niesfisch

Und für Radius den IAS bzw. IAS Proxy nutzen? Nochmal zum ADAM, klar muss hier nicht in Echtzeit synchronisiert werden, aber in angemessenen Abständen muss schon Synchronität hergestellt werden. Ich wollte damit nur sagen das eine manuelle Einmalsynchronisierung nicht nützt.

OK, der Synchronisationsvorgang müsste dann aber ein ständiger Prozess sein, das z.B. Kennwortänderungen und neue Konten/Kontensperrungen ständig abgeglichen sind. Leistet ADAM dies?

Die genaue Frage wäre wie ich die Authentifizierung über das bestehende AD hinbekomme, ich bin für alle grundsätzlichen Vorschläge offen. Es sind mehrere tausend Nutzer die die Webseite nutzen können sollen, natürlich mit den gleichen Kennungen "wie immer". Systeme wie ADAM sind doch wieder eigenständige Verzeichnisse, oder? Einfachste Lösung wäre LDAP(S) simple Bind direkt auf einen DC mit selektiven NAT über eine offizielle IP Adresse auf den internen DC. Gefällt mir aber nicht so recht und ich bin auf der Suche nach Alternativen.

Hallo, wir nutzen einen extern gehosteten (SSL-)Webdienst der Authentifizierung erfordert und eine LDAP sowie Radius Schnittstelle dafür anbietet. Wir möchten dass sich alle Nutzer unseres ADs an dieser Webseite anmelden können. Die Herausforderung ist nun, wie man den Tunnel ins eigene LAN und damit letztlich ins AD schlägt. Dafür suche ich Lösungsansätze. Komplexe Verfahren wie shibboleth oder AD FS werden von Diensteanbieter nicht unterstützt und wären vielleicht auch die Kanonen auf die Spatzen... Danke für eure Vorschläge!

Ja die "dumme" Vermutung hatte ich auch schon, aber die laufen alle ordnungsgemäß auf "pro Gerät". – – Nachdem ich den Problem-TS nun abermals aus der Domäne genommen habe, Terminaldienste deinstalliert habe, NewSID drüberlaufen lassen hab, das Computerkonto im AD gelöscht hab, den TS wieder in die Domäne aufgenommen habe und die TS-Dienste installiert habe, bekommt er Lizenzen ausgestellt. Weiß der Geier, ich vermute aber doch ein Problem mit der SID und den aktivierten SID-Filtern für den Trust, anders kann ich mir das Phenomen nicht begreiflich machen. Einzige Besonderheit war noch das der TS schon mal umbenannt wurde (Nur NetBIOS-Name) aber das sollte doch keinen Einfluss auf die SID haben!? Naja erstmal Haken dran!

Hmm, dann wäre es aber eine nicht reproduzierbarer Bug, da es ja mit 4 TS klappt, zwei davon sind genauso "nur" über den externen Trust angebunden. Hatte nun noch ein Experiment gemacht und den Problem-TS auf den alten 2003er Lizenzserver konfiguriert, selbes Problem. Einen anderen TS (aus dem externen Trust) auf den 2003er Lizenz-TS konfiguriert, klappt sofort. Die Fehlerquelle grenzt sich für mein Empfinden auf das Computerobjekt des Terminalservers ein. Werde den ggf. noch mal aus der Domäne raus nehmen und newSID drüber laufen lassen, ohne wirklich zu wissen ob das überhaupt Sinn macht, aber wie gesagt mir fällt nix gescheites mehr ein.

Hallo, folgendes Problem mit dem TS-Lizenzdienst mit speziellen Randbedingungen: TS-Lizenzserver 2008 mit installierten 2003 Geräte CALs Der Lizenzserver ist über Richtlinie geschützt nur autorisierten TS Lizenzen auszustellen. In der "Terminal Server Computers" Gruppe sind insgesamt 5 TS Mitglied (alle 2003 (R2)). 2 befinden sich in der gleichen Domäne wie der TS-Lizenzserver, 3 in einer extern vertrauten Domäne (mit ausgewählter Authentifizierung und SID-Filtern). Nur ein TS aus der vertrauten Domäne bekommt keine Lizenzen ausgestellt: 4141 Es konnte keine Lizenz an "10.94.36.139" ausgestellt werden, da dieser nicht Mitglied der Gruppe "Terminal Server Computers" ist. Ist er aber :cry: Ich habe den betroffenen TS nun schon mal aus der Domäne raus genommen und wieder rein, TS-Dienst deinstalliert und neu installiert. Mit den Berechtigungen des Computerobjekt rumprobiert, mehrfach neu gestartet ... kein Erfolg, ich hab jetzt keine Idee mehr, ich hoffe einer von euch. Der Lizenzserver ist im Übrigen bei allen TS angegeben, wird also nicht automatisch ermittelt. Seit es den 2008er TS-Lizenzserver gibt, hat es mit der einen Kiste noch nie funktioniert von einem anderen Lizenzserver der bedingungslos Lizenzen vergibt bekommt er aber welche. Die Funktion "Namen überprüfen" in der Terminalserver-Lizenzserversuche gibt bei allen TS Erfolg zurück, seltsam allerdings der Fenstertitel: --------------------------- Lizenzservernamen sind ungültig --------------------------- Die angegebenen Lizenzserver sind gültige Windows Server 2003-Terminalserver-Lizenzserver. --------------------------- OK --------------------------- Gruß Andreas

Hallo, nachdem ich nun insgesamt knapp sieben Jahre im öffentlichen Dienst angestellt bin, habe ich zwei Beobachtungen gemacht was die Eingruppierung anbelangt: 1. Es zählt (wenn überhaupt) nur minimal die Tätigkeit, sondern nur ob ein Hochschulabschluss vorliegt und wenn ja ob dieser an einer FH oder Uni erzielt wurde. Ich selbst bin Fachinformatiker mit ähnlicher Tätigkeit wie Tapio (aber ohne Stellenbeschreibung!) bei gleicher Vergütung. Kollegen die den Dipl. vorn anstehen haben, gehen in der Regel mit einer 10 oder 11 nach Hause auch dann, wenn die Arbeitsaufgaben deutlich überschaubarer sind. 2. Werden Stellen neu besetzt versucht man die Eingruppierung nach unter zu prügeln. Eine einstige BAT 2A wurde nach erstmaliger Neubesetzung nur noch mit einer 4A dotiert, damals gab’s immerhin noch den BWA nach 3. Die Leitungstätigkeit für diese Stelle wurde durch Bereichszusammenlegung geschickt gestrichen. Neuerlich wurde diese Stelle abermals neu Ausgeschrieben, mit einer TvöD 10! Dabei sind die Tätigkeiten immer die Selben geblieben! Bei uns sind demnächst Neubewertungen der Stellen vorgesehen (dafür wird befristet eine Stelle geschaffen!), ich bin mal gespannt was dabei herauskommt, wahrscheinlich das die Stelle des Stellenbewerters zu schlecht dotiert ist :D und sonst wie immer nichts. Mit dem letzten Tarifvertrag würde die Leistungszulage eingeführt. Die theoretisch individuelle Zulagen für einzelne Mitarbeiter ermöglicht, wobei die tatsächliche Verteilung der Leitung der einzelnen Einrichtungen obliegt. Um den "betrieblichen Frieden" zu waren hat man sich für eine Gleichverteilung auf alle Mitarbeiter verständig, was meiner unerheblichen Meinung nach völlig am Sinn einer Leistungszulage vorbei geht. Nur damit ich auch mal meinen Senf dazu gegeben habe, es tröstet mich das ich nicht der einzige mit diesen Problemen bin und gebe die Hoffnung auf Besserung nicht auf. Gruß Andreas

Was verstehst Du unter einer "direkten Vertrauensstellung"? Eine die nicht über Transitivität zustande kommt? Wäre in meinem Fall immer so, da es sich um die Root Domänen handelt (hatte ich noch nicht erwähnt). Gruß Andreas

Schon klar, ich versuche es mal halbwegs kurz zu machen. GS1 ist eine alte Struktur mit nur einer Domäne daneben entstand später eine Gesamtstruktur GS2 mit mehreren Domänen. In einer Domäne in GS2 sind alle Benutzer angelegt. In GS1 nur eine Teilmenge. Ich will mir zukünftig ersparen Nutzer doppelt anzulegen. Fileserver Terminalserver und Lizenzserver sollen konsolidiert werden da bisher in beiden GS vorhanden. Eine Domänenmigration ist vorerst nicht angedacht, zumindest schreckt mich der Aufwand dafür ab.

Oder mal schauen ob es DHCP machen will... Die MAC-Adresse kannst Du auch ermitteln und dann mit einem statischen ARP-Eintrag "rankommen" Das ggf. vorhandene Passwort-Problem löst Du damit allerdings auch nicht

Hallo, ich möchte zwei Gesamtstrukturen mittels Vertrauensstellung verbinden. Beide GS sind auf Funktionseben 2003 (Domänen+GS). Ich habe also die Wahl zwischen externen und Gesamtstrukturenvertrauensstellung. Da ich auf die Transitivität verzichten kann, bzw. mir das sogar in dem Fall gut passt, tendiere ich zur externen Vertrauensstellung. Gibt es noch weitere Unterschiede zur Gesamtstrukturenvertrauensstellung oder Möglichkeiten die ich mit der Externen Vertrauensstellung nicht hätte? Gruß Andreas

Hallo, ich musste eine ESX vm aus einem Backup wiederherstellen. Die VM war ein W2K3 DC (erster von zwei alle FSMO). Das AD will nun nicht mehr Replizieren: NTDS General Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt. Solange dieser Zustand besteht, können keine Benutzer durch das Active Directory angemeldet werden. Aus diesem Grund wird der Anmeldedienst angehalten. Gibt es eine Möglichkeit des Restores bei der das Problem nicht auftritt? Ich hatte unter Beibehaltung der UUID mit vcbRestore das zwei Tage alte Backup restored. Sonst müsste ich den DC mit ntdsutil aus der Domäne entfernen und neu installieren? Die Übernahme der FSMO Rollen müsste ich dann erzwingen, oder? Danke und Gruß Andreas

Hallo, schau doch einfach mal auf den Servern unter Verwaltung --> Terminaldiensteverwaltung. Alle Nutzer und Gruppen die unter "Berechtigungen" aufgeführt sind dürfen sich anmelden. Das kannst du dann nach deinen Bedürfnissen auf den zwei Kisten anpassen. Trotzdem, wenn Du dir zwei DCs leisten kannst, sollte doch auch noch ein seperater TS drin sein. Mich würde gruseln wenn sich Benutzer interaktiv auf einem meiner DCs tummeln würden. Wirklich nicht empfehlenswert! Gruß Andreas

Danke! Alles was ich an Lizenzunterlagen habe ist eine Bestätigung vom Select-Partner (FSC) mit einer sechsstelligen Bestätigungsnummer, kann mir gar nicht vorstellen das MS mit so kurzen Nummern was anfangen kann...? Drum dachte ich ich muss das mit FSC klären. Bei der Erstaktivierung hatte ich das komplett online erledigt unter Angabe der Select - Vertagsnummer. Wenn ich das nun stumpf wieder so mache, oder gibt es ein CAL Konto das ich dann überstrapazieren könnte? Ich (wir) sind nicht die Einzigen die an diesem Select-Vertrag partizipieren.

Hallo, gibt es ein Tool um installierte TS-CALs auf eine andere Maschine zu bringen, also bei Hardwaretausch? Oder muss das mit dem Lizenzgeber vereinbart werden? Wer wäre das im Fall von Select, mein Select-Partner oder MS direkt? Gruß Andreas

Hallo, wo packt man den Dienst am besten hin? Hatte ihn bisher immer mit auf einem TS laufen, hier und da las ich aber dass das nicht "best practise" ist. Ich fand es eigentlich naheliegend, wenn der TS nicht geht, braucht auch keiner den Lizenzsserver (okay die anderen TS hatten dann ein Problem). Zum Thema Ausfallsicherheit: Theoretisch können auch mehrere Lizenzserver pro TS konfiguriert werden. Werden die vorhandenen CALs dann auf (z.b.) zwei Lizenzservern installiert z.B. 50/50? Wenn einer keine freien CAL Token mehr hat oder down ist wird der andere hergenommen? Besteht dann nicht die Gefahr das CALs doppelt "blockiert" werden? Danke für eure Kommentare! Gruß Andreas

Hallo, auf einem W2K3 Std. Terminalserver sind plötzlich alle System-DSN Einträge bis auf einen verschwunden. Dabei funktionieren die konfigurierten ODBC Verbindungen, trotz Unsichtbarkeit. In der Registry sind sie auch noch zu finden. Trotzdem würde ich gerne die vorhandenen System-DSNs wieder in der Datenquellenverwaltung sehen ;-) Hat jemand einen Tipp für mich? Neue System-DSN-Einträge werden im Übrigen auch angezeigt. Gruß Andreas

Hallo, ich verwende IAS als Radius für eine PEAP Authentifizierung für WLAN Clients. Funktioniert soweit ganz gut. Mein Anliegen ist es die WLAN Karten anstatt mit DHCP IP mäßig zu konfigurieren, die im AD in den Einwahleigenschaften der Benutzer hinterlegte statische IP-Adresse durchzureichen (wie bei RAS/VPN), geht das in dem Fall überhaupt? Gruß Andreas

Mit einem kleinen vb-script kein großes Problem. Ggf. musst Du vorher im CSV-Format speichern. Eine Suche im Netz bringt dir garantiert ein paar Codeschnipsel zum Thema. Wenn ich es recht verstehe geht es dabei um neue Mitarbeiter? Die Frage ist ob es sich überhaupt lohnt da noch mit einem Script aufzutrumpfen, aber vielleicht seid ihr so groß... Drei Telefonnummer sind wahrscheinlich schneller eingetippt als das Script abgefahren. Wenn in der Excel-Tabelle allerdings nur Vor- und Nachname enthalten sind, besteht natürlich die Gefahr das keine eindeutige Zuordnung im AD möglich ist.

Hallo, ich habe hier eine 16bit Anwendung (EVVA Satellit Schließanlagenverwaltung) auf einem W2K3 Terminalserver laufen. Leider gibt es immer Probleme mit der Darstellung. Sobald in eine Eingabemaske geklickt wird verschwinden alle Felder, der hellgraue Fensterhintergrund ist alles was da bleibt, durch Minimieren und anschließendem Maximieren sind die Felder wieder da. Auch das "Anspringen" mit der Tab-Taste bringt die Felder und Buttons wieder zum Vorschein. Der Effekt tritt nur auf wenn die Anwendung in einer RDP-Session läuft. Auf einem WinXP gibts den Kummer nicht. Hat jemand eine Idee dazu? Danke!

Es gibt auch eine Sicherheitsrichtlinie für "Anmelden als Stapelverarbeitungsauftrag", dort muss der ausführende Nutzer mit dabei sein.

Wieso nicht???? Die Tastenkombi ist dann alledings Ctlr+Alt+Ende, Sorry! Verbinden mit mstsc /console ist auch noch ein Versuch wert.

Klingt als würde die Shell fehlen, kriegst du den Taskmanager über Cltr+Alt+Del und kannst explorer.exe starten?

OK kost' ja nichts und läuft heute Nacht.