hekmek

Hallo schmchris, danke für den Hinweis, diesen Eintrag haben wir bereits gesetzt. Desweitern haben wir diesen gesetzt (habe es bereits zu einer adm-Vorlage gemacht): CATEGORY "System" POLICY "SMB Cache Level" KEYNAME "SYSTEM\CurrentControlSet\Services\MrxSmb\Parameters" PART "Select caching level" DROPDOWNLIST VALUENAME "InfoCacheLevel" NOSORT ITEMLIST NAME "cache 8.3 only (default)" VALUE NUMERIC 1 DEFAULT NAME "no caching" VALUE NUMERIC 0 NAME "cache all" VALUE NUMERIC 16 END ITEMLIST END PART PART "This policy set the MrxSMB caching level. Per default this value is not set" TEXT END PART PART "which means the client will cache 8.3 files only." TEXT END PART PART "Set the value to cache all to improve performance when accessing network ressources." TEXT END PART PART "Since this is not an offical policy setting, remove filter in group policy editor." TEXT END PART END POLICY END CATEGORY Dieser Eintrag setzt den Cache von "nur 8.3 Namen" (Standard) auf cache all. Dadurch werden die Clientzugriffe halbiert. Ich denke das hilft schon einiges, es ist auch tatsächlich eine Beschleunigung zu sehen. Das Problem ist nur man weiß nicht wo da die Grenzen sind, es bleibt uns wohl nichts übrig als nach und nach die Shares zu migrieren und beim nächsten Auftreten eines Problems die Funktion abzuschalten. Grüße Hekmek

Hi Schmchris, also meine Erfahrungungen sind leider von massiven Problemen gekennzeichnet. Wir sind selbst dabei unser Novell Cluster auf ein Windows Cluster zu migrieren und haben bereits mit den Homeverzeichnissen große Probleme (800GB). Da wir aus technischen/historichen Gründen auf oberster Ebene mappen haben (\\Server\Home\) bekommt der Anwender ja nur sein Home zu sehen wegen der Berechtigungen. Wir haben ca. 2500 Vezeichnisse in dieser Ebene und unserer Server (neueste Technik) war mit 100 % Auslastung nicht mehr wirklich ansprechbar. Wir mussten das mapping dann Ändern (\\Server\Home\%username%). Gespräche u.a. mit MS haben das bestätigt. das wäre "by design" so. Das Problem scheint wohl zu sein, dass diese Funktion nur ein "Ansichtsfilter" ist und sehr prozessorlastig, wird wohl auch rekursiv funktionieren. Wir bekommen leider auch keine genaueren Infos. Im Moment wissen wir auch nicht so recht weiter, wir haben ein paar Regkeys geändert, die das Clientverhalten beeinflussen um die Last zu verringern, stochern hier aber auch nur im Nebel. Da wir eine Recht große Umgebung mit extrem vielen Verzeichnissen haben (4 TB) würd ich mich über jeden Tipp freuen. Grüße Hekmek

Hi, die gibt's nicht mehr. Standardmäßig ist der Modus nun auf immer auf ermitteln. Find ich auch ausgesprochen unglücklich diese Änderung. Wenn man jetzt einige Patches/Updates zurückhalten will, wie z.B. die Installation vom IE7, hat mein bei den Reports immer ein falsches Bild, da diese auch als erforderlich angesehen werden. Grüße Hekmek

@necron Germany Stand alone upstream server->China downstream server->Subsite China replica server von China @carlito Das habe ich bereits ausprobiert. Wenn ich es richtig verstanden habe, muss man diese Konfigurationsdatei auf dem upstream server so editieren, dass man alle anderen WSUS Server einträgt, die mit diesen synchronisieren sollen. Das funktioniert aber überhaupt nicht. Ich kann trotzdem downstream server, die von diesem ziehen hinzufügen, ohne sie vorher in die Authentifizierungsliste aufgenommen zu haben.

achso, ich habe vergessen zu erwähnen, das es sich um WSUS 3.0 handelt. Grüße Hekmek

Hallo allerseits, ich habe ein Problem bei der Konfiguration der WSUS Server untereinander. Folgende Situation: Windows 2003 DC's mit mehreren inte´rn. Standorten. Auf den DC's läuft je ein WSUS in jedem Standort. Da ich einige Subsites habe z.B. in China möchte ich folgende Kette bilden, der Zentrale WSUS Server steht hier in Deutschland, ein downstream server in China und es soll für die Subsite in China wiederum ein Replica server zum downstream server etabliert werden. Der Gedanke ist, dass ich ja die gleichen Updates und Spracheinstellungen dort habe und ich die Verwaltung vereinfachen will. Ich bekomme aber eine Fehlermeldung, wenn ich den Replica server einrichte: "The upstream server does not allow an anonymous downstream server to synchronize. This particular server has not been registred on this upstream server, or the upstream server Web service needs authentication" Ich hoffe ich habe es einigermaßen verständlich erklärt, ich hab schon einiges ausprobiert und gegooglet aber nicht gefunden. Grüße Hekmek

Hallo, ich glaube das ist etwas missverständlich rübergekommen: W2K - DNS Suchliste per Script XP - Kann man per Policy machen Wir nutzten das bei uns auch so, bau dir einfach ein Script und erstelle ein neues GPO mit einem Computer Start Script z.B: SET WSHShell = CreateObject("WScript.Shell") WSHShell.RegWrite "HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList", "domain1.com,sub1.domain.com,sub2.domain.com", "REG_SZ" Die Liste wird nacheinander abgearbeitet, ich glaube aber das es eine Beschränkung gibt (max 256 Zeichen?). Grüße Hekmek

Hallo, ich kann sonst das Tool runasspc empfehlen, haben wir auch im Einsatz, kostet fast nichts ist aber wesentlich sicherer, da das Passwort verschlüsselt wird. Die Variante mit dem Schalter /savecred bei runas hat ja eine bekannte Sicherheitslücke. Schaust dir mal an, vielleicht ist es ja was für dich: Runas Password Grüße Hekmek

Habs selber rausgefunden, falls es jemanden interessiert, es gibt da einige Änderungen seit SP4 fürW2K und Windows 2003, wird ganz gut in diesem Artikel beschrieben: MS KB817433 Grüße Hekmek

Hallo, Windows 2003 Domäne im native mode mit verschiedenen Standorten: Habe eine OU, in der ich einige Userkonten verschiebe. Wenn ich das doch richtig verstehe, müssten doch die Berechtigungen der OU auf das Userobject vererbt werden, wenn ich ein Konto in diese OU verschiebe. Das funktioniert auch aber nicht bei allen. Wenn ich dannn die Berechtigung des Userkontos wieder auf Standard setzte, wird auch der Haken für die Vererbung gesetzt und alles passt. Bei der nächsten Replikation aller Standorte werden diese Berechtigungen aber wieder zurückgesezt. Hat irgend jemand einen Tip für mich? Ich probier hier schon seit Stunden, will aber nicht funktionieren :-( Grüße Hekmek

Hallo lefg, die DC's in China sind natürlich von den lokalen DC's erreichbar, sonst würde die Replikation nicht funktionieren. Wenn ich net time \\lokaler DC eingebe bekomme ich auch eine Antwort, NetBios Einstellungen stehen auf Standard. Wenn ich allerdings nur net time auf einem Client im lokalen Netz eingebe meldet sich immer ein DC aus China. Die Zeitsynchronisation funktioniert aber sonst lt. w32tm korrekt.

Hallo Blub, vielen Dank für deine Antwort. Ich benutze bereits das Tool w32tm zur Überprüfung, mir ging es nur darum zu verstehen, wie das Gaze funktioniert. Wir haben in einer separaten Umgebung aus Kompatibilitätagründen noch einige Windows NT Clients laufen, die sollen per net time ihre Zeit synchronisieren, was mich aber wie gesagt wundert ist, dass sich ein anderer Standort, in diesem Fall China, meldet und nicht die lokalen DC's im eigenen Standort. Grüße Hekmek

Hallo zusammen, folgende Situation: Windows 2003 SP1 Domäne im native mode mit verschiedenen Standorten/DC's. Zeitdienst ist sauber und funktioniert auch (Domänenhierarchie) aber wenn ich am lokalen Standort "net time" eingebe, erhalte ich eine Rückmeldung von einem DC, von einem weit entfernten Standort. Ich hab schon überall gesucht aber nichts gefunden was mir weiterhilft. Ich hätte gedacht, dass der PDC-Emulator antwortet oder wenigstens der DC in meinem Standort, das funktioniert aber nicht. Kann man da was konfigurieren? Hat jemand vielleciht ein Tipp? Grüße Hekmek

Hi, ich weiß nicht so recht ob ich alles richtig verstanden habe aber folgendes kann ich anmerken: Wenn die DNS-Auflösung beidseitig funktioniert richtest du auf der einen Seite die Vertrauensstellung ein. Dazu benutzt du ein Kennwort, was du frei wählen kannst. Mit dem selbem Kennwort richtest du dann die Vertrauensstellung auf der anderen Seite ein. Für eine Vertrauensstellung wird praktisch eine Brücke zu beiden Domänen über ein nicht "sichtbares" Benutzerkonto eingerichtet, heisst glaube ich wie die Domäne und kann im LDAP nachgeschaut werden. Wenn ich dich richtig verstehe hast du immer das jeweilige Adminpasswort benutzt, dass funktioniert natürlich nicht. Grüße Hekmek

Oder du installiertst dir die PSTools von Sysinternals (super tools), mit "psinfo" kannst du dir unter anderem auch remote die installierten Patches und deren Installationsdatum schön ordentlich sortiert anschauen. Grüße Hekmek

Habt ihr das SID Filtering abgeschaltet?

Schau mal hier, wurde schon des öfteren Thematisiert: http://www.mcseboard.de/showthread.php?t=88478 Grüße hekmek

Hi, soweit ich weis müssen die Domänen auf den 2003er Modus hochgestuft werden. Ich meine auch, dass eine Fehlermeldung kommt wenn du das versuchst, da vorher eine Prüfung stattfindet und wenn nicht alle domänen den Windows 2003 level haben. Das ist auch so gewollt, weil der Modus ja auch letztendlich bestimmt, das erweiterte Features freigeschaltet werden, die ja eine darunterligende Version garnicht kennen kann. Grüße Hekmek

Hallo, wird der last logon timestamp eines computer objekts, das Mitglied einer Domäne ist, aktualisiert wenn sich keiner an der Domäne anmeldet sondern nur lokal? Wird das Attribut bei jedem Rechnerstart aktualisiert? Vielen Dank schon mal im voraus. Gruß Hekmek

Ich kenne nur unter den Internetoptionen/Sicherheit /Lokales Intranet/Stufe anpassen Benutzerauthentifizierung. Dort kann mann sowas einstellen. Wenn es das ist was du suchst kannst du diese Einstellungen für die Gruppenrichtlinien über "Benutzerkonfiguration/Internet Explorer Wartung" einstellen. Da werden ja alle Einstellungen praktisch importiert. Grüße Hekmek

Hi, die einfachste und beste Methode die ich kenne ist das Tool Oldcmp.exe. Das generiert dir sogar ein HTML file, schaust dir mal an: http://www.joeware.net/win/free/index.htm Grüße hekmek

Also wir haben einfach den Dienst deaktiviert. Der Benutzer erhölt dann eine Fehlermeldung, wenn er was an den Einstellungen ändern will. Grüße Hekmek

Mit Bordmitteln: dsget user "cn des Users" -sid oder mit dem LDAP-viewer ldp (resource kit 2003), dort kann man auch die SID-History sehen, falls vorhanden. Grüße hekmek

Hallo, Auf unseren DC's haben wir täglich mehrere Fehlermeldung Event Source: 5723 und 5807: "The session setup from the computer xxxxx failed to authenticate. The following error occurred: Access is denied. " und "The session setup from computer 'D156626' failed because the security database does not contain a trust account 'D156626$' referenced by the specified computer. " Das einzige was ich gefunde habe ist, dass man den betroffenen Rechner neu in die Domäne stellen soll aber mich würde interresieren, warum das passiert. Unsere ADS Struktur: Windows 2003 native Clients überwiegend XP SP2 Mehrere Standorte. Die Rechner werden über eine die aut. Softwareverteilung(CCM) in die Domäne gestellt, benutzer Account hat Konto-Verwaltungsrechte und von einigen HelpDesk Mitarbeitern, die nur das Recht haben Rechner in die Domäne zu stellen. Ich hoffe ihr könnt mir weiterhelfen. Grüße Hekmek

Wir haben einen Select Vertrag und da ist der Preis für die R2 Version auch nur unwesentlich höher (ca. 40 € oder so).