Tbread

Hallo Cracks,

beim Durchforsten der Security Eventlogs auf einem unserer Server bin ich auf einen merkwürdigen Eintrag gestoßen:

Source: Security

Category: Object Access

Type: Success Audit

Event ID: 560

Object Open:

Object Server: Security

Object Type: Key

Object Name: \Registry\Machine\System\ControlSet001\Services\Eventlog\Security

Handle ID: 788

Operation ID: {0,3872451814}

Image File Name: C:\Windows\System32\mmc.exe

Das Merkwürdige daran ist, daß der Eintrag bzw. die Aktion durch die MMC gemacht wurde und nicht vom svchost, wie alle anderen Änderungen.

Meine Frage ist, welche Änderungen können im Bereich des Security Logs durchgeführt werden, bzw. überhaupt durchgeführt werden, die im Security Log einen solchen Eintag nach sich ziehen?

Für eure Unterstützung bedanke ich mich schon vorab.

Grüße Tbread

Hallo,

mir geht es wirklich weniger um die offline Defragmentierung der NTDS.dit, sondern viel mehr um die Partition, auf der sie liegt. Können Probleme mit der Datenbank oder gar mit dem Sysvol Share auftreten, wenn im online Zustand die Partition defragmentiert wird?

Grüße Tbread

Hallo Kollegen,

ich hoffe, ich bin hier im richtigen Board. Ich habe mal ´ne Frage. Ich habe einen Forrest (alle DC´s sind W2K3 SP2) mit mehreren Childdomains. Die DC´s sind so konfiguriert, daß Sysvol und Netlogon mit auf der C:\ Partition liegen. Jetzt habe ich festgestellt, daß die C:\ Partition zu ca. 33% fragmentiert ist und möchte sie defragmentieren. Meine Frage, kann es zu Problemen (gerade mit dem Sysvol oder ntds.dit) kommen, wenn ich die Partition defragmentiere? Ich gabe mir schon die Finger wundgegoogelt und nichts gefunden. Vielleicht hat ja hier jemd. damit Erfahrungen und kann mir sagen, wie hoch das Risiko ist.

Grüße Tbread

Danke für den Hinweis, das haben wir auch schon versucht. Wir konnten das Problem dahingehend lösen:

1. Auf der gesamten C:\root haben wir everyone mit Fullcontrol berechtigt. Dadurch sind die Dienste wieder gestartet - insbes. der RPC Dienst.

2. Aus dem Backup einen Restore des C:\ LW auf ein dedizierten System.

3. Mit sem Security Explorer einen Dump der Berechtigung gezogen, vor der Änderung der Gruppenzugehörigkeit.

4. Diesen Berechtigungsdump auf das Zielsystem eingespielt.

Zum Glück läuft der Server wieder, ohne Datenverlust.

Grüße Tbread

Hallo,

ich habe folgendes Problem: Auf einem Fileserver, der auch ein domänenintegriertes DFS hält, wurden aus der lokalen Gruppe der Users die Authentifizierten User und die Domänen User entfernt. Nach einem Reboot starten weder der Server Service noch der RPC Service mit der Meldung Zugriff verweigert. Alle Versuche, die lokale Gruppe der Users zu editieren schlagen fehl, weil immer der RPC Dienst verlangt wird. Ich habe auch bereits Tool wie ERD Commander oder O&O Tools versucht, leider ohne Erfolg. Ist noch jemandem ein Tool bekannt, mit dem ich diese Gruppe bearbeiten kann?

Für eure schnelle Hilfe danke ich euch. Die Kiste muß morgen früh wieder on sein und ich kann mich nicht mit dem Gedanken anfreunden, sie neu aufzusetzen.

Grüße Tbread

Hallo,

Sind irgend jemandem Probleme bekannt, die in der Kombination W2K SP3, (Ich weiß daß das überholt ist, aber mein Auftraggeber ist sehr ängstlich, was Neuerungen betrifft) Office 2003 und ILS auftreten können?

Ich habe auch das Problem, daß ich eine Unattendet Installation W2K3 erstellt habe und aus einem mir nicht erklärlichen Grund der Tasksheduler nicht mit installiert ist. Weiß jemand einen Weg, diesen nachzuziehen?

Grüße Tbread

Ich schliesse mich der Frage an, auch wenn der Beitrag bereits etwas älter ist. Ich habe auch das Problem, daß ich eine Unattendet Installation W2K3 erstellt habe und aus einem mir nicht erklärlichen Grund der Tasksheduler nicht mit installiert ist. Weiß jemand einen Weg, diesen nachzuziehen?

Grüße Tbread

... Das habe ich auch zunächst gedacht, aber in diesem Fall traf das nicht zu.

Was kann den noch dazu führen, daß das KDC keine Keys mehr vegibt?

Hallo, vor kurzem habe ich auf einem von 3 DC´s folgenden Eintrag im Systemlog erhalten:

The Security Account Manager failed a KDC request in an unexpected way. The error is in the data field. The account name was <USER> and lookup type 0x8.

Diese Meldung erschien (in Anbetracht von ca. 4000 Usern) mehrere 100 Mal. Es konnten auch die User, die auf diesem DC registriert sind, sich nicht anmelden.

Meine Frage, was kan die Ursache dafür sein, daß das KDC keine Keys mhr verteilt?

Habit Ihr vielleicht irgend eine Idee?