Operator

Welchen Proxy setzt Du denn ein? Andre

Wenn Du herausfindest, welche Berechtigungen fehlen, kann ich das Script soweit modifizieren, daß ein Aufruf des Scripts einfach alle Commands ausführt. Das ist das kleinere Problem. Gruß Andre

Hi, du hast schon Recht. Aber der ISA ist eine Stateful-Inspection Firewall. Ein Paket, daß seinen Ursprung von intern hat, darf als Antwortpaket die Firewall wieder passieren. Allerdings durfen Pakete vom öffentlichen Interface (bei Dir das 10er Netz) nicht einfach so die Firewall passieren. Ich weiß gerade nicht auswendig, was man da noch konfigurieren muss, aber ich schlag mal eben nach und melde mich später wieder. Gruß Andre

Hi, hab ich bei mir schon gemacht, um den ersten 2003 DC ins Netzwerk zu bekommen. Die AD Domäne läuft dann im W2k-Kompatibilitätsmodus. Läuft alles ohne Probleme. Und es bringt ein paar 2003 Features schon mit. Mit dem 2003er Adminpak kannst Du jetzt Eigenschaften von mehreren Benutzerkonten gleichzeitig ändern (Gewünschte User markieren, Eigenschaften, Ändern, Fertig), statt jeden einzelnen immer anfassen zu müssen. Aber ansonsten bringt es Dir nur was, wenn Du demnächst auch W2k3 DC's im Netz haben willst. Gruß Andre

Siehste :) Hättest das Problem schon vor einiger Zeit lösen können. Aber auf mich hört ja nie jemand ;) Schön, daß es wieder funktioniert. Vielleicht gibts ja einen experimentierfreudigen Admin irgendwo bei Euch.. Schönes WE Andre

Das wird nicht ohne weiteres möglich sein, so wie ich das sehe. Vor allem, wenn es unterschiedliche Drucker sind. Verrat uns mal, was Du damit bezwecken willst.. vielleicht ergibt sich eine andere Alternative. Gruß Andre

Hi, es gibt eine WMI Methode, die alle Scripts inkl. Parameter zurückliefert. Passenden Beispiel Code findest Du hier: http://www.wbem.dk/Root/RSOP/User/RSOP_ScriptCmd.asp Die Funktion gibts allerdings erst seit XP/2003. Leider konnte ich auf meiner Workstation (XPSP2) und auf nem 2003 Server (SP1) nicht bestätigen, daß das ganze funktioniert. Vielleicht fehlt irgendeine Berechtigung. Aber wäre nett, wenn Du das mal ausprobierst :) Gruß Andre

Naja... dcpromo.exe hätte deinen DC auch problemlos entfernt und das ohne zwangsweise Löschen des DC. Hätte auch schief gehen können. Zeitlich wäre das auch nicht viel langsamer gewesen. Aber wenn alles läuft, kannst Du ja beruhigt ins WE starten. Gruß Andre

Schön :) Das ist die Aussage, die ich hören wollte.... Sobald ich alle Abteilungen sukzessive umgestellt hab und alles geklappt hat, meld ich mich nochmal. Vielen Dank schon mal an alle Poster. Gruß Andre

Kannst Du vom 192.168.100er Netz den ISA pingen? Hast Du die VPN Verbindung auf Subnet-to-Subnet umgestellt, wie von mir gepostet? Update: Das Anpingen des ISA wird nicht klappen, weil ICMP geblockt wird. Hängt mal kurz eine Testmaschine in deine DMZ (das 10er Netz) und versuch von dort ins 100er Netz zu pingen und umgekehrt. Erst wenn das funktioniert, kann auch das Routing funktionieren. Gruß Andre

Ganz einfach: Deine Domäne wird nicht mehr sauber funktionieren.... Besser: - adprep /forestprep, adprep /domainprep ausführen - 2003 installieren und als DC in die bestehende Domäne aufnehmen - 2000 DC demoten (dcpromo, aus Domäne entfernen) - Neuen Server umbenennen via netdom.exe (http://www.windowsitpro.com/Article/ArticleID/41055/41055.html?Ad=1) Vorab Sicherung des Active Directory durchführen. Gruß Andre

Nicht schlecht... Aber ob das ganze auch im deutschen Telefonnetz funktioniert? Das amerikanische ist ja nicht unbedingt das Beste ;) Gruß Andre

Ich weiß nicht, ob Hauptbenutzer dafür ausreichend ist. Spontan würde ich aber zum Administrator tendieren. Mir ist kein Benutzerrecht bekannt, daß es einem Benutzer via Richtlinie erlaubt Dienste zu erstellen?!?! Probiers einfach mal aus.

Hi, dein Proxy liefert Fehler 401 - Nicht authorisiert. Entweder hast Du Dich bei Benutzername/Kennwort vertippt oder bspw. die Domäne vergessen. Oder vielleicht gar nicht eingetragen im WSUS? :P Gruß Andre

Hört sich gut und richtig an. Da du ein komplettes Subnetz routen willst, solltest Du dort jeweils "Subnet" einstellen. Beim linken VPN Router (in meiner Skizze) also Local: 10.0.0.0/24 und Remote 192.168.100.0/24, beim rechten Router genau umgekehrt. Hört sich richtig an. Am besten vom "rechten" Standort aus einen Dauerping auf das interne Interface des linken VPN Routers absetzen. Dann hat der rechte Router nen Grund ne Verbindung aufzubauen... so teste ich sowas immer. Das sind die groben Sachen, die mir so einfallen. Teste erst mal so.. vielleicht läufts ja schon :) Bei der Verschlüsselung an sich solltest Du nur drauf achten, daß die Parameter gleich sind. Gruß Andre

Hab jetzt gerade keinen DHCP Server von MS zur Hand. Aber ich glaube, daß es eine Option gibt dem Client eine MTU Size mitzugeben. Ob sich Windows jedoch dran hält weiß ich nicht... Aber dazu müsstest Du trotzdem noch Server, PIX etc. auf die neue MTU zurechtschneiden. Würde ich also weiterhin erstmal von abraten. Um noch mal auf eine ältere Idee von mir zurückzukommen: Nimm einen Client mal aus der Domain raus und füg ihn erneut hinzu. Die Meldung "..Computerkonto konnte nicht gefunden werden" kommt mir doch leicht suspekt vor. Die Ereignisprotokolle der Server hattest Du ja schon nachgesehen, aber was ist mit den Clients? Da mal reingeschaut? Vielleicht ergibt das ja noch was. Gruß Andre

Danke für deine Tests :-) Bei mir sind es nur 2 Richtlinien, die zum Tragen kommen damit ich eine sukzessive Umstellung vollziehen kann. Die Richtlinie die v8 auf v9 aktualisiert wird im Anschluß gelöscht und die Richtlinie, die bislang v8 verteilt auf v9 aufgestockt. Aber erst wenn alle PC's bereits v9 haben. Ich muss jetzt nur wissen, ob Windows dann alles so lässt, oder v9 nochmal entfernt und wieder installiert.... Aber da ich jetzt Zeit habe, werd ich das mal in Angriff nehmen! :) Gruß Andre

Hi und willkommen an Board, über eine Richtlinie kannst Du das einstellen. Dazu könntest Du den Server in eine seperate OU packen und eine Richtlinie damit verknüpfen. Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Systemdienste Dort kannst Du dann für verschiedene Dienste einstellen, wer diese Starten/Beenden usw. darf. Weitere Hinweise gibt es hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm Gruß Andre

Hi, soweit ich richtig informiert bin, benötigt W2k-Server mit W2k-Prof keine TSCAL. Für XP wird keine benötigt, wenn die Lizenz via OPEN License und vor dem Release von Windows Server 2003 erworben wurde. Für jede TS Verbindung brauchst Du auf jeden Fall immer die reguläre CAL. Gruß Andre

Hi, bekommt der User denn eine Meldung, wenn er's versucht oder ist der Reiter ausgeblendet? Du könntest auch noch in die lokale Richtlinie schauen gpedit.msc, ob da irgendwelche Beschränkungen vorgenommen worden sind. Das musst Du aber als Benutzer machen, der den Hintergrund nicht ändern darf. Ansonsten schau alle Richtlinien durch, die auf den Benutzer wirken und prüf ob die Geschichte dort irgendwo gesperrt wird. Etwas anderes bleibt Dir nicht übrig. Um die Reiter auszublenden gibt es auch Registry Einstellungen. Wurde dort vielleicht irgendwas unternommen? Arbeitskollegen experimentieren ja auch mal gerne ;) Gruß Andre

Hi, wie hoch die MTU sein darf, um fehlerfrei übertragen zu werden kannst Du ebenfalls mit PING rausfinden. Ich hab das gerade mal bei uns mit einem Remotestandort ausprobiert, wo zwischen meinem PC und einem Switch im Remotestandort insgesamt 3 Hops liegen. 1) Cisco Backbone L3 Switch (Router) 2) Checkpoint Firewall am lokalen Standort 3) Checkpoint Firewall am Remotestandort Dabei konnte ich eine maximale Paketlänge für das zu übertragende ICMP (Ping) Paket von 1410 ermitteln. Wenn bei Dir ähnliche Werte zu ermitteln sind, wird mit der MTU alles in Ordnung sein. Die 1410 bezieht sich dabei nicht direkt auf die MTU, da zusätzlich noch Overhead dazu kommt. Aber wenn sich schon mal 1410 Bytes in einem Paket übertragen lassen, ohne daß eine Framentierung des Pakets erforderlich ist (z.B. durch irgendeinen T-Com Router mit geringerer MTU), dann wird aus der Sicht alles in Ordnung sein. Mit folgendem Befehl kannst Du einen Dauerping auf deinen Ösi-Host mit Paketlänge 1410 machen, Dont-Fragment-Bit gesetzt. ping -t -l 1410 -f <IP-Adresse> (Das "-l" vor 1410 ist ein kleines "L") Entweder bekommst Du dann eine Antwort oder die Meldung "Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.". Wenn Du eine Antwort bekommst erhöchst Du sukzessive den Wert, um das Maximum zu ermitteln. Falls es nicht klappt, verkleinerst Du die Paketlänge. Berichte mal das Ergebnis.... Gruß Andre

Ich kenne die VPN Router leider nicht... Ist nicht so einfach, wenn man nicht dafür sitzt. Aber bevor wir da weiter machen, nochmal die Frage: Setzt Du in beiden Standorten dasselbe Subnetz ein? 192.168.100.0 -> ISA Server -> 10.0.0.0 -> VPN Router -> Internet -> VPN Router -> 192.168.100.0 Wenn ja, musst Du nämlich eins der 192er Netz auf bspw. 192.168.101.0 ändern. Sonst wirst Du nie mit den Netzen untereinander kommunizieren können. Und wenn wir das geklärt haben, machen wir VPN weiter ;) Gruß Andre

Soweit ich weiß, gibts im IE keine Möglichkeit. Aber es gibt im Internet Softwarelösungen, die Kennwörter für verschieden Applikationen speichern. Spontan fällt mir da nur Citrix Password Manager ein. Aber es gibt bestimmt auch kostengünstigere Alternativen. Gruß Andre

Hi, ich glaube mit Hausmitteln ist das nicht möglich. Zumindest ist mir kein Weg bekannt. Wenn man allerdings die nötigen Rechte bei der Telekom hat, würds evtl. funktionieren. Aber wahrscheinlich auch nicht ohne innerhalb kürzester Zeit auf- und rauszufliegen ;) Gruß Andre

Hi, das muss ich mir morgen früh nochmal genauer durchlesen ;) Ist zu spät für mich. Aber noch eine Frage: Haben beide LAN's der Standorte dasselbe Subnetz 192.168.100.0? Wenn ja solltest Du das auf jeden Fall ändern, da Du sonst kein ordentliches Routing zustande bekommst. Gruß Andre