Christoph35

Win 2000 und XP Clients sollten sich selbst registrieren, wenn man das nicht in den erweiterten Eigenschaften der IP-Settings (DNS-tab) abgeschaltet hat. Außerdem sollte natürlich der Primary DNS-Suffix oder der connection-spezifische DNS-Suffix mit dem Namen der Zone übereinstimmen. Hast du mal ipconfig /registerdns ausprobiert, oder einen Client neu gestartet? Christoph Und warum ein neuer Thread und nicht einfach unter diesem weitergemacht?

Hi, kannst du über das Menü Verwaltung->DNS aufrufen. Wenn der Server auch DC ist, kannst du die Zone im AD integrieren, falls das nicht schon geschehen ist. Hätte den Vorteil, dass nur gesicherte dynamische Updates zugelassen werden können (nur von Domain-Members). Christoph

In der DNS-Konsole, Eigenschaften des Servers, dann auf den Tab-Reiter Weiterleitung klicken und da die Adresse (z.B.217...., ggf. auch die Adresse des Routers) eingeben. Christoph

Hast Du es denn auf der MCP-Membersite schon angefordert? Danach dauert es i.d.R. 3-4 Wochen bis zum Eintreffen des Zerts. Christoph

Hi! Für die 291: ISBN 0-7356-1439-3 Für die 270: ISBN 0-7356-2152-7 (2. Auflage) Gruß Christoph

Hi! Nein, im englischen Artikel steht das genauso da: Christoph

Sorry! Das kommt davon, wenn man die Artikel nur überfliegt :rolleyes: ... Der Artikel besagt nur, welche Flags man (programmatisch) einstellen kann / muss. Die SMTP-Logs beinhalten auf jeden Fall immer nur die GMT Christoph

Hi, du kannst das in der IIS Metabase einstellen. Dafür würde ich mir das Resource-Kit zum IIS besorgen, falls du es nicht hast. Weitere Info gibts auf der MSDN-Site. Gruß Christoph

Hi, die geloggte Zeit entspricht GMT (Greenwich Mean Time), die 1 oder 2 Stunden (Winterzeit/Sommerzeit) "hinterher" ist. Christoph

Hi, du musst auf die Eigenschaftenseite des "verhinderten" Mailempfängers gehen. Da auf Exchange Allgemein klicken und dann auf "Empfangsbeschränkungen"; da sollte dann etwas anderes eingestellt sein als "Von allen" (oder ähnlich, hab nen engl. Exchange vor mir). Bei Verteilerlisten kannst du das direkt auf "Exchange allgemein" einstellen. Christoph

Hi, ich würde sagen, es kommt darauf an, ob Du Dich mehr für das Thema Sicherheit oder für das Thema Messaging (Exchange) interessierst. Thema Sicherheit: Hier hast du die Auswahl, ob du zunächst die ISA-Server-Prüfung machen willst, oder die Prüfung zum Thema Sicherheit im MS-Windows Netzwerk (70-299). Beim Thema Exchange fällt die Auswahl nicht schwer ;). Aber bereite dich gut darauf vor! Die 70-284 gehört zu den schwierigsten. Und ich würde dir empfehlen, vorher noch die 70-294 (Active Directory) zu machen, auch wenn die für den MCSE gedacht ist. Dann fällt Dir die 284 vielleicht etwas leichter. Christoph

Hi, Glückwunsch! :jau: Punktlandung, aber fragt niemand mehr, und ja... die Prüfung hats in sich. Gruß Christoph

Folgendes hab ich bei MS gefunden, ist aber vielleicht nicht ganz passend für dein Problem: KB 247787 und KB 824054 Vielleicht hilfts trotzdem. Christoph PS: Wie hast Du denn die Connection Agreements eingerichtet? Scheint mir, du hast nicht das Exchange 5.5-Admin oder Service Konto angegeben?!

Diese Nachricht erscheint dann aber, nachdem du Strg-Alt-Entf drückst, und bevor Du dich einloggen kannst. Christoph

Handelt es sich um ein Upgrade auf W2K3? Oder habt ihr eine komplett neue Domain erstellt? Wenn Upgrade, liegt es vielleicht die Password-History?! Die ist bei W2k3 standardmäßig auf 24 Passworte eingestellt. Christoph

Ist aber korrekt. Auszug aus der W2K3 Hilfe: Gruß Christoph

Hi, mir fällt da gerade noch was ein. Die userkonten sind noch auf dem NT4-PDC, die Computerkonten im AD? Könnte sein, dass du an den Security Options herumschrauben und den LAN Manager-Authentication Level heruntersetzen mußt (Stichwort Kerberos/NTLM). Wenn das immer noch nicht hilft, schalt mal (auch in den Security Options) das SMB-Signing ab, bzw. stelle es auf Disabled. Im Englischen: - Microsoft Network Client: Digitally Sign Communications (Always) - Microsoft Network Client: Digitally Sign Communications (If Server Agrees) - Microsoft Network Server: Digitally Sign Communications (Always) - Microsoft Network Server: Digitally Sign Communications (If Server Agrees) Mehr fällt mir im Moment zu dem Thema nicht mehr ein. Christoph

Auch hier mal ein kleines Stop-Schild: Wenn du vorher eine Einstellung getroffen hast, und es hinterher auf "nicht definiert" stellst, bedeutet das nicht unbedingt, dass die Einstellung rückgängig gemacht wird. Es kann sein, dass die Einstellung wirksam bleibt, die gültig war, bevor du eine Policy auf "nicht definiert" gesetzt hast. Ggf. musst du die Policy dann z.B. von Enabled auf Disabled setzen. Christoph

Jo, so ist das. Erstellst Du jetzt aber einen Domain User mit gleichem Namen kann der sich anmelden, wenn du ihm die Anmeldung nicht über Deny Logon locally verbietest. ;) Christoph

Hi, schroeder, ja, ich meine die lokale Gruppe Users/Benutzer der Clients. Aufgelöst wird der Benutzername bei mir natürlich auch nicht. Ich gebe einfach den Usernamen ein bei Add/Hinzufügen. Der DC braucht den Namen nicht zu kennen, es reicht, dass der Client, der das GPO verpasst bekommt, den Usernamen kennt; et voilà, der user bekommt die Meldung: Die lokale Richtlinie erlaubt es ihnen nicht, sich anzumelden. (sinngemäß). Eigentlich ist es aber die Domain-Richtlinie, die es nicht erlaubt. Melde ich mich danach nämlich als lokaler Admin an und rufe GPedit.msc auf, hangele mich durch bis User Rights Assignment/Deny Logon Locally, steht da ein leeres Kästchen unterhalb von "Lokale Richtlinie", aber ein nicht editierbares aktiviertes Kästchen unter "Effektive Einstellung". D.h. aber ja nichts anderes, dass die Einstellung von der Def. Domain Policy übernommen wird. Christoph

Hmm, und wenn du unter Networks (Netzwerke) mal auf Network Rules (Netzwerkregeln?!) klickst, wie sehen die aus? Intern nach Verwaltung, Intern nach Extern, Verwaltung nach Extern, sonstige?` Christoph

Was ich noch nicht so ganz verstehe, ist: 1. Der ISA hat 3 Nics 2. Er steht in Netz A Ja, was denn nun Wenn er 3 Nics hat, müsste er doch in allen Netzen mit einer IP vertreten sein!? Wenn dem so ist: gibts ne Regel, die allen ausgehenden Verkehr von verwaltung nach Extern für alle user jederzeit erlaubt? Christoph

Und schon fertig mit testen... Also, wie gewünscht einen lokalen user tuser2 angelegt, ist nur mitglied der lokalen gruppe users. Änderungen in der Domain Policy: allow logon locally: users etc., deny logon locally: tuser2 Am client gpupdate /force und (trommelwirbel)............... tuser2 kann sich nicht lokal anmelden. Irgendwas stimmt bei dir noch nicht... oder es gibt hier einen unterschied zwischen W2K und XP..... Ich setze am besten mal einen 2K Client auf und probier das da auch noch mal... Christoph Nachtrag: ok, am W2K Client das gleiche getestet: lokaler user tuser6, mitglied von lokaler gruppe users, am DC Deny Logon Locally um tuser6 erweitert. Auch hier keine Anmeldung mit tuser6 möglich.... Was stimmt da nicht bei Dir, Schroeder?

Ok, also kurz zum Kommando bei W2K: das heißt secedit /refreshpolicy machine_policy bzw. ... user_policy. Das andere werde ich jetzt mal testen und melde mich dann wieder. Christoph

Einiges kann der Assistent erledigen, wenn s nicht gemacht wurde, ich müsste es jetzt aber noch mal machen, um zu wissen, welche Dinge vom Assi übernommen werden, und welche manuell vorher erledigt sein müssen. Aber du hast recht, jimmypops Probleme liegen vorher schon. Christoph