Kerberos auf TCP umstellen

1

Gestern rief ein Kunden an, er können nicht mehr auf sein Outlook zugreifen. Outlook sage es könne den Server nicht finden.

Okay, dachte ich… wird ja nicht viel sein… irgendwas mit den DNS Einstellungen.
Nachdem ich dann gestern schon zwei Stunden gesucht habe, war ich dann heute beim Kunden vor Ort.

Der Eventlog des Clients sagte folgendes:

userenv-1006.JPG userenv-1030.JPG

Da ist guter Rat erstmal teuer. Also erstmal das Problem eingrenzen.

Taucht es auf anderen PCs auf: ja
Auf allen PCs: nein
Bei mehreren Usern: ja, aber nicht bei allen
Sind die User mit & ohne Fehler von den Berechtigungen identisch? ja
Taucht es auch als Admin auf? nein
Bleibt es gleich wenn der User Adminrechte erhält? ja, solange er noch in der Gruppe Benutzer ist
Kann es an Gruppenrichtlinien liegen? Nein, alle der Reihe nach ausgeschlossen

Es war also nicht direkt festzumachen, woran es liegt, nur dass ein User der NUR in der Gruppe Domänen-Admins ist dieses Problem nicht hat. Also Google & verschiedene Foren gequält… nix.

Hmm… da war dochmal was mit Kerberos SMB Signierung. Diese also deaktiviert… keine Veränderung.

Dann liegt es vielleicht daran, dass der PC bei der Anmeldung nicht auf das Netzwerk wartet:

…ein Gruppenrichtlinienobjekt mit der Einstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten. Diese Einstellung befindet sich im Gruppenrichtlinienobjekt-Editor unter ComputerkonfigurationAdministrative VorlagenSystemAnmeldung. Damit diese Einstellung wirksam wird, müssen die Gruppenrichtlinien aktualisiert…

Einige Stunden später kam dann nochmal so ein Gedanke vorbei, in dem die Wörter Kerberos und TCP auftauchten.. jo, das kann man nochmal versuchen. Also schnell mal eben bei Microsoft vorbeigeschaut (bei denen findet mal viel, wenn man weiß, was man wie suchen muss. Hier nochmal der Hinweis zur KB Suche) und bin auch gleich fündig geworden: http://support.microsoft.com/kb/244474/de

Das ganze also erstmal auf einem Client getestet… und man glaubt es kaum… das war’s. Dann also noch schnell die Gruppenrichtlinie eingebunden und feritg.

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

1 Kommentar

  1. Pingback: Gedankenanströße zur Absicherung von WLans auf .: blog.cscholz.io :.

Antworten