olc

Hi, Klaro, hätte ich das ganze in <Ironie>-Tags packen sollen? ;) Ich persönlich habe bisher auch nur sehr wenige Fälle gesehen - und dann war ein anderer (deutscher) DNS Server-Wechsel meist ausreichend. 10ms oder 200ms können bei großen Providern ein Problem werden, aber ich vermute fast, daß es in diesem konkreten Fall eher zu vernachlässigen ist. :D Na ja, da derzeit die meisten Root-DNS-Server nicht in Europa stehen, wäre die Latenz dann doch recht hoch. Es sei denn man nimmt nur diejenigen, die wirklich räumlich verteilt sind. Davon gibt es mittlerweile meines Wissens 4 oder 5. Aber es gibt doch lokal auch genügend Alternativen, da muß man nicht die neueste Google-S*** durchs Dorf treiben. Ok, wenn Du das schon weißt, warum möchtest Du dann die Google DNS Server nutzen? Was genau ist der Mehrwert im Vergleich zu Telekom, COLT etc.? Viele Grüße olc

Hi gnoovy, die CRLs zieht man im Normalfall nicht um (das geht auch nicht "einfach so"), sondern legt diese direkt bei der Installation der offline CA entsprechend fest, so daß es beim Abschalten der offline CA keine Probleme gibt. Das Problem ist, daß die AIA und CRL nun in dem ausgestellten Zertifikat der Subordinate CA steht - Du müßtest also das Sub-CA Zertifikat mit neuen AIA und CRL Lokationen erneuern. Wie lauten denn die AIA und CRL Pfade der Root-CA? Verweisen diese ausschließlich direkt auf die Root-CA (etwa HTTP)? Viele Grüße olc

Hallo Helmut und willkommen an Board, :) hast Du alle Eventlogs geprüft? Insbesondere System und Application Event Log wären relevant. Falls wirklich gar nichts zu sehen ist, könntest Du es "rückwärts" versuchen: Du könntest mittels MSCONFIG alle nicht-MS Dienste abstellen und dann schrittweise wieder aktivieren. Irgendwann wirst Du wahrscheinlich den entsprechenden Dienst finden. Viele Grüße olc

Cool, daß das Projekt dann auch noch auf Google Code gehostet wird. :D Wir sind die Borg und Ihr werdet assimiliert. :suspect: Don't be evil.

Hi Ingo, Du irrst Dich ;) - der Artikel beschreibt das Vorgehen für denselben Benutzer (gleiche SID etc.), nicht für einen Template-Benutzer. Wie gesagt, alles wichtige wurde schon gesagt. ;) Viele Grüße olc

Off-Topic: ...nein, es ist noch ein Problem mehr. ;) Wie bei Kindern die Augen zu machen und hoffen, daß einen keiner sieht, hilft da nicht... ;)

Hi, Wenn es sich eher um ein MS Netzwerk handelt, dann ist das folgende Buch auch recht gut: Amazon.com: Understanding IPv6, Second Edition: Joseph Davies: Books Die Schwerpunkte liegen - neben den generellen IPv6 Themen - natürlich oft bei MS Implementierungen, das muß man dabei beachten. Aber das Wort "Understanding" ist nicht umsonst als Buchtitel gewählt, d.h. die Theorie kommt nicht zu kurz. Wenn Du es noch nicht gekauft hast, woher hast Du dann die Aussage, daß es DAS deutsche Standardwerk zum Thema sei? Viele Grüße olc

Off-Topic: ...was Ihr dabei für "wertvolle", zusätzliche Daten an Google gebt, ist Euch bewußt, nehme ich an?

Hi, schau DIr einmal die OfflineFiles WMI-Klassen an. Ich denke, da sollte etwas entsprechendes dabei sein: Win32_OfflineFilesChangeInfo Class (Windows) Viele Grüße olc

Hi, der im KB beschriebene Weg gilt für ein Profil des selben Benutzers, nicht für "Vorlagen". Daher ist der Artikel bzw. die Beschreibung in diesem Fall irrelevant. Meines Erachtens haben lefg und Nils alles relevante zu dem Thema gesagt. VIele Grüße olc

Hi, dann kann Dein Kunde das entsprechende Webinterface zur Domain-Verwaltung nutzen, um die "remote"-Subdomain einzurichten und auf die entsprechende IP zu verweisen. Das setzt natürlich voraus, daß sein Webpaket Subdomänen ermöglicht. Viele Grüße olc

Hi, wie sieht denn Deine DSQUERY Abfrage genau aus? Ggf.kann man mit einem entsprechenden DSGET auch das "whenCreated" Datum auslesen und damit die Einschränkung erreichen. Alternativ läßt sich das sicherlich auch mit diversen anderen Tools oder Scriptsprachen auslesen bzw. sortieren. Viele Grüße olc

Hi Anja, welchen Kenntnisstand hast Du bezüglich IPv4 und IPv6. D.h. geht es eher um eine seichte EInführung oder schon "hardcore" Informationen? Viele Grüße olc

Hi Sven, das steht in den oben genannten Links. Viele Grüße olc

Hallo Renny, wir kommen so nicht weiter. Nochmals die Bitte, vollständige Kommandozeilen und Fehlermeldungen zu posten, wenn Dir hier jemand helfen soll. Auf meine Hinweise zu den anderen Blogs hast Du außerdem keine Stellung bezogen. Viele Grüße olc

Hi, ich vermute, die Admins sind Mitglieder der Domänen-Admins oder Server-Operatoren, Backup-Operatoren o.ä.? Falls ja, dann schützt ein AD-Prozess diese Accounts und die Delegierung wird nicht entsprechend vererbt, siehe dazu auch Windows Server How-To Guides: Der AdminSDHolder - ServerHowTo.de Du müßtest also Dein Delegierungskonzept anpassen oder ggf. den AdminSDHolder Container direkt bearbeiten - was in den allermeisten Fällen jedoch nicht empfehlenswert ist. Viele Grüße olc

Hi, wie Norbert schon sagte, schau einmal ins Eventlog nach einem GPUPDATE. Nur der Vollständigkeit halber ;) : Doch, hat es. ;) Nur, wenn eine Richtlinie wirklich leer ist, dann wird sie an dieser Stelle auch ausgefiltert mit der Angabe, daß sie leer sei. Macht ja auch Sinn. :D Sobald eine Einstellung darin zu finden ist (in diesem Fall also "Immer auf das Netzwerk warten") ist der Computerteil nicht mehr leer und die entsprechende Policy würde nicht mehr aus diesem Grund ausgefiltert werden - was GPRESULT dann auch korrekt anzeigen würde. Daher vermute ich immer noch, daß der TO in die Benutzereinstellungen geschaut hat. Aber Dein Hinweis auf RSOP.MSC sollte etwas mehr Licht in die Sache bringen. Oder gleich ein Remote RSOP mittels GPMC. Viele Grüße olc

Hi Thomas, Ab Windows Server 2008 R2 reicht auch eine Standard Version, um eigene Templates zu erstellen / bearbeiten. Siehe dazu auch Windows PKI blog : Active Directory Certificate Services Features by SKU D.h. also, daß Du unter 2003 oder 2008 eine Enterprise Version für V2 Templates benötigst, unter 2008 R2 nicht mehr. Version 1 Templates, die Du also nicht anpassen kannst, sind auch bis 2008 in der Standard Version möglich. Korrekt, nur die CA selbst muß bis 2008 eine Enterprise Version sein. Die DC Versionen spielen dabei keine Rolle. Nein. Mir wäre nicht bekannt, daß sich da etwas geändert hat - bis 2008 galt: Nein, ein DCPROMO nach Installation einer CA ist nicht supported (auch keine DEMOTION). Siehe dazu auch: http://technet.microsoft.com/en-us/library/cc875810.aspx Auch aus Sicherheitsgründen ist es nicht empfehlenswert, eine CA auf einem DC (oder einer anderen Serverrolle) laufen zu lassen. Ich würde also so oder so davon abraten. Viele Grüße olc

Hi Sven, willkommen an Board, übrigens. ;) Schau einmal in die folgenden Artikel, unter Umständen greift es ja auch in Windows 7: "Always use the selected program to open this kind of file" checkbox are grayed out in Windows 2003 Disable "Always use the selected program to open this kind of file" option by default in the Open With dialog Viele Grüße olc

Hi, also vielleicht verstehe ich das jetzt auch falsch - falls ja gebt mir Bescheid. Aber... ;) Mattes verwendet ein normales "gpresult -r". D.h. es wird der RSOP geprüft. Da eine Einstellung in der Richtlinie gesetzt ist, müßte der Computerteil das auch wiedergeben. D.h. das "<leer>" dürfte nicht auftauchen. Nein, seit Windows Server 2003 x64 und später kann ein normaler Benutzer standardmäßig keine Computerrichtlinien mehr anzeigen. Das kann nur ein Administrator. Daher ließe sich vermuten, daß Mattes in den BENUTZEREINSTELLUNGEN nach schaut oder die Policy nicht angewendet wird. Mit 'nem englischen Windows 7 kann ich dienen ;) : The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) Ich sehe also keine "doppelte Verneinung" und denke, daß die Policy tatsächlich nicht angewendet wird, wenn es nicht der BENUTZER Teil ist, über den wir hier gerade sprechen. Viele Grüße olc

Hi, ist das bei allen Dateitypen der Fall oder nur bei einem bestimmten? Wie heißt die Datei inkl. der Erweiterung genau, die Du oben im Screenshot bearbeiten wolltest? Viele Grüße olc

Hi, laut Mattes hat er ja ein Computer Setting definiert, somit dürfte die GPO also nicht leer sein. Wie viele DCs sind in der Umgebung vorhanden? Funktioniert die AD als auch FRS / DFSR SYSVOL Replikation korrekt? Viele Grüße olc

Hi, das "diag" ist falsch. Das solltest Du entfernen. Wenn es damit dann trotzdem nicht klappt, dann poste die Kommandozeile als auch das Ergebnis noch einmal. Alternativ schau einmal hier hinein: How to manually decommission a root server that hosts a domain-based DFS root in Windows Server 2003 P.S.: Du solltest in jedem Fall ein Backup vom Namespace ziehen, bevor Du die Kommandos absetzt. Nur für den Fall der Fälle. Achso, jetzt ersetze wieder den Domänennamen des Namespaces oben in Deinem Post. Muß niemand wissen, wie dieser heißt. Viele Grüße olc

Hi lefg, was nicht heißt, daß der andere Fehler damit im Zusammenhang stand. Ich denke noch immer, daß es sich um einen Schädling handeln kann. Ich persönlich würde das in jedem Fall prüfen. Viele Grüße olc

Hi, bitte gib den String an, den Du konkret in der CMD angegeben hast. In dem Beispiel von Dir sind diverse Fehler (falsche Slashes etc.). Viele Grüße olc