W2000 netwerk: inlogprofielen...

[JasperJ]

Heb net een Win 2000 server draaiend gekregen als PDC. Helemaal blij dat dit gelukt is, maar nu de volgende uitdagingen tegen gekomen:

1. Ik heb 4 gebruikers die op elk werkstation (Win XP Pro) moeten kunnen inloggen. Er is maar 1 gebruiker waarbij dit goed gaat (mijn eigen account) en bij de andere 3 komen er steeds meldingen dat het zwervend profiel niet gevonden kan worden.

In de AD heb ik de gebruikers aangemaakt, rechten gegeven en een pad naar een profieldirectory aangegeven. Per gebruiker een map aangemaakt en gedeeld waarop die gebruiker (en natuurlijk de admin) alle rechten heeft.
Lokaal zijn alle gebruikers Admin.

2. Het inlogscript draait niet. In de AD wederom aangegeven dat er een script gedraaid moet worden (voor iedereen hetzelfde .bat bestand met mappings er in), maar dat gebeurd dus niet.

3. Het inloggen is heeeeel traag. Dit zou wellicht de hub kunnen zijn, maar 10mbit moet voldoende zijn. De profielen zijn ongeveer 100 mb.

Heeft iemand tips?

 

[tech-notes]

Controleer de rechten is op de gedeelde mappen waar de profielen staan.
Kijk ooks in de Eventlogs van zowel server als client.
Waarschijnlijk staan hier wel foutmeldingen in over deze mappen.

Heb je het loginscript wel op de juiste plek staan ??

\\server\netlogon

Succes

 

[JasperJ]

De rechten op de share NETLOGON staan goed: iedereen heeft leesrechten en admins mogen alles.

Lokaal zie ik dat bij het inloggen onder mijn account (de enige die dus lijkt te werken) in het logboek de volgende melding langs komt:

Kan de gebruikers- of computernaam niet vaststellen. De RPC-server is niet beschikbaar. . Het verwerken van het groepsbeleid wordt afgebroken.

En op de server staat er in het logboek iets over de DNS: The DNS server for this DC does not support dynamic DNS

Dit lijkt me bij elkaar te horen en waarschijnlijk wel e.e.a. te verklaren. Nu moet ik het alleen nog oplossen!

Nog een leuke: iedereen is lokaal admin, maar toch mag ik bepaalde dingen lokaal niet doen. Heel apart...

 

[DichteMist]

dat is raar!

je zou die melding dus pas moeten krijgen als je met verschillende domeinen werkt en je die bij elkaar probeert aan te loggen
zie deze link
http://support.microsoft.com/kb/329705/nl
die je ongetwijfeld zelf ook al hebt gevonden..

gebruikers kunnen wel gewoon aanloggen zonder problemen op de machine waar het profiel staat?
hmm
vandaar naar hier.
http://support.microsoft.com/default.aspx/kb/224370

Kun je wel vanuit elke client de andere clients bereiken op dns naam etc?
zal wel niet. dat komt overeen met die dyndns die niet werkt.

 

[JasperJ]

Bedankt voor de links! Toch nog wat info uitgehaald en inmiddels lukt het inloggen! :thumb:

Blijven de andere 2 problemen over:
1. het inlogscript draait niet
2. het inloggen is bijzonder traag; profielen zijn inmiddels ongeveer 50 Mb

Nog meer tips? Alvast bedankt!!

 

[DichteMist]

vertel eerst eens even wat je hebt gedaan dat het inloggen nu wel lukt!
Ben ik erg benieuwd naar en is handig voor anderen die nog eens een 'search' doen op hetzelfde probleem.

het script draait niet.
mappen worden niet aangemaakt? zie je iets voorbij vliegen?
arg, ik zal vanavond of morgenmiddag ff mn testserver aanzwengelen. kijken of policies ook er mee te maken hebben, of je die via AD moet zetten aan de gebruiker.
(zoekt icoontje van 'schaamt zich' )

mbt snelheid,
doe eens een bestandje van 50 mb overzetten van ene client naar andere?

 

[JasperJ]

Snelheid:
Er zit een 10mb-hub tussen. Deze wordt binnenkort vervangen door een snellere switch en ik hoop dat dit helpt. 50mb duurt ongeveer een dikke minuut om over te pompen...

Inloggen werkt:
Ik heb de forward lookup-zone aangepast. Hierin staat nu het ip-adres van de server en dat heb ik op de werkstations als 2e dns aangegeven (internet loopt via een router).

2 meldingen op server:
Directory Service, elk kwartier:
The ntdsConnection object CN=SERVER,CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kantoor,DC=windshift,DC=nl dictates that the local server should replicate from itself. This is not a valid configuration and will be ignored. Please use the Active Directory Sites and Services Manager to modify or delete this object.

System Log:
The DNS server for this DC does not support dynamic DNS. Add the DNS records from the file '%SystemRoot%\System32\Config\netlogon.dns' to the DNS server serving the domain referenced in that file.

Denk ik het eindelijk een beetje te snappen...

 

[DichteMist]

Jouw dns-server is de win2000 server?
hoe verstrek jij de ip-adressen? met dhcp?
wat zijn de instellingen die jij aan de clients meegeeft? (DNS 006 en 015etc, scope options en server options gelijk?)
Wat voor besturingssystemen zijn jouw clients? **correctie, het zijn xp clients dus. die moeten in staat zijn om zich aan te kunnen melden**

ik liet me in de war brengen door dyn dns alszijnde iets achterhalen websites etc.. maar in principe betekent dyn dns in dit geval dus dat clients zich automatisch registreren en dynamisch updaten bij een DNS server wanneer er iets veranderd. :evil:
je hebt hem dus wel staan op allow dynamic updates in de .. eh. properties van de zone? (zelfde venster als waar je type: active directory-integrated hebt staan en status running)

trouwens, ik zou van de DNS server een forward maken. je clients proberen dan eerst domeinnamen te achterhalen via je DNS server, en deze checkt het weer bij.. maar we dwalen van het onderwerp af ;-)

 

[JasperJ]

Dat niet alleen... ik begrijp ook niet alles meer van wat je schrijft...

Ik heb een win2000 server die ook dns-server moet zijn om het domein te laten draaien (toch?). De instellingen hiervan heb ik een beetje op goed geluk en logisch nadenken gedaan. De DHCP-service draait (nog) wel, maar geeft een foutmelding: the service has determined that it's not authorized to service clients on this network. Ik gebruik vaste IP-adressen.

In de serverlog staan die meldingen uit m'n vorige post.

Het inloggen op de XP-client is als volgt opgebouwd:
pc start op en je krijgt het ctrl-alt-del scherm,
na het invoeren van user en ww begint het feest:
- persoonlijke instellingen laden, ca. 20 sec.
- computerinstellingen toepassen, ca. 4 min.
- persoonlijke instellingen toepassen, ca. 4 min.

Waar en hoe zou ik dit kunnen versnellen?

Mmmm.... misschien maar aparte posts van maken of is het nog te volgen?

 

[DichteMist]

mailtje verstuurd.

 

[JasperJ]

Goed,

Inmiddels weer iets verder: inloggen lukt voor alle gebruikers.

Maar....
A: het inloggen is enorm traag en dat zit 'm vooral in het toepassen van de computer- en persoonlijke instellingen. Probeer het nu onder DHCP i.p.v. vaste adressen, maar merk geen verschil.

B: En de server geeft nog steeds in het log 2 foutmeldingen:
1: The DNS server for this DC does not support dynamic DNS. Add the DNS records from the file '%SystemRoot%\System32\Config\netlogon.dns' to the DNS server serving the domain referenced in that file.
2. The ntdsConnection object CN=SERVER,CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kantoor,DC=windshift,DC=nl dictates that the local server should replicate from itself. This is not a valid configuration and will be ignored. Please use the Active Directory Sites and Services Manager to modify or delete this object.

Ik ben een newbe als het gaat om het inrichten van een server, dus alle hulp is welkom!

 

[DichteMist]

wat staat er in het AD bij Sites and services?
>sites > default-first...>servernaam en daar de properties van.

en >sites>inter-site transports
hier zie je met welke servers hij wil synchroniseren.

staan je clients trouwen wel in de AD users and computers onder computers?

je zei dat clients eerst ip-adres kregen van de router, nu van de dhcpserver. hoe heb je dat gedaan?
anders weet ik nu geloof ik de nette manier om dat te doen.

 

[JasperJ]

Bij Sites and Services staat o.a.:
>sites > default-first... > servernaam > Properties -> AD connection geeft: Transport RPC (IP of SMTP ook mogelijk) en 4x per uur synchroniseren; replicated domain kantoor.domein.nl

En bij Intersite transports:
> IP > defaultipsitelink > replicate everey 180 minutes
> SMTP > leeg

Ik heb op de server DHCP aan de praat gekregen. Hoe weet ik niet...
De client heeft DHCP aan staan en bij de DNS de router EN server ingegeven.
Op de server bij de scope heb ik in de scope options ook de router opgegeven.
Ik zie nu bij ipconfig keurig de lease staan die ik op de server heb ingesteld.

De clients staan in de AD (gebruikers en computers).

 

[DichteMist]

Bij Sites and Services staat o.a.:
>sites > default-first... > servernaam > Properties -> AD connection geeft: Transport RPC (IP of SMTP ook mogelijk) en 4x per uur synchroniseren; replicated domain kantoor.domein.nl
.

en dat vergeleken met je logfile:

meldingen op server:
Directory Service, elk kwartier:
The ntdsConnection object CN=SERVER,CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kantoor,DC=windshift,DC=nl dictates that the local server should replicate from itself. This is not a valid configuration and will be ignored. Please use the Active Directory Sites and Services Manager to modify or delete this object.

niet dat dit de traagheid zal oplossen. maar is weer 1 logmelding minder

Gezien die ene DC en 1 site hoef jouw systeem zich niet druk te maken over replicaties etc. uitzetten dus. ik zal wel even een screendump via de mail sturen hoe het eruit kan zien.

dat andere staat goed. is default.

eh. je server heet toch kantoor he? (voordat ik je screendumps ga sturen.)

ps, misschien beter idee om deze post naar windows 2000 topic te verhuizen ipv netwerkveiligheid?

 

[JasperJ]

niet dat dit de traagheid zal oplossen. maar is weer 1 logmelding minder

Gezien die ene DC en 1 site hoef jouw systeem zich niet druk te maken over replicaties etc. uitzetten dus. ik zal wel even een screendump via de mail sturen hoe het eruit kan zien.

dat andere staat goed. is default.

eh. je server heet toch kantoor he? (voordat ik je screendumps ga sturen.)

ps, misschien beter idee om deze post naar windows 2000 topic te verhuizen ipv netwerkveiligheid?

Dank voor het verplaatsen. Dit is inderdaad een betere plek.
Elke stap is er één!!!

Het domein heb ik windshift.nl genoemd en de server heet Windshiftserver. Bij het inrichten heeft W2k hier (uiteraard nadat ik ergens iets moest invullen) kantoor.windshift.nl van gemaakt. Als ik overigens in de command prompt een nslookup doe, krijg ik het volgende antwoord:
*** Can't find server name for address (router ip): non-existent domain
*** Can't find server name for address (server ip): non-existent domain
*** Default servers are not available
Server: Unknown
Address: (router ip)

Non-authoritative answer:
Name: windshift.kantoor.windshift.nl
Address: (onbekend ip)

Heb inmiddels gedaan wat er in de foutmelding staat: het object verwijderd. Over een kwartier weet ik of het nu een melding scheelt..

Overigens ga ik volgende week waarschijnlijk over van de huidige 10Mbit hub naar een 1Gb switch. Baat het niet, dan schaadt het niet...

Ben benieuwd naar je screen dump...

 

[DichteMist]

screendumps niet meer opgestuurd. Je hebt er toch niets aan want het ziet er hetzelfde uit als jij nu hebt ingesteld.

ik geloof nog steeds dat de DNS niet is ingesteld voor het domein.
check ook even bij de naam van je systeem. door al het invullen is er iets misgegaan.
zoals je ongetwijfeld zelf al aanvoelt moet er eigenlijk staan => naam vd server.domein.nl

is het trouwens een officieel domein?

 

[JasperJ]

ik geloof nog steeds dat de DNS niet is ingesteld voor het domein.
check ook even bij de naam van je systeem. door al het invullen is er iets misgegaan.
zoals je ongetwijfeld zelf al aanvoelt moet er eigenlijk staan => naam vd server.domein.nl

Wat ik in ieder geval heb aangepast op het werkstation is als 1e DNS m'n server en als 2e DNS de router. Hierdoor gaat het inloggen nu in iets meer dan 1,5 minuut!!!
Maar de foutmelding op de server m.b.t. dynamic DNS is er nog steeds. Ondertussen kan ik op zoveel plaatsen domein- en servernamen ingeven dat ik niet goed meer weet wat waar hoe moet staan...

Bij de systeem eigenschappen staat als systeemnaam windshiftserver.kantoor.windshift.nl en als domein kantoor.windshift.nl. Waarom dat kantoor er tussen staat weet ik niet (wanneer waar ingevuld? Geen idee!).

is het trouwens een officieel domein?

Het domein windshift.nl is wel een officieel internet domein, maar de hosting is bij een provider geregeld. Hoezo?

Overigens heb ik in de group-policy de mogelijkheid gevonden om een inlogscript te draaien, maar dat werkt ook niet!
Ik kreeg lokaal eerst een foutmelding over DCOM en nu over COM+. Kan dit hier iets mee te maken hebben, of is het meer DNS gerelateerd?

De stapjes zijn klein, maar we maken ze wel! :thumb:

 

[DichteMist]

mooi resultaat :thumb:

ik zal kijken of ik vanavond tijd heb om weer wat screendumps te maken mbt je dns-server.
als ik hetgoed heb begrepen heb je nu nog handmatig op je clients de dns-servers ingesteld. is niet nodig. (voor dat kleine aantal clients maakt het natuurlijk niet uit maar toch )
dat stel je ook in op de dhcp-server.
zodanig dat je clients gebruik maken van je DC (domain controller, pdc bestaat niet in w2000) en de goede dns (die op je dc staat). Deze zal de aanvragen dan weer doorsturen naar de DNS op de router cq DNS van de provider. (laatste lijkt me handiger)
ook moeten we nog even checken of de dhcp-server geauthorised is om de adressen te verstrekken. ( in dhcp-console, properties, authorize). indien zo zal deze ervoor zorgen dat elke machine zich netjes aanmeld bij de DNS-server. (dat dyndns verhaal)

maar kan ook vrijdag worden. Kijk anders alvast er even naar!

 

[JasperJ]

mooi resultaat :thumb:

ik zal kijken of ik vanavond tijd heb om weer wat screendumps te maken mbt je dns-server.

Graag!!

als ik hetgoed heb begrepen heb je nu nog handmatig op je clients de dns-servers ingesteld. is niet nodig. (voor dat kleine aantal clients maakt het natuurlijk niet uit maar toch ) dat stel je ook in op de dhcp-server.
zodanig dat je clients gebruik maken van je DC (domain controller, pdc bestaat niet in w2000) en de goede dns (die op je dc staat). Deze zal de aanvragen dan weer doorsturen naar de DNS op de router cq DNS van de provider. (laatste lijkt me handiger)

Dit heb ik inmiddels ingesteld. Dat niet alleen, het werk ook nog! Daarnaast heb ik hier een paar ip-adressen gereserveerd voor de vaste stations.

ook moeten we nog even checken of de dhcp-server geauthorised is om de adressen te verstrekken. ( in dhcp-console, properties, authorize). indien zo zal deze ervoor zorgen dat elke machine zich netjes aanmeld bij de DNS-server. (dat dyndns verhaal)

Dit kan ik zo 1-2-3 niet terugvinden, maar het werkt wel. Ipconfig geeft aan dat DHCP en Automatische configuratie ingeschakeld staan.

 

[DichteMist]

Ik weet niet wat je al hebt gedaan (al dan niet per ongeluk )

het authorize.
geeft zichzelf recht om ip-adressen te verstrekken.
als bij jou unauthorisaze staat => niets meer doen, dan is ie al goed. die optie van unauthorize willen we niet uitvoeren.

integrating dyn dns en dhcp
de adressen die dhcp-server verstrekt worden synchroon gehouden met de DNS-server. Actie wordt nl gedaan door de dhcp-server. (in grote organisaties is dit veilger, server is meer te vertrouwen dan een client die online komt en zich aanmeldt bij een dns-server. <= nu wordt voorkomen dat een bonafide pc op het netwerk zich kan aanmeldne bij de DNS.
het instellen kan in dhcp-console op server>properties tabblad DNS of op scope>properties tabblad DNS. bij tegenstrijdige gegevens gaat scope voor. hou het dus gewoon lekker gelijk.

dit moet niet alleen op het dhcp-stuk. maar ook de DNS-server moet hierop nog ingesteld worden.

open DNS, ga naar de forward lookupzone. klik daar je zone aan. properties, en je komt bij de screendump aan.

er is nog veel meer finetuning mogelijk. maar vanaf deze plek is dat eigenlijk niet te doen.

de bijlagen zijn via de mail verstuurd.