Stefan W

Hi Lenny,

mit Astaro kann ich dir leider nicht behilflich sein, dafür aber mit HyperV (falls das eine Option ist/wäre)

Der eine Hyper-V Host hat eine .143er IP und hostet einen Client mit einer .1er IP und ansonsten Server/Clients in der .143er Range.

Da kommst du nacher mit dem HyperV Manager von deinem Rechner (der in der .143er Range liegt) hin.

Der zweite Hyper-V Host hat eine .1er IP und hostet nach belieben Clients/Server in der .1er Range

So mach ich es im Moment, und ich bin zufrieden :)

lg

Stefan

Hi,

welche Positionen hast du in der Sicherheitsfilterung und in der WMI-Filterung drinnen?

Was erscheint bei einem gpresult /v bei " Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet." ?

lg

danke für die Info - Ich hoffe allerdings, dass du nicht 2 Extraprüfungen machen musst (sowie sonst etliche andere Personen die vor dem gleichen Problem stehen) :)

Hi

Du brauchst für den "neuen" MCSA (MS Solution Associate) die oben genannten Prüfungen.

Obwohl es die gleichen Prüfungen sind, welche du für den MCITP SA benötigst, hast du mit den 3 Prüfungen beide Zertifikate. Wenn du jedoch eine Updateprüfung machst, hast du einen Alternativweg zum MCITP SA gewählt, jedoch meines Wissens nicht zum MCSA

2008

Hallo Ammador,

ich kann dir zwar leider mit deinem eigentlichen Problem nicht weiterhelfen, jedoch kann ich dir für das Problem, dass gewisse Personen nicht in der Lage sind, ihre Domäne vorzusetzen einen Workaround anbieten:

Da ich davon ausgehe (und hoffe!), dass die betroffenen Personen die die Domäne nicht vorstellen können, an einer Hand abzuzählen sind, könntest du dort die Sitzungen als Icon auf den Desktop, inklusive hinterlegten Creditentials, packen.

Vielleicht schafft dir das die nötige Zeit um dich auf das eigentliche Problem zu konzentrieren.

lg

Stefan

Windows Steady State werf ich da mal ein, ob es eine bessere Lösung gibt, kann ich nicht sagen - eine Lösung ist es auf Alle Fälle

Zur Hardware ist zu sagen:

überlege dir, ob du es für dich passen würde, wenn du auch am System ein RAID 1 nimmst.

zu der Frage ob du etwas vergessen hast kann ich nur meinen Vorrednern zustimmen und der bereits erwähnten BBU noch eine

zusätzliche Netzwerkkarte zB Intel Gigabit ET i340 (um die 200€netto)

anführen

Wenn du den Server AUSSCHLIESSLICH als Host verwenden willst, kann ich dir den Hyper-V Server2008R2 empfehlen.

Wenn du dir sicher bist, einen eigenen Server bauen zu wollen:

Supermicro Gehäuse sind allgemein billiger.

oder

AMD Prozessoren und Mainboards mit passendem Sockel sind auch billiger (bei gleicher Leistung)

passende RAM gibts (meines Wissens - bitte nachschauen) mit 8GB von Kingston

8GB um unter 60€ pro Riegel

vielleicht konnte ich dir helfen?

lg

und damit du nicht suchen musst:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

viel Erfolg

Deaktiviere die Zeitsynchronisation zwischen physikalischem Host und der VM. Lass Deinen PDC Emulator die Zeit aus dem Internet syncen, die anderen DCs mit dem PDC Emulator und die Clients mit ihrem jeweiligen DC.

Richtig - das ist von Anfang an mein Ziel, nur funkt irgendwas dazwischen :)

PS.: trotz der Gruppenrichtlinie, welche laut gpresult vom PDC richtig übernommen wird bei w32tm /query /status als Quelle die Freerunning System Clock angegeben und als ReferenzID Quellname: "LOCL"

bei w32tm /query /configuration

wird jedoch als NTP Server der richtige Eintrag (in der Richtlinie gesetzt, und auch so dargestellt) angegeben.

Wenn ich das richtig interpretiere, ist die Konfiguration korrekt, jedoch keine Zeitsynchronisation möglich, was der Grund dafür ist, dass er die Free-running System Clock als Quelle anzeigt. oder kann hier doch an der Config was haken?? - hilft der komplette Auszug von w32tm /quer /configuration euch evtl weiter?

lg

Ok, dann muss ich weitersuchen :/

Dies ist lediglich die Testdomäne - hier muss virtualisiert werden --> Hardwaremangel :)

In der Produktivdomäne sind 3 DCs, 2 virtuell (vollständig) 1 physikalisch (core) als PDC

Aber trotzdem danke für deine Mühe :)

Hi,

im Ereignislog des Clients ist nichts anderes zu sehen?

lg

Hi

Passiert das auch bei jetzt neu angelegten Profilen?

falls nein, könntest du in der

Systemsteuerung - E-Mail

in den Kontoeinstellungen den Pfad zum Exchangeserver neu eintragen und auf "Namen überprüfen" klicken.

Das hat bei mir gestern geholfen (hatte das selbe Problem bei 2 Clients - O2010, Exch2003)

Deswegen heißt der so. Wundert dich doch jetzt nicht, oder?

Dies sollte als Feststellung dienen :)

Die Firewalls sind nicht hintereinander geschaltet.

Jeweils jene Firewalls die getestet wurden haben auch als Default Gateway beim PDC gedient und hier wurde UDP 123 freigeschaltet

Anderer Ansatz:

Ich glaube (bin mir sogar sicher), dass ich vergaß ein Detail zu erwähnen:

Der Testserver um den es sich handelt wird virtualisiert.

Bei Hyper-V gibt es die Integrationsdienste wobei die Zeitsynchronisation ausgeschaltet ist und der Rest aktiv ist.

Hast du eventuell mit virtuellen Clients/Servern schon mal Probleme in der Hinsicht gehabt?

Ok nachdem der konfigurierte Zeitserver ein Pool an servern ist, und auch bei nslookup stets andere ergebnisse kommen und ich mit den "alten" ntpserver bevtime1.metrologie.at auch Verbindungsprobleme hatte, schließe ich mal aus, dass es am NTP Server im Inet liegt.

Firewalls haben wir hier mehrere zur Auswahl.

angefangen von einer ASA5505, über ZyXel Zywall2, oder auch eine (uralte) PIX, und eine Zyxel USG200

bislang habe ich es auf der ASA und auf der Zywall2 getestet - mit selben Ergebnis.

Wenn ich nicht falsch informiert bin, sollten die Firewalls bereits standardmäßig LAN 2 WAN alles durchlassen - aber ich kann mich auch irren - es wurde aber auch zusätzlich von meinem Kollegen der Port 123 freigeschaltet.

lg

Stefan

hi, versuche mal den Exchange Cachemodus zu deaktivieren.

Hast du mehrere "echte" Postfächer eingebunden? oder hast du im Hauptpostfach "weitere" Postfächer hinzugefügt?

Stell die Uhr mal 2 Minuten zurück oder vor und starte w32time /resync auf dem PDC Emulator

Sobald ich ein w32tm /resync (ohne /nowait /update) mache erhalte ich einen Fehler, der besagt, dass keine Zeitdaten vorhanden sind, und nichts synchronisiert wurde - nur: ist somit sichergestellt, dass es an der Firewall liegt? Kennst du eine andere Möglichkeit um den Portstatus zu überprüfen?

lg

Stefan

Eventuell kommst du mit deinem PDC Emulator ja nicht per udp 123 durch deine Firewall?

Das habe ich bereits so konfiguriert, nur finde ich adhok keine Möglichkeit dies zu testen.

Wäre übrigens nett, wenn du Groß- und Kleinschreibung verwenden könntest.

Ich werde mich bemühen :)

hatte vorletzten Donnerstag keine, nur 50 Fragen mit nur 4 Antwortmöglichkeiten.

lg

Hi,

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

exakt so wie du auf Gruppenrichtlinien.de beschrieben hast (nun sogar mit dem pool.ntp.org als zeitserver, da der andere keine Zeitdaten hergegeben hat)

habe jetzt auch nochmal am PDC ein gpupdate /force gemacht, mit gpresult überprüft (bekam richtige richtlinie) den w32time dienst neu gestartet, und ein w32tm /resync /nowait /update gemacht.

danach: warnung im eventlog, dass der peer pool.ntp.org nach 8 kontaktversuchen keine gültige Antwort erhalten hat, und das der peer nicht erreichbar ist. (timeservice 47)

jedoch zudem die Info, dass der zeitdienst als gute zeitquelle angekündigt wird. (timeservice 143)

reicht die info?

lg

Stefan

ihr habt recht :)

somit - neuer DC 2k8r2 core auf blech mit fsmo

2 neue DC 2k8r2 (vollständig) auf hyper v und ruhe is :)

Danke an alle, und [closed]

Nocheinmal zurück zum Thema:

Seit dem ich - wie in der Anleitung beschrieben - die GPO gesetzt habe (habe lediglich den Server mit dem der PDC syncen soll geändert), erhalte ich auf den Clients und den Memberservern folgenden Fehler in etwa jede Stunde (+- ein paar Minuten).

Ereignistyp:	Warnung
Ereignisquelle:	W32Time
Ereigniskategorie:	Keine
Ereignis-ID:	24
Datum:		11.04.2012
Zeit:		07:14:40
Benutzer:		Nicht zutreffend
Computer:	TEST-MAIL1
Beschreibung:
Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller TEST-AD02.testdom.local nach 8 Kontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neuen Domänencontroller für die Synchronisierung zu finden.

test-ad02 ist nicht der PDC (sondern test-ad01)

hab ich was vergessen / übersehen?

Hi Norbert

dann hab ich mein Problem schlecht beschrieben:

Die User sind Softwareentwickler und sind sowieso lokale Administratoren

Die PCs sind von meinem Vorgänger so konfiguriert worden, dass sie mit verschiedensten NTP im Internet syncen bzw ihre Zeit von der CMOS bekommen

Ich möchte das ganze so hinbiegen, dass sie wieder vom PDC Syncen - deswegen /syncfromflags:domhier

zu meinem Problem:

Durch die UAC erscheint auf den Rechnern die Meldung "zugriff verweigert" außer sie führen das logon script manuell im Kontextmenü "als Administrator" aus.

Ich habe mir deinen Link durchgelesen, dieser scheint mir zu helfen - erstmals danke.

Jedoch irritiert mich da ein Eintrag, denn soweit ich weiß ist NT5DS zwar für die lokale Domain Zeitreplizierung, jedoch ist im Screenshot deines Links zusätzlich noch

time.windows.com, 0x9

eingetragen. bleibt dieser Eintrag? oder worauf muss der gesetzt werden - auf meinen PDC?

Danke nochmal :)

Edit: danke auch an Dukel

Hallo,

folgendes Problem stellt sich mir

Ich habe auf eine Hand voll User und Computer (alle in der selben OU) bei denen beim Starten des Rechners eine Konfiguration der w32tm durchgeführt werden muss und ein Dienst danach neu gestartet werden muss. (die sind komplett verkonfiguriert, die Zeit synct mit den verschiedensten NTP servern im Internet - trotz domäne)

w32tm /config /syncfromflags:domhier /update
net stop w32time
net start w32time
w32tm /resync /rediscover

Sollte normal kein Problem sein: (betroffenen User sind admins auf ihren Geräten)

jedoch funkt die UAC inzwischen, und der User bekommt beim logonscript immer die Fehlermeldung Zugriff verweigert.

Wenn sie das gleiche skript jedoch mit rechter Maustaste -> als Administrator ausführen öffnen, funktioniert es einwandfrei.

Meines erachtens nach sollte für dieses Verhalten die UAC in Verbindung mit dem Adminbestätigungsmodus verantwortlich sein.

Somit hab ich eine extra GPO mit dieser OU verknüpft, welche folgende Optionen der UAC ändert:

Verhalten der eingabeauffortderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus - Erhöhte Rechte ohne Eingabeaufforderung

Alle administratoren im Administratorbestätigungsmodus ausführen - deaktiviert

Trotzdem habe ich weiterhin den gleichen Effekt (natürlich sind die Rechner schon neu gestartet worden um die GPO anzuwenden)

sieht jemand den Fehler den ich nicht sehe?

Hallo,

folgendes Problem haben wir hier.

Aktuell sind 90% der Arbeitspläte mit statischen IP Adressen konfiguriert.

Nachdem dies nicht optimal ist, und (bald) aufgrund des Unternehmenswachstums nicht mehr überschaubar ist, möchte ich alle auf DHCP Reservierungen umstellen.

ich möchte nun skriptbasierend (Liste der Gerätenamen ist vorhanden) folgendes auslesen:

IP Adresse(n) - manchmal Notebook mit verbundenem LAN und WLAN

MAC Adresse(n) - siehe oben

Dies sollte so aufbereitet werden, dass man übersichtlich sieht, welcher host welche IP-Adressen samt dazupassender MAC hat.

Eine Möglichkeit die mir einfällt, wäre dies mit PSexec und ipconfig /all zu realisieren, jedoch ist dies bei ca 150 Geräten etwas zeitaufwendig.

Hat jemand eine Idee, wie man dies zentral und mehr oder minder schnell realisieren kann/könnte?

Danke fürs denken :)

Hatte heute die Prüfung für 70-659:

50 Fragen, mehr als genügend Zeit, mangelhafte Übersetzung (teilweise wurden Wörter vergessen bzw. keine vollständigen Sätze gebildet - zB. Sie wollen auf Windows Server 2008 R2 Hyper-V Server ein.)

lg

Stefan