grizzly999

1. kann das DNS-Update oftmals ein bis zwei Stunden dauern 2. in welcher Zone hast du den eintrag angelegt? MeineDomäne.at? Dann hieße der Alias für die IP ja vpn.meinedomäne.at.meinedomäne.at :suspect: grizzly999

Wenn im Explorer/Arbeitsplatz unter "Extras\Ordneroptionen\Allgmein" die Allgemeine Aufgabenansicht ausgewählt ist (ist default nach der Installation), dann ist links in der Netzwerkumgebung sogar das gleiche Symbol wie bei 2000 zum Durchsuchen des Verzeichnisdienstes da. grizzly999

Es wird immer nur soviel Energie übertragen, wie die gesamter Verbraucher am Netzteil benötigen, d.h. die aufgenommene Leistung ist lastabhängig ;) Die Wattzahl beim Netzteil gibt nur an, zu was das Teil fähig ist, ohne gleich die Flügel zu strecken. grizzly999

Das gibt es bei XP und 2003 immer noch, ich meine das Suchen im AD über die Netzwerkumgebung. Der Anstz schon damals war der: gedacht war es für alle Benutzer, aber eher für Power User und Adminstratoren, nicht für den "Normalsterblichen VordemBildschirmSitzer". Und zwar in großen Umgebungen mit vielen Fileservern und vielleicht kein oder nur dediziertes DFS. Wenn man in einer solchen großen Umgebung, nehmen wir mal als Beispiel Daimler oder HP weltweit an, sehr viele Fileserver mit vielen Freigaben hat, dann hat es u.U. auch ein Admin schwer, alle Fileserver und dort freigegebene Resourcen zu kennen, wenn er nach einem bestimten Share sucht, um sich dorthin zu verbinden. Das ist nichts für den gemeinen User, die haben ihre Mappings und damit schon ihre Probleme, sondern, wie gesagt, Power User und Administratoren. Mit ständig veröffentlichten Freigaben und Schlüsselwörtern ist dann eine Suche solcher Freigaben unter möglicherweise zig oder hunderten von Servern mit freigebenen Resourcen etwas, was einem viel Klickerei und Rechner öffnen in der Netzwerkumgebung ersparen kann. Aber wann kommt das selbst für die angepielten Zelgruppen in Betracht? Docher selten bis nie, auch mangels einer großen Zahl dieser Zielgruppe. grizzly999

Es ist wie immer beim Design: [Prediger ON] Die Anforderungen bzw. das Ziel, die Voraussetzungen, Kosten, Aufwand, und weitere Parameter bestimmen den Weg zum Ziel. Außer bei technisch bedingten K.O.-Kriterien ist das meist eine Frage des Abwägens.[Prediger OFF] Es gibt natürlich als Auswahlkriterien auch "Best Practices", in dem Fall z.B. wenn es geht, AD-integrierte Zone. Aber das ist eben ein "Wenn es geht". Manchmal geht es aber nicht, oder nur mit Einschränkungen. grizzly999

Warum? Das ist von Microsoft bei Unfällen so vorgesehen, das ist supportet, und im Unfallbereich habe ich das schon viele viele male ohne jegliche Probleme machen müssen. Ich meine, einen fehlenden DC aus dem AD herrauszuoperieren. Meist ist es im Vergleich dazu etwas zeitaufwändiger, den herausopertierten DC dann alleinstehednd wieder ohne Fehlermeldungen hinzubekommen, aber das geht. grizzly999

Das wird nicht klappen, außer dieser sek. DNS wird offline betrieben. Nur, dann haperts auch mit dem Update der Zone per Zonetransfer. Wennd er sek. an dem Standort mit dem Master kommmunizieren kann und ein primärer, respektive AD-integrierter DNS erreichbar ist, dann registrieren sich die Clients dort. @AmericanJessus: Ein, zwei Beispiele habe ich weiter oben kurz angerissen. Hast du das gelesen? grizzly999

Aber klar :) Man sollte halt nicht in der Schulungspause "mal schnell" über die Beiträge lesen und dann antworten. Hatte den gleichen Domänennamen überlesen :o Schon der 2. Mistake heute. In Zukunft wieder in Ruhe ........ ;) grizzly999

Äh, ja danke. Natürlich: explizites Zulsasen hat Vorrang vor geerbetm Verweigern. Vor lauter Verweigern .... :o:D grizzly999

Das ist so nicht ganz richtig: Es ist so: - explizite Verweigerungen haben immer Vorrang (egal über was ich die habe) - explizite Verweigerungen haben Vorrang vor geerbten Verweigerungen!! Also, wenn eine Datei vom Ordern das verweigern erbt - Häkchen ausgraut - und ich (nach Unterbrechung der Vererbung) der Datei den User X mit "Ändern Zulassen" eintrage, dann hat er Ändern Zugriff ;) grizzly999

Nicht nur, sondern auch, wenn ein sek. DNS auf einem Nicht-DC installiert werden soll, und eine AD-integrierte Zone vorhanden ist. Oder wenn in einer gemischten 2000-DC/2003-DC Umgebung bestimmte Zonen auch auf den 2000 DCs verfügbar sein sollen, z.B. die _msdcs.<domainname-Zone>. grizzly999

Am besten macht man das mit dem ADMT (natürlich entsprechende Voraussetzungen und Vorabeiten erforderlich). Kollege Yusuf (Daim) hat in seinem BLOG dazu eine Anleitung, MS auch grizzly999

Was meinst du mit "Unterzone"? Eine richtige Zone, dann taucht die unterhalb von "firma.local" so gar nicht auf, damit erübrigt sich die Frage der Replikation. Du müsstest aber in der ParentZone, also "firma.local" entweder eine statsiche Delegierung einrichten, die würde dann mitrepliziert werden, oder eine Stub Zone. Oder ein Conditional Forwarding. Oder meinetst du gar eine Domäne innerhalb der Zone, diese würde auf jeden Fall zusammen mit den anderen Zoneninformationen mitrepliziert werden. grizzly999

Microsoft's DNS kann mit Umlauten umgehen, aber es ist absolut nicht empfohlen. Man weiß nie, an welcher Ecke man sonst anstösst, meistens nicht im DNS sondern an anderer Stelle. Meine dringende Empfehlung für das ganze AD und komplette Netzwerk: Sich an RFC 1123 halten ;) grizzly999

Ich glaube, ich lese nicht richtig. Du lieferst keine ordentliche, präzise Fehlerbeschreibungen, und wenn man nachfragt, wirst du pampig, und bezichtigst diejenigen, die sich bereit erklären, dir Hilfe zu leisten, der Tratscherei. So nicht ! Erstens: Verwarnung! Zweitens schleiße ich den Thread und du kannst ihn nochmals aufmachen mit einer ordentlichen Fehlerdiagnose und mit einem ordentlichen Ton. Und wenn dir die "Tratscherei" nicht passt, es gibt im weiten Internet Foren wie Sand am Meer. Ende der Tratscherei :mad: grizzly999

Jep, aber wie gesagt, der Name ist egal, Hauptsache der Zweck stimmt und man hat den private key ;) Keine Ursache :) grizzly999

Das Zertifikat bzw. der Agent ist frei wählbar, das muss nicht der Admin sein, nur der Zweck des Zertifikats muss passen. Einfach mit einem Rechtsklick auf die Policy "Verschlüssendes Dateisystem" gehen, dann Wiederherstellungsagent hinzufügen, und dann auf "Ordner durchsuchen". Dort dann den PFad mit der .cer-Datei auswählen grizzly999

Normalerweise ist in der Default Domain Policy ein Wiederherstellungsagent-Zertifikat drinnen (wenn auch nur 3 Jahre gültig). Hast du das etwa verschlampt?! :D :D Ok, mache eine Kommandozeile auf und gib folgendes ein: cipher /r:<Dateiname ohne Erweiterung> Es werden dir in dem Pfad, in welchem du den Befehl aufruft, 2 Dateien erstellt: eine .cer-Datei, die kannst du in der angefragten Richtlinie importieren, und eine .pfx-Datei, das ist das Zertifikat mit dem privaten Schlüssel. Die solltest du sehr gut aufbewahren ! grizzly999

Das ist teilweise richtig. Wenn man nur eine Datei verschlüsselt, wird während des Ver- bzw. Entschlüsselungsvorgangs eine unverschlüsselte Sicherungskopie erstellt, für den Fall, dass das System jetzt ausfallen sollte. Wird der Vorgang erfolgreich beendet wird die unverschlüsselte Kopie gelöscht, und zwar so, wie eine normale Dateilöschung abäuft. D.h. es könnte mit irgendwelchen Undelete-Tools die gelöschte Datei wieder hergestellt werden, falls die Cluster noch nicht überschrieben sind. Wennd er genaze Ordner verschlüsselt ist, erben alle im Ordner erstellten Dateien das E-Attribut, auch die Sicherungskopie, und wäre damit ebenfalls verschlüsselt ;) grizzly999

IThome meint den hier in Bezug auf L2TP/IPSec und NAT(gilt aber nur für XP mit SP2 ): The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2 Der gilt aber nicht für XP mit SP1, da brauchts einen Hotfix, den man separat über den Windows Catalog herunterladen muss (kein Windows Update!): L2TP/IPsec NAT-T update for Windows XP and Windows 2000 Was IThone auch vergesseb hat zu schreiben, aber ich weiß, dass er es weiß ;), bei IPSec muss der Router neben UDP 500 und UDP 4500 auch ESP-Pakete (Protokollkennung 50) weiterleiten können. grizzly999

Ich hab's gewusst, dass es wieder kommt :cry: Ja, ja, ich weiß, die russische Software - Gold Partner hin oder her - kann in Bezug auf EFS alles, zumindest laut Werbung. Und der Weiße Riese wäscht so weiß, weißer geht's nicht. Das glabust du? Nein? Warum glaubst du dann den anderen Werbeversprechen? Oder lest doch wenigstens das Kleingedruckte, unter den fetten Werbebotschaften, auch bei Elmsoft. Ich sage dir: Wenn der Key weg, ist, das Profil unwiederruflich gelöscht ist (so, dass du die relevanten Teile vielleicht nur noch von Ontrack mit Platte im Reinraum öffnen wiederherstellen lassen kannst), dann ist der Ofen aus. Ich weiß, wie EFS funktioniert, das wissen DIE auch. Und zaubern, hexen oder hellsehen können die auch nicht. Und das steht bei denen auch im Kleingedruckten (!!), hintendrüben, natürlich nicht auf der ersten Seite mit den dollen Werbeaussagen. Dort ist zu lesen: Und die wissen, warum die das da hinschreiben. Ich schaffe es bald nicht mehr , dieses Thema immer und immer wieder durchzukauen. :cry: Ja, ich weiß auch, jetzt kommst du mit "Aber bei uns hat ..... War in deinem Fall das Profil mit private key weg? War es so weg, dass es nicht wiederherstellbar war? War es so weg, dass nicht mal ein Hexeditor den Part aus dem Profil mit dem private key auf der Platte hätte finden können? Wenn du alle diese Fragen mit einem klaren Ja beantwortest, und diese Software sich dennoch hat eine Bitfolge aus 2^256 Möglichkeiten einfach so hat einfallen lassen, die das Ding wieder entschlüsselt hat, dann glaube ich an übersinnliche Kräfte in Russland :rolleyes: grizzly999

Nein, leider nicht ..... grizzly999

Ein alleinstehendes XP hat kein Recovery Agent. Du kannst mit cipher /r:<Dateiname> ein zertifikat (mit private key) erzeugen und dann dort importieren, bringt dir aber im nachhinein nichts. Wenn du das alte Profile nicht mehr herstellen kannst (vielleicht mit Datenrettungssoftware untersuchen), dann kannst du die verschlüsselten Dateien vergessen. Da hilft auch keine russische Software, falls hier wieder jemand damit anfängt. Brute Force Carck mehtoden bei 256 Bit AES Verschlüsselung ist ein ziemlich aussichtsloses Unterfangen. Wenn der Rechner alelrdings Mitglied ein Domäe wäre, dann gibt es dort den Domänen-Admin als Wiederherstellungsagent. grizzly999

Jedes Attribut hat seine eigene USN und zwar auf jedem DC seine eigene USN grizzly999

Ist richtig, aber das steht auch in deinem Bild. Man lese dir Überschrift der 2. Spalte im Detailfenster ;)