Mangler lidt hjælp til min Domain Controller

tja, hvem ved?

Mon ikke det var nemmere bare at poste spørgsmålet ? ;)

jo det kunne du have ret i, men jeg har faktisk haft et spørgsmål med den fejl i mit post og der svare folk ikke, men nu kommer jeg den her i. Den består af to errors.

Her er den første:

The Security System detected an authentication error for the server ldap/hilsoedc1.HILSOE.root.local.  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".

og her er den anden:

The Security System could not establish a secured connection with the server ldap/hilsoedc1.HILSOE.root.local.  No authentication protocol was available.

kontroller at dine FSMO roller kører til at starte med

er det i services?

Kan ikke finde noget der hedder FSMO i services. Hvor finder jeg det?

Nope, her er lidt om hvad det er for noget jeg taler om ;) http://support.microsoft.com/default.aspx/kb/197132?

Kan du ikke fortælle mig hvor jeg finde det der FSMO???

det link du har givet mig er til windows 2000 server, jeg har en windows 2003 server

jo noget af det finder du i active directory users / computers, anre roller er i trust men søg på google og læs noget om FSMO roller (mange ting i forbindelse med FSMO rollerne kræver lidt viden om det, så derfor kan / vil jeg ikke sige det er der og der du lige skal rette fejlen)

ok

http://www.svrops.com/svrops/documents/fsmo.htm læs især det nederste

Det ved jeg godt det er, men den artikel er ligeså gældende for 2003 som for 2000 (der er ikke ændringer i de 2 produkter på det område, som gør at det dokument ikke kan bruges)

hvor ved jeg fra hvilke roller i FSMO min DC skal have?

medmindre du har flere servere, så skal den have alle 5 roller, (alle 5 roller skal være der ligemeget om du har flere servere, men så kan de være spredt ud over de andre, men det gør den ikke selv, så det skal du selv have gjort, hvilket jeg ikke tror er tilfældet, men som de links jeg har lagt også siger så skal ale 5 rolelr være til stede)

ok, så må jeg jo se om der er nogen roller. Men jeg skal dog lige være sikker på en ting. Jeg har kun en server, men en af min klienter køre med XP og der har jeg installere Apache så jeg kan hoste min hjemmeside. Den skal vel ikke have nogen af de 5 roller???

Hvis du har en 2003 server, hvorfor i alverden kører du så en webserver på en XP install ?

Nej selvom din XP installation har en webserver kørende, er det intet med en server at gøre, men er blot en service, hvorimod en server, har til formål at holde styr på brugere samt deres rettigheder. (en server har så oftest flere rolelr (services) kørende men dybest er det kun an central administration som gør det til en server)

jeg ved godt det ikke er optimalt med apache på en af mine klienter, jeg er dog også igang med at købe en maskine jeg vil installere 2003 server på, og gøre til webserver.

Nå så er jeg stødt ind i det første problem, når jeg skal finde ud af om min server har Domain Naming Master FSMO role skal jeg højre klikke på mit domain i Active Directory Domains and Trusts og vælge Operations Master, men den valg mulighed har jeg ikke og så må jeg gå ud fra at min server ikke har Domain Naming Master FSMO rollen, hvordan giver jeg den så rollen?

http://support.microsoft.com/kb/255504 men vær opmærksom på at laver du fejl her, for det ret betydende konsekvenser, så en backup vil nok være en god ide!

hvordan tager jeg en backup?

det gør du med det indbyggede backup program (under accessories og system tools mener jeg) husk at have flueben i systemstate!)

Så har min server også rollen som domain naming master. Jeg skal lige installere support tools og at kunne finde ud af om min server har rollen som Schema Master.

du kan skrive mmc i kør og tilføje schema master snapinnét der ;)

kan FSMO ha' noget og gøre med at rettighederne ikke fyngere?

Ja det kan det i aller højeste grad.

nå det var da rart at vide, kunne f...... ikke forstå de ikke trådte igennem.

nu har jeg lige prøvet og skrive mmc i cmd, men hvordan jeg lige tilføjer schema master snapinet det er jeg ikke lige klar over

når du har vinduet med mmc consollen fremme, tryk på file og add/remove snap-in og tilføj så schema snap-in

hvor finder jeg schema snapinet?

Det burde ligge som et af de øverste, Active directory schema hedder det helt præcist

vi er enige om at der er to faneblade og vælge imellem "Standalone" og "Extensions", jeg vælge "Standalone" og der er der så en rulle menu Snap-ins added to "Console Root" og i bunden er der en knap "add" klikker jeg på den så får jeg en masse valgmuligheder, men ikke noget der hedder Schema master eller Active Directory Schema. Har jeg måske installeret det forkerte Support Tool???

nu har jeg prøvet og skrive netdom query fsmo i cmd og der står der at alle fsmo'erne er på min server

jeg har ikke installeret support tools, og muligheden er der i min, men ja det er det korrekte sted du kigger, hvorfor du ikke har muligheden for at vælge det snap-in, ved jeg ikke lige pt.

ok, du kender vel godt netdom query fsmo?

når jeg laver en "netdom query fsmo" i cmd på min server kommer det her:

Schema Owner            hildoedc1.hilsoe.root.local
Domain role Owner        hilsoedc1.hilsoe.root.local
PDC role                hilsoedc1.hilsoe.root.local
RID pool manager        hilsoedc1.hilsoe.root.local
infrastructure Owner    hilsoedc1.hilsoe.root.local

er det så som det skal være?

prøver lige at sammenligne med min ;) (ps. bare luk det andet spørgsmål), det havde været nok at spørge her *S*

Det er magen til min, så det ser godt nok ud, men hvad / hvilke ting fungerer stadig ikke korrekt ?

hmmm, jeg får stadig de to warnings som jeg har beskrevet i mit spørgsmål, plus at rettighederne stadig ikke træder igennem.

har du exchange installeret ?

nej

web server installeret ?

nej jeg har kun en DC på mit netværk, 3 klienter, hvor en af klienterne har apache installeret

Hmm, så er jeg ved at være tom for bud :/ (nu havde jeg selv reinstalleret serveren tror  jeg, og især nu du kun har 3 klienter *S*)

hvad kan der ellers var glat så rettighederne ikke træder i kraft?

galt*

jeg har geninstalleret den to gang før og ved begge installationer kom de errors, det er først nu jeg har fået hjælp til at kigge på dem. Kan jeg gøre noget forkert under installationen?

kan errorsne være skyld i at min router chasher ca. hver 12. time??? eller kommer errorne af at min router chasher ca. hver 12. time?

Ja det er muligt du gør noget forkert, men lige præcis hvor kan jeg ikke helt gennemskue (der kan i teorien også være en fejl på din skive, men hvor sansynligt det er ved jeg ikek helt)

Hmm nej umiddelbart vil jeg ikke mene det har noget med det at gøre, men det burde din router nu ikke gøre. (altså crashe)

mener heller ikke min router crasher, ved slet ikke om det er derfor eller overhoved hvorfor den crasher, har prøvet med al slags adaware, spyware og virusscan

Eventid.net er altid god - prøv at kigge på nogle af de her svar:
http://www.eventid.net/display.asp?eventid=40960&eventno=787&source=LsaSrv&phase=1

Det er rigtig lækkert jeg kan læse mig til det der, men jeg skal være medlem. Og desværre har jeg ikke råd til det lige nu. Er du ? Så kan du måske copy paste det til en mail og maile det til mig?

Nå nu har jeg ladet serveren være i et par dage som den er. Jeg genstartede den i fredags kl. 22:00 og indtil nu har jeg ikke fået en af de to errors jeg har skreve i mit spørgsmål. så måske har jeg fået løst det. Med en KÆMPE hjælp fra screem_brille, men jeg har stadig problemer med rettighederne.

hvordan udarter det sig nu det med rettighederne ?

smid din Mail adresse, så sender jeg info fra eventid til dig.
Nogle af forslagene går på at det er et issue med DNS der ikke er startet op når andre services der er afhængige af DNS starter...

Prøv evt. at kigge her:
http://www.microsoft.com/technet/support/ee/result.aspx?EvtSrc=lsasrv&EvtID=40960&ProdName=Windows+Operating+System&LCID=1033&ProdVer=5.2

Det er IKKE velset at hjælpe over email / andre forummer, hjælpen / løsningen skal være tilgængelig her på eksperten, og jeg er da også interesseret i at finde ud af hvad fejlen i hans setup er, så hjælp her istedet for.

OK - det er bare fordi det fylder ret meget....

Ionut Marin (Last update 2/20/2005):
This can also occur if the File Replication Service (Ntfrs.exe) tries to authenticate before the directory service has started. See Q824217 to troubleshoot this problem. Also seeing the Kerberos FAQ might be of some help.

See Q891559 and the link to "Microsoft event 40960 from source lsasrv" for more details on this event.

Peter Van Gils (Last update 12/14/2004):
According to a newsgroup post, this error might be caused by problems with the W32time service. Check your time settings throughout the forest and solve all W32time errors and warnings first.

Christopher Kurdian (Last update 10/5/2004):
As per PK’s comments (see below), in order to make this event log entry disappear, simply make NETLOGON depend on DNS. This can be done in the registry easily, just go to “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon”, and add the string “DNS” to the key "DependOnService" (place it under LanmanServer).

Martin Eisermann (Last update 8/25/2004):
One of our customers got this error on two of his Windows XP workstation. The workstations could initially be connected to the Windows Small Business Server 2003 domain, but after a reboot, the domain was not accessible (logon, network drive mapping, etc.). The resolve this problem we replaced the client’s network card. The old card was an Acer network adapter that had no drivers for Windows XP but worked fine with the Intel standard driver and the existing NT 4.0 domain. However, Kerberos authentication with SBS 2003 domain was impossible.

K-Man (Last update 7/7/2004):
I experienced this problem on Windows XP workstations, when users logged into a terminal server and terminal sessions were disconnected (but not terminated). To fix this problem I configured the terminal server to end disconnected sessions, and end sessions where users were idle for more than a specified amount of time.

PK (Last update 2/25/2004):
We were also getting this error on a Windows 2003 Member Server (in a Windows 2003 AD) which had its own DNS Server Service Running. The problem was that the server was booting up and several services were trying to run (including NETLOGON) before the Member Servers DNS Server Service had started. This resulted in no name lookup for the Active Directory Domain and hence could not contact any Domain Controllers.

Vazy Gee (Last update 8/5/2003):
I had this event for users were connecting to our RRAS service. The end user could connect to RRAS and could ping hosts, nslookup hosts, tracert, etc... However, when the user tried to access any network resources in our Windows 2003 Active Directory that actually required authentication, it would fail. After a support call with Microsoft, it was determined that somewhere between his home machine and our RRAS server, the Kerberos UDP packets were being fragmented, hence any authentication was failing (recall he could ping, nslookup, etc). We set the following reg key to a value of 1 to force Kerberos authentication to use TCP instead of UDP and everything worked perfectly.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaKerberos\Parameters\MaxPacketSize=1

Note: On his XP Professional w/SP1 client, I had to create the Parameters subkey and MaxPacketSize DWORD value manually.

See Q244474.

Adrian Grigorof (Last update 8/5/2003):
From a newsgroup post: "An authenticated connection was requested but the negotiation to find a mutually agreeable security provider (SPNEGO) failed."

As per Q823712, on a Windows 2003 server, this behavior occurs when you restart the server that was promoted to a domain controller. In this scenario, the Windows Time service (W32Time) tries to authenticate before Directory Services has started. There are no adverse effects on computers that experience the warning events that are described in the "Symptoms" section.

Greg Martin
Had this on a WinXP workstation which could no longer access domain resources. The fix was changing the DNS settings to point to a Win2k DNS which was tied into Active Directory. Apparently the workstation could no longer locate SVR records for the kerberos authentication server. These records were not in our UNIX DNS but were in the Win2k DNS. Related  directly to Event 40961 - LsaSrv

Anonymous
In our case, one of our customer reports that they are periodically seeing slow logon times, (defined as the time between entering the password and hitting enter on the “Logon on to Windows Screen” and the disappearing of that screen) sometimes1 -3 minutes on Windows XP SP1. Windows 2000 Pro computers are unaffected. The domain these computers are logging onto is a Windows 2000 AD Native Mode Domain with AD Integrated DNS zones. Checking the event log of a machine reveals these 40960 errors in the system log.

Soluton: User Logon Failures must be enabled.
By looking at the logon failure audit event logged at the same time as the SPNEGO event, more  information about the logon failure can be obtained. Windows XP performs a reverse lookup on the DNS Server it is configured for as part of its own blackhole router detection. In the case where the DNS Server used does not have the Reverse Lookup Zone and/or no PTR Record for their DNS Server, the request gets forwarded out to the Internet.

The response comes back with one of the following server names:
prisoner.iana.org
blackhole-1.iana.org
blackhole-2.iana.org

These servers own the public PTR records for the 192.168.x.x zones. Since they have no record of your DNS Server, they reply with a "Server does not exist" reply, which causes LSASRV to log the error.

Solution: On the local DNS Server, create a Reverse Lookup Zone, and enter a record for your DNS Server.

Anothe case: The client was pointed to the ISP's DNS servers which contained a zone for the customer's domain. We removed the External DNS server addresses and ensured that DHCP was only assigning the Internal DNS server address. For testing we manually configured the DNS server address on a workstation which overrides the DHCP values. We can reference the following Knowledge Base Articles - Q291382 Frequently Asked Questions About Windows 2000 DNS.

Another case: Check the time on the workstation. Ensure that the day, time, time zone, AM/PM, year are correct. In my case the year was incorrect everything else was correct.

Last case: In this situation they actually were not authenticating to the DC. They were being logged in with cached credentials. 

Se evt:

http://www.microsoft.com/technet/support/ee/result.aspx?EvtSrc=lsasrv&EvtID=40960&ProdName=Windows+Operating+System&LCID=1033&ProdVer=5.2

screem_brille >> rettighederne, det kan være jeg lige skal beskrive hvilke rettigheder det er galt med, jeg tror ikke det er de rettigheder der er givet fra AD det er galt med, for jeg kan sagtens bruge funktionen \C$, med mit bruger navn, til en maskine, men prøver jeg med min kones kan jeg ikke og det er jo fordi hun ikke er medlem af domain admin. De rettigheder jeg snakker om er, en mappe(på en anden maskine end den jeg arbejder på) jeg har højre klikket på og under sikkerhed har jeg givet mig selv alle rettigheder, der kan jeg ikke noget kun læse. Man kan sige mappen skal fungere som på en fil-server.

ptracy >> al det der har jeg læst, det var mere det post om selve error type Lsasrv

OK finder det lige

LSA stands for "Local Security Authority" (the Windows component in charge of authenticating users to the local system for both local and remote logons. LSA is also managing the local aspects of security policies (for example password restrictions and audit settings).

The LSA is responsible for generating access tokens that contain information about the user’s group membership and level of security privileges on the system. The LSA runs as a user-mode process called lsass.exe within which various subcomponents run handling the different types of authentication supported by computers running versions of Microsoft Windows.

det blev jeg godt nok ikke klogere af.

Men du skriver også at problemet har løst sig, eller hva'?

ja når vi snakker om det problem som står i mit spørgsmål

Så luk dette spørgsmål og opret et nyt, der er større sandsynlighed for at  folk kan hjælpe nu problemet er et andet. ;)

en anden god grund til at oprette et nyt, er at søger andre efter et lignende problem vil de aldrig komme i nærheden af denne tråd, og derved hjælper det rellet kun dig (og ikke andre i samme fremtidige situation)

du har ret screem_brille, vil du ligge et svar så du kan få de point du har fortjent

Er hermed gjort ;)