steppe

Hallo zusammen, da bei uns Novell solangsam abgelöst wird ist heute der erste Standort dran. Also bei W2K3 Verzeichnisse inklusive Berechtigungen angelegt. (sollen vererbt werden) Robocopy angeschmissen. Nach einiger Zeit überprüfe ich die Rechte der kopierten Daten. Robocopy hat auf jede Datei/Verzeichnis Jeder für Vollzugriff eingestellt. + die ACL des Grundverzeichnisses verändert. Kopiere ich die Daten mit Altap Salamander passt es mit den Vererbungen. Es gibt ja bei Robocopy den Schalter dass er NTFS Rechte mitkopieren soll. Allerdings sind es ja keine NTFS Rechte wenn ich von Netware kopiere. Die Gruppen würden dann auch nicht passen. Ich werde nun halt sobald alles kopiert wurde an der obersten Stelle nochmal alles anpassen und vererben. Vorgestellt hatte ich mir das allerdings anders ;) Ist das normal ? Grüße Stephan

Hallo zusammen, ich habe ein seltsames Problem bei dem ich nichteinmal weiss wo ich anpacken soll. Szenario: User verbindet sich mit VPN (openVPN über 443) Verbindet sich mit TerminalServer (Windows 2000) Programm wird gestartet mit Einwahl über KEN! (Service auf anderem Server) Remoteverbindung bricht nach 2 Minuten ab. (Normale Windows Fehlermeldung) Die ISDN Verbindung wurde aber aufgebaut (Log auf dem KEN Server) Was seltsam ist: Wenn der Vorgang aus unserem Netz gestartet wird ist alles ok. Es ist auch Client unabhängig. Firewall richtig konfiguriert (Anfrage IP ist ja sowieso die des Servers) Nun natürlich die Frage wo ist der Unterschied wenn ich mit VPN mich einwähle oder im Netz bin (außer der Performance). Ich bin für jeden Hinweis dankbar. Grüße Stephan – Update: Es liegt 100% an der DFÜ Verbindung. Sobald die Verbindung hergestellt ist fliege ich raus. Eventuelle Probleme mit Protokoll ? Leider sehe ich keinen Zusammenhang von Client Protokollen und den Protokollen die auf dem Terminalserver laufen (außer TCP IP für die Verbindung zum Server)

Hallo zusammen, von meinem Kollegen wurde mir empfohlen doch für jede "Sektion" von Einstellungen. Also zum Beispiel Einstellungen die das Netzwerk betreffen eine eigene Richtlinie zu erstellen. Sodass man auf der OU nachher Firewall Desktop Offlinedateien etc als Richtlinien hat Ist eine Abarbeitung mehrerer Richtlinien langsamer ? (War bisher mein Argument dagegen) Danke für eure Antworten Grüße Stephan

Dass der Step auszuführen ist hätte ich mir auch selber denken können :) War kurzzeitige Verwirrung angesagt :) Ich habe noch eine DNS-spezifische Frage: DNS Einträge die ich manuell erstellt habe werden über die Alterungsfunktion nie gelöscht oder ?

Danke. Ich beiss mich mal durch. Hab nun auch ein extra Konto für die DNS Updates erstellt.

Das scheint mir aber ohne weiteres nicht so einfach unternehmensweit auszuführen. Ich hab keine Einstellung bei den GPO gefunden, die sich nur auf eine Verbindung beziehen lassen.

Genau so ist es. Es gibt einen Netzwerkadapter der sich über DHCP von der Firewall eine IP Adresse holt. Wenn ich den Haken bei den LAN Verbindungen entferne. TCP/IP -> DNS > Adressen dieser Verbindung in DNS registrieren und beim DHCP Server einstelle DNS A- und PTR-Einträge immer dynamisch aktualisieren geht das nicht ?

Genau ! =) Und ich will unterbinden, dass die VPN Clients sich registrieren. Wenn möglich per Einstellung beim DNS Server wenn nötig per GPO.

Nein das geht nicht. Das wären ja dann auch 100 DNS Registers die Stunde. Es ist SSL VPN basierend auf OpenVPN. Mir würde es aber schon reichen wenn sie sich nicht eintragen könnten.

Hehe. Nein der registriert nichts. Hab nur sichere aktiviert. Ich hatte gedacht vielleicht gäb es die Option: Keine dynamischen Updates. (also nur vom DHCP Server) Aber leider gibts das nicht. Oder halt das Abstellen über die Berechtigungen (wo ich am wenigsten versteh warum das nicht klappt)

Genau. Der DHCP Server hat damit nichts zu schaffen. Ist eine Linux basierte Firewall Appliance.

Es geht darum, dass ich eher wenige richtige als viele falsche Einträge im DNS haben möchte. Bisher sieht es so aus. Der DHCP Server registriert die Clients im DNS. Clients sind alles Domänenmitglieder. Allerdings ist bei jedem Client die Option angeklickt, dass er die Verbindung im DNS registrieren soll. Solang das in den Standorten passiert ist das kein Problem, allerdings bei mobilen VPN Benutzern sieht das anders aus. (VPN nicht über Microsoft Lösung) Ich habe Einträge wie: NB-ich 192.168.4.22 NB-du 192.168.4.22 NB-ersiees 192.168.4.22 da die VPN Firewall einfach die freigewordenen IPs gleich wieder vergibt. Da 3/4 unserer Benutzer mobil sind, sieht das auch entsprechend aus. Im Endeffekt habe ich nur 1 Ziel. Beim Verbinden auf ein Notebook über den Name will ich zu 95% auch immer das richtige treffen ;). Beim oberen Beispiel würde ich mich auf NB-du verbinden und vielleicht bei ich oder ersiees rauskommen. Da würde ich eher vorziehen diese Einträge erst garnicht zu haben. Danke und Grüße Stephan

Ich habe nun auch noch die Berechtigungen auf die Forward Lookup Zone gesetzt. Authentifizierte Benutzer auf Lesen anstatt auf übergeordnete Objekte erstellen. Gibt es hierfür echt keine Lösung ? Grüße Stephan

Nachtrag: Wie kann ich verhindern, dass mehrere Clients sich auf die gleiche IP Adresse registrieren ? Meistens Problem bei VPN Verbindungen. Grüße Stephan

Hallo zusammen, ich bekomme die richtige Einstellung nicht hin. Folgende Einstellung hätte ich gerne: DNS Server nimmt nur Updates vom DHCP Server an " soll keine Einträge löschen. (Server werden manuell eingepflegt) Der DHCP Server soll nach Ablauf der Leasezeit die Einträge löschen. Das wars eigentlich schon. Ich habe als Anmeldedaten für den DHCP Server am DNS Server den Administrator hinterlegt. Gibt es da Sicherheitsbedenken ? Da Microsoft einen Domänenbenutzer vorschlägt. Wie verhindere ich nun dass die Clients sich registrieren ? Muss ich das über eine Gruppenrichtlinie machen oder kann ich das auch beim DNS Snapin konfigurieren? Info: W2k Server und W2k3 Server/W2k3 R2 Danke für eure Hilfe Grüße Stephan

Dsadd mit einzelnen Benutzern funktioniert schonmal sehr gut. Allerdings würde ich gern mehrere über eine Textdatei anlegen lassen. folgender Befehl: for /F "eol=; tokens=1,2,3,4,5,6,* delims=," %%i in (users.txt) do dsadd user "cn=%%i %%j,ou=Horv_Users,dc=horvtest,dc=de" -samid %%k -upn %%k@horvtest.de -fn %%i -ln %%j -display "%%i %%j" -pwd %%l -disabled no -office "%%m" -email %%n -dept "%%o" -mustchpwd no -canchpwd no -pwdneverexpires yes Quelle: Petri.Co.il In eine Batchdatei kopiert. Die .cmd Datei ausgeführt. Er führt immer den Befehl aus. Der erste User wird angezeigt (der dsadd Befehl) aber wohl nicht ausgeführt. Dann gehts wieder von vorne los Weiss jmd was ich da falsch mache ? Grüße Stephan

Danke nochmal. Vorallem für den Tipp mit dsadd. Nun ist es nur noch ein Knopfdruck zur Useranlage ;) Das mit dem Homelaufwerk anlegen bekomm ich bestimmt auch noch hin.

So isses ;) (Hab ja auch nur noch 2 Wochen Zeit) Mein Problem ist dass ich die Anlage von Benutzern ziemlich einfach gestalten muss, da nicht ich die Benutzeranlage mache sondern jemand anderes. Eine fertige Lösung hatte ich nicht erwartet, nur vielleicht hab ich ja was übersehen (anscheinend nicht). Ich kenn es halt nur von Novell her wo ich das Homelaufwerk definieren kann. Aber irgendwas is ja immer ;) Bei VB-Skript oder Batch. Erstellen des Benutzerordners stelle ich mir nicht schwer vor. Nur mit den Rechten muss ich mich dann noch schlau machen. Grüße Stephan

Hallo nochmal, ich will den Usern aber trotzdem ein Homelaufwerk anbieten, das am besten natürlich bei der Benutzeranlage mit generiert wird (und auch mit den entsprechenden Rechten). Dh: Admins Vollzugriff User Vollzugriff rest nichts ;) Diesen Pfad kann ich aber nicht bei Profilpfad einstellen. Sonst wird ja ein Roaming Profile. Muss ich das Verzeichnis manuell anlegen ? Grüße Stephan

Wir haben größtenteils Notebooks. PCs machen nur etwa 10% aus. Also zieht der User immer samt Hardware um. :) Sozusagen Roaming User. ;) Ich hab mich mal dagegen entschieden. So nun hab ich noch 1 Monat Zeit. Dann soll das System produktiv gehen. Dann mal los :D Danke für eure Tipps (falls ihr noch ein paar Links zu Best Practices habt dann her damit :) ) Grüße Stephan

Zum Druckermanagement: Im Moment ist es so, dass alle Benutzer alle Drucker lokal eingerichtet haben. Das funktioniert ganz gut. Natürlich bloß solange kein neuer Drucker dazukommt bzw ein bestehender ausgetauscht wird. Wir hatten schon Netzwerkdrucker unter Novell. Allerdings bei Serverausfall bzw zu hoher Auslastung konnten dann Benutzer nicht mehr drucken. Bei Roaming Profiles sehe ich ein Problem bei NB und PC Benutzer (also 2 Geräte 1 Benutzer). Sind da nicht Konflikte vorprogrammiert ? Danke für die schnelle Antwort Stephan

Hallo zusammen, ich habe schon ein bisschen im Internet recherchiert. Allerdings bin ich mir noch nicht sicher ob ich alle Möglichkeiten ausschöpfen will. Folgende Ausgangssituation: Bisher Novell Netware 80% Mobile Benutzer alle NB und Benutzer schon in AD vorhanden (ohne OUs) keine/wenige Gruppenrichtlinien neues Büro erstmals ohne Netware Server Bisher konfiguriert Gruppen angelegt für Fileberechtigungen OUs Hierachie angelegt Best Practice gesucht für Netzlaufwerke verbinden Roaming Profiles (ja oder nein Entscheidung) Druckermanagement (W2k3 server ist R2) Ich bin dankbar für jeden Vorschlag und Link. Grüße Stephan

So. MIBs brav importiert. SNMP Trap wurde gesendet. Antwort vom HP SIM: Is nich ;) Und warum ... weils in den MIBs von Microsoft den Eintrag nicht gibt. Dort gibt es für mein Eventlogeintrag (DHCP der Bereich ist zu 85%+ ausgelastet) keinen MIB eintrag. Aber für andere unnütze Einträge. "This variable indicates the number of nacks received" zB Gibt es irgendwo erweiterte MIBs oder muss ich die nun selber basteln ? :) Grüße Stephan

Vielen Dank. Falls alles funktioniert schreib ich ne Anleitung (falls es jemand interessiert ;) ) Grüße

Hallo zahni, kann man dort auch einstellen, dass er sich melden soll wenn der dhcp dienst nur noch wenige ip adressen zu vergeben hat oder dass auf den festplatten zu wenig speicherplatz ist ? grüße stephan