olc

@lefg und Daim: Das hatte fjoerderman schon "ausgeschlossen". Ich weiß momentan jedoch nicht, ob es in ADModify einen Schalter dafür gibt. Aber sicherlich gibt es den... :D @fjoerderman: Nein, Du mußt nicht alle Gruppen einzeln anfassen. Wenn die Gruppen beispielsweise in einer (oder mehreren) OU(s) liegen, kannst Du diese vorher mittels dsquery bzw. dsget abfragen und dann mittels Pipe " | " an dsmod übergeben. Wenn Deine selbst erzeugten Gruppen - so wie es Microsoft empfiehlt - einen einheitlichen Namensraum nutzen, so z.B. Grp_G_* oder Grp_U_* oder ähnliches kannst Du auch mit Platzhaltern arbeiten. Wie gesagt, schau Dir ADModify noch einmal an, ist wahrscheinlich richtig was lefg und Daim gesagt haben. Wenn nicht, bleibt Dir zum Beispiel die DS-Tools Geschichte... Gruß olc

N'abend, Du kannst meines Wissens die "eventtriggers.exe", die standardmäßig bei XP / 2003 dabei ist, einfach auf ein 2000er System kopieren und dann dort verwenden. Vielleicht testest Du das einfach mal. Eine E-Mail kann tatsächlich erst ab Vista / Windows Server 2008 standardmäßig gesendet werden. Aber mit Hilfe von Blat oder ähnlichen Programmen geht das auch unter 2000 / XP / 2003. Viele Grüße olc

Hallo, dafür wird Dir hier niemand eine Garantie geben (können). ;) Aus diesem Grund habe ich im letzten Post folgendes geschrieben: Das geht recht einfach, indem Du den Vorgang mit Testverzeichnissen durchgehst und schaust, was passiert. Aber im Kern ist es so wie beschrieben: Die Daten von D: werden in das Verzeichnis auf R: gespiegelt - was aber (wie "Finanzamt" richtig schrieb) zur Folge hat, daß auf D: nicht mehr vorhandene Daten auf R: gelöscht werden. Testen, testen, testen. ;) Gruß olc

...und noch eine "schmutzige" Variante: ;) http://www.mcseboard.de/windows-forum-ms-backoffice-31/schattenkopie-windows-2003-server-73704.html Gruß olc

Hallo Klaus, versuch es doch einmal mit dem Schalter "/MIR". Bitte vorher testen, bevor möglicherweise ein Datenverlust auftritt... Gruß olc

Hallo fjoerderman, vielleicht ist "dsmod" eine Alternative? Achte aber in jedem Fall vor der Umwandlung des Scopes auf die Verschalchtelung von Gruppen. Je nach Funktionsmodus kann es hier zu Problemen kommen, siehe http://www.microsoft.com/windows/windows2000/en/advanced/help/sag_adgroups_3groupscopes.htm. Gruß olc

Off-Topic: Ist schon komisch... Ab 2009 geben wir Fingerabdrücke für unsere neuen Personalausweise ab - Erkennungsdienstliche Behandlung war vorher lediglich Schwerkriminellen vorbehalten. Aber über die Updatefunktion macht sich der gemeine Computernutzer Gedanken. Asynchrone Denkweise oder? :D

...oder wenn Du nur die Einträge löschen willst und nichts anderes, kannst Du auch die Einträge mit "Entf" bzw. "Del" einfach aus der Leiste löschen. Dazu mußt Du im Suchfeld ledgilich die Pfeil-nach-unten Taste nutzen und dann jeden Eintrag einzeln löschen. ;) Gruß olc

Hallo, vielen Dank für Deine Rückmeldung. Diese Aussage ist doch dann im Grunde genau das, was ich in meinem zweiten Post hier geschrieben habe oder? :) Gruß olc

Hallo Miguel, zum neuen Fehler: Ich habe keine Ahnung, woher der Fehler kommen könnte. Microsoft sagt: Das hilft nicht so wirklich weiter - zumindest wenn wir davon ausgehen können, daß der Client virenfrei ist ;). Kannst Du irgendwie sicherstellen, daß zum Zeitpunkt der Abfrage tatsächlich ein DC zur Abfrage vorhanden war bzw. die DNS-Auflösung korrekt lief? Gibt es im Eventlog zu diesem Zeitpunkt andere Hinweise und läßt sich der Fehler vielleicht reproduzieren? Interessant ist ja die Zeit, zu der der Fehler auftritt: Eine gute Zeit für Backups oder Wartungsvorgänge. ;) Vielleicht gibt es hier "Schnittmengen" mit dem Fehler? Gruß olc

Hallo tgyssling, ich meine mich zu erinnern, daß das genaue Gegenteil der Fall ist: Gibst Du in Deiner E-Mail an, daß ein Virenscanner benutzt wurde, dieser die E-Mail als unbedenklich eingestuft hat und es doch zu einem Virenbefall des Gegenübers kommt, kann das Konsequenzen nach sich ziehen. Habe darüber (glaube ich) irgendwann einmal etwas in der iX gelesen. Finde den Artikel nur leider nicht mehr. Im Header oder im Text der E-Mail muß rechtlich gesehen meines Erachtens nichts dergleichen stehen... Gruß olc

Hallo grizzly999, Ich weiß im Moment nicht, ob wir jetzt vielleicht aneinander vorbei reden - deshalb lieber noch einmal nachgefragt: Wieso sollte man mit certreq.exe keinen Zertifikatrequest erstellen können? Natürlich geht das, denn das ist (unter anderem) Sinn des Programms... Microsoft Corporation Damit hast Du allerdings Recht. Gruß olc

Hallo, mal ein Schuß ins Blaue: Diese Kerberos Fehler treten unter anderem häufig auf, wenn die MTU bei VPN Verbindungen problematisch ist bzw. die Netzwerkonnektivität nicht so recht hinhaut. Im folgenden Artikel wird erklärt, wie man Kerberos Anfragen auf TCP binden kann - das hilft in solchen Fällen (Stichwort UDP Fragmentation): How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000 Das würde zwar nicht erklären, warum nicht alle Benutzer betroffen sind, aber einen Versuch ist es vielleicht wert. Grundsätzliche Kerberos Troubleshooting Informationen findest Du in folgendem Dokument: Troubleshooting Kerberos Errors Ansonsten mal Netzwerkkartentreiber der neuen Kiste aktualisieren. P.S.: Wie gesagt --> Angaben ohne Gewähr. ;) Gruß olc

Hallo, wie grizzly999 schon schrieb, kannst Du den IIS auch nachinstallieren. Zertifikate ohne IIS zu erstellen ist kein Problem: Entweder Du verwendest dafür die MMC oder Du erledigst das mittels "certreq.exe". Gruß olc

Hallo Muffel, hat nicht wirklich etwas mit dem Thread zu tun oder? ;) Hier (trotzdem) die Antwort - siehe Unterpunkt "Windows Server 2003 Operating System Needed for Each Procedure": Building an Enterprise Root Certification Authority in Small and Medium Businesses Gruß olc

Hallo DaniFilth, weiß nicht genau ob "Fehlerberichterstattung" die gleiche "Anwendung" ist - denke aber, daß es so ist. Falls ja, findest Du die Möglichkeit zum Deaktivieren in der lokalen Gruppenrichtlinie: Benutzerkonfiguration / Computerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten --> Windows-Fehlerberichterstattung Falls es das nicht ist, würde ich trotzdem auf irgendein Policy-Setting tippen. ;) Gruß olc

Hallo, momentan fällt mir keine Möglichkeit ein, eine zweite IP-Adresse über die GUI festzulegen. Auf der Kommandozeile kannst Du das jedoch mittels "ifconfig" manuell durchführen. Für ein Beispiel siehe: http://www.onlamp.com/linux/cmd/i/ifconfig.html M0n0wall ist grundsätzlich schon eine feine Sache. Die Frage ist, wofür bzw. für welche Umgebung und Größenordnung Du die M0n0wall einsetzen möchtest. Die oftmals angeführten Argumente für oder gegen eine OpenSource Lösung sind meist nicht unbedingt funktioneller Natur, sondern gehen eher in die Richtung Support, Zuverlässigkeit, Fehlerbehebung etc. Meine Antwort ist daher bewußt eher allgemein gehalten. Es kommt konkret auf Deine Anforderungen an, welche Lösung für Dich geeignet ist. Das läßt sich (wie bei anderen Themen auch nicht) nicht ohne weitere Informationen beantworten. Eine weitere recht populäre Firewall ist IPCop. Schau sie Dir doch auch noch einmal an. Ich meine hier im Forum schon ein, zwei Benutzer des IPCop "gesehen" zu haben. ;) Aber paß auf, daß jetzt hier kein "Flamewar" zu OpenSource, Firewalllösungen etc. entsteht. ;) Gruß olc

Hallo Daim, dieses Mal bist Du aber im Thread verrutscht oder? ;) Meine Antwort war auf das Thread-Thema mit dem "Administration limit on the server has exceeded." gemünzt und sollte meinen Fauxpas auf Seite 1 beheben. ;) Das Range Retrieval Thema hatten wir hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/max-gruppenanzahl-ad-121793.html#post750985 Windows Server 2000 hat 1.000, 2003 kann 1.500. Gruß olc

Hallo, um mein "Mißgeschick" von oben wieder gut zu machen, habe ich noch ein wenig herumgestöbert. ;) Das Limit liegt unter Funktionsmodus Windows 2000 grob bei 910 "non-linked" multivalue Attributen pro Objekt, von denen in der Praxis ca. 850 nutzbar sind, siehe MS Exchange Blog : Message Filtering Limits . Microsoft gibt offiziell 800 für Windows 2000 an: Unter den Windows 2003 Funktionmodi haben sich die Werte noch einmal geändert: Offensichtlich variieren die Werte (verständlicherweise) ein wenig, je nachdem was für Werte in den nicht verlinkten Attributen gespeichert werden bzw. wieviel Platz dadurch belegt wird. Nichts genaues weiß man nicht. ;) [EDIT] Hoffe dieses mal liege ich richtig mit meinem Verständnis des Threads. :D :D :D [/EDIT] Gruß olc

AAAARRRRGGGHHHHH..... Habe mir nach Deinem Post den Thread noch einmal durchgelesen. Oh man, es passiert mir immer wieder: Erst lesen, dann schreiben. :( Für mich las es sich auf den ersten Blick so, als wenn das "Bulk-Hinzufügen" von vielen Daten fehlschlägt. Aber es geht um die Gesamtanzahl an Attributwerten für ein Objekt. Entschuldigt - ich gelobe Besserung. Gruß olc

Hallo, für diese Größenordnung (basierend auf den Informationen von Dir) ist eine CA wahrscheinlich "overkill". Ich würde in diesem Fall eher den Erwerb eines Zertifikats einer kommerziellen Zertifizierungsstelle erwägen - das kostet heute nicht mehr die Welt - oder ein selbst signiertes Zertifikat erstellen, welches Du beispielsweise per GPO an die Clients im internen Netz verteilen kannst. Die zweite Variante ist dann natürlich nicht so optimal wie das kommerzielle Zertifikat. Eine CA in die DMZ zu stellen ist sicherheitstechnischer "Selbstmord". Wenn Du unbedingt eine CA verwenden willst, sollte diese in Deinem internen Netz liegen. Gruß olc

Hallo, es erst ab Windows Server 2003 Forestmodus ist es (theoretisch) möglich, mehr als 5.000 Werte in einer Datenbanktransaktion ein Attribut zu schreiben, siehe Microsoft Corporation In welchem Forestmodus ist die Domäne? Wie viele Werte schreibt Ihr in das Attribut? Grundsätzlich widersprechen sich jedoch die Quellen diesbezüglich: Auf der einen Seite wird bestätigt, daß die 5.000er Grenze ab Forestlevel Windows Server 2003 (bzw. Windows Server 2003 interim) gefallen ist, auf der anderen Seite gilt die Grenze jedoch weiterhin in Bezug auf LDAP-Queries (auch Add oder Modify): Außerdem werden scheinbar nicht alle Attribute (in dem Beispiel in Bezug auf Gruppenmitgliedschaften) automatisch nach dem Anheben des Funktionmodus konvertiert: Was kannst Du also tun? Keine Ahnung. :D Entweder - wie von Daim vorgeschlagen - direkt an den Microsoft Support wenden oder überprüfen, wie viele Werte in einem Query in die Datenbank geschrieben werden sollen --> denn die 5000er (LDAP-) Grenze scheint weiterhin zu bestehen. Gruß olc

Hallo, schalte doch mal das Userenv Debug Logging ein und poste den Output hier als Textdatei, falls das sicherheitstechnisch für Dich möglich ist. Vielleicht bekommt man daraus einen Hinweis, an welcher Stelle die Anmeldung hängt... Gruß olc

Hallo, vielleicht ist ADAM etwas für Dich? Gruß olc

Hallo, kann es sein, daß Dein Laptop zum Capture Zeitpunkt schon eine feste IP hatte? Bitte setze den Laptop auf DHCP und führe folgende Befehle auf der Kommandozeile aus, während Du den Traffic mitschneidest: ipconfig /release ipconfig /renew [EDIT] ...und was mir gerade noch aufgefallen ist: Wieso fragt eigentlich die FritzBox nach einer Adresse und nicht der Client? Ich bin zwar nicht der Profi bezüglich Netzwerk-Captures, aber meiner Meinung sollte doch der Client nachfragen und der Server anbieten oder? :D :D :D Kann es sein, daß Du zwei DCHP Server im Netzwerk laufen hast? [/EDIT] Gruß olc