Ich habe ein seltsames Phänomen, dass ich mir nicht erklären kann.
Wir nutzen an unserer Schule zwei Windows Images. Eines mit MS Office eines ohne.
Bisher läuft da überall Windows 10. Nun bin ich dabei zwei Images mit Win 11 zu erstellen. Dieses ist dann in verschiedenen Gerätegruppen integriert.
Dabei passiert folgendes: Ich habe ein funktionierendes Win 11 Image, das auf mehreren Gerätegruppen ohne Probleme läuft. Bei einer spezifischen Gerätegruppe kommt es aber reproduzierbar beim Start zu einem Bluescreen: Datei:\Windows\system32\winload.efi fehlt.
Das lässt sich mit Hilfe eines Win11 USB-Sticks auch reparieren und nen neues Image erstellen und dann geht es wieder, bis es nicht mehr geht.
Das seltsame ist nun aber: Wenn ich diese Gruppe dupliziere, und alle Einstellungen identisch beibehalte (habe die start.conf mit diff verglichen, diese sind bis auf Group und Description identisch), dann booten (nach Sync) die selben Rechner, mit dem selben Image ohne den Fehler.
Statt dessen ist ein Login dann aber nicht möglich: Nutzername oder Kennwort falsch (stimmen aber).
Nun hatte ich das Image dupliziert, mit Office versehen und einer anderen Gruppe zugewiesen. Dort hatte ich dann auch das Loginproblem. Lösen konnte ich das nur, indem ich aus der Domäne ausgetreten und wieder eingetreten bin mit anschließendem neuen Image (ohne Neustart).
Etwas Recherche ergab zudem, dass bei dem Image wo der Login nicht funkioniert unicodePWD im Samba (via ldbsearch --url=/var/lib/samba/private/sam.ldb "(&(sAMAccountName=<HOSTNAME>$))" unicodePwd | grep unicodePwd) und der .macct Datei des Images nicht übereinstimmen.
Ich habe große ???, was läuft/lief da schieff?
Ich mache jetzt mit dem betroffenen Image auch einen neuen Domainjoin und prüfe ob dann das Bluescreenproblem noch besteht.
dein Vorgehen ist nicht genau beschrieben, als dass ich da viel draus folgern könnte.
Wurden die .reg Dateien für die neuen Images bereitgestellt?
Hatten die Rechner, an denen der Login nicht möglich war, den Netzwerkverbindung zu dem Zeitpunkt? (Windows zeigt die Loginmaske gerne, bevor das Netzwerk bereit ist, weil bei Vista die Leute gemotzt haben, dass das booten so lange dauert: MS Lösung: Loginmaske zu früh anzeigen …). Das muss man mit einem Regschlüssel abstellen.
Wurde kontrolliert, ob die macct Datei den neu geschrieben wurde, nach der erneuten Domänenaufnahme?
Gab es Zeitprobleme an dem Rechner, bei dem der login nicht ging? Das muss immer überprüft werden.
Ich weiß, dass man gerne, um schnell wieder lauffähige System e zu erhalten, mal schnell aus und wieder eintritt in die Domäne. Zu empfehlen ist das aber nicht.
Und wegen des Bluescreens: wurden die Clients mit neu+start oder mit sync+start gesynct? Zweiteres mache ich bei windows nie, weil ich schlechte Erfahrungen (wie dein BlueScreen) damit gemacht habe. Das mag inzwischen mit dem neuen ntfs kernelmodul nicht mehr nötig sein: aber ich bin lieber safe than sorry…
Also sind wohl zwei verschiedene Probleme.
Der Login im ‚neuen‘ Image mit erneutem Domänenjoin funktioniert. Wieso das plötzlich nicht mehr ging, keine Ahnung.
ABER: Auch dieses Image führt zum beschriebenen Bluescreen und zwar nur bei genau einer Gerätegruppe. Bei anderen Gruppen klappts. Das Seltsame ist: die start.conf sind nahezu identisch.
Gibt es irgendwo anders noch Dateien, die Linbo berücksichtigt, welche Gerätegruppespezifisch sind?
Hallo Holger,
danke für deine Antwort, just in dem Moment wo ich was geschrieben habe.
Das Image hatte funktioniert und auf einmal ging es nicht mehr mit dem Login.
Netzwerkverbindung: Ja.
Loginmaske zu früh: Nein. (Die Regschlüssel sind drin. GPOs funktionierten bisher korrekt
Macct Datei: die supplementalCredentials waren korrekt. Also gehe ich davon aus, das die macct Datei geschrieben wurde, aber irgendetwas nicht an den Samba übertragen wurde, siehe unicodePwd
Zeitprobleme: Nein
Zum Domänenaus und -eintritt: Das war das Einzige, was geholfen hat, schnell hab ich das nicht gemacht, Ich bin leider schon ein paar Tage an der Problematik dran. Windows war der Meinung Teil der Domäne zu sein, die Domäne war verfügbar, aber die Credentials wurden nicht akzeptiert. Der Neueintritt schien mir die bessere Möglichkeit, als im AC nach Fehlern zu suchen…
Bluescreen: Formatieren, Rotstart (Neu+Sync) → Bluescreen, Gruppe wechseln/Neustart, Rotstart → Boot funktioniert. Das heißt das Image im Cache wurde nicht neu heruntergeladen, aber neu auf die Windowspartition geschrieben. Orange-Start (sync+start) haben wir nicht aktiv.
wurde den bei den neuen Images auch die global.reg eingespielt vor der Domänenaufnahme?
Und zu den Bluescreen: ist schon seltsam, wenn der manchmal auftritt und nur bei einer HWK.
Hast du da mal die windowsupdates laufen lassen: vor allem das „Treiber installieren“ der Windowsupdates?
Sind bei der HWK nur immer die gleichen Cleints betroffen, oder immer mal andere wild wechselnd in der HWK?
