8 Replies Latest reply on Sep 10, 2015 5:40 AM by derniwi

    DSM Konsolen Anmeldung nicht überall

    Shvartsman Apprentice
      Hallo zusammen,

      seit kurzem haben wir hier ein Problem, und zwar DSM Konsole auf dem ORG
      Management Point Server (ORGMP Server) lässt sich nicht starten und quittiert
      Versuch  mit einer Meldung: „Sie haben keine Berechtigung zum Starten der DSM Konsole….“.
      Zwei Benutzer (ein DomainAdmin und ein EnteoAdmin, auch Mitglied von AD-Gruppe
      Domain-Admins) sind in DSM-Administrationsberechtigungen für Vollzugriff konfiguriert
      und beide haben jetzt og. Problem.

      Wir haben hier noch zwei Seits mit MP – von dort erfolgt für beide Benutzer Vollzugriff
      auf DSM Konsole bei entsprechender Anmeldung an Server (über eine Verknüpfung wie
      auf dem ORGMP Server mit Ziel \\ORGMP Server\enteo$\dsmc.exe) problemlos.

      Und von Client PC mit angemeldetem normalen, nicht administrativen Domain User und
      ohne jegliche Berechtigung für DSM-Konsole Zugriff, funktionieren Befehle (Batch)

      a) runas /user:domain.intra\enteoadmin \\ORGMP Server \enteo$\dsmc.exe bzw.
          runas /user:domain.intra\domainadmin \\ORGMP Server \enteo$\dsmc.exe

          und

      b) runas /user:domain.intra\enteoadmin “\\ORGMP Server \enteo$\dsmc.exe /localncp” bzw.
      runas /user:domain.intra\domainadmin “\\ORGMP Server \enteo$\dsmc.exe /localncp”

      auch einwandfrei (in zweitem Fall nur mit ausgeblendetem Infrastruktur Ansicht) - man hat
      Vollzugriff auf DSM Konsole.

      Wie kriegen wir Konsole auf dem ORG MP Server zum starten?

      Gruß
      Michael
        • 1. Re: DSM Konsolen Anmeldung nicht überall
          derniwi Master
          Hallo,

          hängt noch ein Task?
          Server schonmal neu gestartet?

          Gruß
          Nils
          • 2. Re: DSM Konsolen Anmeldung nicht überall
            Klaus Salger Expert
            Hallo Michael,

            ich würde auf dem betroffenen Server zunächst prüfen, ob noch ein dsmc.exe-Prozess läuft.

            Wenn ja, beenden.
            Wenn nein, DSMC.log prüfen.

            Wenn das Log nicht aussagekräftig genug ist, temporär das Logging auf "detailed" setzen. Danach Zurückstellen nicht vergessen.

            Ciao
              Klaus
            • 3. Re: DSM Konsolen Anmeldung nicht überall
              Shvartsman Apprentice
              Hallo zusammen,

              Server schon neu gestartet, DSMC.EXE*32 läuft ohnehin nicht. Prozess wird gestartet und nach verneinen „Sie haben keine Berechtigung…“ selbst beendet.
              @Klaus, mit DSMC.log meinst Du, z.B.,  dsmc_enteoadmin_xx.log bzw dsmc_domainadmin_xx.log, je nachdem, wer hat es versucht DSMC zu starten?
              Protokollierung war schon von meinem Vorgänger für ganze ORG auf Detailliert (Debug) gesetzt, habe erst jetzt bemerkt. Was wäre Standardwert: Normal oder Minimal?
              Trotzdem ich finde im Log nichts Verdächtiges, bzw. „Aussagekräftiges“. Kannst Du bitte genaue definieren, nach was soll man suchen?

              Gruß
              Michael
              • 4. Re: DSM Konsolen Anmeldung nicht überall
                _Mel_ Master
                wie ist denn die genaue fehlermeldung ? (am besten mit Ctrl-C die messagebox kopieren)
                • 5. Re: DSM Konsolen Anmeldung nicht überall
                  Shvartsman Apprentice
                  Hallo Mel,
                  hier ist die Fehlermeldung:

                  ---------------------------
                  DSM Konsole
                  ---------------------------
                  Sie haben keine Berechtigung zum Starten der DSM Konsole.
                  Wollen Sie sich stattdessen mit einem anderen Benutzerkonto anmelden?

                  ---------------------------
                  Ja   Nein  
                  ---------------------------


                  Gruß
                  Michael
                  • 6. Re: DSM Konsolen Anmeldung nicht überall
                    Klaus Salger Expert
                    Hallo Michael,

                    ja, genau diese dsmc-Logs meine ich.
                    Momentan ist das detaillierte Log gut, auf die Dauer wäre "normal" besser weil das durch weniger Logging die Computer entlastet.

                    Was im Log interessant ist, kommt sehr auf den Einzelfall an.

                    Das Ende des Logs zu dem Zeitpunkt, zu dem der Fehler auftritt ist aber meistens interessant. Also Fehler reproduzieren, stehen lassen und parallel das aktuelle Log öffnen und die letzten Logeinträge anschauen.

                    Ansonsten werden Zeilen mit Fehlern mit " E " gekennzeichnet, d.h. nach Zeilen, die das enthalten wären zu prüfen.

                    Wenn Du nichts interessantes findest kannst Du das Log auch mal posten.

                    Ciao
                      Klaus
                    • 7. Re: DSM Konsolen Anmeldung nicht überall
                      Shvartsman Apprentice
                      Hallo zusammen,

                      @Klaus, ich habe mich nochmal mit LOGs beschäftigt.

                      Diese Warnungen

                      14:22:19.151 1    > Action 'Initializing xnidADSI.dll' started
                      14:22:19.151 0     Max duration: 90
                      14:22:19.151 2     xnidADSI: Checking for AD client...
                      14:22:19.166 E     Warning (Module:xnidADSI, Severity:0x03): AD: Couldn't get Active Directory site name
                      Für diesen Computer ist kein Sitename vorhanden.
                      14:22:19.166 2     xnidADSI: AD Client not installed or the client is not part of an AD site structure
                      14:22:19.166 1     > Action 'Initializing xnidADSI.dll' failed (Action took 16 ms.)



                      14:22:20.196 1    > Action 'Initializing xniPrxAd.dll' started
                      14:22:20.196 0     Max duration: 90
                      14:22:20.196 2     xniPrxAD: Checking for AD client...
                      14:22:20.196 0     xniPrxAD: loading NetApi32.dll ...
                      14:22:20.196 0     xniPrxAD: Ok, ADClient found on Workstation
                      14:22:20.196 E     Warning (Module:xniPrxAD, Severity:0x03): AD: Couldn't get Active Directory site name
                      Für diesen Computer ist kein Sitename vorhanden.
                      14:22:20.196 0     xniPrxAD: Couldn't get site name
                      14:22:20.196 2     xniPrxAD: AD Client not installed or the client is not part of an AD site structure
                      14:22:20.196 1     > Action 'Initializing xniPrxAd.dll' failed (Action took 0 ms.)



                      habe ich schon frühe gesehen und in „AD Sites and Services“ finde ich Subnetz von betroffenen Server nicht.

                      Spielt es irgendwelche Rolle für die DSMC-Anmeldung (Authentifizierung)?

                      Auf jeden Fall finde ich diese Warnungen weder auf den Client-PCs noch auf den Seits MP (diese Netzwerkbereiche sind in „AD Sites and Services“ vorhanden) noch im früheren LOGs auf dem betroffenen Server nicht, also nirgendwo wo DSMC-Anmeldung funktioniert  einwandfrei.

                      Ansonsten als stehet noch MsgBox finde ich nichts mehr Verdächtiges bis Ende von LOG.
                      Ich weiß es nicht ob wäre bei uns in letzte Zeit an Netzwerk bzw. AD gebastelt. Muss mit AD-Verantwortlichen sprechen um Fehler im AD korrigieren (entsprechende Eintrag in „AD Sites and Services“ machen).
                      Aber jetzt verabschiede ich mich für 2 Wochen in den Urlaub, deshalb melde ich mich hier erst danach.

                      Gruß
                      Michael
                      • 8. Re: DSM Konsolen Anmeldung nicht überall
                        Frank.Scholer Master
                        Hallo Michael,

                        ich nehme an, du hast die Gruppen in den Administrationsberechtigungen als AD-Gruppen eingetragen (haben dann das Prefix "AD:"). Das funktioniert nur dann, wenn auf dem Rechner, der das prüfen soll, auch die AD-Integration funktioniert, was bei dir laut Log ja zumindest nicht 100% tut.

                        Ich mache es der Einfachheit immer so, dass ich die NT-Notation verwende mit \ (der Eintrag in der Konfigtabelle hat dann das "NT:" Prefix), damit funktioniert es meiner Erfahrung nach zuverlässig.

                        HTH, Grüße Frank