Busch-Thomas

@zahni,

doch. Habe jetz die Ordner in ihren NTFS-Berechtigungen angepasst. Vielen Dank. Ich dachte ja nur, man kann das per GrRiLi komplett auf Einmal durchdrücken ...

Thx

Keiner eine Idee ????

Mahlzeit,

ich habe mal 2 Fragen ...

1.)

kann ich in meiner Win2000-Domäne per GruRiLi den Usern das Ändern von Benutzerrechten von Dateien und Ordnern verbieten ?

Ich habe leider nix passendes gefunden !?

und 2.)

kann ich den Butzern verbieten, auf ihrem Rechner lokal Dateien zu verschlüsseln? Einige meiner User haben nämlich ihre Dateien verschlüsselt, was sich natürlich schwierig bei der Sicherung macht, weil ich mich als lokaler Admin erst wieder anmelden musste um die Dateien zu entschlüsseln. Nun möchte ich das am Liebsten von vorn herein verbieten.

Vielen Dank im Voraus

T.B.

Habe gerade mal das Ereigniss-Protokoll des (alten) Servers gecheckt ... Jetzt bringt er mir die Fehlermeldungen EVENT ID 7001 und ID 7022

Kann das was damit zu tun haben ???

Wieso wolltest Du denn die FSMO-Rollen übertragen - das ist keine normale dcpromo-Prozedur!

Ich hatte eigentlich vor, beide Server auf Dauer nebeneinander her laufen zu lassen. Nun hatte ich mich aber dazu durch gerungen, den alten Server Platt zu machen und ihn als "Ersatzteil-Spender" zu vergewaltigen :-) Also muss ich ja die FSMO-Rollen von alt auf neu übertragen und natürlich auch den GC. Und das will er nicht, der alte Server.

:p vielleicht ahnt er ja, das es ihm an den Kragen gehen soll :p

Hallo bienchen :-)

also der Global Catalog liegt noch dort wo er sein sollte. Noch immer auf dem Server-Alt. Fehlermeldungen im evenllog

[prüfe]

... moment ...

[/prüfe]

Also Fehler kann ich nicht wirklich entdecken, bzw. es wurden keine im Zusammenhang gemeldet. Einzig eine Fehlermeldung mit ID 1202

Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. ... u.s.w.

hat er mir ständig gemeldet. Aber das hat wohl eher damit zu tun, das der bisherige Admin seine Konten nicht sauber geführt hat :nene:

Hi Jan,

erst mal Danke für Deine fixe Antwort ! Dann versuche ich Dir mal zu antworten ...

wenn deine Domäne (mit Ausnahme der Replikation mit dem 2. DC) zur Zeit einwandfrei funktioniert, würde ich das zuerst einmal schön bleiben lassen. Die Funktion der AD setzt einen funktionierenden DNS-Server ZWINGEND voraus.

Ja, da gebe ich Dir natürlich Recht. AD und GruRiLi´s laufen super, ist also ein Indiz für ein funktionierenden DNS.

Du solltest nach der obigen Problembescheibung erst einmal die Replikation zwischen den DCs klären.

Da Du dcpromo anwenden konntest, haben die Server sich schon mal gesehen - trotzdem ganz banal: sehen sie sich jetzt immer noch (PING)? Wie sieht das Ereignisprotokoll beider Server aus? Irgendwelche Dienste ausgefallen? Welche Netzwerkkomponenten stehen zwischen den DCs - vielleicht eine Firewall?. In dem Fall könnte die RPC-Verbindung unterbrochen sein. Sind beide DCs als DNS-Server konfiguriert? Was ergibt das Tools dcdiag (gibts in den Support Tools oder im Resource Kit)

Also das gegenseitige 'anpingen' klappt. Im Ereignisprotokoll sehe ich nichts auffälliges was auf einen Fehler schließen lässt ...

Und zwischen beiden Rechnern (Servern) ist auch keine Hardware wie Firewall oder ähnliches. Im Prinzip hängen beide am gleichen SWITCH. Beide DC´s als DNS-Server ... ? Naja, da habe ich so meine Bedenken... Grundsätzlich läuft auf beiden Servern das ADintegrierte DNS. Aber irgendwie glaube ich, dass es auf dem neuen Server nicht wirklich läuft. Denn das Problem das ich im ersten Posting geschrieben jabe, würde mich sofort auf DNS schließen lassen !

Und zu dem Tool, das probiere ich jetzt sofort mal aus. Musste nur meine CD suchen ...

Aufgefallen ist mir im übrigen auch, als ich die FSMO´s übertragen wollte, kam folgende Fehlermeldung : "Die Übertragung der Funktion des aktuellen Betriebsmasters konnte nicht durchgeführt werden. Grund : Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar"

Ich gebe zu, ich bin jetzt verwirrt !

Hallo Gemeinde :p ... ich hole mal etwas weit aus ... also :

ich melde mich mal wieder mit einer Frage zu meinem Server. Ich habe eine Windows2000-Domäne. In meiner Domäne gab es bisher nur einen DC. Nach ein paar Problemen, die ich mit einem neuen Server hatte (konnte aber mit Hilfe des MCSEboard´s geköst werden :) ), habe ich nun meinen neuen Server per dcpromo zum 2. DC machen können. Das hat auch alles nun soweit funktioniert. Das AD würde an den neuen Server übertragen. Bis heute bin ich auch schwer davon ausgegangen das beide Server brav nebeneinander her arbeiten. Jedenfalls wurde das AD auf den 2. Server übertragen. Nun wollte ich heute ein neues Konto erstellen, und da ist mir aufgefallen, die beide Server alles andere machen, als zusammen zu arbeiten ...

Nach dem Erstellen des Kontos wollte ich an einem Client gleich testen, ob es klappt. Der Nutzer konnte sich nicht an der Domäne anmelden, da das Konto unbekannt war. Ich dachte mir dann, das es evtl. sein kann das beide Server noch nicht repliziert haben und ich einfach mal ne Weile warte. Nun ist das Ganze aber schon etwa 4 Stunden her und es geht immer noch nix.

Deshalb liegt für mich der verdacht nahe, das es an Einstelleungen am DNS-Server liegen muss. Denn alles andere klappt soweit. Die GruRiLi´s greifen, alle Konten funktionieren ...

Deshalb meine Frage. Kann ich bedenkenlos an meinem alten DC den DNS-Server löschen und ihn neu erstellen? Oder hat das Auswirkungen auf meine AD-Konten? (Ausser evtl. kurzzeitige).

Bin für jede Hilfe dankbar !

Tom

Gibt es denn inzwischen in der Forward- und in der Reverse-Lookupzone die Clienteinträge?

Guten Morgen :p

Ja klar stehen die Clients drin. Also ich glaube wirklich, dass der DNS läuft. Denn die Auflösung an den Clients klappt auch einwandfrei. Auch die Verbindung zur anderen vertrauten Domäne und eben auch das Internet.

Ich denke, es gibt immer noch ein DNS-Problem.

Wie kommst Du darauf? Jetzt geht doch alles. Die GruRiLi´s und beide Server. Auch die Weiterleitung an einen anderen DNS-Server funktioniert. Und ins Internet kommen auch alle (die, die dürfen ;) )

Ich habe schon jede Menge DC bestehenden Domänen hinzugefügt. Ich braucht dafür nie diese Richtlinie ändern. Hat da jemand dran gedreht?

Nochmals die Frage, wie wurde der Server der Domäne hinzugefügt?

Naja, kann sein das der Admin vorher diese Richtlinie vergeben hat. Aber der ist nicht mehr da, also auch nicht zu befragen! Wie der Server hinzugefügt wurde ... ?

Also Betriebssystem installiert, dann mit dem Admin-Konto den Server der Domäne hinzugefügt und danach mit dcpromo den neuen Server herauf gestuft.

Ich bin der glückliche Mann :-) Problem gelöst !!!

Folgendes war das Problem : auf dem alten DC musste in der lokalen Sicherheitsrichtlinie ein Konto angegeben werden, welches berechtigt ist, einen weiteren Server zum DC heraufzustufen. Genau wurde es eingestellt bei :

START -> PROGRAMME -> VERWALTUNG -> LOKALE SICHERHEITSRICHTLINIE

und dann bei "Zuweisen von Benutzerrechten" den Punkt Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird. Thats it ...

Und dort habe ich mein Admin-Konto eingetragen und dann konnte ich dcpromo auch auf dem neuen Server ausführen, das AD übertragen. Trotzdem mega Danke für Deine Mühe !!! Aber ich melde mich ganz sicher bald wieder hier, da ich mir sicher bin das das nicht das letzte Problem mit meinem Netz sein wird :-)

Thanks

Tom

Naja, unbekannt war vielleicht das falsche Wort :rolleyes: . Er ist in der Domäne natürlich schon bekannt. Wollte dem Server aber "vertrauen" und diese Einstellung ließ der alte DC nicht zu. Kommt mir echt so vor, als ob lokal auf dem DC eine Richtlinie liegt die keinen weiteren DC zulässt. Ich wüsste nur nicht, wo die hinterlegt sein soll. Ich habe mir echt schon den Wolf auf dem alten DC gesucht ! :suspect:

Ach so ... okay :wink2:

Also ich denke mal, ich habe auf dem DC irgendwo etwas liegen,

was es verbietet einen unbekannten Server zum DC herauf zu stufen.

Denn als ich im AD den neuen Server angewählt habe und die Einstellung

"diesem Server vertrauen" auswählen wollte, wurde mir gemeldet :

"Die Sicherheitseinstellungen lassen es nicht zu, dass sie angeben,

ob diesem Konto für die Delegierung vertraut werden kann oder nicht"

Also die Reverse-Lookupzonen sind auch in Ordnung!

Was ist das Ergebnis von nslookup am DC und den Clients, was am Member?

Mal so nachfrag ... DC ist klar, Clients auch, aber was meinst Du mit Member ????

Genau so sieht das bei mir auch aus! Ich denke auch, das der DNS vielleicht doch stimmt. Denn ich habe auf meinem Server auch Gruppenrichtlinien hinterlegt. Und diese funktionieren auch alle. Und funktionierende GruRiLi´s sind immer schon mal ein gutes Zeichen für einen funktionierenden DNS !!!!

Mir raucht schon der Kopf hier ...

In der DNS-Struktur gibt es unterhalb des Servernamens zwei Ordner: Forwardloolupzonen und Reverselookupzonen.

Ja, das ist so richtig. Zusätzlich gibt es noch den Ordner :

Zwischengespeicherte Lookupvorgänge.

Hmmm ... wie meinst Du das mit dem Stamm-Server ???

Nein eine "."-Zone gibt es nicht.

Wieso ist da was oberfaul ???

Hi lefg

Wollen wir die Sache mal abklopfen?

Liebend gern :-)

In den TCP/IP-Einstellungen des DC muss der bevorzugende DNS-Eintrag auf den Server selbst zeigen. An den Clients muss die Adresse auf den Server zeigen.

Das ist der Fall. Einstellungen sind genau so! Am Server und an den Clients (und natürlich auch an dem neuen Server!

Unter Forward-Lookupzonen muss es eine Zone geben, die trägt den FQDN der Domäne.

Beispiel: Lubeca.local. Diese Zone kann man löschen und neu erstellen.

Die Zone sollte AD-Integriert sein, die dynamishe Aktualiserung erlaubt.

ich prüfe ... also in der Forward-Lookupzone steht genau ein Eintrag mit dem Namen der Domäne! Und die ist AD-integriert.

Dann die Reverse-Lookupzone einrichten. Sie bekommt die Netzwerksegmentnummer. Beispiel: 192.168.0

Auch diese Zone sollte AD-Integriert sein, die dynamische Aktualisierung erlaubt.

In meiner Reverse-Lookupzone stehen mehrere Einträge :

> 0.in-addr.arpa -> primär (standard)

> 110.159.130.in-addr.arpa -> AD integriert

> 127.in-addr.arpa -> Primär (standard)

> 255.in-addr.arpa -> Primär (Standard)

Soweit scheinen alle Einstellungen richtig, oder ???

Was mich verwundert, ist das an den Namen angehängte Dollarzeichen.

An einem Rechnernamen habe ich es noch nie gesehen.

Stimmt! Habe ich so (zumindest nicht bewusst) auch noch nicht gesehen!?

Hmm ... also die Namensauflösung ... ich habe gerade mal an beiden Servern ein nslookup gemacht, und der Fehler scheint nun doch am DNS zu liegen. Denn es erscheint folgendes :

> nslookup

> DNS request Time out ...

> Der Servername für 159.130.xxx.1 konnte nicht gefunden werden ...

> Standardserver : Unknown

> Adress : 159.130.xxx.1

Also liegt es am DNS. Aber wo soll ich anfngen zu suchen? Kann ich denn eigentlich beim laufenden AD den DNS komplett löschen und neu erstellen?

Hi firefox80,

ja, ich bin als Domänen-Admin angemeldet. Sowas in der Richtung habe ich mir auch schon gedacht. Das evtl. auf dem alten DC irgendwo eine Richtlinie liegt, die es verbietet einen unbekannten Server zum DC herauf zu stufen. Ich wüsste nur nicht, wo ich suchen soll.Es kann natürlich auch sein, dass es ganz was anderes ist. Also an den Benutzer-Rechten kann es eigentlich nicht liegen...

Fällt Dir sonst noch was ein ???

Hallo Gemeinde,

ich habe vor, unseren alten DC durch einen neuen, leistungsfähigen Server unterstützen zu lassen. Der alte DC soll dann nur noch als Datei-Ablage für die User fungieren. Vielleicht erst mal zu meiner Hardware-Konfiguration :

- jetziger DC mit Win2K Server

(AD und DNS laufen)

- etwa 30 angemeldete USER

- neuer, geplanter DC ebenfalls mit Win2K Server

ist Mitglied der Domäne

Beim Start von dcpromo und der Auswahl zusätzlicher DC für Domäne fängt der Server auch an und fragt mich nach die üblichen Berechtigungen ab. Doch dann bricht er die Installation mit der Meldung

"...Die erforderlichen Eigenschaften für das Computerkonto 1SERVER$ wurden nicht geändert.

'Zugriff verweigert ' "

Ich selber tippe ja mal ganz stark auf ein DNS-Problem. Ich versuche nun seit 2 Tagen alles mögliche, aber nihts will irgendwie klappen. Habe natürlich auch gegoogelt was das Zeug hält, aber auch hier irgendwie nichts für mich zutreffendes gefunden. Vielleicht fehlt mir ja auch nur der richtige Ansatz, wo ich beginnen sollte ...

Ich hoffe, mir kann hier jemand helfen !

Tom

Hi @ll,

ich habe mal eine Frage. Ich möchte gerne für unsere Domäne (Win2k) die Download-Geschwindigkeiten per GruRiLi begrenzen. Geht sowas? Oder brauche ich dafür ein Zusatz-Tool? Wenn ja, kann mir jemand eins nennen? Wenn möglich aber so, dass ich das vom Server aus einstellen kann, um nicht an jeden Client etwas installieren zu müssen.

Und da habe ich gleich noch eine Fach-Frage ... kann man denn eigentlich per GruRiLi festlegen, dass z.B. keine *.zip, *.exe, *.rar ... Dateien aus dem Internet gezogen werden können?

Bin für jede Hilfe dankbar !!!

CU Thomas

Einen schönen Guten Morgen in die Runde ...

In meiner Firma wird das Programm WEBWASHER eingesetzt, um uns User so ziemlich alles zu sperren, was es im Internet gibt.

Unter anderem auch die Seite http://www.radeberger.de mit der Begründung, dass es sich um eine Seite handelt,

die in der Kategorie "ALCOHOL" gelistet ist.

Gibt es denn eine Möglichkeit, ohne auf Anonymisierungs-Proxys im WEB zurück greifen zu müssen, diese Seite trotz WEBWASHER

zu erreichen? Evtl. gibt es ja die Möglichkeit, die URL irgendwie zu verschlüsseln oder so ... ?

Würde mich freuen, wenn mir jemand helfen kann.

MfG

T.B.

Nachtrag an ZUSCHAUER :

Kannst Du mir evtl. per Mail helfen, bei dem Problem welches ich mal gepostet hatte

und wo der Thread geschlossen wurde?

Hallo Gemeinde.

Ich habe folgende Frage schon einmal in einem anderen Board gepostet. Leider aber noch keine Antwort bekommen, ob das von mir Gesuchte funktioniert oder aber definitiv unmöglich ist ...

Deshalb zitiere ich mich mal den Beitrag aus dem anderen Bord :

-----

ich habe mal ne Fachfrage. Ich beschäftige mich zwar schon eine ganze Weile mit dem Thema, aber eine wirkliche Lösung für mein Problem habe ich noch nicht finden können. Ich bin mir aber ziemlich sicher, dass es nicht absolut unmöglich ist ... na mal sehen ... Also zum Problem :

 

Meine Netz-Konfiguration:

Mein PC (Win2k) ist in einem relativ großen Netzwerk-Verbund (mehrere Domänen). In unserer Domäne habe ich Admin-Rechte. Ich selbst habe die Möglichkeit, eine mir zur Verfügung stehende Internet-Standleitung nutzen zu können. (Traffic etc. spielen keine Rolle) Um in das Internet gelangen zu können, muss ich einen vorgegebenen Proxy-Server nutzen.

 

Der von mir zu nutzende Proxy lässt aber nur Daten auf den Standard-Ports durch (HTTP, FTP, HTTPS und was sonst noch zwingend nötig ist ...).

 

Nun möchte ich mich mit meinem PC zu einem Server im WWW verbinden. Dieser arbeitet aber ausschließlich auf einem Port, der an meinem Proxy scheitert.

 

Meine Frage

Gibt es eine Möglichkeit, dass ich auf dem Datenweg zu dem von mir gewünschten Server bis zu meinem Internet-Proxy den Port 80 nutze und mich dann irgendwie auf den notwendigen Port des Servers im WWW umleiten kann? Oder dass ich meine Datenpakete am Proxy-Server vorbei schicken kann?

 

Ich hoffe, dass es jemanden gibt, der mir bei meinem Problem helfen kann. Oder das mir jemand sagen kann, dass es definitiv unmöglich ist. Dann brauche ich nämlich nicht mehr weiter "fummeln"

-----

Vielleicht kann mir ja hier jemand helfen.

T.B.