5 Replies Latest reply on Sep 1, 2009 7:38 AM by Klaus Salger

    PXE Boot Netzwerkanmeldung schlägt fehl

    DVD1 Rookie
      Hallo,

      kaum ist man mal im Urlaub geht nichts mehr :-( Vielleicht finde ich hier Hilfe:

      Also, wir haben noch Netinstall 5.80 mit OSD 3.2 im Einsatz und natürlich keinen Softwarepflegevertrag. Seit ca. 14 Tagen bleibt die OSD installation beim Verbinden auf die Installationsquellen mit der Aufforderung einer Passworteingabe hängen.
      Sieht also nach einem Authentifizierungsproblem aus. Nur das wir schon seit längerem einen 2003 Server hatten, hatten weil der Fehler just seit dem Augenblick aufzutreten scheint als die Servertruppe den Domänencontroller von 2003 auf 2008 geupdatet hat. Der Netinstallserver ist nach wie vor ein 2003.

      Wir haben die Authentifizierung überprüft, paßt.

      Ich habe dann gesucht, hier das Forum gefunden und festgestellt das mittlerweile Win PE das Maß aller Dinge zu sein scheint. Im Whitepaper "Unterstützung von Windows PE 2005 in enteo OSD 3.2" wird ja alles beschrieben, allerdings komme ich dort nur bis 3.1. Das Archiv OSD_PE.ZIP soll sich beim KB Artikel 544 finden lassen, nur den Artikel scheint es nicht mehr zu geben. Eine diesbezügliche Anfrage beim Support scheint mangels Pflegevertrag nicht beantwortet zu werden .

      Und dann habe ich hier noch gelesen das es dieses Archiv nur mit gültigem Pflegevertrag geben soll!

      Also, meine Frage(n):

      Habt Ihr einen Tipp wie ich OSD wieder ans laufen bekomme OHNE viel Geld, am besten gar keines, ausgeben zu müssen - oder führt kein Weg daran vorbei?

      Woher kann man dieses Archiv bekommen oder ist das wirklich nur mit Pflegevertrag möglich?

      Und ja, ich werde mich noch einmal an den Support wenden, aber bisher wurde auch eine Anfrage zu den Kosten eines Updates des Pflegevertrags ignoriert (nachdem ich mit enteo telefonischen Kontakt hatte).

      Besten Dank
      Thomas
        • 1. Re: PXE Boot Netzwerkanmeldung schlägt fehl
          Klaus Salger Expert
          Hallo Thomas,

          grundsätzlich halte ich den Einsatz von WinPE für eine ganz gute Idee, Stand heute würde ich aber gleich über ein Update auf enteo V6 nachdenken.

          Wenn das von Dir geschilderte Authentifizierungsproblem der einzige Grund ist, etwas zu ändern würde ich aber versuchen das Problem zu lösen, statt gleich alles auf WinPE umzustellen.

          Erste spontane Ideen dazu:
          1. GPOs
          Kann es sein, dass der NetInstall Server im Zuge der Umstellung der Domain auf W2k8 neue Policies bekommt? Womöglich welche, die sich auf die NTLM-Authentifizierung beziehen?
          2. OSD Server
          Ist der NetInstall Server auch tatsächlich gleichzeitig, der Server, auf dem die Shares mit den Betriebssystemquellen liegen? Das ist ja nicht selbstverständlich. Wenn der Server mit den OS Sources auf W2k8 upgedatet wurde wäre das auch eine Erklärung.

          Ciao
            Klaus
          • 2. Re: PXE Boot Netzwerkanmeldung schlägt fehl
            SBRUTSCH Expert
            Hi,

            mit Änderung auf der DCs auf 2008 werden auch die neuen Sicherheitsrichtlinien aktiv. Das heißt das verschiedene NTLM Authentifizierungen ausgeschalten sind.

            Auf der Enteo Website unter dem Punkt Whitepapers gibt es "[URL="http://forum.enteo.com/download.php?seite=support_whitepapers_de&navigation=282033&root=47&system_id=106734&verzeichnis=portal%2Fdownloadcenter%2Fdateien%2Fsupport_whitepapers%2F&back_klasse=downloadcenter_ordner&src=portal%2Fdownloadcenter%2Fdateien%2Fsupport_whitepapers%2Fosd-windows2003_de.pdf"][COLOR=#505050]OSD - Verbinden auf die Installationsquelle schlägt fehl". Dort solltest du alles Einstellungen vorfinden.

            Gruß
            Stefan
            • 3. Re: PXE Boot Netzwerkanmeldung schlägt fehl
              DVD1 Rookie

              Hallo Thomas,

              grundsätzlich halte ich den Einsatz von WinPE für eine ganz gute Idee, Stand heute würde ich aber gleich über ein Update auf enteo V6 nachdenken.



              Gegen einen Umstieg auf v6 spricht das ich die notwendigen Gelder dieses Jahr definitiv nicht bekomme!

              Gegen den Einsatz von PE spricht momentan das fehlende Archiv von enteo.

              Zu Deinen Ideen und auch dem Vorschlag von SBR:
              Laut unserer Serverabteilung sollten diese Fehlerquellen ausgeschlossen sein, das entsprechende WP habe ich denen vorgelegt und sie haben es abgearbeitet - leider ohne Erfolg.

              Wenn ich mich auf der Konsole anmelde und eine Domain mit angebe, dann erhalte ich die Fehlermeldung "You were logged on, but have not been validated by a server!" was ja eigentlich auf ein Athentifizierungsproblem hinweisen würde
              • 4. Re: PXE Boot Netzwerkanmeldung schlägt fehl
                SBRUTSCH Expert

                Wenn ich mich auf der Konsole anmelde und eine Domain mit angebe, dann erhalte ich die Fehlermeldung "You were logged on, but have not been validated by a server!" was ja eigentlich auf ein Athentifizierungsproblem hinweisen würde



                Hört sich genau danach an. Es gibt da noch eine Einstellung die nicht im Whitepaper steht. Ich habe da mal was zusammen geschrieben. Passt zwar nicht genau zu deiner Fehlerbeschreibung, aber ein Versuch wäre es Wert.

                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Zugriff auf Windows Server 2003 mit DOS Client nicht möglich


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Betroffenes Produkt:


                  [*]'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>NetInstall OSD-AddOn (alle Versionen bis einschließlich 3.15)
                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Beschreibung:
                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Um OSD auf einem Windows Server 2003 System zu betreiben müssen einige Einstellungen vorgenommen werden. Diese Einstellungen werden alle im Whitepaper "Installieren des NetInstall OSD-AddOns 3.x


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>unter Windows Server 2003" beschrieben. Trotzdem kann es vorkommen, dass in der DOS Phase von OSD auf den OS-Share nicht zugegriffen werden kann. Folgende Fehlermeldung erscheint:


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>The logon credentials supplied were incorrect. Make sure your username and domain are correct, then type


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>your password again.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Auch mit anderen Accounts ist die Anmeldung nicht erfolgreich.



                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Ursache:
                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Ursache für das Problem ist eine Policie für die Netzwerk Sicherheit'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>. Diese verhindert das Passwörter mit weniger als 15 Zeichen noch mit dem Lan-Manager Hash gespeichert werden. Dadurch können Clients vor Windows 2000 nicht mehr auf Freigaben dieses Systems zugreifen.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Dieser Effekt taucht nur dann auf, wenn das Passwort eines Benutzerkontos nach der Aktivierung dieser Policie geändert wurde. Ein Konto mit altem Passwort kann für den Zugriff weiterhin genutzt werden.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Lösung:
                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Die Aktivierung zur Speicherung des LM Hashes '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>kann über eine Group-Policie oder über einen Registry Key vorgenommen werden.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Group-Policie:


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>1. In den Group-Policies unter Computer Configuration - Windows Settings - Security Settings - Local Policies die Security Options auflisten.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>2. In den verfügbaren Policies die Network security: Do not store LAN Manager hash value on


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>next password change'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'> doppel klicken.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>3. '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Option Deaktivieren wählen und mit OK bestätigen.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Registry:


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>1. Über Start, Ausführen regedit starten.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>2. Folgenden Registry Wert markieren


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>3. Einen neuen DWORD-Wert NoLMHash anlegen.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>4. Den Wert auf 0 setzen und mit OK bestätigen.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>5. Computer durchstarten und Passwort ändern.


                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Status:
                '>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>'>Für das in diesem Artikel beschriebene Problem weißt der Microsoft Knowledge Base Artikel KB299656 hin.

                • 5. Re: PXE Boot Netzwerkanmeldung schlägt fehl
                  Klaus Salger Expert
                  Bei der Fehlermeldung fällt mir auch noch was anderes ein.

                  Die DCs müssen natürlich für den netlogon auch gefunden werden. Das würde per Broadcast funktionieren, wenn mindestens ein DC im gleichen Subnetz steht. Wenn das nicht der Fall ist –und das dürfte in größeren Netzen der Regelfall sein – braucht’s einen WINS oder eine lokale lmhosts.

                  Wenn es zu Testzwecken möglich ist mal einen Client ins Server Subnetz zu stellen oder es einen Standort gibt, bei dem das ohnehin der Fall ist wäre das schnell getestet.

                  Ansonsten würde ich prüfen, ob es nach wie vor einen WINS gibt und ob die WINS Serveradressen auch per DHCP geliefert werden und ob die DCs im WINS sauber registriert sind.

                  Wenn ich's mir recht überlege sollte der Zugriff auf das Share mit den OS Sourcen allerdings auch ohne direkten Kontakt zum DC funktionieren. Die eigentliche Authentifizierung per NTLM sollte ja per weiterleitender Echtheitsbestätigung zwischen Server und DC erfolgen.
                  Das weist dann doch eher auf ein Problem zwischen Client und Server oder auch zwischen Server und DC hin.

                  Ciao
                    Klaus