IvkovicD

Die Reihenfolge der GPOs, wenn sie abgearbeitet werden, ist: Local, Site, Domin, OU... Gruß Dejan

...welche wäre? Gruß Dejan

Hi Sunchild, dem Server siehst du selber nicht an, mit wievielen Lizenzen er geliefert wird. Wenn du nicht die offiz. Lizenzblätter (Papier, nichts virtuelles) von MS in der Hand hälst, dann hast du keine bekommen. Gruß Dejan

Hi andYa, ich rate mal aufs geratewohl. Du kannst davon ausgehen, dass Daimler definitiv eine smartFirewall hat. Das ist jetzt mal keine Typenbezeichnung, sondern eher eine Eigenschaft. Deine Kollegen werden auch definitiv über den Proxy, und diverse andere Filter bei Daimler geschleust. Hier wäre es interessant zu wissen, was da alles zwischen den Browsern deiner Kollegen und dem OWA-Server befindet. BTW Browser. Welche Browser verwenden sie bei Daimler? Können Sie auf andere Webseiten zufgreifen, die eine Anmeldung benötigen (z.B. MS Passport oder so) Ansonsten, hast du überprüft, was du lokal als Verzeichnisssicherheit eingestellt hast? (Klartext/Basicanmeldung), wenn auf der anderen Seite kein IE-Browser ist.... Nochmals zu der Firewall, es gibt verschiedenste Möglichkeiten den HTTP-Proxy auf der Firewall (falls auf der Firewall) anzupassen, gewisse Datenströme sperren, filtern, usw. Da kann man sich gut austoben... Gruß Dejan Hoffe, ich habe dir ein paar Anhaltspunkte zum Nachhaken gegeben...

Hi JMU, ich gehe jetzt mal frech davon aus, dass du bis auf den Windows 2003 Server keine weiteren Domänenmitglieder hast (unabhängig davon ob Server oder Workstation) ;) Wie ich es sehe hast du die lokale Sicherheitsrichtlinie des Servers angepasst, aber nicht die "Default Domain Policy". Das bedeutet, das deine Einstellungen nicht zu deinen Domänenmitgliedern durchschlagen werden, sofern du noch welche dazubekommst... Domänenweite Kontorichtlinien müssen in der GPO "Default Domain Policy" direkt in der Domäneneinstellung deine Domäne angepasst werden, damit sie Domänenweit greifen (puhh, das sind viele Domänen) Gruß Dejan

Genau, und vorher fährst du deinen Server in den abgesicherten Modus(F8 beim booten) und stellst mittels "ntdsutil: authoritative restore" (DS-Wiederherstellungsmodus) ein, ob das Restore der AD repliziert werden soll in deiner Restdomäne (falls noch vorhanden), oder eben nicht, falls es sich nur um einen Restore eines DC handelt, der anschliessend die aktuellen AD-Daten übernehmen soll. Gruß Dejan

hmmm, wenn du mich so fragst, halte ich es für ein Überbleibsel einer "Unattended Installation". Das UniqueID (wenn wir überhaupt von der gleichen UniqueID sprechen) wird benutzt, wenn du mittels sysprep/sysdiff Installationen vorbereitest, die nach dem Initial-Install individualisiert werden müssen. Diese Werte werden genau in diesem Schlüssel (hkey...) hinterlegt, damit das Minisetup weiss, welche Daten zu nehmen sind. Das UniqueID wird dabei als Indikator/Index verwendet. Ich denke nicht, dass es für den laufenden Betrieb wichtig ist, erst, wenn du ein Upgrade oder update machst über das laufende System kommt es wieder ins Spiel, und da wird es wohl neu gesetzt... Gruß Dejan

Hi jmu, wenn du Domänenebene meinst, sprichst du davon, die Änderungen in der DefaultDomain-GPO ausgeführt zu haben? Oder bei der Domänencontroller OU? Gruß Dejan

Hi Maik, du hast sicher mal den PDC FSMO bewegt? Anyway, es handelt sich hier um ein Bug, der entstehen kann, wenn man einen PDC FSMO von einem DC zum anderen DC bewegt, wenn man in eine "Mixed Mode" Domäne ist. Du musst ein bisserl Hand anlegen, um das Problem zu lösen, dazu verweise ich dich mal auf den passenden MS-Artikel, weil da stehts gaaanz genau drin, was zu machen ist... ;) http://support.microsoft.com/default.aspx?scid=kb;EN-US;269417 Gruß Dejan

Hi, bevor ich das in meinen Worten fasse, werf einen Blick auf die MSKB http://support.microsoft.com/?kbid=242066 Da steht gut beschrieben, wozu es ist, und was man damit machen kann. Gruß :) Dejan

Hi, du hast aber nicht viele Möglichkeiten eine Applikation, welche direkt auf der ISA installiert wird, dazu zu bringen, selber im Internet zu agieren. Die ISA sperrt (was defaultmäßig auch sein sollte) mittels den Packetfilter alles Traffic ins Internet. Sie selber hat ein paar Standardfilter aktiv (werf mal einen Blick unter den Packetfilter), die sie selber benötigt, um z.B. DNS Auflösung zu machen. Es ist das gleiche, was du benötigst, um einer Applikation deiner Wahl, wenn du die Ports hast, den Weg nauch außen zu öffnen. Das bedeutet in dem Fall nicht, dass andere Apllikationen hinter der ISA raus dürfen, die benötigen, neben dem Filter, auch eine Regel, wenn sie nicht gerade über den Proxy erschlagen werden können.... Aber für die ISA selber zählt, dass dann eigentlich alle Applikationen diesen Filter verwenden können. Sicher mit ein Grund, dass MS nicht empfiehlt, wahllos Service auf die ISA zu installieren, wenn es nicht anders geht. Wir hatten mal einen Kunden, der hatte auf seiner Firewall direkt SAP-Router (Proxy von SAP) installiert; finde ich persönlich "weird", naja, muss er wissen... Du hast natürlichmehr Glück, wenn dein Tool für solche Zwecke konzipiert ist, und entsprechende Vorrichtungen hat; in dem Fall meine ich eine Proxykonfigurationsoption, das ist in meinen Augen die elegantere Lösung. Sollte das GFI nicht haben? Gruß Dejan

Sag mal, warum musst du, der scheinbar nicht zu den Netzadmins gehört, nachweisen, dass das Netz langsam ist? Arbeitest du irgendwo im öffentl. Dienst ;) hmm, wenn das Netz geswitched ist, und du hast keinen Zugriff auf die Switche (physikalisch/logisch), dann wird es etwas eng mit der Gewinnung der Zahlen. Du kannst höchstens mal deinen eigenen Traffic "mitzählen" lassen, und das ganze auf das Netzwerk hochrechnen (und das ist nicht genau, es surfen sicher nicht alle zu den gleichen Seiten, oder haben nicht alle PP-Päsentationen im dutzend MB Bereich im Emailattachment...) Keine Chance, mal deine Netzadmins darauf anzusetzen? Vor allem, warum sollten sie deinen Zahlen glauben...kennst es ja, traue keiner Statistik....blabla :D Gruß Dejan

...noch ein Gedanke: Wenn pauschal alles langsam läuft, und wenn das ganze von heute auf morgen aufgetaucht ist, dann solltest du dir dringend deinen Switch/Router deines Segmentierers anschauen. Wäre nicht das erste mal, dass die zentrale Netzeinheit (hier wohl ein Switch/Hub) plötzlich den Geist aufgibt, und nur halbwegs arbeitet, vor allem, wenn es irgendwelche Medienübergänge dabei zu überwinden gibt (Switch an Glasfaser, um z.B. ein Segment mit einem anderenzu verbinden) Gruß Dejan

:shock: WOW :shock: ihr habt 50 Rechner und macht damit ein 100MBit Netz platt!! Ich bin schwer begeistert, wir haben seit Adam und Eva Netzmessungen (mit MRTG direkt auf Cisco und 3COM) in unserem 100MB/1GB-Netz für jeden Rechner und Server bei uns im Netz laufen (ca 60 Server und ca 500 Rechner in mehreren Segmenten) , und haben durchschnittliche Übertragunsraten von 200-300kb/s pro Rechner und einige, meistens deutlich unter 10MB/s liegende Werte für Server über die die Geschätszeit (07:00 - 17:00). (Backups treiben das ganze nachts weit in die höhe, ich sag nur Linespeed..., aber das zählt nicht). Also ein 100MBit Netz in die Knie zu bringen, oder einen halbwegs aktuellen Server, da gehört schon einige Arbeit... Ich würde trotzdem mit einem Sniffer rangehen(z.B. auf dem Arm mit dem Server mal nen Probe einrichten ) und z.B. mit Ethereal (freeware) anschauen, ob wirklich was im Netz abgeht... Ansonsten empfehle ich MRTG und ab auf die Switche damit, weil es kein Tool gibt, was eine "Netzauslastung", was auch immer das heissen mag, für ein komplettes Segment messen kann, ohne Agenten, vor allen, wenn es sich um ein geswitchtes Netz handelt. (was die meisten heutzutage sind) Gruß Dejan

Hi FireBall, nachdem es deine ISA ist, musst du die selber wissen, ob das gut ist oder nicht, also erzähl mal, was genau benötigst du an Diensten, die du direkt von der ISA aus machen willst? Rein technisch kannst du z.B. sofort vom Desktop aus lossurfen (zumindest mit dem IE), wenn du auch auf der ISA die Proxyeinstellungen verwendest, die du auch auf deinen Clients konfiguriert hast. Du musst aber auf dem internen NIC:8080 aufschlagen, damit es geht. Abhängig davon, ob der Benutzer, mit dem du auf der ISA angemeldet bist, in den entsprechenden Gruppen ist, die Proxy verwenden dürfen, sollte es sofort greifen, ansonsten kommt eine Authentizitätsabfrage (Domänenanmeldung auf hochdeutsch) hoch. Meistens ist der Domänenanmid nicht in der betreffenden Gruppe... Falls du andere Dienste benötigst, musst du das genauso handhaben, wie einen normalen Zugriff aus dem internen Netz (siehe dazu Publishing, Paketfilter, etc...) Gruß Dejan

Hi Stevie sowohl, als auch... also ich mag es, mein Wissen durch Prüfungen zu untermauern, btw, hier in Deutschland zählt IMHO das Wissen nicht sp viel, wenn du es nicht durch ein paar Scheinchen unterlegen kannst...wer soll den sonst dir einen Wissensstand in einem Bereich zugestehen, der für viele Leute an Alchemie grenzt :-) Gruß Dejan

toi, toi, toi für die 70-216 gruß Dejan

hi, nachdem die 219/220/221 Designfragen sind, bin ich mal gespannt, ob man deine Fragen bis Donnerstag klären kann. :-) OK, schiess los... Dejan

Hallo Leute, ich habe erfahren, dass das Seminar MOC-2297 Planning, Implementing, Managing and Maintaining a Microsoft Windows Server 2003 Environment for an MCSE Certified on Windows 2000 von Microsoft http://www.microsoft.com/traincert/SYLLABI/2297afinal.asp freigegeben wurde. Dieses Seminar dient als Upgradeseminar für den MCSE 2000 auf den MCSE 2003 für die Prüfungen 70-292 und 70-296. Im Raum Nürnberg wird es in der KW10 (01.03.2004 - 05.03.2004) bei entsprechenden MS-Testcenter abgehalten (Sprache Deutsch/Doku wahrs. engl.) Es ist ein 5-Tage-Kurs und kostet nat. was. (Preise und Anbieter könnt ihr aus den MS-MCP Angeboten rausholen, ich möchte hier keine Namen nennen, da ich nicht direkt Werbung veranstalten will, oder das jemand denkt, ich will mir ne Provision unter dem Nagel reißen!!! Ich will bloß den Kurs haben und zahle auch den normalen Preis) Jetzt komme ich zum Problem an der Sache, wenn sich nicht genug Leute zusammenfinden (mind. 3 Personen), ihr kennt es ja, dann platzt der Kurs, und der nächste ist irgendwann im Juni....... Also hop, welcher Franke will den MCSE 2003 machen? Bei Interesse bitte eine PN an mich, so dass wir auch alle zum gleichen Veranstalter gehen, net dass wir auf mehreren Feiern aufschlagen und keine findet statt... :D Gruß Dejan

Sorry für mein "Hive", Faramir hat natürlich recht, ich sollte nicht so mit Fremdwörtern um mich werfen :-) Dejan

na wenn du es schaffst, eine verschlüsselte Datei mit Knoppix zu entschlüsseln, dann hast du eine Goldgrube entdeckt, auf die wir noch nicht gestossen sind :-) ..und auch nicht Microsoft Dejan

Hi Stevie123 auch von mir einen herzlichen Glückwunsch Dejan

na die Community... Das ist kein Fehler sondern Absicht, solange der erste eingetragene DNS antwortet, wird kein Client den zweiten befragen, also kannst du nicht zwei DNS Server mit verschiedenen Aufgaben (hier deine Domäne und das Internet) damit befragen. Erst wenn der erste keine Antwort gibt (und hier ist nicht ein Auflösungsfehler gemeint, sondern ein totales Versagen des DNS-Dienstes), wird der zweite befragt. Zwickmühle, was? Ok, damit kommen die zwei Lösungsansätze wieder vor: Öffne deine DNS-MMC und gehe mit der rechten Maustaste auf deinen Server (192.168.0.199 oder den Namen) -> Eigenschaften Schau dir die Reiter "Hinweise auf das Stammverzeichnis" und "Weiterleitung" an. Da sind die Einstellungen für Root-Server (lassen wir mal weg jetzt) und Forwarder. Öffne "Weiterleitungen", und füge im unteren Feld die IP-Adresse deines externen DNS-Servers (194.25.2.129) oder deines Routers ein, wenn da DNS-Proxy aktiviert ist. Du hast jetzt deinen DNS-Server angewiesen, dass er Anfragen für Domänen, für die er nicht zuständig ist (und das ist er so ziehmlich für keine, ausser deiner eigenen Domäne), an die folgende IP-Adresse weiterleitet... Sag bescheid, ob es greift Dejan

Du kannst bei http://www.sysinternals.com den Filer downloaden und mal laufen lassen, damit kannst du rausfinden, wo dein Programm Daten ablegt/liest. Damit solltest du in der Lage sein ein Profil anzulegen, aus dem du sehen kannst, wo welche Daten bewegt/erstellt/manipuliert werden. Un dann entsprechend anpassen, wenn es sinnvoll ist. Ansonsten kannst du immer noch probieren "CompatWS.INF" in deine lokale Sicherheitsrichtlinie zu importieren... Gruß Dejan

klar geht das, mein Kollege (Windows und Netzwerk seit 1998) hat 2001 einen 28 Tage Kurs belegt (Schwerpunkt Migration NT auf W2000), und dann in 4 Tagen die 7 Prüfungen "MCSE 2000" abgelegt (1 davon musste er wiederholen, nun raten mal, genau die 70-216 :-)... Alles ist möglich Dejan