olc

Hi einstein, und der Benutzer selbst führt die Kennwortänderung durch und nicht der Administrator in AD Users&Computers? Denn im Grunde sehen die Exports oben gut aus. Kann es sein, daß auf den DCs irgend ein Dritthersteller Produkt installiert ist, welches Kennwortänderungen steuert? P.S.: Was genau sagt der Secedit Export? Kannst Du zusätzlich noch einen anonymisierten Export der Domäne "DC=firma,DC=de,DC=RootDomain" posten? LDIFDE -d "DC=firma,DC=de,DC=RootDomain" -scope onelevel -f domain.txt Viele Grüße olc Viele Grüße olc

Hi einstein, folgende Exports wären interessant: :) 1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt 2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt 3. Auf dem PDCe: secedit /cfg /export security.txt Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export). Viele Grüße olc

Hi einstein, dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet? Kennwortlänge, Komplexität, minimales Kennwortalter usw.? Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten). Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers. Sind alle Benutzer betroffen oder nur ein einzelner? Viele Grüße olc

Hi, ab 2008 können Computer-Zertifikate nicht mehr über die Cert-Webseite ausgestellt werden. Das geht nur noch über die MMC (oder Autoenrollment bzw. manuelle Requests). Starte also eine MMC, füge über die SnapIns Zertifikate --> Lokaler Computer den entsprechenden Menüpunkt hinzu und fordere darüber das Zertifikat an. Wenn ansonsten alles paßt, sollte Dir das Template dort angezeigt werden. Insgsamt würde ich auch empfehlen, die Cert-Webseite nicht mehr zu nutzen. Langfristig wird diese eher "aussterben". Viele Grüße olc

Hi, nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2? Die Domäne muß a) im Modus 2008 oder höher sein und b) dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden). Viele Grüße olc

Hi Ice, eine Frage dazu: Warum verteilst Du die Suffixe nicht per GPO oder DHCP -hat das konkrete Hintergründe? Viele Grüße olc

Hey Mike, danke für Deine Rückmeldung. :) Unlogisch ist es insofern nicht, als daß diverse Prozesse erst nach dem DCPROMO in Gang gesetzt werden. Von daher kann es durchaus passieren, daß das DCPROMO als solches gut durchläuft, danach jedoch Probleme auftreten. Schön, daß es nun geklappt hat. :) Viele Grüße olc

Hallo Mike und erst einmal willkommen an Board, :) ich persönlich würde es wohl auch mit einer semantic database analysis versuchen. Zusätzlich könnte man das NTDS Logging für die DB ein wenig hochdrehen um zu prüfen, ob man sich bis zu einem konkreten Objekt durchhangeln kann oder ob es größere Teile der DB betrifft (falls die Fehlermeldung korrekt ist). Und da Du das Problem auch schon auf anderen Foren gepostet hast anbei einmal die Nachfrage, warum Du es innerhalb einer Woche des Nachfragens nicht einfach einmal mit einer DB Analyse versucht hast...? ;) Viele Grüße olc

Hi Andreas, Du kannst das folgende Script nutzen (siehe KB weiter unten): Delegated permissions are not available and inheritance is automatically disabled Damit wird die Vererbung wieder aktiviert (und nur die aktuell geschützten Objekte nach einiger Zeit wieder mit den AdminSDHolder ACLs versorgt). Viele Grüße olc

Hi, ist unter Umständen auch ein Update des "Microsoft Root Certificate Programs" installiert worden...? Viele Grüße olc

HI NJA, nein, was Du jetzt hast ist vollkommenes Chaos. Innerhalb kurzer Zeit sind Fehler zu erwarten. Ohne es böse zu meinen ist meine Empfehlung an dieser Stelle, Dir jemanden ins Haus zu holen, der sich damit auskennt. Bevor es Probleme gibt. Viele Grüße olc

Hi, nur der Vollständigkeit halber: Microsoft empfiehlt für Backups mindestens zwei DCs jeder Domäne des Forests und ebenso (ggf. gleichzeitig) insbesondere für ein eventuell notwendiges Forest Recovery den Schema Master, Domain Naming Master und RID Master für die Backups und ggf. den Restore zu nutzen. Siehe dazu auch: Download details: Windows Server 2008: Planning for Active Directory Forest Recovery Aber ich gebe Nils insofern Recht, daß man sich damit auch durchaus Probleme machen kann. Letztlich geht also nichts über ein getestetes Restore / Recovery Verfahren, welches Vor- und Nachteile des geplanten Vorgehens recht deutlich aufzeigen kann. Viele Grüße olc

Hi, das Löschen der nicht erreichbaren URLs bringt Dir nichts - diese sind ja noch in den ausgestellten Zertifikaten vorhanden. Damit löst Du das Problem leider nicht... Bezüglich der zweiten Frage: Ja, ganz genau. Das sollte so funktionieren. Prüfe jedoch vorher, ob in der Zwischenzeit von der "neuen CA" schon Zertifikate ausgegeben wurden. Wenn das der Fall ist, verkompliziert es die Sache, denn diese Zertifikate müssen ja auch "irgendwie" verifiziert werden, wenn die neue CA nicht mehr existiert. Viele Grüße olc

Hi, schließe einen Hub (keinen Switch!) an das System an, dazu einen zweiten Rechner an diesen Hub und ebenfalls "Dein Netzwerk". Dann startest Du auf dem zusätzlich angeschlossenen System einen Netzwerkmonitor (etwa Wireshark oder NetMon 3.4) und startest den betroffenen Client neu. Im Netzwerktrace solltest Du dann den Traffic der betroffenen Maschine während des Neustarts sehen. Viele Grüße olc

Hi, ok - bei XP / 2003 Systemen gibt es noch keine Eventlog Channels. Dann ggf. einmal mittels Netzwerktrace auf den Clients prüfen, was da auf LDAP und HTTP Verbindungen nach außen auf CRLs oder Root-Zertifikate gehen möchte. Viele Grüße olc

...die Frage habe ich Dir schon beantwortet. Weil Speicherplatz im Normalfall kein Problem mehr darstellt. ;) Die Probleme liegen eher im Bereich der Sicherung dieses Speicherplatzes, aber ich vermute einmal ohne es genauer zu wissen, daß Du in diese Dimensionen nicht vordringst. Und vielleicht einmal als Gundsatzhinweis: Wenn Du hier eine Frage stellst, mußt Du auch mit dem "kritischen Hinterfragen" rechnen. Wenn Du keine Begründung für Dein Vorhaben lieferst und nur etwas kommt wie "ich will es aber so", wirst Du kaum andere oder besser gesagt keine qualifizierten Antworten erhalten. Viele Grüße olc

Hi, aktiviere einmal das CAPI2 Logging in den "neuen" Event Log Channels der Ereignisanzeige. Ich erinnere mich an ein Problem mit der Überprüfung eines Root-Zertifikats durch die Symantec Software. Besteht keine Internetverbindung oder es steht ein Proxy mit Authentifizierungsfunktion davor, gab es Probleme mit den Timeouts. Im CAPI2 Log würdest Du sehen, ob der Abrufversuch scheitert und könntest damit ggf. das Problem eingrenzen. Ansonsten: Versuch wie oben schon geschrieben ein Update der AV-Software Version. Viele Grüße olc

Hi fabi, warum möchtest Du die Sicherungen entfernen? Speicherplatz ist bei einem Gigabyte Preis von wenigen Cent kaum noch ein Problem oder? ;) Viele Grüße olc

...die SRV Records liegen im DNS... Viele Grüße olc

Guten Abend NJA10 und willkommen an Board, :) wenn Du den Host umbenannt hast kann es sein, daß "Reste" mit dem alten Namen der CA noch in der Registrierung zu finden sind. Stoppe den CA Dienst und schau einmal unterhalb von HKLM\SYSTEM\CurrentControlSet\CertServ in den untergeordneten Schlüsseln nach dem alten Hostnamen und ersetze ihn durch den neuen. Vorher natürlich die Maschine entsprechend sichern, daß Du notfalls zurück kannst. Bezüglich der CRLs und AIA --> das ist eigentlich auch Thema der Migration Guides: Wenn Du den Hostnamen geändert hast und die CRL Lokationen usw. noch auf den alten namen zeigen und diese nicht "generalisiert" sind, also auf allgemeine Verteilungspunkte zeigen, die nicht Maschinenabhängig sind, mußt Du dafür sorgen, daß die CRL, AIA usw. weiterhin auch auf die alten URLs veröffentlicht werden. Ggf. auch über DNS Aliase und Einträge in die CRL Publish Informationen. Schau noch einmal in den Migration Guide, dort solltest Du fündig werden. P.S.: Du solltest Dich mit den Aktionen beeilen - wenn die CRL abläuft und das Problem nicht gefixt ist, bekommen die Clients Probleme. Dann mußt Du entweder die CRL manuell signieren oder schnellstmöglich die alte Struktur wiederherstellen. Viele Grüße olc Viele Grüße olc

Hi Jannis und willkommen an Board, :) Du kannst Profile beim Abmelden löschen lassen, siehe dazu auch: Using Group Policy to delete cached copies of roaming profiles Ab Windows Vista / W7 kannst Du per Gruppenrichtlinie festlegen, nach welcher Zeit ein Profil automatisch beim Neustart der Systeme gelöscht wird. Das wäre meines Erachtens nachdem was Du schreibst für Dich ein sinnvoller Weg: User profiles may be deleted after you restart a computer that is running Windows Vista or Windows Server 2008 Viele Grüße olc

Moin tcpip, :) Gute Antwort. ;) Was genau migriert das Tool denn? DIe Mailboxen, korrekt? Hast Du an die ganzen an die E-Mail Funktionen angebundenen Dienste von Exchange gedacht, die damit nicht angetastet werden? Was für Unternehmen meinst Du und welche Motivation steckt dahinter? Ich bin einmal so frech zu behaupten, daß einige von en von Dir angesprochenen Unternehmen noch nicht wirklich verstanden haben, was sie da eigentlich vorhaben. Außerdem stellt sich mir die Frage warum überhaupt Google ein Thema ist und nicht 1&1 oder ähnliche Provider, die selbiges Portfolio ebenso anbieten und in Deutschland ansässig sind. Da gebe ich Dir Recht, aber das hat nicht unbedingt etwas mit Deiner Aussage von oben zu tun. Mal abgesehen vom rechtlichen Rahmen (Stichwort revisionsfähige Archivierung, Speicherort der Daten, Datenschutz usw.) vergleichst Du hier Äpfel mit Birnen. Ich stelle noch einmal die Frage: Dir ist klar, daß Lotus Notes, Groupwise, Exchange usw. eine Groupware ist und damit ein ganz anderer Fokus als Google Mail / Apps und Konsorten gesetzt ist? Du weißt ebenso, daß ein ganzer Fundus an Funktionen, die diese Groupware Systeme bieten, derzeit nicht von Google abgedeckt werden? Was ist mit Rechteverwaltung, mit Organisations-Vertrauen / Foundations, dem Abgleich Deiner AD mit Google Mail / Apps usw...? Auf den ersten Blick nicht, auf den zweiten bietet er eine Menge Vorteile in einem Windows Umfeld. Und so wie ich Dich verstehe, reden wir hier von einem AD Umfeld, korrekt? Ich finde das gar nicht so zum lachen ;) und meine das wirklich ernst: Google hat in dem Segment kaum Erfahrungen, aber einige "Entscheider" springen auf den Zug auf ohne zu wissen, wohin die Reise überhaupt geht. Aber gut, was solls. Wenn sie auf die Nase fallen, bemerken sie vielleicht, daß Google da gerade seine Enterprise Kenntnisse im "Test" mit Kunden vorantreibt. Wers braucht solls durchziehen. ;) Und ob toll oder nicht spielt für mich hier keine Rolle - wenn das Produkt gut ist (bzw. wäre), würde ich nichts dazu sagen. Aber das ist es eben meiner Meinung nach nicht und kaum jemand spricht darüber. Der Fokus ist vollkommen falsch, denn worüber da konkret gesprochen wird, wissen scheinbar die wenigsten. Mach doch einmal den Test und Frage den Kunden, was der (Funktions-)Unterschied zwischen Exchange Online und Google Mail / Apps usw. ist. Ich vermute, er wird nicht viel dazu sagen können... Viele Grüße olc

Hi, meinst Du das jetzt ernst oder ist das ein Spaß? Falls Du es tatsächlich ernst meinst: Welche Unternehmen meinst Du jetzt genau? Mir fallen da auf Anhbieb nicht viele ein. Und ich bin mir sicher, daß ich davon gehört haben würde, denn Heise würde das sicherlich entsprechend ausschlachten. Mir wäre ebenso neu, daß Google Mail auch nur Ansatzweise ein Ersatz für Dienste wie Lotus Notes, Exchange o.ä. wäre. Und auch, daß Google seit neuestem im Enterprise Segment unglaublich viel Erfahrung nachweisen könnte. Aber vielleicht habe ich da ja auch was verpaßt? ;) :p Viele Grüße olc

Hi, d.h. die DCs greifen auf die Clients zu? Sicher, daß die Kommunikation in diese Richtung geht? Falls ja, dann zieh auf dem Client einmal ein "TASKLIST /SVC" und "NETSTAT -ANO" und ordne den geöffneten Ports des Clients eine Prozess ID zu und mit dem Tasklist Export dann auch einen Prozess. Vielleicht ist es dann klarer. :) Viele Grüße olc

+1 Ich persönlich würde von jedem DC in der Umgebung Sicherungen machen - dann ist die Chance, daß es zu Problemen kommt, "geringer" bzw. man hat dann meist einen "Plan B". Und auch dem Argument, daß das im Normalfall die geringste Sorge bei Deinem Konzept sein sollte, stimme ich voll und ganz zu. Viele Grüße olc