taubi

Hallo daabm, ich habe nun die alte vorkonfigurierte Regel aktiviert, siehe SoGehts.png Der modernere vorkonfigurierte Regelsatz für Erweiterte Firewall funktioniert nicht, siehe SoGehtsNicht.png Ich habe auch keine Info gefunden, diese Regel nicht für windows7 SP1 anzuwenden. VG taubi

Hallo, Warum verweigert mir Windows7-Firewall den RDP-Zugang? In einer 2012R2 Domäne kann ich auf Windows7 per Remote Desktop zugreifen. Die Firewallregel ist jedoch lokal gesetzt. Ich entfernte die lokale Regel und erstellte und verknüpfte die selbe Regel per GPO. Die GPO erreicht den Client. FW-Profil Domänennetzwerke ist verbunden. Auf Windows7 >Systemsteuerung>Win-Firewall>Zugelassene Programme und Features erscheint: aktiv Remotedesktop - alle Profile - Gruppenrichtlinie=ja unter eingehende Regel erscheinen 3 passende Regeln mit den Namen @FirewallAPI.dll,-28775 @FirewallAPI.dll,-28776 @FirewallAPI.dll,-28778 28775 gibt TCP 3389 für svchost.exe frei Trotzdem meldet die FW-Überwachung: DROP TCP 172.17.7.64 172.17.156.64 52058 3389 52 S 3181147943 0 8192 - - - RECEIVE (action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path) Was könnte hier falsch laufen? DT Das Problem dreht sich um svchost.exe. Während bei einer lokalen win7-Regel(Remotedesktop TCP eingehend) das System ohne Diensteinschränkung geöffnet wird, existiert bei GPO-Auswahl (Remotedesktop TCP eingehend) kein System. Statt dessen ist svchost für termservice festgelegt, funktioniert aber nicht. Die neue Frage ist nun, wie öffne ich TCP für Remotedesktop funktionsfähig, ohne alle Dienste zu erlauben? DT

Hallo Spezis, beim Klonen von 2012R2 unter VMware ignorierte ich eine Option für die neuen Systeme. Dort hieß es per default Serverlizenzmodus = pro Server und max Verbindungen = 5 Diese Einstellung gab es meines Wissens mal als Einbahnstraße änderbar. Die wirkliche Lizenzierung ist Datacenter je VMWare-Host, so dass natürlich pro User gewählt sein sollte. 1. Wie muss das vor der Aktivierung korrigiert werden, oder ist das nicht nötig, oder ist das in VMware veraltet und nicht zum Tragen gekommen? Gibt es einen Regkey zur Kontrolle? 2. Welcher Produktschlüssel wird bei Aktivierung von virtuellen Standard-Servern eingetragen? (Lizenz ist Datacenter) 3. Wäre auch die Kombination von KMS traditionell(für win7) mit KMS AD-integriert(2012R2) im LAN möglich? Gruß Dieter

Danke euch drei für die Blitzantworten. Um bei Storageproblemen am VMware Cluster nicht ohne DNS und DC dazustehen, lege ich die virtuelle Festplatte des Gastes auf die Festplatte des Hosts. So stelle ich sicher, dass DNS nach dem Starten einer einzelnen Maschine zur Verfügung steht. EMailsystem ist Groupwise und soll nach dem Upgrade an das AD gekoppelt werden. Hatte ich noch garnicht bedacht: CA geht nicht mehr auf DC Viele Grüße aus Potsdam

Liebe Gemeinde, ein Upgrade 2008R2 auf 2012R12 ist gewünscht und die Diskusion um inplace oder migrate, neue oder selbe Servernamen, alte IPAdressen oder andere steht an. Dazu hätte ich gern eure Meinung. Ist: single Domain 2008R2-Level mit 2 DCs (A und B) A: auf VMware ist Forestmaster + DNS + WINS + DHCP + CA + KMS B: in Blech ist DNS + WINS + DHCP DNS und WINS sind AD-integriert, CA dient nur domäneninternen Zwecken DHCP hält unter anderem ca 400 Reservierungen für private IPs Es gibt auch 400 statische IP Konfigurationen, die A und B als DNS und WINS eingetragen haben A und B besitzen private IPs Ziel: single Domain 2012R2-Level mit 2 DCs (AA und BB) AA: auf VMware BB: auf VMware - Daten direkt auf Hardware des Host Was spricht gegen einen dritten DC, der die Domäne anhebt? Inplace von A oder Ersatz? mit selber IP? oder auch selbem Namen? Was spricht gegen herausnehmen von B und Nutzung dessen IP für den Dritten, als Ersatz für B? Welche Erfahrung habt ihr?

Lösung: Ein reines Windowssystem merkt sich Loginname und Domainname und nutzt diese bei der nächsten Anmeldung als Standardeinstellung. HKLM\SW\MS\Winnt\cc\Winlogon\DefaultDomainName Ist der Novellclient installiert, so kann die Windows DefaultDomain nur mittels kompletter Netwareanmeldung geändert werden.(oder per Regedit) Beispiel: lokale Windows-Anmeldung soll Standard werden --- dazu anmelden an Netware und Windows (hierzu auf Reiter3 Windowsname und lokale Domain einstellen) und wieder abmelden. Dadurch wird unter [HKEY_LOCAL_MACHINE\SOFTWARE\Novell\Location Profiles\Services\{1E6CEEA1-FB73-11CF-BD76-00001B27DA23}\Default\Tab3] "Tab"="NT Credentials" "DefaultUserName"="anton" "DefaultDomainName"="lokalerPCName" gesetzt. Bei der nächsten Anmeldung wird nun (auch bei: nur an Windows anmelden) als Standard der lokale Rechner gewählt. Anmeldung an Novell und Windowsdomäne überschreibt den Eintrag. Die Domäne wäre dann der zukünftige Standard. Änderungen unter Nur-Windows-Anmeldung ändern nur den Windowsschlüssel, welcher jedoch nur gelesen wird, wenn der entsprechende Netwareschlüssel undefiniert ist. ;) taubi

Danke Hirgelswift, danke Zahni, Kaputtrepariert habe ich nichts, lediglich den Registrywert verändert DefaultDomainName. Die letzte Anmeldung verewigt sich unter DefaultLoginName und sorgt für den vorgeschlagenen Login beim nächsten Anmelden. Das ist leider nicht so bei der Domäne. Letzte Anmeldung lokal >> trotzdem nächste Anmeldung default an Domäne. Dies ist auf unseren anderen Rechnern ebenso. Der genannte Schlüssel scheint keinen Einfluß darauf zu haben. Zum Test startete ich den Rechner mittels Bart PE Builder-CD (WinXP von CD) und bearbeitete den Schlüssel über >Regedit>Datei>Struktur laden. Überschreiben durch das System war also nun nicht mehr möglich. Trotzdem wurde die eingestellte lokale Anmeldung ignoriert. Für diesen Laptop(Verleihgerät) existiert nur eine Domäne und diese soll zeitweise zur Anmeldung genutzt werden, im Normalfall jedoch die lokale Anmeldung. Unsere Clients sind außerdem im Novellnetz mittels Netwareclient verankert. Ich werde nochmal testen, ob ein reiner Windowsrechner sich anders verhält. Bye Taubi

Um die Reihenfolge der Domänen (1.lokal, 2.Domäne) beim Winlogon anzupassen, gibt es einen Regkey DefaultDomainName. Die Änderung auf win2k oder winxp Clients kommt jedoch auch nach dem Neustart nicht zum Tragen. Automatisch steht immer die Domäne oben. Gibt es eine weitere Stelle zB GPO, die dazwischen funkt? Danke schon mal im Voraus Taubi

Danke Frapos Ereignisanzeige war wohl zu einfach aber diese und gpresult zusammen brachten mich wieder auf die Spur: Nachdem ein Rechner ein Ereignis zeigte: "DCname für Computernetzwerk konnte nicht ermittelt werden" suchte ich zunächst vergeblich am DNS. Grund war zweite Netzkarte ohne DNS-Eintrag(Erste Netzkarte war korrekt mit 2 DNS Adressen konfiguriert) Danach folgende Ausgaben: W2k User2: Ereignis: Userenv-Benutzer oder Computername kann nicht ermittelt werden GPresult: keine UserGPO W2k User1: Ereignis: keine GPresult:UserGPO empfangen mit RegSettings(jedoch nicht angewendet) und Script(wegen falscher Umgebung nicht ausgeführt) Wxp User2: Ereignis:userenv-Benutzer oder Computername kann nicht ermittelt werden, User ist nicht vorhanden, GPO abgebrochen Gpresult: Richtlinienobjekt nicht vorhanden(natürlich auch keine Ausführung) Wxp User1: alles super Grund war Berechtigung an OU-Objekt. Ich hatte eine neue OU erzeugt, für die Authentifizierte Benutzer "lesen" geerbt hatten--scheinbar--denn der Haken war drin. Öffnung der erweiterten Rechteansicht zeigte jedoch leere Kästchen. Keine Ahnung wie soetwas passiert. Ich habe noch eine erstellt mit selbem Ergebnis. Korrigieren-aktualisieren-korrigieren-aktualisieren-syncronisieren der DCs und der Fehler scheint behoben. Bin gespannt, ob morgen alle User wieder funktionieren. Der Test mit ausgeblendeter Uhrzeit geht wohl nur auf XP. Ciao taubi

Autentifizierte Benutzer haben "Lesen" und "GPO übernehmen". OU, GPO und User sind alle neu erstellt worden. Verschiedene Probleme mit GPO's treten auf, seitdem ich auf einem XPClient die GPMC nebst Framework installiert hatte, damit eine GPO öffnete, später auf DC(w2k) beim Aufruf jeder GPO in DSA.msc unzählige "String to long..."-Fehler bekam und zwecks Behebung dieses Fehlers die GPMC wieder deinstallierte. Leider geschah dies nicht in einer Versuchsumgebung. Eine GPO(erstellt auf W2k) wird nur für User auf WinXP Rechnern verarbeitet. Diese hat lediglich ein logoffscript zur Datensicherung konfiguriert bekommen, welches zuvor super funktionierte.

So sieht nun unsere Lösung aus: Dhcp1 und 2 mit identischen Bereichen Bereich auf Dhcp2 von der Verteilung ausgeschlossen trotzdem auf beiden Dhcp identische Registrierungen je MAC manuell pflegen Der client findet bei Anfrage die Reservierung auf einem der Server und erhält die Lease. Fällt einer aus , reicht der zweite DHCP für Leasebestätigung laut Reservierung aus. Eine Zuständigkeitsüberschneidung und Datenbankfehler gibt es wegen der Bereichsausschließung auf Dhcp2 nicht. Demnächst implementiert: Um den manuellen Aufwand für Tagesgäste klein zu halten wird ein WLAN hinter einem Router örtlich und zeitlich begrenzt aktiviert, welches Dhcp ohne Registrierung zulassen wird. Die erlaubten Verbindungen werden dort beschränkt werden. Damit ist das Netz kontrollierbarer geworden. Die absolute Sicherheit könnte man über inteligente Switche und Radiusserver erreichen. Manueller Aufwand bleibt jedoch gleich groß. ciao taubi

Hallo Gemeinde, Win2000Domäne Eine OU hat eine GPO mit Änderungen für User zugewiesen bekommen. Zwei User befinden sich in dieser OU. Nur bei User1(mit Domänenadminrechten) wird die GPO angewendet. Der User2 ist normaler Domänenbenutzer und Hauptbenutzer auf dem XPClient. Als User2 habe ich ausgeführt: G:\>gpresult INFORMATION: Das Richtlinienobjekt ist nicht vorhanden. G:\>rsop.msc gruppenrichtlinienfehler Die Richtlinienergebnissatzdaten sind ungültig. Mögliche Ursachen sind beschädigte Daten oder niemals erstellte bzw gelöschte Daten. Details: "Ungültiger Namespace" In der GPO wird testweise die Uhrzeit ausgeblendet und per cmd ein lokaler copyjob bei Abmeldung gestartet. Die cmd ist gespeichert unter \\domname\sysvol\domname\scripts wobei domname unserem DNS-Domänenname entspricht. Wo liegt der Fehler?

Hi CoolAce , hi A.Jakob alle Rechner mit DHCP verwalten hört sich gut an, kann ich aber nur durchsetzen, wenn ich mit einer überzeugenden Lösung aufwarten kann. Für "Netware rausschmeissen" gilt das gleiche. Nochimmer ist die Verwaltung der Dateisystemrechte und die NDS einfacher zu bedienen und schneller wirksam. Zum Beispiel kann ich für einen Benutzer per Knopfdruck alle vergebenen Dateirechte im gesamten Baum suchen und listen lassen. Gleiches gilt für die effektiven Rechte. Eine Änderung wird sofort wirksam. Deshalb wurde vor kurzem für die Dateiserver mit Netware 4 ein Upgrade auf Netware 6.5 entschieden. Nichts desdo trotz möchte ich hier mit guten MS Lösungen überzeugen zB. DHCP, DNS... Eine Firewall gibts natürlich zwischen Intranet und Internet. Ich beziehe mich auf das Intranet indem fast ALLE PC's und Laptop's folgende Gemeinsamkeiten haben : -nichtöffentliche IP Adresse mit Maske 16Bit -selben Gateway zum Internet -Zugriff mittels Novellclient über TCP/IP auf 2 oben erwähnte Dateiserver Der sensible Bereich ist pysisch getrennt und hat damit auch keinen Intranet und Internetzugang; soll auch hier nicht betrachtet werden. Die Änderung einer MAC sehe ich als mutwilligen manuellen Systemeingriff und möchte diesen aus der Aufgabenstellung erstmal ausklammern. Mac-Filter am Server(DHCP) - was ist damit gemeint ? würde mich auf weitere Vorschläge freuen taubi

Hallo zusammen, in unserem internen VLAN sind Server w2k,2003,NW6.5,Linux,Solaris und Clients Win9x..XP per IP-classB und teilweise IPX vernetzt (ges. ca.350Geräte). Das Internet ist über einen Router zu erreichen. Unter anderem gibt es eine Domäne mit 2x W2k(DC) und 1x Win2003(M) Server. Auf den DC's läuft DHCP,DNS,WINS. Die meisten Clients haben feste IP's aus benanntem ClassB-Netz. Alle anderen Clients beziehen Konfigurationen vom DHCP. Die Netzanbindung erfolgt mittels cisco switches mit ethernet100 Ports. Beide DHCP-Server stehen zwecks Ausfallsicherheit im gleichen subnetz mit unterschiedlichen Bereichen. Um den ungewollten Anschluss zB. virenverseuchter Laptops in Zukunft zu verhindern aber trotzdem registrierten Studenten und Gästen eine Kommunikation zu ermöglichen, würde ich nun bekannte MAC's in Reservierungslisten eintragen und die Bereiche auf jene beschränken müssen. Diese Prozedur muss dann wohl je DHCP Server getätigt werden. Beim Ausscheiden dann nochmals. Frage 1. Gibt es eine elegantere Lösung? 2. Ist Windows DHCP der richtige Weg oder Diskusionen pro NovellDHCP nachzugeben? 3. Wie kann man die Performanceeinbußen wegen langer Listen eingrenzen oder sind sie zu vernachlässigen? 4. Gibt es eine Möglichkeit die Zuweisungen mittels Passwortabfrage zu regulieren? schon mal danke im voraus taubi

Frage 2 ist gelöst richtig ist Starten: Net Start BINLSVC Benden: Net Stop BINLSVC