :)

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 22:18
Brainwaste schreef op vrijdag 26 november 2004 @ 09:44:
Tja....dat is een zeer heikel punt. Wij hadden liever niet gezien dat dit het geval had geweest maar dat is dus wel zo.
Het management heeft er met klem op aangedrongen dat gebruikers wel zelf dingen konden installeren.
Nu zijn ze mede daardoor al lekker op hun falie gegaan. Ze hebben er zeker wel van geleerd (vooral omdat ze al iets meer als een week niet hebben kunnen mailen)
Na dit weekend is er niemand meer local admin op de machine, dat is een ding wat vast staat :)
dan heb je 90% van de hardnekkige zelf service installerende spyware al aangepakt.

PVOUPUT - 13.400WP - Twente


  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025
Inderdaad. Veel spyware heeft schrijfrechten nodig op de HKEY_LOCAL_MACHINE sleutel in het register, en in Win2k/XP is die netjes beveiligd en beperkt tot de groep 'Administrators'.
Probleem ver opgelost. Verder heb je veel aan de Spybot S&D resident, die kon geloof ik worden ingesteld om registrychanges (opstartpagina e.d.) automatisch te weigeren.
Verder kan je met Lavasoft's AdWatch ook nog e.e.a. tegenhouden...

We are shaping the future

Pagina: 1