olc

Hi Walter und willkommen an Board, :) steht irgend etwas im Eventlog, was genaueren Aufschluß über den "Fehler" gibt? Die Fehlermeldung als solche ist leider nicht sehr aussagekräftig... Viele Grüße olc

Hi, wozu auch REG_BINARY per GPO erstellen, wenn es komfortabler per GPP geht? ;) :p Viele Grüße olc

Hi Marv, willkommen an Board, schau einmal hier hinein, vielleicht hilft es: Häufige Ursachen der STOP-Meldungen 0x00000077 und 0x0000007A Viele Grüße olc

Hi marabel, schau Dir zum Beispiel einmal in Start --> Run --> "msinfo32" das "Software Environment" --> die "System Drivers" an. Dort würdest Du sehen, wenn der Treiber noch geladen ist. Aber wenn der Scanner sauber deinstalliert worden ist, dann sollte er im Normalfall nicht mehr auftauchen. Es gibt dafür aber auch eine ganze Menge anderer Tools, so etwa von Sysinternals "Autoruns" oder diverse Kommandozeilentools. Viele Grüße olc

Hi, ja, sieht erst einmal so aus, als ob die ESET Software (NOD32 Anti-Virus) zumindest an dem Problem beteiligt ist. Wenn möglich, deinstalliere einmal die Software komplett (nicht nur deaktivieren, da sonst der Filtrertreiber aktiv bleibt) und installiere einen anderen AV-Scanner. Danach wäre zu schauen, ob das Problem nochmal auftritt. Viele Grüße olc

...und außerdem ist es genau das, was ich geschrieben hatte: Eine Änderung in Bezug auf das Password Change Protocol / Kerberos. Manchmal frag ich mich wirklich, warum hier einige scheinbar die Ignorierfunktion für "olc" aktiviert haben. :rolleyes: Viele Grüße olc

Hi, noch einen Hinweis dazu: Solltest Du wirklich DFSR für das Vorhaben einsetzen dann mußt Du sicherstellen, daß das Profil immer repliziert wurde, wenn ggf. der jeweils andere Server für eine andere Anmeldung genutzt wird. Läßt sich das nicht sicher stellen, dann solltest Du keine Replikation der Profile einrichten, da sonst mit Inkonsistenzen zu rechnen ist. Ich persönlich bin kein großer Fan davon, weil es meiner Erfahrung zu oft zu genau solchen Konstellationen kommt. Viele Grüße olc

Hi, genau das macht das Pre-Staging bzw. besser gesagt das Pre-Seeding doch... ;) Viele Grüße olc

Hi Micha, willkommen an Board, :) versuch es einmal mit "Pre-Staging": Get out and push! Getting the most out of DFSR pre-staging - Ask the Directory Services Team - Site Home - TechNet Blogs Viele Grüße olc

Hi zahni, XP wendet sich auch nicht direkt an den PDCe, sondern an einen normalen DC - das machen die DCs und der PDCe danach "unter sich aus". Da der password change auf dem XP System funktioniert, steht die WAN Verbindung vermutlich. Viele Grüße olc

Hi, ja, wie gesagt: Es gibt / gab Änderungen in Bezug auf das password change protocol, wenn ich mich nicht irre. Schau einmal in einen Netzwerktrace - Kerberos Fehler sind recht problemlos in so einem Trace zu sehen, da die Error Codes sehr übersichtlich gestaletet sind. Gleiches gilt für DNS. Viele Grüße olc

Hi, zieh einmal einen Netzwerktrace und filtere nach "Kerberos" und "DNS". Im Normalfall sollte das "password change protocol" (Kerberos) dabei angezeigt werden - vielleicht zeigt sich ein Problem. Oder aber Du siehst DNS Probleme - ist die DNS Konfiguration der XP und W7 Clients gleich? Viele Grüße olc

Hi Dio, das, was Du da gemacht hast, ist sogenanntes Domain cloning und eine ganz üble Geschichte. Gründe dafür gibt es viele, zum Beispiel massive Sicherheitsbedenken aber auch die Möglichkeit, Dein "Produktiv-AD" komplett zu zerstören, wenn der Clone irgendwie (warum auch immer) Kontakt mit dem Produktionsnetz bekommt. Und bitte, jetzt keine Aussage wie: "Das wird auf keinen Fall passieren, das habe ich unter Kontrolle". ;) Ich weiß von Fällen, in denen direkt die produktive Domäne zerstört wurde, weil man es eben doch nicht unter Kontrolle hatte. Vielleicht sind die vermeintlichen AD-Probleme ja genau ein Zeichen dafür... Fazit: Leg Dir lieber eine ordentliche Testumgebung zu und versuche es nicht mit einem Clone. Gut gemeinter Rat meinerseits. :) Viele Grüße olc

Hi Hajo, Benutzer wenden immer nur die Benutzerrichtlinien an, Computer immer nur Richtlinien im Computer Teil. Das erstmal als Grundsatz. :) Du kannst erreichen, daß ein Benutzer die Benutzerrichtlinien anwendet, die auf dem Standort des Computers verlinkt sind, indem Du auf dem Computer die sogenannte "Loopback" Richtlinienverarbeitung aktivierst. Viele Grüße olc

Hi, ist auf dem 2008 R2 TS der Applocker Dienst gestartet? Standardmäßig ist er nicht aktiv. Ansonsten solltest Du noch einmal prüfen, ob die Policy überhaupt korrekt ankommt. Beispielsweise über eine andere Einstellung, die nichts mit Applocker zu tun hat. Viele Grüße olc

Hi, schau dir die Ausgabe von "DSACLS" auf einem normalen Benutzerobjekt an - dann siehst Du, welches Attribut mit welchen Berechtigungen versehen ist. Taucht es nicht auf, könnten die sogenannten "property sets" interessant für dich sein. Viele Grüße olc

:D :D :D Ich finde die Umfrage super (=sinnvoll), denn die Antworten sind extrem cool (und überhaupt nicht unsinnig). ;) Und endlich mal jemand, der der Grammatik mächtig ist, und das unsägliche "macht Sinn" auflöst. :)

Hi, Du kannst den Staging Ordner löschen - die anderen Ordner solltest Du jedoch nicht löschen, da dort Konfliktdatreien etc. landen. Aber ein Neustart des DFSR Dienstes würde die Ordner auch neu anlegen, von daher ist es kein "allzu großes Problem", wenn sie doch mal gelöscht werden. Viele Grüße olc

Hi zusammen, schau einmal hier hinein, das sollte Dich schon weiterbringen: Windows Server How-To Guides: EFS Recovery – oder: Vorsorge ist alles - ServerHowTo.de Kurzfassung: Wenn Du eine CA hast, dann mußt Du ein neues DRA Zertifikat über die CA ausstellen. Ist keine CA eingerichtet, dann legst Du mittels "cipher /r" einen neuen DRA an und importierst das Zertifikat in die entsprechende Gruppenrichtlinie. :) Viele Grüße olc

Hi Severin, wie genau exportierst Du das Zertifikat denn auf der CA und wie überträgst Du es auf das NAS? Viele Grüße olc

Hi, einmal anders gefragt: Wieso sollen die Zertifikate exportiert und importiert werden? Warum werden keine neuen Zertifikate ausgestellt? Handelt es sich um Benutzer oder Computer Zertifikate? Generell könnte man das sicher automatisieren, indem man mittels Schleife alle Seriennummern der Zertifikate ausgibt und dann beispielsweise mit "certutil -exportPFX" exportiert. Eine entsprechende Option der GUI ist mir nicht bekannt. Viele Grüße olc

Hi, zieh einmal einen Netzwerktrace mit Filter auf "dns" und prüfe, was konkret über die Leitung geht und vor allen Dingen, welche DNS Server welche Rückmeldung geben. DNS Traffic ist recht einfach zu lesen, das sollte Dich ein großes Stück weiter bringen. Viele Grüße olc

Nein, soweit ich mich erinnere nicht bei jeder Option. Viele Grüße olc

Hi, ok - ohne Kenntnis der Authentifizierungsfunktion von Dynamics werden wir da zu keinem Ergebnis kommen. Meine Vermutung wäre, daß reines LDAP bind nicht ausreichend ist. Schau doch einfach noch mal in die Dynamics Dokus - ich kann mir beim besten Willen nicht vorstellen, daß es dort nicht dokumentiert ist. Ein Dienstleister für das Thema ist keine Option? Ich meine es wirklich nicht böse - aber Du scheinst recht wenig Erfahrung mit der Materie zu haben. Vielleicht macht es Sinn, eher jemanden damit zu betrauen, der mit diesem Thema vertraut ist? Viele Grüße olc

Hi, ergänzend vielleicht noch die Frage, ob vielleicht entsprechende Gruppenrichtlinien konfiguriert wurden? Die Einstellungen lassen sich auch per GPO festlegen, was das "Verwerfen" erklären könnte. Viele Grüße olc