gysinma1

Hallo Zusammen Leider finde ich zu meiner Frage/Problem nix so, dass ich Euch Liebe Kolleginnen und Kollegen wieder einmal befragen darf ....: Ich habe eine 2003 - Domain, Mixed Mode (spielt auf die Fragestellung allerdings keine Rolle) darin hab ich Windows XP,2000 aber auch NT Clients. Nun die GPO's werden von allen clients ausser den NT clients accepted (und auch gut "verdaut"). Die NT Maschinen allerdings machen sich die Mühe die Policies nicht zu befolgen. Langlang ists her, da hörte ich mal was von poledit (fand ich auch unter gruppenrichtlinien.de). Was muss ich in meiner "Erziehungsarbeit für renitente NT4 Clients" noch beachten. Die NT Maschinen haben ne eigene OU. Die GPO's sind alle mit dem gpmc modelliert. Ich habe die winnt.adm versucht in dem gpmc zu öffnen, mit der Meldung, dass diese Version nicht unterstützt wird (Filter ist augeschaltet). Muss ich diese winnt.adm zurechtbiegen und dann einlinken, dass diese die NT4 Clients "zur Brust" nimmt ? Gruss, + Danke MAtthias

@Dr. Melzer "Ich sehe keinen besonderen Sinn darinnen einen Server unattended zu installieren. Wie viele hundert Server musst du den installieren" Wir installieren bereits 3 Server unattended. Aufgrund der Qualifizierungsrichtlinien in GMP Umfeld der Chemie ist es x-fach einfacher 1x das unattendsetup zu dokumentieren als jeder Server mit Printscreens etc aufzusetzen, auszudrucken und von der Qualityabteilung unterschreiben zu lassen. Aber nun zum Problem: Der S2003 bockt ziemlich bei dem Aufsetzen ab CD-Rom das ist richtig: - Einerseits dauert die Speicherinitialisierung bis zu 15" (Hänger nach dem Laden der Mediumtreiber) - Dann kommen die Meldungen, dass gewisse Dateien fehlen auf der CD-ROM, manchmal bricht er ab, dass er Dateien nicht findet (die Ursache liegt im mangelhaften cdrom.sys Treiber von MS). - Smartdrive puffert ungenügend bei dem CDROM, Ich würde mir wirklich überlegen ein Setup über das LAN zu machen. Bereits mit 10 Mbit/Halfduplex dauert das Setup eines W2003 Standart rund 30-40 Minuten. Ab CDROM mindestens eine Stunde länger. Ein grosser Vorteil ist, das Setup ist zentral an einem Ort .. und es kann schwupdiwup ein Server irgendwo aufgesetzt werden. Nebstdem PAtches etc. nicht jedesmal ne neue CD oder DVD erfodern. Tipps kann ich weitergeben, dass es sinnvoll ist emm386 und himem.sys zu laden, sowie der smartdrive mit 4096 4096 in der config.sys zu laden. Die Netzwerktreiber unter MSDOS zu laden sind ein bisschen triggi .. kann da aber auch weiterhelfen ... bei Interesse poste ich dann mal die config.sys ... Wir wollten alle unsere Server ab CDROM installieren. Der Kunde hat nun aber den Zeitunterschied selbst gesehen und gesagt, Platz machen für Setup auf dem Fileserver ... und Matthias Setup für LAN wird gemacht ! Gruss, MAtthias

Funzt gut... sonst einfach wieder melden :-) Gruss und viel Erfolg MAtthias

Hallo Ich würde auf einen DNS Fehler tippen ... The guid-based DNS name 99af2c32-3090-43cc-b674-e2a485f67955._msdcs.kmw.local is not registered on one or more DNS servers. Hast Du den Server schon mal neu gebooted. Leer vorher alle Eventlogs oder speichere diese ab. Dann hast Du den ganzen Bootvorgang drin. Gruss, Matthias

Hallo Dann als erstes viel Erfolg für die Prüfung ... daumendrück... Also Du hast eine Benutzerrichtlinie an die OU gelinkt. In dieser OU ist der Benutzer oder die Resource (= Computer). Wichtig ist, dass wenn Du die Applikation einem Benutzer zuordnest der Benutzer auch in der OU ist. Ordnest Du die Benutzer einem Computer zu, so muss der Computer in der OU sein. Wenn Du XP als client hast, öffne eine Dosbox und gib gperesult ein, dann grabbert der client durch, welche GPO's für ihn zählen. Wenn Du was änderst an den Clientparameter ist ein reboot fällig und wenn Du was am Benutzer genügt meist logoff/logon. Das ganze kann forciert werden mit dem Befehl gpupdate /force. Ganz wichtig ist, das die AD sauber läuft mit dem DNS d.h., der client muss als 1. DNS seinen DC haben. Auch sollten keine SCEFehler auftreten und keine Policyfehler. Last not least: Das Verfahren ist super und funktioniert sehr gut. Es ist die ideale KMU Lösung bis ca. 100 Benutzer. Gruss, Matthias

:D Danke. Kann dieses Buch auch nur weiterempfehlen, steht bei mir seit der 1. Auflage im Schrank oder viel mehr, im täglichen Gebrauch ... Es gibt einige wesentliche Kriterien, weshalb dieses Verfahren in der Pharmazeutischen Industrie nicht angewendet werden kann (FDA, GmP, Audit, Security, Arzneimittelbehörde etcetc). Technisch gehts einwandfrei, aber die Kravattenträger haben halt auch ihre Ansprüche ! Zudem besteht (in unsrerer Situation) schon das Problem, dass wir keine Domainadminrechte bekommen werden. Ist ein SecurityIssue. Das ist in Stein gemeisselt !- Vor meiner Rente geh ich noch 6 Monat ein eine IT-Securityabteilung und stress die armen IT Leute. Wieso soll es denen dann besser gehen als mir heute :cool: Gruss, Matthias

Hallo Zusammen Da diese Methode medium bis high-Risk ist und die Umgebung validiert, es keine Langzeittest gibt und es Sicherheitstechnisch äussert verwegen ist, ist ist ist ist die Idee zu Grabe getragen worden. Die Verbindung zum Forest bleibt länger bestehen und es wird eine neue Domain hochgezogen und das Zöigs hineinmigriert. Tja und wenn mich der Boss fragt, woher meine vielen Stunden sind .... Gruss, MAtthias

Hallo Zusammen Wir hätten einen FSMO verschieben müssen, allerdings sahen wir davon ab, da dieses ein Medium-High Risk Procedere ist. Siehe meinen Post dazu .... ntdsutil ist die Lösung. Sehr wesentlich ist die domainstruktur, wenn's childdomains drin hat ists wüst, denn dann muss der Forest FSMO und der ChildFSMO dupliziert werden. Jedes andere Verfahren restore von dem Backup nachdem der Server wieder zusammengepuzzlet ist, ist besser. Die FSMO Roles können mit dem Tool dcdiag geprüft werden. Achtung de Versionen sind unterschiedlich zwischen 2003 und 2000 (auch je nach Servicepack !). Der RIDMAster vergibt immer Kontigente von SID's an die einzelnen DC's, deshalb ist das Anlegen eines einzelnen Users sicher kein ausreichender Test ! Du müsstest mit einem Script mal 50'000 Benutzer anlegen und wieder löschen, dass die Kontingente von dem RID angefordert werden müssten. Gruss, MAtthias

Hi Natascha Nicht an Dir Zweifeln ! Es geschah mir dies auch schon, je nach Version bin ich da auch schon reingefallen ... grad bei ausgedünnten Versionen gibts das schon mal. Office und grosse Packete können meist eh nicht packetiert werden sondern müssen transformiert werden mit mst dateien. Gruss, MAtthias

Hallo Natascha Sorry war ziemlich "dicht" in den letzten Tagen ... Also mit WinInstall light (Version v. windows 2000 Server und W2K3 Server) Programm starten und dann unter File convert NAI to MSI auswählen ... dann macht ers ... Gruss, Matthias

Hallo Zusammen sooodele jetzt habenwrs .... Es können alle FSMO Roles AUSSER Schemamaster und Domain Name Master übertragen werden, denn diese hängen an dem Forest und auf dort haben wir keine Recht mehr und werden auch keine Rechte bekommen. Für unsere Zwecke reicht das aus, denn Schemaerweiterungen sind keine geplant und die Domain umfasst noch 90 Döchte die innert sechs Wochen wegeschrumpft werden. Also auch keine neuen Domains im Forest. Sehr kritisch ist, dass der DNS sauber läuft, sonst gibts nen AD-Salat .... Gruss, Matthias

Hallo Velius .... Richtig, nur die Reihenfolge ist, dass er zuerst physisch abgekoppelt sein muss, sonst gibst nen SID-SALAT. Ich habe einige Test gemacht auch die Reihenfolge der FSMO Ubertragungen ist sehr wichtig (Wir haben bei einem Test den RID Master nicht zuerst gemacht .. des gibt Probls). 1. RID Master 2. Schema 3. PDC 4. Domain Naming Master 5. Infrastructur Master Natürlich muss auf dem künftigen DC DNS und (bei uns halt noch WINS installiert sein). Gruss, Matthias

Hallo Leutz Wir haben einen Weg gefunden, zwar ne "Cowboymethode" aber sie funzt ... Der Child-DC wird nie mehr in seinem weiteren Leben mit dem RootForest einen Kontakt haben. Wir haben nun einige Tests gemacht, indem wir einen Forest aufbauten mit einem Child-DC. Zu dem ChildDC haben wir einen weiteren Domaincontroller als additional Child-DC promoviert. Nun haben wir den RootDC und den 1. Child DC runtergefahren und mittel ntdsutil (KB255504 etc) die Roles übertragen. Bis auf den Infra Master ging das auch auf Anhieb. Nun werden wir morgen dies noch angehen und am Schluss wenn alles übertragen ist, einen zusätzlichen neuen DC aufsetzen (ich betreib prinzipiell nit eine Domain mit nur einem DC). Danach testen wir Logonverhalten von W2K und NT Clients (PDC Emulator). So für heut reicht mir die Testerei ..... Hurra Feierabend auf der Zielgerade :cool: Gruss, Matthias

Hallo Natascha Ja hat er ein NAI Package (Standartformat von WinInstall) erstellt und dies nur nicht in ein MSI konvertiert ? (Vielmals bricht WinInstall dort ab). Dann könnte mit dem WinInstall ligt dieses Package in ein MSI konvertiert werden .. Gruss, MAtthiass

Hallo Natascha Ich würde das Works auf einem Testrechner mal installieren ... msixec /I "name des msi" Und schauen ob es tutet. Es gibt manchmal auch registrykeys (Restorepoints) die lassen sich nicht installieren. Falls alle Funktionalitäten trotzdem gehen, würde ich persönlich das Package einsetzen ... Gruss, Matthias

@Velius JA :-) in Bezug auf NT4.0 hast Du sicher Recht. Nur diese Organisation umfasst über 100'000 Mitarbeiter in über 100 Länder und die wollen und werden nicht auf AD migrieren. Brrr. Ich persönlich bin auch eher skeptisch ... dass dieses Wurstelkonstrukt laufen soll ... aber ich muss eine Lösung suchen und finden :-( Gruss, Matthias

Ciao Velius JA richtig diese Domain wird abgekoppelt und alles was drin ist kommt in eine neue NT-4.0 Domain ... aber step-by-step. Die crux ist, dass die Abtrennung VOR der Migration erfolgen muss. Ich hab mal was von einem Tool namens Treemove gehört ... @Grizzli999 Die Vertrauensstellungen brauche ich auch nicht mehr. Ich sollte nur noch innerhalb des Child PW zurücksetzen, Resourcen Joinen und Dejoinen können. Zudem dies fix für nur 6 Kwochen. (Länger darf dieses Konstrukt aus IT-Richtlinien ohnehin nit bestehen). Gruss, Matthias

Hallo Leute Ich steck in der ******. Ich sollte eine Idee haben, wie wir den Child-DC von dem Root-DC abtrennen können, da unser Betrieb verkauft wurde. Der Child DC wird weiterbetrieben mit allen Sachen die sich drin befinden. Es ist mir klar, dass er dazu einige Dinge von dem Root DC, der auch weiterlaufen wird, bekommen muss. Weiss da jmd ein gutes Whitepaper dazu. Ich muss morgen eine Spur präsentieren, wo und wie wir langlaufen. Danke vielmals für spontane Links ... unter VaterGoogle hab' ich noch nix gefunden ...(suche nach dem NAchtessen weiter)... Gruss und habt Dank MAtthias

Hallo Kai_Local Keinen Server den ich kenne, der 3 TB zur Verfügung stellen soll, wird mit IDE Platten betrieben. Zwar hat sich IDE-Raid nicht übel entwickelt, aber ein Highend Server in diesem Volumen würde ich nur mit Hotplug SCSI-Raid ausstatten. Mit 3 TB und IDE ist die notwendige Unterstützung der CPU nicht mehr nur marginal. Die "Schallgrenzen" der Diskgrösse des BIOS findet auch bei IDE Raid Antwendung d.h. man kann nicht beliebig grosse Arrays machen ! (Ich versuchte grad letzthin an einem HPT Highpoint 374 eine 240 GB Disk vergeblich zum Laufen zu kriegen). Weiterer Aspekt ist auch die grosse Sektorgrösse ... Ein grosses "Fass" ist zwar cool, aber leider gibt es wenige IDE-Platten im Leistungsumfang mit SCSI (10K/15K). Auch sollte ja ein Backup in einer Nacht durchlaufen ... Ich setze mit Überzeugung im KMU Bereich IDE Platten und IDE Raid ein. Aber das sind niemals Server mit 3 TB sondern maximal 0.5 TB. Mit einem 550W Netzteil sollten nicht mehr als 6 Disks gefahren werden .... also muss Serverequipment her mit Netzgeräten die richtig drve haben ... Das Argument vom Preis finde ich Nebensache, die allenfalls zu verlierenden Daten kosten meist mehr als ein Server - und ein neuer Server, der die Leistung nicht bringen kann, verärgert den Kostenstellenleiter meist mehr :-) (- alles schon selbst erlebt ...) Ich habe an einem Tag von 5 bestellten IDE-Disks (120-240 GB) ab Lager drei defekt erhalten... (IBM, Hitachi). Der Vollständigkeit halber ich hatte auch schon eine Disk, die nach Lieferung eine Woche lief und dann futsch war ... aber das war eine Compaq Disk, welche innert 4h ersetzt wurde. Es gibt verschiede dafür und dawider ... für mich, so ein Server nur SCSI und Disks bekannter Hersteller mit 4h Interventionsgarantie - oder grad eine Reservedisk kaufen. Es kommt auf die Gesamtlösung an ! Gruss, Matthias

Hallo Velius Verstehe ich dies richtig, dass der HPT Controller die Diskinfos (und grössen) aus dem Mainboard Bios liest ? Gruss, Matthias

Hallo Zusammen Ach diese kurzfristigen Bastelweekends :-( Also ich hab nen Fileserver ist ne AMD667 Krücke mit 1024 MB RAM (älteres Semester) - gibt keine BIOS Updates dazu mehr. Das OS 2K3 ist auf einer stinknormalen internen IDE Platte. Das Datenarray umfasst 2 x 240 GB (Hitachi Deskstar HDS722525VLAT80) als Raid1. Raidcontroller ist der surestore HPT374 von Highpoint. (neustes BIOS Update ist drauf). Nun folgendes Phänomen: Die beiden grossen Disks werden lediglich als 35 GB Disks erkannt. (Sowohl durch das Bios als auch durch den Raidcontroller). Ich habe nachgeschlagen ueber den LBA48 - wobei nach KB der Microsoft dies für XP und 2K zutrifft. Die Tools, die hier im Forum genannt sind (und sollten vermutlich auch nicht) funktionieren nicht. Ich meinte, dass 2K3 diese magische Grenze mit den 135 GB nicht mehr hat .... hat wer ne heisse Idee. Gruss, Matthias

Hallo Leute "ich glaub, ab 30°c sollte ich keine hinweise mehr posten..." tja ich habs, vielleicht wars zu heiss ... cusrmgr (Reskit) cusrmgr -u Administrator -r neuername nennt den Admin ohne lang zu fackeln um ..... Gruss, Matthias

Hi Dein Artikel auf den Smartdrv bezieht und nicht auf das Memoryverhalten ... ... Der Smartdrv war immer mit an Board, nur hat dies nix gnützt ... ...Aber um den Ärger abzurunden, die neuen Server unterstützen dem emm386 nit, da wirds knapp .. Gruss, MAtthias

Liebe Kollegen Aller Sucherei zum Trotz ich habe ein simples Problemchen ... Ich sollte in einem Serverbuild (Windows 2003) mit einem Script den Localadminstrator umbenennen. Ich möchte eben nicht, dass der Administrator heisst. Ich habe mir zuerst überlegt, den neuen Account anzulegen und den in die Admin Gruppe aufzunehmen. Anschliessend den Administrator disablen ... Das würde ich mit net user neuer neuer /add und net localgroup administrators neuer /add gebacken kriegen. Ein Script, dass den Administrator disabled wird sich sicher noch finden lassen ... aber ich habe eben gehört, dass der Administrator noch zusätzliche Rechte hat ... ?? Sicher darf er nicht einfach gelöscht werden, da sonst die Ownership verloren geht ... Hat jmd eine Idee ..? Gruss, Matthias

Liebe Kollegen Sicherlich bin ich nicht der Einzige, der beobachten musste, dass bei einer unattend Installation von Windows 2003 nach dem Laden der Treiber im Textmode der Server bis zu 15 Minuten wartet. Smartdrive usw. ist alles installiert ... ... Nun ich habe die Lösung gefunden ... Trivial und einfach, (wenn mans weiss): - Man muss schauen, dass man möglichst viele (wenn nicht alle) treiber in der config.sys in den himem lädt - Zudem EMM386 verwenden - Buffers nicht über 30 - Ganz wichtig: Smartdrv auch laden mit double_buffer und dann nur noch in der autoexec.bat mit smartdrv /u /v aufrufen ... - Mit dem Tuning unten wartet der server ca. 15sekunden ... config.sys ======= FILES=30 LASTDRIVE=Z SHELL=A:\COMMAND.COM /E:2048 /P SWITCHES=/F rem STACKS=9,256 BUFFERS=20 DEVICE=A:\DOS\HIMEM.SYS /TESTMEM:OFF DEVICE=A:\DOS\EMM386.EXE NOEMS RAM VERBOSE I=B000-B7FF X=D600-DFFF DOS=HIGH,UMB devicehigh=A:\DOS\RAMDRIVE.SYS 8192 512 64 /e devicehigh=A:\cdrom\cd1.sys devicehigh=a:\tools\smartdrv.exe d- c- e 4096 4096 /double_buffer devicehigh=A:\net\ifshlp.sys Die Autoexec sprengt den Ramen ... aber dort ist ja nix versteckt drin :-) ausser: smartdrv /v /u Gruss, MAtthias