gysinma1

Hallo In dem neuen aufzubauenden Domaincontroller muss die DNS-Server Adresse von dem 1. Domaincontroller (am besten den FSMO Master) drinstehen sonst kommst nit gut. Der ganze Rest folgt automatisch. Am besten installierst Du den DNS Dienst auf dem 2. DC und lässt diesen unangetastet. Bei dem dcpromo Vorgang konfiguriert er sich dann. Sofern Du autokonfiguration des DNS wählst wird er immer automatisch eine ForwardLookup Zone einrichten. Als 2. DNS Server kann dann der eigene künftige 2. DC eingetragen sein. Gruss, Matthias

Hallo Na dann wollen wirs versuchen :D Um es kurz zu machen, ich habe dies selbst noch nie versucht. Aber vielleicht hilft mein theoretisches Wissen weiter: - Die Mailboxattribute vom Exchange stehen in dem Schema der AD und somit im FSMO Schemamaster der aktuellen ActiveDirectory. - Was willst Du nun genau machen ? Den Mailserver deinstallieren ? Ich gehe davon aus, dass dann automatisch auch das Attribut vom Mailserver in der AD gelöscht wird und die Mailbox somit "verloren" geht. Vielleicht kann ich Dir brauchbarer helfen, wenn Du mir mehr Infos gibst. Was für Exchange 2000 oder 2003 deutsch/englisch. Genaue Problemschilderung. Anzahl Benutzer, Anzahl Benutzer mit Probls ... Danke und Gruss, Matthias

Hallo Ich habe das Gefühl, dass Deine Default Domain Policies die zusätzliche gpr_verwaltung überschreiben. Installiere mal den gpmc und prüfe welche policie "stärker" ist. Dieses Tool hilft Dir wirklich weiter. Auch kannst Du eine solide Analyse machen, welches die "winning Policy" ist. Mit gpresult bekommst Du das nur bedingt hin. Grundsätzlich ist, sofern ein Parameter gesetzt ist, die default Domain Policy stärker. Dann noch ein Test: Der Domainadmin wird nicht entfernt. Es ist sogar so, dass wenn ich einen Benutzer definiere dieser eingetragen wird. Wurde dieser Benutzer mittels Policy eingetragen, so kann ich diesen auch wieder heraus nehmen indem ich ihn einfach wieder in der Policy lösche. Accounts die schon existierten fasst die Policy jedoch nicht an. Gruss, Matthias

Hallo Natürlich erkläre ich das gerne ein bisschen ausführlicher, wie ich das meine mit den Scripten. Nun dies ist allerdings eher dafür gedacht, wenn Du a) Serverbuilds machst b) Geräte von Grund auf neu installierst. Obwohl ich denke, dass dies in dem vorliegenden Fall weniger zutrifft kurz das Ganze erklärt: Vielmals ist es ja so, dass Server von einer zentralen IT aufgesetzt und ausgeliefert werden. Das Business betreibt dann diese Server meist als Applicationserver. Da wir nicht wollen, dass KretiPleti den lokalen Admin oder gar den Domainadmin kennt, generieren wir eine zusätzliche Securitygroup in der AD mit der Syntax: admins_%countrycode%_%servername% In diese Gruppe fügen wir dann die künfitgen Serveroperators, welche ihre Applikationen auf den Dingern installieren hinzu als ganz normale Gruppenmitglieder. Soweit der organisatorische Scope. Nun der praktisch, technische Scope: 1. mit LDAP auf in der AD die Gruppe admins_%countrycode%_%servername% anlegen (in der richtigen OU etc.). Suche dazu unter ldap, benutzer anlegen, script im google (ich hab leider den Sourcecode nit grad zur Hand). 2. mit net localgroup administrators admins_%countrycode%_%servername% /add diese Gruppe hinzufügen. Das geschieht bei der Installation des Serverimages vollautomatisch. "Weil mir jemand gesagt hat dass die eingeschränkte Gruppen die defaults überschreiben und somit nur noch diejenigen lokale Admins sind die in dieser eingeschränkten Gruppe drin sind. " Das kann ich mir nicht vorstellen, denn default sind diese Angaben leer. Aber ein Versuch habe ich soeben gestartet ... Um aber an Deinem Problem teilzuhaben: Hast Du die clients schon einmal rebooted. Allenfalls mal ein Gerät aus der Domain nehmen (rebooten) wieder heinnehmen (rebooten) ... wichtig vor dem Rebooten nach dem Joining der Domain sollte der Domain Admin bereits drin sein bei den localadmins. Gruss, Matthias

Hallo Grundsätzlich musst Du auf den angeschlossenen CLients, also Client1 und Client2 gpudpate /force machen und nicht auf dem domaincontroller. wichtig in diesem Zusammenhang sind, dass als 1. DNS Server auf den clients der Domaincontroller eingetragen ist, da sonst Richtlinien nicht sauber applied werden (Es hat dann auch den SCECLIENT Error im APPS Log drin). Ich wuerde mal unter http://www.gruppenrichtlinien.de nachschauen. Dann wenn Du 2003 einsetzt den GPMC (freedownload von Microsoft) auf dem DC installieren. Damit kannst Du Fehler direkt Analysieren. Sn bisschen Gewohnungsbedürftig aber sonst ein Suppertool. Ich habe bei mir das anders gelöst indem ich eine Admins_%computername% Gruppe mit ldap VB Scripting anlege. Danach füge ich diese Gruppe automatisch der local administrator Gruppe hinzu. Einzig was ich mich frage, wieso Du den Domainadmin hinzufügen willst, denn dieser wird bei dem Joining-Prozess des Gerätes per default schon eingefügt. Gruss, Matthias

Hallo Normalerweise kannst Du nur als Mitglied der lokalen Administratorgruppe remote anmelden. Dies kannst Du jedoch in den lokalen Richtlinien des Geräts ändern: gpeedit.msc starten Im oberen Maschinenteil Windows Settings/SecuritySettings LocalPolicies/User right Assignment/Allow log on trough terminal services. Wichtig: Administrators nicht entfernen ... dort benutzerkonto oder Gruppe eintragen. Das Konto muss - sofern das ganze nicht in einer Domain steht - wenigstens lokal auf dem Laptop existieren. Gruss, Matthias

Hallo Bei dem Programm JA. Bei der Unterstützung die Probleme zu lösen auch (Kein Gratissupport für offenkundige Bugs). Ich arbeite als unabhängiger freier Solutionarchitekt in MS Bereichen. Wenn ich auf Arc Serv treffe emfehle ich - sofern know how etc. nicht vorhanden ist - ArcServ mit Backup Exec, Legato oder ntbackup zu ersetzen.- Dies ist jedoch "Geschmacks- und Ansichtssache". Das Backup ist jedoch das letzte Rückgrat einer IT-Infrastruktur und muss aus dem effeff funktionieren und Handlebar sein. (Sowohl durch das Operarting wie auch durch den Händler/Hersteller). Gruss, Matthias

Hallo Zynische Antwort zu Deiner Frage: Ich habe (musste) ArcServ 11 mehrmals implementieren jedoch nur mit Problemen. (Einmal ging Tapechanger nicht mehr, einmal "fehlten" die Monatsbänder, einmal ging gar nix mehr d.h. nur noch Bluescreens). Unverträglichkeit von MS Hotfixes und Servicepacks (SCSI Onboard Treibers). Lösung war leider jedesmal erst Wechsel des Produktes. Es erstaunt mich in diesem Zusammenhang auch nicht, dass der Support von ArcServ dies nicht lösen kann. (Hatte auch schon einige nutzlose und kostenpflichtige Calls aufgemacht). Gruss, Matthias

@Kerstin dasch ä läbä ...

Hi Velius Sicher wäre das natürlich am Einfachsten ... Leider wurde dieses Requirement, dass sich die Geräte nicht loggen dürfen bei dem AD-Design nicht berücksichtigt (das Business hat diese Notwendigkeit nicht gemeldet und ich habe die weltweiten IT Policies des Konzerns genommen) .... Nun leider ist es so, dass bei all diesen Geräten die Policy nun gesetzt ist. Aus einem weiteren Grunde kann ich die Vererbung nicht ausschalten, denn die AD ist regional und jedes Werk hat seine Sitepolicies. Die Dinger waren zuerst in den normalen OU's. forest = Corporate IT Policies ¦ werk A = Sitepolicies ¦ Resources ¦ Workstations = Desktops ¦ Build ¦ NT ¦ 2K/XP ¦ SUS Managend = SUS ¦ NON SUS Managed = NONSUS Vitalclients ¦ NT ¦ 2K/XP ¦ SUS ¦ NON SUS ¦ No Autolog = disable autolog & Screensaver Users ¦ Native User ¦ Teamuser ¦ Unitsupport Groups ¦ Function ¦ Applications ¦ Organisation Gruss, MAtthias

Hallo Das spielt keine grosse Rolle, denn die ADM-Templates von SP2 (worin die Firewallsettings eingestellt werden) können auch unter W2K importiert werden. Wichtig ist vorher den Hotfix KB842933 fuer 2K auf den Domaincontrollern zu installieren (Sonst kommen 256einhalb Fehlermeldungen, dass die Templatetexte länger als 256 Zeichen sind). Gruss, Matthias

Hallo Zusammen Um eine ideale Nutzung einer in sich geschlossenen Konstellation von PC's (typischerweise KMUs, Firmennetzwerke) zu erreichen sollte folgendes ein MUSS sein: Internetanbindung mit ADSL-Router, dahinter eine solide Hardware Firewall. Eine generelle Frage ist natürlich woher kommt eine unzulässige Attacke. Kommt diese von "ausserhalb" also vom WWW und nicht unter den PC's so würde ich mittels Policy sämtliche Softfirewalls im XP SP2 ausschalten, da dies den internen Verkehr mehrheitlich nur bremst. Es sollte allerdings bedacht sein, dass jeder Client sowohl aktuelle Virensignaturen erhält, der Virenscanner aktualisiert und richtig konfiguriert ist sowie dass die Hotfixes verteilt und installiert werden. Gruss, Matthias

Hallo Das geht ohne Umrechnen nicht, denn der : kommt direkt von der Time abfrage: Ich wuerde dies so machen: for /f "tokens=1,2 delims=:" %%i in ('time /t') do ( set Stunden=%%i set Minuten=%%j ) set Uhrzeit=%stunden%-%minuten% Ich habe das kurz auch mit Windows XP englisch getestet: C:\Temp>for /F "tokens=1,2 delims=:" %i in ('time /t') do ( set Stunden=%i set Minuten=%j ) C:\Temp>( set Stunden=10 set Minuten=40 ) C:\Temp>set Uhrzeit=10-40 Gruss, Matthias

Hallo Ja das ist nicht so einfach, denn die Zeit muss umgerechnet werden aus time /t .... wichtig zu wissen ist, was für ein OS hat der entsprechende PC/Server und - fuer die Zeit wichtig - welche Sprache. Gruss, Matthias P.s. Anbei Version fuer Windows 2003 Server englisch: for /f "tokens=1,2,3 delims=." %%i in ('date /t') do ( set Tmonat=%%i set Ttag=%%j set Tjahr=%%k ) set Tdatum=%Tmonat%.%Ttag%.%Tjahr% Das ganze geht mit time /t auch ...

Hallo Ja, der Bootmanager wird aber automatisch auf der Masterdisk eingerichtet (1. MBR). Das ist auch kein Problem. Solltest Du jedoch mit dem Gedanken spielen, die Disks ab und zu mal zu tauschen, dürfte es jedoch mit Sicherheit Probleme geben. In der boot.ini des Bootmanagers (von 2K und XP) steht eben genau die logische Partition mit dem zugehörigen Betriebssystem drin. Gruss, Matthias

Hallo SSH ist ein oft verwendes Protokoll von UNIX/Linux Enviroments. Fuer Windows Clients gibt es den "Putty SSH". SSH wird als eigenständiges Protokoll betrachtet (ähnlich wie http, shttp, ftp, telnet, rdp). SSL ist auch ein Protokoll und wird hauptsächlich im Webbereich genutzt. Gruss, Matthias

Hallo Zusammen Ein kurzer Kommentar zu sUS auf virtuellen Umgbungen (Virtualsystems, Vmware): Sofern der client richtig konfiguriert ist läuft SUS einwandfrei. Allerdings sind die Reaktionszeiten manchmal ein bisschen länger, bis SUS startet. (Aber auch 2 KWO sollte es in keinem Falle sein). Gruss, Matthias

Hallo Zusammen Ich habe folgendes Problem: Wir haben eine AD Domain (2003) mit circa 500 Clients. Nun per default (IT Policy) wird der Screensaver nach 5 Minuten aktiviert und die clients locken sich. Nun haben wir jedoch eine stattliche Anzahl (circa 100 Produktions-PCs') wo dies auf keinen Fall passieren sollte - diese Geräte zeigen Produktionsdaten als Überwachungsgeräte an. Ich habe also einfach eine OU gemacht fuer diese PC's und darin eine "Anti-Policy" gesetzt. Diese funktioniert auch, der Screensaver kommt nicht mehr - aber die PC's locken sich trotzdem nach 5 Minuten. Weiss grad jemand auf Anhieb wo ich in den Policy dies finde ? Die entsprechende "Anti-Policy" wird "enforced gesetzt. Mit gpmc-Analyse sehe ich auch, dass die Screensaver Policy eingetragen ist. Danke und LG Matthias

Yup ... Also ich mache viel mit unattend-setup. Im unattend-file musste ich auch diese "sektionen" noch hinzufügen. Vorher hat er immer auf der Diskette suchen (wollen). (Das stammt jetzt von einem Compaq Proliant Server mit SCSI Raid). Vielleicht muss das ähnlich auch irgendwo in der Config-Datei vom RIS hinein .... [MassStorageDrivers] "Adaptec Ultra160 Family Manager Set"=OEM "Compaq Smart Array Controllers"=OEM "Smart Array 5300 Controller"=OEM "Smart Array 5i, 532, 5312 Controllers"=OEM "Smart Array 6i, 641, 642, 6400 EM, 6400 Controllers"=OEM "Integrated Ultra ATA-100 IDE RAID Controller (Windows 2000)"=OEM "LSI Logic Ultra320 1020/1030 Driver (Windows Server 2003)"=OEM "LSI Logic C8100 PCI SCSI Host Adapter"=RETAIL "LSI Logic C896 PCI SCSI Host Adapter"=RETAIL "LSI Logic C8xx PCI SCSI Host Adapter"=RETAIL "IDE CD-ROM (ATAPI 1.2)/PCI IDE Controller"=RETAIL "CSB-6 Ultra ATA-100 IDE RAID Controller (Windows Server 2003)"=OEM [OEMBootFiles] ADPU160M.SYS CPQARRY2.SYS CPQCISSM.SYS MegaIDE.sys Symmpi.sys LsiCsb6.sys TXTSETUP.OEM Und ich habe dem auch gesagt der $oem$ Pfad ist: OemFilesPath=C:\ WaitForReboot=No OemPnPDriversPath="DRIVERS\NET;DRIVERS\SCSI" Gut ich kopiere alle PnP Drivers VOR dem Start des Setups .... Gruss, Matthias

Hallo Und in dem ORdner $oem$\Textmode\ sind die Dateien auch drin ? Gruss, Matthias

Hallo Es gibt da - denk ich - ein einfacheres Vorgehen als das Zeugs zu deinstallieren. Du kannst eine Domainpolicy setzen, um das Starten der Spiele zu verbieten. Das findest Du bei einem SBS in dem GPMC, DomainPolicy. Und dort im Benutzerteil, Administrative Templates, System/do not allowed to run specified applications und dort eintragen beispielsweise: notepad.exe (für notepad). Es kommt bei dem Starten ein einfaches Fenster mit dem Text Your administrator does not allowe to run this application. Gruss, Matthias

Hallo Mit vmware kann man grundsätzlich alles machen, was man mit normalen PC's auch macht. (Ausser OS2 ist auch alles unterstützt). vmware läuft mit DOS einwandfrei und kann jede denkbare Netzwerkverbindung auch machen. Seitens vmware ist es wichtig, dass Du die richtige Netzwerkkarte definierst. vmware gsx unterstützt zwei verschiedene Adapter. Ein Adapter wird native auch nicht von 2K3 unterstützt sondern benötigt einen Treiber. Wenn Du mit DOS hochfährst mit vmware unterliegt diese Maschine denselben "Netzwerkgesetzen" wie eine MSDOS Maschine im Netz d.h. es benötigt einen WINS Server, worin sich diese Maschine sauber eintragen kann. Sonst kannst Du vorhandene Shares auf dieser Maschine nit nutzen. Gruss, MAtthias

Hallo Hat die fragliche Maschine als 1. DNS Server den Domaincontroller eingetragen ? Gibt es irgendwelche Fehler im Applicationlog SCECLIENT zum Beispiel ... ? Lieber Gruss, MAtthias

Hallo Es gibt noch eine Möglichkeit, wenn Du viele Leute hast und das mit den OU nicht mehr geht, denn jeder Benutzer kann in nur einer OU auf einmal sein ... Wenn Du bei den Permissions der MSI-Packages den Benutzer everyone "read" rausnimmst und die stattdessen Zielbenutzer einträgst (auch mit read) dann flutscht es auch. Was leider nicht geht, ist, dass Du dort eine GlobaleSecuritygroup anlegst und diese Berechtigst und die fraglichen Benutzer dort einträgst. Dann, wenn du die SW aufnimmst auf Verteilungsmechanismus "advanced" und dort auf Transformationsdatei. (Wichtig: Das kann nur geändert werden, wenn die SW neu aufgenommen wird). Gruss, Matthias

Hallo Zusammen Ich glaub nicht, dass dies auf den WINS Servern ein Problem sind, denn die AD macht die Namensauflösung über DNS. Allerdings, wenn die BDC's statische WINS Mappings haben müssen diese auf allen WINS Server gelöscht werden. Sind die BDC's mit dynamischen WINS Einträgen versehen, so werden diese automatisch als gelöscht markiert und irgendwann "faulen" diese selbst raus. Wichtig in dem ganzen Kontext ist aber, dass die LAN-Settings in der Organisation richtig implementiert sind d.h. 1. DNS Server = Domaincontroller der AD, keine "toten" WINS und DNS Server mehr fest eingetragen etcetc... Lieber Gruss, Matthias