jostrn

hab' im Technet ein Skript gefunden, mit dem ich alle paar Minuten die Rechte neu setzen kann: Delegate the Send As Extended Right for a Single User. Jetzt kann ich in Ruhe den Fehler suchen gehen.

Danke, Grizzly, Protokollierung funktioniert, aber ich finde den Löschvorfall nicht. Ich wollte jetzt ein ADSI-Skript schreiben, das per cron jede Minute nachsieht, ob der Eintrag noch im AD steht; so könnte ich grob den Zeitpunkt bestimmen. Wo im AD sind die Rechte auf ein Objekt abgebildet? Ich habe die Attribute der beiden betroffenen Objekte ausgelesen aber finde keine Bezüge aufeinander.

Gibt es eine einfache Möglichkeit, Schreibvorgänge in bestimmten Containern des AD zu überwachen?

Mach Dir da mal wenig Sorgen, laut MS sind auch die 2000er noch aktuell: Discontinuation of Microsoft Certification exams Wenn Du MCSA oder MCSE für die 2003 Produktreihe bist wenn der neue Server rauskommt kannst Du wahrscheinlich mit zwei Tests Deine Zertifizierung für den neuen Server bekommen.

Hallo, habe einen Blackberry Enterprise Server, einen Exchange 2003 Server, ein 2003er AD und folgendes Problem: vor kurzem hat MS die Rechte des Exchange geändert - selbstverständlich nur, weil "viele Microsoft Exchange-Kunden" das so wünschen. ;) Siehe auch http://support.microsoft.com/kb/912918 Der Benutzer, unter dem der BES läuft, braucht ab sofort bei betreffenden Nutzern das Recht "Senden als" im AD. Nach ca. 1h verschwindet der Eintrag aus dem AD und ich muß ihn wieder hinzufügen :suspect: . Woher kann das kommen? Ich kann bislang keine Regelmäßigkeit erkennen, seit der Änderung Anfang Mai ist es aber schon zwei Mal passiert. Bin für jeden Tip dankbar edt1: aus mehreren Tagen wurde bei genauer Beobachtung nur ca 1h, bis der Eintrag aus dem AD verschwindet

Das ist dann Sache der Geschäftsleitung, ob die Mutter eine Abmahnung o.ä. bekommt - ich habe noch nie erlebt, daß beim ersten Mal bzw. einer begründeten Ausnahme scharf geschossen wird. Die besorgte Mutter kann sich auch die Erlaubnis zum Privatgespräch einholen; das wäre der formal korrekte Weg. Zu dem Thema fällt mir auch dieser Link ein: http://www.123recht.net/article.asp?a=15616

Wenn Deine Antwort kein klares Ja ist solltest Du an Sanktionen/Strafen erst gar nicht denken, Arbeitsrecht ist Sache der Personaler und hinzugezogener Rechtsanwälte. Du kannst aber einen Soll-Zustand entwerfen, in dem Du z.B. festhälst, wer Datensicherungen durchzuführen hat, wer welche Zugriffsrechte hat, wer welche Ressourcen wie (auch privat?) nutzen darf etc. Keep it simple && flat ;) Überlege Dir die einzelnen Fragen und gehe dann zu dem zuständigen Entscheider, damit er sie beantwortet - wie lefg schon meinte machst Du Dich sonst nur unbeliebt, ganz davon abgesehen, daß Du kaum beurteilen kannst, welcher Benutzer welche Zugriffsrechte braucht. Den Soll-Zustand schickst Du dann als Deinen Vorschlag einer Betriebsanweisung an die Personaler und die sollen sich überlegen, wie sie ihn erreichen.

Es gibt Evergreens, die immer wieder gefragt werden - auf die sollte er sich vorbereiten. "Warum wollen Sie gerade bei uns arbeiten?" wäre so eine Frage. Da schmeichelt es der Gegenseite, wenn man sich wirklich Gedanken gemacht hat und sich mit der Firma beschäftigt hat. Wenn ihr Rollenspiele übt solltest Du auch auf seine Haltung, Mimik usw. achten. Er sollte leicht angespannt, aber nicht verkrampft sein, aufrecht sitzen und -ganz wichtig- sein Gegenüber anschauen. Wichtig ist auch eine klare und deutliche Sprache. Ziemlich viel, was man falsch machen kann, aber wie (fast) immer gilt: Übung macht den Meister ;)

Hi, in meinem Verzeichnis befinden sich noch einige Benutzer, deren physische Exemplare im Guten und teilweise auch im Schlechten aus der Firma verschieden sind. Der Einfachheit halber habe ich die Accounts deaktiviert aber mittlerweile frage ich mich, ob ich sie wie beim letzten Mal bis zur nächsten Migration mitschleppen soll. Wie macht ihr das? Jeder Benutzer hat ein persönliches Verzeichnis, auf das die Administratoren keinen Zugriff haben, ein E-Mail-Postfach im Exchange und natürlich ein AD-Konto. Eine Richtlinie oder eine Vereinbarung gibt's bei uns natürlich nicht.

sehe gerade, daß der Thread noch offen ist. Das Problem hatte ich noch am selben Tag behoben: es war der gute Thunderbird, der bei einem Update die mapi32.dll vom Exchange (629 KB) mit seiner eigenen (7 KB) ersetzt hat. Netterweise hat er die ursprüngliche Datei in mapi32_moz_bak.dll umbenannt.

Hi, wollte heute morgen den Smarthost auf einem SBS 2k3 Premium ändern und -schock schwere Not- der System Manager stürzt reproduzierbar ab. In meiner Not habe ich den Exchange schon neugestartet, dann den SBS aber der Fehler ist geblieben. Im Eventlog finde ich folgenden Eintrag: Ereignistyp: Fehler Ereignisquelle: Microsoft Exchange Server Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 13.03.2006 Zeit: 10:36:11 Benutzer: Nicht zutreffend Computer: X Beschreibung: Faulting application exadmin.dll, version 6.5.7226.0, stamp 406d1e32, faulting module kernel32.dll, version 5.2.3790.0, stamp 3e811dfc, debug? 0, fault address 0x000249d3. Kennt jemand von euch das? Ohne System Manager fehlt mir irgendwie etwas - nicht das ich ihn vermisse aber es ist einfach anders :suspect:

auf den Client habe ich grad keinen Zugriff aber ipconfig auf dem Server sagt Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : sbssrv Primäres DNS-Suffix . . . . . . . : xxx.xx Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Ja DNS-Suffixsuchliste . . . . . . . : xxx.xx Ethernet-Adapter VM BES: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1 Physikalische Adresse . . . . . . : 00-50-56-C0-00-01 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.10.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : Ethernet-Adapter cL-relay_ext: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : TAP-Win32 Adapter V8 (coLinux) #2 Physikalische Adresse . . . . . . : 00-FF-XX-XX-XX-XX DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.7.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 10.12.7.2 Ethernet-Adapter cL-relay_int: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : TAP-Win32 Adapter V8 (coLinux) Physikalische Adresse . . . . . . : 00-FF-XX-XX-XX-XX DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.6.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 10.12.6.2 PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-XX-XX-XX-XX DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.1.11 Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : NetBIOS über TCP/IP . . . . . . . : Deaktiviert Ethernet-Adapter WAN: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT Desktop Adapter Physikalische Adresse . . . . . . : 00-0E-XX-XX-XX-XX DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.4.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 10.12.4.1 DNS-Server . . . . . . . . . . . : 10.12.1.2 NetBIOS über TCP/IP . . . . . . . : Deaktiviert Ethernet-Adapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 CT Network Connection Physikalische Adresse . . . . . . : 00-0D-XX-XX-XX-XX DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.12.1.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 10.12.1.2 Primärer WINS-Server . . . . . . : 10.12.1.2 Nur LAN und WAN sind physisch, die anderen sind virtuelle Verbindungen, z.T. für VMs. Wie sehe ich, woran es bei beim DNS happert? Wenn ich q=A setze und nach meiner Domäne suche bekomme ich folgende, mir korrekt scheinende Antwort: > xxx.xx Server: sbssrv.xxx.xx Address: 10.12.1.2 Name: xxx.xx Adresses: 10.12.1.2, 10.12.1.11, 10.12.6.2, 10.12.10.2, 10.12.7.2, 10.12.4.2 Am Notebook konnte ich leider mangels Verfügbarkeit nichts testen aber heute ist ja auch ein Tag. Mir scheint noch erwähnenswert, daß das Notebook seine Konfiguration via DHCP bezieht und die so erteile IP problemfrei vom DNS-Server registriert wird und sich abfragen läßt.

Das Computerkonto habe ich manuell angelegt, hat aber nichts gebracht. Registerdns werde ich heute mal probieren.

Hi, habe ein WinXP SP2 Pro-Notebook als neues Problemkind in einem W2k3(SBS)-Netzwerk. Von dem Notebook ist kein Zugriff auf Exchange oder auf Verzeichnisfreigaben möglich, die Fehlermeldung weiß ich nicht mehr genau aber irgendwas in der Richtung nicht verfügbar. TCP/IP-Verbindungen funktionieren und es läßt sich auch eine VPN-Verbindung aufbauen ohne daß sich dadurch irgendetwas ändern würde. Es wird eine Domäne verwendet und das Notebook ist als einziger Rechner nicht Domänenmitglied; bei allen anderen Rechnern funktionieren Exchange-Zugriff und die Freigaben. RestrictAnonymous ist auf 1 was bislang nie ein Problem war. Heute habe ich versucht, mit dem Notebook der Domäne beizutreten und erhielt dabei folgende Fehlermeldung: Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "xxx.xx" verwendet wird, wurde ordnungsgemäß abgeschlossen: Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.xxx.xx Die folgenden Domänencontroller wurde von der Abfrage identifiziert: sbssrv.xxx.xx Die häufigsten Ursachen dieses Fehlers sind: - Host (A)-Einträge, die den Namen des Domänencontroller dessen IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen. - Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt. Die Hosteinträge habe ich mit nslookup überprüft und für korrekt befunden. Der DC ist am Netz und wird ausgeführt; der DC ist als erster DNS-Server eingetragen (DHCP). Hattet ihr so einen Fall schonmal oder habt ihr Ideen, wo es hängt?

Hallo, ich möchte meine Routingkenntnisse am W2k3-Server vertiefen und habe in eine Testkiste dafür ein paar Netzwerkkarten eingesteckt (2x normal, 2x4Port = 10 Ports). Jetzt scheitere ich aber schon an einer sehr einfachen Konfiguration mit vier Netzwerkkarten: 1. Adapter: 192.168.1.1 / 255.255.255.0, als Default-GW 192.168.1.2 2. Adapter: 192.168.2.1 / 255.255.255.0 3. Adapter: 192.168.3.1 / 255.255.255.0 4. Adapter: 192.168.4.1 / 255.255.255.0 Zwei Rechner an Adapter 2 und 3 können sich gegenseitig nicht anpingen (timeout). Der Rechner an Adapter 2 kommt über das Gateway ins Internet, der Rechner an Adapter 3 bekommt auch hier einen timeout. Beide Rechner können alle 4 Adapter des W2k3 erfolgreich anpingen. Was mache ich falsch? Sind die Subnetzmasken nicht ok?

1) als Dienst beim Systemstart starten (die Anwendung bleibt dann im Hintergrund) oder 2) als geplanten Task zu 1) http://www.mcseboard.de/showthread.php?t=8903 http://support.microsoft.com/kb/q137890/ zu 2) Ich würde Dir raten, die Anwendungen über Systemsteuerung>Geplante Tasks hinzuzufügen; dabei kannst Du angeben, daß die Anwendungen beim Starten des Computers oder beim Anmelden ausgeführt werden sollen und auch unter welchem Konto. zur Sicherheit: Du solltest zumindest verhindern, daß andere Benutzer die Dateien ändern können, also im NTFS nur Administratoren ändern und schreiben erlauben.

Könnte auf Probleme beim Verbindungsaufbau hindeuten. Baut Firefox die Seiten in gewohnter Geschwindigkeit auf, wenn Du über Extras>Einstellungen>Web-Features das Laden von Grafiken abstellst? Läuft auf dem Win 2000 Srv ein HTTP-Server? Wenn ja, wie schnell ist der Seitenaufbau von diesen Seiten im Browser?

ich hab' gefürchtet, daß es auf den statischen Pool rausläuft... wenn es nicht mit DHCP geht, muß ich es wohl so machen. Vielen Dank, Josef

Hallo allerseits, habe einen Win2k3 Srv mit RRAS und PPTP. Die Adreßvergabe erfolgt über den DHCP-Server des W2k3 Srv, allerdings aus dem Pool des normalen LANs (10.12.1.x). Bsp: LAN-IP des Win2k3 Srv: 10.12.1.2 PPTP-IP des Win2k3 Srv: 10.12.1.36 PPTP-Client-IP: 10.12.1.30 Wie kann ich für die PPTP-Schnittstelle Adressen aus einem anderen Subnetz vergeben? Im DHCP-Server habe ich dafür schon einen neuen Pool 10.12.2.x eingerichtet. Viele Grüße, Josef

Der Remote-Zugang per VPN, muß später im Produktivbetrieb verfügbar sein; deswegen mache ich jetzt auch schon alles damit.

Würde mich wundern. Ich hatte testweise 10.12.1.3 und 10.12.1.2 eingetragen aber dadurch hat sich nichts spürbar geändert. Auf coLinux ist 10.12.3.1 ja als Gateway eingetragen und der ping an 10.12.1.2, 10.12.1.36 und 10.12.1.30 geht ja. Meine Vermutung ist immer noch, daß er alles an 10.12.1.x über 10.12.1.36 schickt. Ich werd' mal versuchen, die PPTP/VPN-Schnittstelle in ein anderes Subnetz (10.12.2.x) zu verlagern.

Kann ich die ICMP-Requests von 10.12.3.2 mit Hausmitteln von Windows protokollieren? Vor allem, über welche Schnittstelle sie rausgehen?

Ach, ich drücke mich zu mißverständlich aus, sorry: 10.12.1.4 ist der Router in das normale Firmennetz, aber das ist hier ja nicht relevant. Probleme macht mir ja das Routing auf dem Win2k3 Srv (10.12.1.2, 10.12.3.1).

Das einzige route-Kommando, das ich ausgeführt habe war route print ;-) RRAS ist installiert, RIP v2 auch, allerdings mit niedrigster Priorität (120) hinter OSPF (110), Netzwerkverwaltung (10), autostatisch (7), statisch o. Wählen (5), statisch (3) und lokal (1). Muß ich die Rangfolge ändern? Was mich etwas stutzig macht, ist das ich von coLinux meinen Arbeitsplatzrechner über die VPN-Verbindung anpingen kann, aber nicht den Router, der hinter der LAN-Schnittstelle hängt. mein Arbeitsplatz 10.12.1.30 (via PPTP) | | 10.12.1.36 Win2k3 10.12.1.2 ------ X ------ 10.12.1.4 10.12.3.1 | | 10.12.3.2 coLinux (virtuell auf Win2k3) Ich würde vermuten, daß Win2k3 alle Pakete für 10.12.1.x über 10.12.1.36 rausschickt und da kann er 10.12.1.4 natürlich nicht erreichen und wirft einen timeout. Aber dann müßte es doch in der Routing-Tabelle einen Eintrag 10.12.1.0___255.255.255.0___10.12.1.36___10.12.1.36 geben?! Und der Win2k3 dürfte 10.12.1.4 ja selbst nicht pingen können, das geht aber. Kann ich das Routing-Verhalten nicht mitprotokollieren lassen? Ich habe es angeschaltet, finde aber weder in der Ereignisanzeige noch in windows\tracing Einträge oder Dateien dazu.

Ich war mir gar nicht bewußt, daß ich ein statisches routing habe; müßte eine statische Route nicht in der Tabelle unter "Ständigen Routen" erscheinen, bzw. in der entsprechenden Ansicht der Remote&Ras-Console? Ich dachte, bei aktuell ist alles dynamisch