olc

Hi carnivore, versuche es einmal mit repadmin /viewlist * Viele Grüße olc

Hi grizzly, ok, da hast Du Recht. Aber mal ehrlich - in diesem Thread klang es nicht danach. ;) Besonders der Hinweis auf die GBit Leitung und die zwei Standorte läßt eher "Backup" Szenarien vermuten. Cluster über Standortgrenzen hinweg ist weiterhin eh so eine Sache... Viele Grüße olc

Hi, Du kannst alternativ zu WINS auch mehrere DNS Suffixe definieren: Microsoft Corporation Ist nicht immer empfehlenswert, kann bei Deiner Anforderung jedoch Sinn machen. Viele Grüße olc

Nein, "muß" es nicht. Aber kann. Es hat Dich jedoch sicherlich mehr Zeit gekostet hier zu posten, als es einfach kurz selbst zu probieren... ;) Auch das hätte Dich ca. 10 Sekunden Testzeit gekostet. Kleine Korrektur: "-Credential" ohne "s" am Ende. War mein Fehler. Nein, in diesem Fall war das PowerShell Kommando gemeint. Grundsätzlich jedoch FULL ACK. Funktionsweise herauszufinden mit: Get-Help New-Item -full Viele Grüße olc

Hi, die Kommandozeile läuft "auch" unter Windows. :D Ansonsten vielleicht soetwas in die Richtung: Angry IP Scanner : Home - program for analyzing networks ? Du kannst im Programm auch die MAC-Adresse als Spalte einblenden lassen. Gruß olc

Hallo, dsquery bzw. die DSTools sind keine VBScripts. Außerdem werden die Programme sicherlich noch einige Zeit "überleben". ;) Aber es ist nichts daran auszusetzen, sich jetzt "schon" ausgiebig mit der PowerShell zu beschäftigen, da hast Du Recht. ;) In der Version 2 der PowerShell sollen wohl (wenn ich mich recht entsinne) auch einige CMDlets zur AD Verwaltung mit dabei sein, so daß nicht mehr auf Drittprodukte zurückgegriffen werden muß. Schauen wir mal. :) Viele Grüße olc

Hallo und willkommen, was sagen die Ereignisprotokolle? Ist dort irgend ein Eintrag zu finden, der auf die Ursache des Problems hinweisen könnte? Sind ggf. irgendwelche geplanten Tasks auf der Maschine aktiv? Viele Grüße olc

Hallo, Nein, ich habe das anders gemeint: Versuche es in der Form (habe das jetzt gerade nur gegen den \\localhost getestet, damit funktioniert es): new-item \\pc007\c$\Test -itemType directory Ich gehe einmal davon aus, daß Du administrative Rechte auf den Zielsystemen hast. Falls nicht, kannst Du über den Parameter "-Credentials" auch alternative Benutzernamen und Kennwörter angeben (interaktiv). Viele Grüße olc

@ grizzly999 und Lian: Coole Sache - wußte nicht, daß das funktioniert (zumindest mit sehr teuren oder recht neuen Anschaffungen ;) ). Gut zu wissen. @pairosilva: Trotz all der Vorschläge möchte ich noch einmal fragen, was der Sinn der Sache sein soll. Um wie viele Benutzer handelt es sich denn? Warum muß es in jedem Fall soetwas wie ein Cluster oder "Spiegel" sein? Gibt es dafür einen konkreten Grund oder nur den Grund "Chefe hat das so gesagt."? Wie oben schon angemerkt ist es im Normalfall weniger kritisch, wenn die CA für einen begrenzten Zeitraum nicht verfügbar ist. Viele Grüße olc

Hallo, die Frage ist weniger welche "Nachteile" Du hast - eher würde ich die Vorteile in einer Vista / 2008 Umgebung auflisten. Vielleicht hilft Dir das hier ein wenig weiter? 8WTT TechNet Webcast: Gemeinsamer Einsatz von Windows Vista und Windows Server 2008 - Die Vorteile für Ihr Unternehmensnetzwerk (Level 300) Viele Grüße olc

Hi Kristoff, mach Dir keine Gedanken, zum Fragen ist das Board gedacht. :) Wie oben schon geschrieben: Wenn das Kennwort nicht mehr bekannt ist und es sich nicht um eine Domänenumgebung (bzw. um einen Domänenbenutzer) handelt, hast Du keine Alternativen zu diesen mehr oder weniger tollen Programmen (zumindest kenne ich keine). Solange jedoch das Schlüsselmaterial da ist, gibt es scheinbar ganz gute Chancen. Es wird dann das Kennwort z.B. per Brute Force ermittelt. Da sicherlich bei dem alleinstehenden Client keine komplexen Kennwörter erzwungen wurden und die Benutzer von Hause aus "faul" sind ;) , kann es sogar ganz gute Chancen geben, an die Schlüssel und damit an die Dateien zu kommen. Vielleicht kann hier ja jemand einmal seine Erfahrungen in Bezug auf konkrete Programme zum Besten geben. Für die Zukunft macht es sicherlich Sinn über die Vorsorge nachzudenken. :) Viel Erfolg und viele Grüße olc

Hi, in der Version 1 der PowerShell kannst Du solche Befehle nicht remote ausführen. Dies wird erst ab Version 2 möglich sein. Warum versuchst Du es nicht mit dem UNC Pfad zum anderen System / Ordner? Das sollte klappen. [EDIT] Ui, man sollte nicht so lange andere Beiträge lesen :D Ist ja alles schon erledigt... ;) [/EDIT] Viele Grüße olc

Hi, kurzer Einwurf: Soll es auf jeden Fall mit der PowerShell passieren oder gehen auch andere Applikationen / Scripts? Auf die Schnelle fällt mir da etwa ADFind oder auch dsquery / dsmod als Alternative ein. Ansonsten schau einmal nach den Quest Addons, obwohl es grundsätzlich natürlich auch ohne diese ginge (mit mehr Schreibarbeit ;) ): PowerShell Commands for Active Directory Quest Software Viele Grüße olc

Hallo, Meines Wissens ist dies nicht möglich, soll heißen die Windows CAs können nicht als Cluster-Applikation laufen. Daher wird es wohl eher schwierig (mit MS Produkten wahrscheinlich sogar unmöglich) das zu gewährleisten. Im Normalfall ist jedoch ein temporärer Ausfall einer CA nicht unbedingt kritsch, wenn auch nicht gut oder wünschenswert. Im Grunde sollte also die CA vor Ausfall geschützt werden, jedoch muß dies nicht zeitkritisch erfolgen. Das ist nicht ganz korrekt. Zwar lassen sich die Zertifikate der Benutzer im AD publishen als auch die Zertifikate der Root / Issung CAs etc., jedoch hat dies nichts mit der Funktionalität des Ausstellens / revoken etc. zu tun. D.h. bei einem Ausfall einer CA können z.B. keine CRLs mehr veröffentlicht werden, keine Zertifikate zurückgerufen und auch keine neuen ausgestellt werden. Im Normalfall kommt es also spätestens nach dem Aublauf der aktuellen CRLs in der Umgebung zu ersten Problemen. Dies bezieht sich natürlich nur auf die ausgefallene CA - sind mehrere CAs vorhanden, können diese erst einmal weiterarbeiten. Jedoch haben diese nichts mit den ausgestellen Zertifikaten / CRLs etc. der jeweils ausgefallenen CA zu tun. Zum Punkt, daß CAs auf DCs laufen sollen und damit Ausfallsicherheit bieten, ist nichts zu sagen, außer daß es falsch ist. ;) Grundsätzlich ist sogar zu empfehlen (wie bei vielen anderen Diensten auch), daß Du eine CA gerade nicht auf einem DC installierst. Viele Grüße olc

Hallo Kristoff, solange das Profil noch vorhanden ist, ist der Master Key bzw. die privaten Schlüssel auch noch vorhanden. Es gibt hier auf dem Markt befindlich Programme, die versprechen die Schlüssel zu knacken (im Grunde also das Kennwort zu brechen). Diese Lösungen hast Du beim Durchstöbern der Boardsuche ja schon gefunden. ;) Bezüglich des Original-Kennworts: Solange keine Änderungen an den Schlüsseln (inkl. den DPAPI Master Keys) stattgefunden haben, sollte das Zurücksetzen des Kennworts eigentlich den gewünschten Effekt bringen. Aber der Benutzer kennt das Kennwort nicht mehr oder? Eine Frage noch dazu: Arbeitet Ihr in einer Domänen- oder Arbeitsgruppenumgebung? Denn wenn das Kennwort über die AD bei Domänenkonten zurückgesetzt wurde, sollte es im Grunde kein Problem geben. Nur bei lokalen Konten kommt es zu dem Problem nach dem Zurücksetzen des Kennworts. Außerdem wäre in einer Domänenumgebung standardmäßig ein Data Recovery Agent aktiv, der unter guten Bedingungen zur Entschlüsselung herangezogen werden könnte. Viele Grüße olc

...jepp, die Anleitung ist korrekt. Hätte der TO vorher schon "erwähnt", daß es sich nicht um einen IIS sondern es um einen TS handelt, hätte man das früher auflösen können. ;) How to ask a question Viele Grüße olc

Hi pairosilva, Genau - und Du solltest nicht zu Testzwecken "mal eben" das Schema Update durchführen. Bau Dir lieber eine Testumgebung auf. Grundsätzlich erst einmal ja, jedoch gibt es dabei eine Menge Dinge zu beachten. Wenn das ganze nicht richtig geplant und implementiert wurde, kannst Du Probleme in Bezug auf die Datenkonsistenz bekommen, gerade nach einem Ausfall und der Wiederherstellung des ausgefallenen Servers. Du solltest also auf jeden Fall gut planen und testen, bevor es produktiv wird.... Die Aufstellung von Stephans Link gibt Dir doch einige Daten. Alles weitere ist - wie von Stephan schon angesprochen - abhängig von Deiner Umgebung (CPU, RAM, HDD, NICs etc. pp.). Da Du jedoch sicherlich kaum so viele Daten replizieren wirst, daß Du an die Leistungsgrenzen moderner Hardware kommst, sollte das wohl eher kein Thema sein (außer vielleicht bei der Initialreplikation oder Backup-Szenarien). Aber gut, daß ist natürlich nur eine Vermutung von mir. Wenn Du hingegen wissen willst wie die Performance bei einem Ausfall ist, wenn die Benutzer auf dem Remote-Server arbeiten, kommst Du nicht um Tests herum. Dafür gibt es keine Faustformel. Viele Grüße olc

Ah, ok. Jetzt verstehe ich das Problem. Könnte man z.B. so in der PowerShell erledigen: $category = "(&(objectclass=user)(objectcategory=user)(proxyaddresses=fax*))" $AD = [ADSI]"LDAP://DC=testdom,DC=intern" $properties = "samaccountname", "proxyaddresses" $search = New-Object System.DirectoryServices.DirectorySearcher($AD,$category) $search.PageSize = 1000 foreach ($value in $properties) { $search.PropertiesToLoad.Add($value) } $result = $search.Findall() foreach ($val1 in $result) { write-host write-host write-host $val1.properties.samaccountname write-host ======================= foreach ($val2 in $val1.properties.proxyaddresses) { if ($val2 -like "fax*") { write-host $val2 } } } Viele Grüße olc

@ ingo: Daran liegt es wahrscheinlich eher nicht. Der TO sagte, daß er der Gruppe "EXTERN" explizit "Verweigern" auf Freigabeebene gegeben hat - verweigern geht also vor. Viele Grüße olc

Hallo, Du kannst die meisten Attribute mit beliebigen LDAP-Abfragen ausgeben. Mir ist im Moment nicht ganz klar, was Du mit "Typ Fax" meinst. Ist es eine eigene Klasse oder ein eigenes Attribut? Eher letzteres oder? Kleines Beispiel mit dsquery, sollte es ein Attribut sein: dsquery * -filter "(&objectcategory=user)(objectclass=user))" -attr sAMAccountName fax Du kannst jedoch auch *zig andere Tools / Programme dafür verwenden. Viele Grüße olc

Hallo pairosilva, Würde mich wundern, wenn ich das so geschrieben hätte. ;) Was ich geschrieben habe ist das folgende: DFS-N: DFS-R: Das bedeutet, daß Du für DFS-R definitiv eine AD benötigst, in der die Replikationspartner Memberserver sein müssen (innerhalb eines Forests). Wie oben geschrieben brauchst Du grundsätzlich eine Domain. Wenn Du die Domain Deiner Produktionsumgebung nutzen möchtest, muß das Schema entsprechend erweitert sein - R2 bringt einige Schemaerweiterungen mit, die für die neuen DFS-R Dienste benötigt werden. Bei Dir sind dann scheinbar zwei Level anzuheben: Windows Server 2003 Schema (Version 30) + Windows Server 2003 R2 Schema (Version 31). Siehe Error message when you run the Active Directory Installation Wizard: "The version of the Active Directory schema of the source forest is not compatible with the version of Active Directory on this computer" Ein Schemaupdate macht man jedoch im Normalfall nicht mal so "nebenbei" - also nach Möglichkeit solltest Du Dich diesbezüglich vorher ein wenig einlesen, bevor etwas kaputt geht. ;) Gefahrlos geht in den meisten Fällen nur, wenn Du Dir eine eigene, vom Produktivnetz abgeschottete, Testumgebung aufbaust. Was auch in diesem Fall zu empfehlen ist. :) Das ist kein Problem - obwohl meist zusammen genutzt, sind die beiden Techniken im Kern vollkommen unabhängig voneinander. Viele Grüße olc

Hi, Du beantragst ein Webserver SSL Zertifikat nicht über die CA Webseite, sondern nutzt den dafür zuständigen Dialog in der Webserver / IIS MMC selbst. Hier erzeugst Du den Request und weist das Zertifikat dann der gewünschten Domain / Seite zu, siehe 1. Web Server Certificate 2. oder hier HOW TO: Install Imported Certificates on a Web Server in Windows Server 2003 [EDIT] Twenty war schneller :) [/EDIT] Viele Grüße olc

Hi, war der Benutzer schon vor seiner Anmeldung am XP Client in der Gruppe "EXTERN" oder hast Du ihn während einer laufenden Benutzersitzung erst zur Gruppe hinzugefüht? Die SIDs der Gruppen, in denen der Benutzer Mitglied ist, wird beim Logonvorgang ins Benutzertoken geschrieben, siehe als ganz kurzen Einstieg "Concepts" unter Active Directory Users, Computers, and Groups . Viele Grüße olc

Hallo, schau einmal hier hinein, dort werden Deine Fragen beantwortet: Group Policy Preferences Frequently Asked Questions (FAQ) Und hier einige Links zum Download der einzelnen CSEs: Spat's WebLog (Steve Patrick) : Group Policy Preferences CSE for download - Viele Grüße olc

Hallo, ohne jetzt alle Eckdaten zu kennen folgener Hinweis: Wenn Du auf beiden Seiten - wie Du schreibst - Windows Server 2003 R2 Systeme hast, kannst Du anstatt FRS auch DFS-R nutzen. Dies ist eher zu empfehlen als FRS. ;) Schau mal hier hinein für eine kleine Einführung: Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de Im zweiten Teil gibt es dann ein paar Zusatzinfos: Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de Bei Fragen einfach melden. Aber bitte zuerst durchlesen, dann melden. ;) Viele Grüße olc