lupo45

Nur noch ein kleiner Hinweis dazu für alle, die's noch nicht wissen: der Dienst mit dem Display-Name "dns-client" ist nicht wirklich ausschliesslich für DNS zuständig, der Service-Name ist "dnscache", was die Funktion dessen etwas treffender beschreibt... :D

So, hier mal ein kleines Update: 1. ein 2. Kollege teilte mir nun mit, daß er auch sporadisch Probleme mit der Namensauflösung bestimmter Maschinen hat. Das Problem ist, es handelt sich nicht immer um die gleichen Systeme, betrifft aber nur welche aus 2 bestimmten Domains. Wenn das Problem auftritt ist es nicht genereller, sondern lokaler Natur, da es dann nicht generell auftritt :suspect: 2. nachdem ich nun ein paar Tage Ruhe hatte ist der Effekt grad bei mir wieder aufgetreten. Die Ergebnisse meiner Tests kann ich mir allerdings nicht erklären, zieht euch das rein: - nslookup geht immer - ping geht nicht - displaydns zeigt mir das System mit "Name existiert nicht" an - flushdns hilft nicht, wenn ich das mache tritt das Problem danach immer noch auf - nach einem "net stop dns-client" konnte der ping-befehl den namen auflösen :shock: :mad: Leider konnte ich bei den beiden Kollegen nicht näher ausprobieren, vermute aber, daß der Effekt bei denen der gleiche ist... :suspect:

Kommt drauf an, welcher Web-Dienst benutzt wird und wie die Authentifizierung funktioniert. Angenommen du hast'nen IIS im Einsatz dann kannste das über Domain-User-Authentifizierung machen, d.h. du legst für jeden User der Workgroup-Maschinen einen Domain-User an. Dieser wird von den Kollegen dann benutzt, wenn die Anmeldemaske des IE beim Zugriff auf die Web-App erscheint...

Es werden aber immer noch die GPO's für Default Domain Policy und die OU des Terminalserver auf Computerebene angewendet, steht ja da...siehe Computereinstellungen in deinem Post und die dort angewendeten GPOs... Soll der User wenn es nach dir geht überhaupt nix an GPOs (also auch nicht für den Computer) bekommen??

In welcher OU ist das Computerkonto und welche Richtlinien sind dafür verlinkt? Es spielt nur eine bedingte Rolle in welcher OU der User ist, wenn auf die OU, wo das Computerkonto drin ist auch noch GPOs eingestellt sind...

Danke für die aufschlussreichen Erklärungen, hat mich echt positiv überrascht, nachdem meine letzten Beiträge nicht allzuviel Anklang gefunden haben... ;) Jetzt bliebt nur noch eine Frage offen: wie kann es sein, daß Host-Namen nicht aufgelöst werden, wenn es 1. bei allen anderen funktioniert und 2. die DNS-Server hier in der Infrastruktur alle 24/7 mit korrekter Konfig voll funktionsfähig am Laufen sind (und die halt auch von den kollegen bei denen es immer funktioniert benutzt werden). :suspect: Ich mein immerhin hab ich jetzt doch noch einen Kollegen "gefunden", der dieses Prob auch mal ab und zu hat, aber es ist kein generelles Problem. Irgendwas muss doch da noch am Client schief laufen?! Naja, ich werd das die Tage mal kontrollieren, ob wir beide das Prob immer zum gleichen Zeitpunkt haben oder ob das von einander unabhängig ist... :rolleyes:

OK Jungs! Werd's beim nächsten mal ausprobieren...nur bleibt dann immer noch eine Sache, die ich nicht verstehe: woher kommt der Cache-Eintrag zu dem betreffenden Host, daß der Name nicht existiert?

Geht nslookup nicht über den Cache, also "andere Wege" als ping?? Wenn ein Host nicht gefunden wird, wird das im Cache gespeichert? Wenn der Effekt beim nächsten mal auftritt versuch ich's mal, aber ich bin da doch pessimistisch, daß das irgendwas bewirkt...

Morgen zusammen, ich hab hier ein sehr nerviges Problem. Es tritt an meiner Arbeitsstation auf (Notebook Dell Insperion 9300, WinXP), hoffe, daß jemand eine Idee hat: Wenn ich diverse Server aus einer Domain anzupingen versuche, bzw. mit RDP connecten möchte, dann geht das nicht, weil der Name nicht aufgelöst werden kann. Was ich aber überhaupt nicht verstehen kann, denn wenn ich die Namen der Systeme mit nslookup auflösen lasse, dann funktioniert das einwandfrei! Wie kann das sein? Mein Client ist jedenfalls von der Konfig her völlig in Ordnung, bekommt alle sinnvollen Einstellungen per DHCP zugewiesen. Trotzdem muss es irgendein lokales Problem sein, denn sonst hat hier niemand so ein Problem. Wie gesagt: nslookup geht, beim ping kommt aber immer, daß er den Host nicht finden kann. So, und jetzt kommt es noch besser: nach einiger Zeit, so etwa 10-20min. funktioniert es dann wie von Geisterhand, obwohl ich nichts an irgendwelchen Einstellungen änder... :mad: Irgendeine Ahnung, was so einen merkwürdigen Effekt verursacht? :(

Erstmal danke für die zahlreichen Antworten... ;) Schade, daß hier niemand'ne Idee hat. Egal, hier wie ich's gelöst habe: Batch im Autostart erzeugt mit 2 Befehlszeilen: cacls "%USERPROFILE%" /t /e /g domain1\user1:c >NUL 2>CON cacls "%USERPROFILE%" /t /e /g domain2\user2:c >NUL 2>CON

kann es sein, daß du nur den Profil-Ordner gelöscht hast anstatt über Systemeigenschaften/(erweitert/)Benutzerprofile das Profil dort zu löschen? In dem Fall bleibt nämlich noch ein Verweis in der Registry auf diesem Ordner in Verbindung mit dem Userprofil erhalten... Das IE-Problem welches auch im KB-Eintrag von MS beschrieben wird (siehe Link oben von zuschauer) betrifft doch nur Terminal-Server, dürfte also in deinem Fall nicht zutreffen? Was ist denn hiermit: http://www.microsoft.com/downloads/details.aspx?FamilyID=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en

Da %temp% normalerweise nach "%userprofile%\lokale einstellungen\temp" verweist, sollte der Schrott eigentlich nicht synchonisiert werden (alles im Ordner Lokale Einstellungen wird ausgeschlossen)

Hey, wie wär's mit NT-Backup und entsprechend eingestellten und gescheduleten Jobs?? Damit kann man auch fein differentiell oder inkrementell sichern...

'n Abend allerseits, also 1400€ ist schon eine Frechheit...aber muss man sich eigentlih damit zufrieden geben? Wenn mal so über die meisten hier genannten Fälle nachdenke bekomm ich den Eindruck, daß in diesen Fällen die Gespräche immer mit dem genannten Gehalt aber ohne weitere Aussicht ausgegangen ist. Habt ihr in euren Verhandlungen eigentlich mal angefragt, wie die sich vorstellen, daß es nach z.B. 3 Monate nach Bezahlung eines Einstiegsgehalt aussehen könnte, dann nach einem Jahr usw.? Ich meine ein mieses Anfangsgehalt zu bekommen ist sicherliche erstmal keine Schande, wenn man aber nicht weiss wie es wann mal weitergehen könnte ist das für die Motivation langfristig eher nicht von Vorteil.

Na super: der Arbeiter arbeitet, damit die Chefs scheffeln können :rolleyes: Ich frag mich nur, wie auf Dauer sich die AN überhaupt nochwas leisten können werden, wenn das so weitergeht. Oder: wie rechtfertigt das die ständig steigenden Preise für alles mögliche, wenn die Gehälter auf Dauer doch eher nach unten pendeln? Hilfreich für einen Aufschwung ist das jedenfalls nicht... :mad: :suspect:

jaja, war ja klar... :rolleyes: Es geht nicht, Punkt! Keine Alternativen verfügbar, sonst würd ich hier nicht schreiben... Gilt das nur in einer Gesamtstruktur oder auch mit rein getrusteten, sonst unabhängigen Domains?

Hallo zusammen, vielleicht kennt ja jemand eine Anlaufstelle für mein Anliegen. Mir geht es darum, daß unterstützend zu konventionellen AV-Systemen (auf Clients, Mail-Servern und Gateways, Proxy-Server usw...) in einer GPO definiert sein soll, welche Dateien nicht ausgeführt werden dürfen. Prinzipiell funktioniert das recht gut. Hatte neulich ein System, das mit einem Trojaner verseucht war, der durch die hiesigen AV-Programme weder erkannt noch beseitigt wurde. Nachdem ich den Hash-Wert der Datei in einer entspr. GPO eingetragen hatte wurde der Schädling nicht mehr ausgeführt und mit dem System konnte wieder gearbeitet werden. Jetzt ist natürlich die Frage, wie man am besten dafür sorgt, daß die GPO up2date gehalten wird und mit immer neuen Hash-Werten gefüllt wird. Die eine Lösung wär manuell: einfach abwarten, bis ein System befallen ist, anschliessend den Übeltäter ausfindig machen und "herholen", Datei-Hash berechnen und GPO einstellen. Die andere Lösung wär schicker: ich bekomme die Hash-Werte von einer zuverlässigen Quelle aus dem Internet. Am besten dann natürlich noch als importierbare Datei...irgendsowas in der Richtung... So, und jetzt die 2. Frage, nämlich, wie kann ich eine bestimmte GPO domänenübergreifend verteilen? So, daß ich die Einstellung nur an einer bestimmten Stelle vornehme und diese von dort aus auf die anderen Domains übertragen wird? Wenn's keine bessere Lösung gibt würd ich einfach die entsprechenden INI-Dateien aus dem GPO-Ordner in die entsprechenden Ordner der GPO's in den Zieldomains (bzw. DC) reinkopieren...oder wie geht's sonst noch? (mir ist eine automatisierbare Lösung wichtig, irgendwo rumklicken bringt's da glaub ich nicht wirklich) BTW: Wer jetzt meint mit Kommentaren kommen zu müssen nach dem Motto ist doch der falsche Ansatz, da müssen die AV-Hersteller nachbessern oder es sollte doch die Infrastruktur sonstwie optimiert werden: danke, spart euch in dem Fall bitte einfach jeden Kommentar, da mir das nicht weiterhilft!

dann versuch mal den Rechner auf http://www.nettolohn.de mit deinem berechnetem Brutto-Gehalt! Ich hab deinen Link zwar nicht ausprobiert, aber vor einer Weile bei meinem mein eigenes Gehalt gegenrechnen lassen und es hat gestimmt?! So, abgesehen davon mal meine Meinung: Was interessiert mich, was in anderen Ländern abläuft oder was irgendwelche KFZ-Meister oder Garten/Landschafts-Bauer oder sonstwas verdienen. Ich richte mich nach dem Durchschnitt und nach Tarifen und da sieht es bei vielen Leuten leider so aus, daß sie nicht verdienen, was ihnen leistungsgerecht nach diesen Daten zusteht. Fertig aus. Ein normaler Systemadministrator-Job wo auch ein wenig vernünftig entwickelt, dokumentiert und organisiert wird, abgesehen vom technischen Doing bewegt sich nicht nur im Bereich von mind. ca. 34000-40000€/Jahr sondern auch in den Tarifgruppen 4-6. Und was da der individuelle Tarif zu bieten hat kann man auch einfach rausfinden, vor allem wenn man in der Gewerkschaft ist. Wenn der Arbeitgeber tarifgebunden ist muss er einem mindestens das bezahlen, wenn er aber ein AT (=außer-tarifliches) Angebot macht muss es mindestens genauso gut sein. Und es zählen die Tätigkeiten, die man die ganze Zeit hauptsächlich macht. Punkt, das ist meine Richtlinie im Moment und keine andere. Entweder ein AG ist bereit das zu zahlen oder nicht. Wenn nicht, dann Tschüss. Wenn man nebenbei noch selbständig ist ist die ganze Sache noch besser für einen, da man so sehr interessante Kompromisse finden könnte (die ich zumindest bei Gelegenheit ausprobieren werde)... :p

Von wem muss ich enttäuscht sein, von mir, weil ich'nen Fehler gemacht habe oder von euch weil ihn offenbar sonst keiner gemerkt bzw. korrigiert hat? :p :D Also, es ist doch etwas anders, kuckst du besser hier: http://www.windowsitlibrary.com/Content/405/11/3.html http://www.wintotal.de/Tipps/Eintrag.php?TID=1178 Wenn ich das also richtig verstanden habe ist CurrentControlSet nur ein Zeiger, der auf 001, 002, 003 usw. verweisen könnte, also auf einen von denen. Welches der richtige ist steht im Key Select in der Value Current. Ein Kollege sagte mir, er hätte etwas gescriptet, was im CurrentControlSet nicht, dafür aber im 001 gegriffen hat (auf welches Current verwies). Wie sowas sein kann ist mir unklar, aber vielleicht schaust du einfach mal nach, was bei dir unter Current steht und machst da dann direkt die Änderung...

Das über einen richtig konfigurierten Zeitdienst zu lösen ist m.E. schon der richtige Ansatz, funktinieren tut das auch im laufenden Betrieb. Aber so einfach mit dem Net Time Befehl ist das leider nicht. Gib mal an der Console ein: w32tm /? Damit macht man's richtig, und als Time-Server sollte man am besten eine zuverlässige Quelle aus dem Internet nutzen. Den DC mit der falschen Uhrzeit selbst als Timeserver einzustellen bringt glaub ich nicht so ganz den gewünschten Effekt. ;) Bei Google findet man Sites, die einem zig Time-Server auflisten, einfach auch mal dort nachschauen...

Das ist eigentlich OK, da unter 001 die Sicherheitskopie des CurrentControlSet liegt. Wird bei jeder Änderung in dem Tree beim Systemstart angelegt und das vorige 001 kommt in 002 (vorhandenes 002 wird gelöscht). ;) Bei NT4 hab ich sowas über den Key hklm\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters und Value nameserver automatisiert, aber ich glaub die Struktur hat sich bei 2k verändert...?

hi, sind im Geräte-Manager irgendwelche Ressourcen-Konflikte ersichtlich?

hey Stev, mit gepipten Windows-Befehlen ist das m.E. recht einfach zu machen. Entweder du analysierst die Ausgabe der Usereigenschaften (damit werden die Gruppenmitgliedschaften aufgelistet) mit dem Find-Befehl, oder aber umgekehrt, die Gruppeneingenschaften einer speziellen Gruppe (und schaust, ob der Username gefunden wird). z.B.: net user %username% (/domain)|find "<gruppenname>" umgekehrt: net (local)group <gruppenname> (/domain)|find "%username%" => wenn nach einem der Befehlszeilen der Errorlevel 0 ist dann ist er Mitglied der angegebenen Gruppe Nachteile: 1. auch find und net sind Zusatz-, sprich EXE-Dateien, aber in der CMD gibbet sonst nix 2. je nachdem was bei euch für User- und Gruppennamen existieren kann eine Analyse mit Find ungünstige Ergebnisse liefern. Angenommen du hast Bezeichnungen "xyz" und eine "xyz1" vergeben und suchst nach "xyz", dann bekommst du u.U. für "xyz1" auch einen Suchtreffer...es würde also nur bei wirklich sehr eindeutigen Bezeichnungen funktionieren 3. indirekte, bzw. verschachtelte Gruppenmitgliedschaften werden so nicht abgecheckt

kein Zugriff möglich, trotz auflösbarem ACL-Eintrag mit Leserechte :suspect:

hi pastors! Daß Notes nicht geht liegt aber ersma weniger an WINS, sondern eher daran, daß oft als Notes-Servername ein anderer Name verwendet wird, als für die Windows-Maschine selbst. Dann kann aber alternativ dazu ein DNS-Eintrag dafür gepflegt werden und schon geht's auch über DNS statt WINS. In der Umgebung mit der ich mich so rumschlagen muss ist es dann auch noch ab und zu vonnöten, die DNS-Suffix-Suchliste auf dem Cllient zu erweitern... :rolleyes: Also eigentlich sollte es dann auch ohne WINS gehen, aber gut, bleibt immer noch das Performance-Argument, wenn man davon ausgeht, daß WINS- generell vor DNS-Anfragen kommen...was ja in einigen Artikeln immer wieder beschrieben wird. Ich bin leider nie dazu gekommen, daß selbst genau unter die Lupe zu nehmen