olc

Hi, welches Kommando hast Du denn ausgeführt? Viele Grüße olc

Hi renny, schau mal hier hinein, es sollte etwas für Dich dabei sein: Dfsutil Examples: Storage Services; Remote File Systems; File and Storage Services Viele Grüße olc

Hi André, sorry, aber das sollte doch nun wirklich kein Problem sein. Beliebige Suchmaschinen geben mir mit Suchbegriffen wie zum Beispiel Windows CA PKI Enterprise genügend Ergebnisse. Ich weiß nicht, was Du da mehr erwartest. Wie auch oben angesprochen solltest Du Dir vielleicht überlegen, ein SSL Zertifikat als "Self-Signed" einzurichten oder die paar Euro für ein offizielles Zertifikat auszugeben. Ohne die Grundkenntnisse zur PKI sollte man keine CA einrichten bzw. betreiben. Außerdem wirst Du bei externem Zugriff schnell auf Probleme stoßen, weil Deine CRL nur intern erreichbar ist (zumindest, wenn ich Deine Zeilen richtig interpretiere). Also nimm vielleicht lieber einen "externen Anbieter" für das Zertifikat zu Hilfe. Viele Grüße olc

...und hier auch schon gepostet: https://www.mcseboard.de/tipps-links-5/tipp-windows-7-a-160688.html :D Aber immer wieder schön zu sehen, wie kleine (eigentlich nicht notwendige Dinge) Menschen erfreuen können. :D :p ;) Viele Grüße olc

Hi, wie lauten bei Dir die Werte von "msDS-LockoutObservationWindow" und "msDS-LockoutDuration"? Versuche es einmal bei beiden Werten mit 30 Minuten (also "00:00:30:00") oder stelle das observation window größer als die duration. Funktioniert es dann? Wenn ich mich recht entsinne, muß der Wert der observation mindestens genauso groß sein wie die duration, daher könnte der Fehler kommen. Falls nicht poste einmal alle Werte, die Du angegeben hast. [EDIT] Ok, die UAC ist natürlich zuerst einen Blick wert. :) [/EDIT] Viele Grüße olc

Hi, Windows 7 | Vista: Erweiterte Systemsteuerung aktivieren [{ED7BA470-8E54-465E-825C-99712043E01C}] - [Weblog von Kay Giza] faq-o-matic.net Die “Erweiterte Systemsteuerung” in Windows 7 und Vista ;) Viele Grüße olc

Hi, Schau einmal hier hinein: Remote Desktop Services (Terminal Services) Team Blog : How to enable Single Sign-On for my Terminal Server connections Viele Grüße olc

Hi, die Beschreibung des Dienstes ist eigentlich eher so in Richtung "secondary logon" (etwa für RUNAS). Merkwürdig, daß es dann auf einen anderen Dienst zeigt als "seclogon". Ganz ehrlich, ohne da jetzt Panik machen zu wollen: Ich würde das System erst einmal vom Netz nehmen und erst einmal einen AV offline Scan dagegen laufen lassen... Im Web konnte ich zu diesem Namen auch nichts finden, vielleicht ist er also zufällig generiert, was für einen Schädling sprechen würde. Viele Grüße olc

Hi, grundsätzlich kannst Du das Vorhaben mit diversen Tools oder Scripten umsetzen. Sinnvoll wären PowerShell, PsExec oder auch der LogParser. Diese Tools bieten die Möglichkeit nur Teile des Logs abzurufen, nicht immer das gesamte Log. Aber neben den datenschutzrelevanten Themen solltest Du auch bedenken, daß es sinnvoller sein kann, hier eine "ausgewachsene" Lösung einzusetzen. Spätestens, wenn es um die Revisionsfähigkeit der Daten geht, kommst Du kaum mit den genannten Möglichkeiten hin. Dann kann es Sinn machen, eher auf professionelle Lösungen wie den SCOM oder ähnliche Produkte (je nach Umfeld) zu setzen, auch wenn diese 2,50 Euro kosten... Viele Grüße olc

Hi lefg, schau doch mal, welches Binary hinter dem Dienst steckt (etwa über HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\config installer). Vielleicht bekommt man darüber etwas heraus. Viele Grüße olc

Hi, die Suchmaschine meiner Wahl ;) spuckt folgenden Link aus, dessen erste Antwort die Unterschiede meines Erachtens recht gut beschreibt: What are the differences between the certificates *.pfx *.p12 *.cer *.crt *.spc *.p7b ?? Wenn Du es etwas ausführlicher haben möchtest, ist dieser Link nicht verkehrt: https://www.sslshopper.com/ssl-converter.html Der für Dich wahrscheinlich am interessantesten erscheinende Punkt wird sein, daß *.p7b die gesamte Zertifikatkette beinhalten kann, so daß diese bei einem Import direkt mit in die entsprechenden Speicher kopiert werden können. *.cer ist nur ein einzelnes Zertifikat. In beiden Fällen ohne den privaten Schlüssel. Viele Grüße olc

Hi Peter, schau Dir die Beiträge oben noch einmal an, dort wurde auf diese Frage schon eingegangen. ;) Kurzform: Entweder die HTTP URL extern verfügbar machen oder aber die CRL extern publizieren und neue Zertifikate ausstellen. Alternativ wären Zertifikate einer offiziellen Third Party CA möglich, was jedoch recht teuer werden kann. Schlechteste Alternative (weil nicht "zukunftsfähig"): Verteilen der CRL direkt auf dem Client, d.h. Import auf den Maschinen. Viele Grüße olc

Hi, ich würde tippen, daß die IP-Subnetze und Sites nicht korrekt zugeordnet sind. Wie genau sind diese eingerichtet - die Client Subnetze liegen am korrekten Standort? Das läßt sich ggf. mit NLTEST recht schnell gegenprüfen. Handelt es sich ausschließlich um 2003er DCs oder sind auch 2008er (eventuell RODCs) mit dabei? Viele Grüße olc

Hi Domi, hast Du das WinRM Paket schon einmal neu installiert? Versuche dies einmal und teste dann erneut die "quickconfig". Viele Grüße olc

Hallo Peter und willkommen an Board, :) im besten Fall öffnest Du bei solchen Fragen einen neuen Thread, das ist übersichtlicher. ;) In dem Thread hier sind einige Punkte zum Thema genannt worden - hast Du diese geprüft und was sind die Ergebnisse? Auch in Deinem Fall wird die CRL wahrscheinlich nur intern verfügbar sein. Von daher greifen die angemerkten Punkte 1:1 auch für Deine Konstellation. Viele Grüße olc

Hi, ich wollte nur den allgemeinen Hinweis mitgeben, daß man das Forest Level nicht mal eben umstellen sollte. :) Grundsätzlich ist das ja eine feine Sache, nur sollte das gut geplant sein. Insbesondere dann, wenn noch ältere Systeme in der Umgebung eingesetzt werden. Beim Wechsel in den 2008er bzw. teilweise auch 2008 R2 Domain bzw. Forest Functional Modus werden einige Policies und Features scharf geschaltet, die direkt Probleme in der Umgebung nach sich ziehen können (etwa die SMB Signing Geschichten, kein Kerberos DES mehr standardmäßig und auch Veränderungen im Kerberos Token selbst, NTLMv2 usw.). Ich weiß nicht, warum Exchange 2003 da nicht in die entsprechende "supportete" Matrix fällt. Vielleicht, weil einige der o.g. "harten Veränderungen" zu Problemen führen könnten oder "einfach nur", weil es nich getestet wurde. Wäre mal interesant das herauszufinden - vielleicht kommen wir ja im neuen Jahr einmal dazu, das zu recherchieren. ;) Viele Grüße olc

Hi, in welchem "Forest Functional Level" läuft der Forest? Es muß "Windows Server 2008 R2" sein, was ich jedoch nciht einfach "nebenbei" aktivieren würde, sondern erst nach ausführlichen Tests. Viele Grüße olc

Ja, da hast Du in jedem Fall Recht. Habe es daher auch ein wenig einschränkend mit "oftmals" umschrieben. ;) Viele Grüße olc

Hi, grundsätzlich geht das. Schau einmal nach dem Stichwort "Subject Alternatve Name" bzw. SAN. Je nach Client per Webenrollment, MMC oder certreq.exe möglich. Die Frage ist jedoch oftmals, ob man das wirklich so einrichten sollte. Im besten Fall hat jede Domain ein eigenes Zertifikat. Viele Grüße olc

Hi, sag mal - nicht böse gemeint, aber hast Du die Beiträge oben überhaupt gelesen? Es wurde beispielsweise ADModify.NET genannt, ansonsten kannst Du das Vorhaben auch leicht mit DSQUERY / DSGET / DSMOD erreichen. Viele Grüße olc

...und wartet bei 34.500 Objekten in etwa 12 Stunden, bis die Objekte angezeigt werden. :D

Hi, sollen etwa alle Benutzer bearbeitet werden oder nur einige wenige? Wenn es sich um eine größere Anzahl an Benutzern handelt wäres sicherlich sinnvoll, das ganze eher per Script oder ADModify.NET zu erledigen anstatt manuell mit ADSIEdit. Viele Grüße olc

Hi, was hast Du denn gemacht, daß es danach funktioniert hat? Ein guter Startpunkt für Informationen zu MS PKI ist zum Beispiel: Optimale Methoden zum Implementieren einer Infrastruktur mit öffentlichem Schlüssel (PKI) unter Windows Server 2003 Public Key Infrastructure for Windows Server 2003 Bereitstellen und Unterstützen einer PKI bei Microsoft Viele Grüße olc

Hi, ganz offensichtlich hast Du 1. AD Replikationsprobleme und 2. ist die DFSR Datenbank beschädigt. Ich persönlich würde den DC noch einmal demoten und erneut promoten. Ist aus meiner Perspektive der pragmatischste Weg. Viele Grüße olc

Hi, nein, Du hast die Antwort auf meine Frage nicht eingangs beschrieben, sonst hätte ich nicht nachgefragt. ;) Wo liegt das Problem bei niedriger Priorität von Thunderbird und Firefox in Bezug auf Videokonvertierung? Das ist mir im Moment nicht ganz klar. Daß das Konsolenfenster zu Beginn stört ist m.E. kein derart schwergewichtiges Argument, um allzu viel Zeit in das "Problem" zu investieren. Aber das ist natürlich nur meine ganz persönliche, bescheidene Meinung. :) Viele Grüße olc