grizzly999

Ähm, du meinst ein Wildard-zertifikat?! Da kannst du mit jder CA machen, ist ja nur der name (*.mydom.local oder so). Ich verstehe aber den Sinn nicht so ganz. NLB okay, aber da hat ja normalerweise jeder IIS im NLB-Cluster die gleiche Website und damit brauchen alle Zertifikamit dem gleichen Namen. Warum also ein Wildcard-Zertifikat? grizzly999

Hmm, das sollte dann IMHO klappen (alle Angaben ohne Gewähr :D), aber da würde der Dom-Admin wahrscheinlich nicht von begeistert sein, denke ich :schreck:

Das ist bei VISTA nichts Außergwöhnliches, noch was Wildes. Das OS holt sich RAM für das Pre-Fetching (jetzt heißt's eigentlich Superfetch) so viel geht, gibt den aber bei Bedarf schön wieder an die Programme frei (bis er von denen dann vielleicht wirklich aufgefressen ist) S.a.: http://www.microsoft.com/technet/technetmag/issues/2007/03/VistaKernel/default.aspx?loc=de grizzly999

Mit ziemlicher Sicherheit nicht. Ein auth. Benutzer kann zwar standardmäßig 10 Computer über die Systemsterung\System\usw. am Client in die Domäne hieven, aber nur, um das Konto im Default-Container "Computers" zu erstellen. Dieses sein Computer-Konto gibt es aber bereits im AD, dann braucht er auf dieses Konto mind. die Berechtigungen "Kennwort ändern" und "Kennwort erneut festlegen", diese hat aber ein normaler User nicht. Ergo: Ohne Domänen-Admin geht da nix ..... grizzly999

Korrekt. Korrekt. Schau dir mal den Abschnitt an, wie dyn. Updates durchgeführt werden. Der Client ruft zuerst bei seinem bevorzugten DNS den SOA-Eintrag ab. Warum wohl! Was will er mit dem SOA? Den Eintrag des primären DNS?! Richtig ;) Richtig, außer den Master-DNS. Dessen Änderung muss bei beiden nachgetragen werden. Ja, aber dann hat man den Replikationsverkehr von jeder Änderung, die da stattfindet. Wenn ich nur wissen will, wer sind die Nameserver in der anderen Zone, dann wäre eine sek. Zone zuviel des Guten. Genaugenommen NUR die Glue-Records, also die A-Records, die zu den NS-Einträgen gehören (sofern vorhanden). Nicht alle A-Records! Nein. Nur SOA, NS und die o.g. Glue-Records. Richtig. Wobei das Erste nicht das zweite bedingt. Nicht authorisierend bedeutet, dass der Server nicht die volle Zone mit allen Infos hat.Aber nicht authorisierend ist nicht der Grund, dass die Clients keine Änderungen dort durchführen können, sondern weil da keine Einträge zum Ändern sind (wobei es sich ja auch um eine "kastrierte" sekundäre Zone handelt.) Eine sekundärer DNS mit der sekundären Zone IST authorisierend, und dennoch können die Clients sich da nicht updaten. Nur, wenn das so eingetragen ist. Man kann auch auch bestimmte DNS-Suffixe forwardne (conditional forwarding) Das kann er im Standardfall auch, wenn der Forwarder nicht innerhalb der spezifizeriten Zeit antwortet. Außer man nimmt das Häkchen "Rekusrion für diese Domäne verwenden" raus, dann geht er für diese Abfragen nicht über die eingetragenen Root-Server Richtig ;) Jo, mit einer Weiterleitung oder einer Stub-Zone oder eine sek. Zone auch ..... grizzly999

Ja, aber es dürfen theoretisch alle Clients im AD (authentifizierte Benutzer). Das kann 2003 auch ohne AD-integrierte Zone grizzly999

Das alles,w as möglicherweise zwischedrin geändert wurde. Im Prinzip ist das wie ein Online-Heraufstufung, da brauche ich ja auch die Verbindung zu einem anderen DC, nur dass hier das alelrmeiste aus der Sicherng ins lokale AD gespielt wird. grizzly999

Du hast beim restore dann angegeben "Alles in einem Ordner". Wähle bitte "ann originalem Ort wiederherstellen". Dann sollte das klappen ;) grizzly999

Nein, con2prt.exe ist im ZAK für NT 4.0 auf der MS-Hompage bzw. im 2. von mir geposteten link hat Gadget einen Downloadlink eingetragen ;) grizzly999

in diesem Verzeichnis NTDSRestore existieren auch die ganzen Unterverzeichnisse? Die ntds.dit liegt da irgendwo in einem Unterornder (meine zwei Ordner tiefer; im Prinzip selbe Struktur dann wie im Windows Verzeichnis auf dem DC)? Dort sucht der Wizard selber nach. Also: ntds.dit NICHT direkt in diesen angebenen Ordner ntdsrestore kopieren. Und es ist ein zusätzlicher DC derselben Domäne, nicht eine weitere neue Domäne?! grizzly999

http://www.mcseboard.de/windows-forum-scripting-71/drucker-per-skript-anhand-computernames-zuordnen-119881.html http://www.mcseboard.de/windows-forum-scripting-71/drucker-per-script-zuteilen-119583.html u.v.m grizzly999

Du gehst von falschen Überlegungen aus. Einen Drucker im AD veröffentlichen, heißt nicht, ihn zuzuweisen. Zum Zuweisen eines Druckers suche mal im Board nach con2rt.exe grizzly999

Nein, die sind inkompatibel, so habe ich aber auch die Frage nicht verstanden. Für XP gibt es extra ein WET Client zum Download: Download details: Windows Easy Transfer for Windows XP grizzly999

Das steht IIRC ziemlich deutlich dabei, dass dieser Wizard/grafische Oberfläche nur das Veröffentlichen von Druckern an PRÄ-Windows 2000 Druckservern gilt (also NT 4.0 z.B.). Freigebene Drucker von AD-Rechnern werden über das entsprechende Häkchen im Reiter "Freigabe" des Druckers veröffentlicht, welches per GPO standardmäßig immer gesetzt ist. Was ist denn dein Begehr? grizzly999

Oh ich Verlierer Ich bei allen meinen Design Prüfungen immer alles gelesen. Meistens dann bei der Beantwortung der Fragen auch noch mehrmals reingelesen. Seltsamerweise habe ich alle davon auf Anhieb bestanden :suspect: grizzly999

Ich weiß es auch nicht 100%ig, aber ich meine, es fließt der Datum-/Zeitstempel ein, wenn eine NIC vorhanden auch die MAC, daneben vmtl. noch das eine oder andere. Mit Ausnahme der Well-Known-SIDs, aber das war IThome eh' klar, und die stehen ja auf einem anderen Blatt ;) grizzly999

Was genau ist das Ziel? Soll das eine Remotestandort-Verbindung mit L2TP geben, oder spielt einer nur den L2TP Client und wählt sich beim anderen ein? PSK? Zertifikat? Echte Serverhardware oder Client-Möhren? Und: SP2 für 2003 und ISA Server ist von praktikern im Moment nicht empfohlen ;) Zuviele potentielle Probleme (müssen nicht sein, sind aber sehr häufig und immer ganz unterschiedlich). grizzly999

Dafür ist WET ja gedacht .... grizzly999

Mag sein, das ist wohl eher die Ausnahme, denen muss man das dann manuell einrichten. Und wenn da ganze Abteilungen ..... können sollten, dann sind das keine Homeverzeichnisse, sondern Abteilungsornder. Es scheint mir hier aber auch nicht um ein praktisches Problem zu gehen, sondern um ein von dir ausgedachtes künstliches Konstrukt: In meinen Augen besser, wenn man sich was praxisnäheres aussucht, oder ist das ewta für dich ausgesucht worden ?! grizzly999

Hat der Client (Computer) ein Computerzertifikat? finden sich auf dem ISA Server solche eventlog-Eintrage? : 802.1x client authentication fails when you connect to a Windows Server 2003-based computer that is running IAS Funktioniert es mit einem andeern AP als Cisco? grizzly999

Wie du schon selber sagtest ..... ;) Aber ein ISA ist immer noch sehr viel besser als kein ISA. Aber Rules auf Dienste auf dem ISA selber ist manchmal ein Gefrickel. Überlege dir, da du ja zwei NICs hast, ob du nicht den ISA mit Virtual Server separat auf dem Rechner laufen lassen möchtest. Allerdings benötigst du dazu natürlich eine zusätzliche Server 2003 Lizenz. grizzly999

Einmal Jain, einmal nein. Wenn man z.B. nicht möchte, dass die "normalen" Benutzer auf die Dateien/Ordner, von denen sie Besitzer sind, nicht automatisch die Berechtigung haben, die Berechtigungen zu ändern, dann sollten die Benutzer schon auf der Freigabe auf max. "Ändern" eingeschränkt werden. Und bei der Kombination aus Freigabe- und NTFS-Berechtigungen zieht immer die stärker einschränkende, egal welche von beiden das ist ;) grizzly999

Da gibt es nur wenige, die sowas machen, natürlich unter entsprechend hohen Auflagen (Kosten weiß iich nicht, ist bestimmt nicht billig). GlobalSign ist IMHO eine der wenigen, die das tun würden. Du brauchst auf jeden Fall eine CPS, wird bestimmt auch überprüft, einen Jahresgewinn von mehr als 5 Mios und evtl. noch weitere Sachen. Schau einfach mal dort nach grizzly999

Die meisten dieser Tools kommunizieren zunächst über Port 80, auch die, die dann auf SSL umswitchen, meistens mit einem POST Command. Mit einem Webfilter, der dieses Kommando blockt, kann man sehr viele rausfischen. Einige andere bekommt man mit einer Regel mit einem eigenen Webfilter weg, der Applikationen nicht zuläasst. Es wird vermutlich ein allerkleinster Rest (schätze ich im Bruchteil eines Promille-Bereich ein ) von exotischen Tools bleiben, die dann vmtl. noch funktionieren würden. Wenn du ganz sicher gehen wolltest, müsstest du mit Whitelists arbeiten. grizzly999

Ich habe gerade mal nachgeschaut, es gibt eine Benutzergruppenrichtlinie, Administrative VorlagenNetzwerkOfflinedateienVom Administrator zugewiesene Offlinedateien. Damit sollte das gehen. grizzly999