dippas

Hallo santjordi, das regelst Du ober Gruppenrichtlinien auf OU-Ebene. Richte eine GPO auf der OU ein, wo die normalen User drin sind. Die benötigten Einstellungen findest Du unter "Benutzerkonfiguration/Windows-Einstellungen/Internet-Explorer Wartung/Verbindung/Proxyeinstellungen" Die User, die nicht diese Einstellungen bekommen sollen, werden einfach in eine andere OU gepackt. Grüße dippas

hmmm .... Nicht das an der Vererbung der Gruppenrichtlinie gespielt wurde? Überprüfe doch sicherheitshalber mal die Eigenschaften der Gruppenrichtlinie in Bezug auf Vorrang, Vererbung etc. Langsam macht es mich ein wenig stutzig, was Du so beschreibst. Vielleicht ist es ja auch ein Versuch, die Gruppenrichtlinie NEU und dann "exklusiv" (also nur mit der Einstellung Ordnerumleitung) anzulegen. Eine weitere Idee wäre vielleicht folgendes: Lege mal einen Ordner auf dem Server an und gebe diesen frei (Domänen-benutzer "Vollzugriff", Freigabename bitte OHNE Leerzeichen). Dann gibst Du in der Gruppenrichlinie den Freigabepfad \\servername\freigabename in dieser Form an und nicht \\serverneu\userdata\%username%\Eigene Dateien Ich glaube mich erinnern zu können, dass ich ein solches Problem mal über diesen Weg lösen konnte. grüße dippas

Auch ein Jäger und Sammler :D :D freue mich auf testergebnisse ;) grüße dippas

Das ist keine Portangabe, sondern eine Fehlerangabe: 554 Transaction failed Schau mal in RFC 1893/2034 Andere Fehler in der Fehlermeldung: 500 Syntax error, command unrecognised 550 Requested action not taken: mailbox unavailable Die Sache mit der Vermutung es sein ein Spamfilter: ACK, die Barracuda ist ein Spamfilter ;) @jojo Zum Exchange und den öffentlichen IPs: habt ihr nen Reverse-MX-Eintrag? Warum hat der Exchange 2 öffentliche IPs? Insgesamt sieht es aber tatsächlich so aus, als würde eure IP von der Barracuda blockiert werden. Das kann mehrere Gründe haben: 1. offenes Relay, prüfbar unter http://www.ordb.org/ 2. ihr seit auf ner RBL. Prüf doch mal bei http://www.spamhaus.org/ eure IP Kannst Du vielleicht mit den Amys telefonieren? Mailen vom Freemailer geht sicherlich auch. Es geht darum, bei denen anzufragen, ob ihr auf deren Whitelist kommen könnt. grüße dippas

Nach Deiner Darstellung liegt es nicht am Rechner, sondern an der Netzwerkkarte des Rechners ;) Sorry für die Haarspalterei ;) Leider ist es ja nicht möglich die Netzwerkkarte eines Notebooks zu Testzwecken zu tauschen. Alternativ kann man zwar eine PCMCIA-Netzwerkkarte ins Notebook einbauen, aber wer hat die schon bei sich im Lager liegen Alle anderen Dinge sind ja soweit getestet und die Testergebnisse lassen ja nur noch den oben genannten Schluss zu :( Wenn Du dann noch mit der Konfiguration auf Gerätebene gespielt hast und auch da keine Besserung in Sicht ist .... sorry, no chance :( Warum das Ding allerdings so langsam ist, kann unterschiedliche Gründe haben, auf die Du keinen Einfluß hast. Denn die Bausteine der Netzwerkkarte kannst Du ja nicht austauschen und Einfluß auf das was da seitens des Herstellers verbaut wird, haben wir kleinen Lichter ja auch nicht. Teste noch einmal netio um auch wirklich auszuschließen, dass es sich nicht um einen Anzeigefehler handelt. Aber ich denke, Du wirst dasselbe Ergebnis erhalten. Vielleicht (aber nur vielleicht) hilft ein Treiberupdate der Netzwerkkarte. grüße dippas

Hallo jojo, erzähl mal was über eure Internetanbindung und weiteren Konfiguration. Ich frage, weil es Spamfilter gibt, die grundsätzlich keine Mails von dynamisch zugeordneten IPs entgegennehmen. grüße dippas

hehe, in solchen Fällen schaue ich immer in die Unterlage "Fortbildung für Netzwerkadministration", wo der Teacher dem Publikum einschärft "Und jetzt alle: Das Problem ist bekannt, wir arbeiten dran! ... Das Problem ist bekannt, wir arbeiten dran! ... Das Problem ist bekannt, wir arbeiten dran! ... " Viel Erfolg beim testen. grüße dippas

Obschon ich ausserhalb des Cyberspace "Marco" genannte werde und das auch in meinem Perso steht, glaube ich zwar nicht gemeint zu sein, versuche aber trotzdem zu antworten ;) Wenn ich mich jetzt richtig erinnere, macht unter normalen Umständen der Client den Eintrag in der Forward-Zone und der DHCP den in der Reversen (Standart). @stupsnose Um das Problem ein wenig näher eingrenzen und andere Dinge ausschließen zu können bitte ich Dich mal um detaillierte Infos. Als erstes interessiert mich, was Du mit dieser Idee von mir angefangen hast: Desweiteren interessiert mich, was auf dem DNS so konfiguriert ist, bezogen auf Zonentyp etc. Je mehr Infos bei den Optionen, desto besser ist es nachvollziehbar. Ach ja: Stimmt, spätestens nach einem Reboot am anderen Tag sollte der Client alle Einstellungen zu bekommen, wie Du sie via DHCP vorgibst. ipconfig/release bzw. ipconfig/renew an der Konsole ausgeführt erledigen das aber auch ohne reboot. Da fällt mir gerade ein: hattest du zu ipconfig /registerdns schon was gesagt? Hatte ich auch mal gepostet. grüße dippas

Hallo Knopf, herzlich willkommen an Board. Danke zunächst mal zurück für die ausführlich geposteten Infos. Das von Dir beschriebene ist "richtig" im Sinne von "kein bug sondern wirklich feature" ;) Um dem Exchange jetzt zu verklickern, dass Meier-A = Meier-B ist würde ich zu einem kleinen "Trick" greifen, denn auf der Postfachebene von Meier-A ist das so nicht wirklich einstellbar, weil Exchange ja nur 1 NT-Konto zulässt. Aber: Wenn Meier-A dem Meier-B das Recht gibt, sein Postfach zu bearbeiten und Meier-B ein eigenes (Dummy-) Postfach hat, aber im Outlook das Postfach Meier-A zusätzlich eingebunden ist, kann Meier-B auf Mails von Meier-A zugreifen. Je nach Rechtekonfiguration kann Meier-B auch als Meier-A versenden ;) Allerdings sei schon die Frage erlaubt, warum sich Meier-A am Standort von Meier-B nicht als Meier-A anmeldet, wo die Domänen sich doch vertrauen? Grüße dippas

Die GPO ist aber schon an der richtigen Stelle eingesetzt? Will meinen, dass die User auch diese GPO bekommen? Es gibt auch keine Überschneidungen mit anderen Einstellungen? Und die Rechte auf dem Serververzeichnis sind auch entsprechend gesetzt? grüße dippas

ja :D Natürlich muß Outlook entsprechend konfiguriert sein ;) grüße dippas

Hier geht´s ja nich um Kunst ;) Spass beiseite: Natürlich sollst Du nicht das teuerste kaufen, sondern das, was zu Deinen Anforderungen passt! Ob die APC oder Mustek oder Meier-Müller-Schulze passt, ist für niemanden anhand einer Preisangabe zu beurteilen. Leistungsangaben bzw. Typenbezeichnungen wären da schon hilfreicher. Ansonsten geht es ja darum Dir Infos an die Hand zu geben, um selbst beurteilen zu können, wie sich die eine oder andere Option in Deinem Falle lohnt. Und ob es nur 5 Clients und 2 Server sind ist dabei völlig wurscht. Die Frage "Wie wichtig ist Ihnen eine saubere Lösung ohne Datenverlust?" ist viel bedeutender! Ich möchte Dir ein kleines Beispiel bringen: Durch einen Stromausfall und seinerzeit falsch ausgewählter USV zerlegte ein Server mal 2 Festplatten, weil die USV aus falscher Sparsamkeit zu klein/schwach dimensioniert war und auch eigentlich überhaupt nicht für nen Server zu gebrauchen war. Glücklicherweise habe ich die nicht gekauft ;) ABER: Es war ne APC, nur eben falsch eingesetzt. Bedeutet: APC ist zwar gut - und leider auch teuer - aber auch hier ist das richtige Modell auszuwählen. Geh nicht nach Markennamen oder Preisen, sondern nach geforderter/notwendiger Leistung. Meine Frage, wie lange denn der Server braucht um herunter zu fahren sollte dich nocheinmal darauf stoßen. grüße dippas

Nana, PCI-Express ist doch nicht nur für Grafikkarten! Das ist falsch. Der für Grafikkarten heisst dann übrigens PEG. Richtig ist, dass PCI-Express-Karten "in Masse" (naja, was so Masse heisst) momentan als Grafikkarten vorhanden sind. Allerdings stellt sich natürlich die Frage, ob ein Rechner mit PCI-Express/64-Bit-PCI nicht auch LAN-onboard hat, weshalb die separate Netzwerkkarte entfallen könnte. Unabhängig davon ist es schon am sinnvolllsten, einen Medienkonverter zu nutzen, bzw. den Switch die Medienkonvertierung vornehmen zu lassen. grüße dippas

Hallo counterooe, willkommen an Board! Na das wäre ja ein Ding. Das SCSI onboard ist bei Servern ist Standart. RAID-onboard wäre mir allerdings neu, da Raid-Controller ja je nach Einsatzzweck doch arg unterschiedlich sind. Falls da doch was onboard verbaut würde, kann es ja nur ne Einstiegslösung sein. Unabhängig davon habe ich mal bei HP nachgeschaut und da steht nichts von onboard-Raid. Technisch sollte der SBS das mitmachen, aber nicht, wenn ein weiterer SBS als DC installiert wird. Ich würde aber allein schon vor dem Hintergrund, dass beim klonen was schiefgeht einen DC nur so zur Sicherheit installieren und auch konfigurieren, damit im Falle eines GAU doch noch was vorhanden ist. Ansonsten dürfte das Klonen bei entsprechender Vorbereitung - wie z.B. weiter oben angemerkt - wohl klappen. Treiber sollte man sicherheitshalber auch für den Rest der Komponenten bereitlegen. Wichtig erscheinen mir hier insbesondere Treiber für Backplanes und ähnlichem, was eben von Server zu Server signifikant unterschiedlich ist. Solche Dinge werden von W2k3 auch nicht "automatisch" erkannt. grüße dippas

naja, was in diesem Threat mit der TLD gemeint ist, verstehe ich nun nicht wirklich :( ist aber auch hier egal. Wir haben unser DNS mit dem Domainnamen.de versehen und das klappt alles wunderbar. Allerding ist natürlich klar, dass ein Aufruf von http://www.domainname.de erst dann klappt, wenn der Host www manuell mit seiner externen IP nachgetragen ist. NT-Clients unterstützen von Haus aus keine dynamische Aktualisierung des DNS, deshalb die DHCP-Konfiguration. Aber teste doch mal ipconfig /registerdns auf nem W2k/XP. Eigentlich sollte der Rechner sich dann selbst registrieren. Das wäre ja ein Ding ;) Sollten die wohl schon mit umgehen können. Hab gerade mal in unserem WINS reingeschaut. da hat sich sogar ein HP-Printserver registriert. :D Den kann ich auch mit seinem NetBios-Namen anpingen ;) Ich sehe bei Linux keine Probleme, das klappt. grüße dippas

Naja, vielleicht ist es ja möglich, die Netzwerkdosen, die nicht verwendet werden, einfach auch nicht am Patchfeld auflegen. Da kann der Laptop-User sich an soviele freie Dosen anstöpseln und bekommt trotzdem nichts, weil ja keine physikalische Verbindung besteht. Das verhindert aber nicht, dass er nen PC ausstöpselt. Ansonsten sehe ich es so wie grizzy. MAC-Adressen am Switch "freigeben" könnte vielleicht noch handlebar sein. grüße dippas

Hallo Grizzly, schön von Dir zu hören. Da hast Du sicherlich recht. Alles kann natürlich nicht in den Unterlagen stehen. Wäre auch ne Zumutung für die Schüler sich jedesmal nen Transporter zu organisieren um den Papierberg nach Hause zu schaffen ;) ja nein nein (aber blub hat, Post#20 - und ich werde es auch testen, sobald ich mir ne Testumbegung aufgebaut habe) na das hoffe ich doch wohl nicht Ironisch oder ernst gemeint? :suspect: Hey, ich will kein Recht haben, sondern Wissen erlangen. ;) Ich bin mir durchaus bewusst, dass ich in dieser Sache ein wenig hartnäckig (oder sogar dickköpfig?) bin, aber letztlich bin ich schon auf der Suche nach einer eindeutigen Erklärung. Vielleicht ist ja der Unterschied mixed-mode und native-mode eine Erklärung? grüße dippas

Dem kann ich insbesondere bei so wichtigen Sachen wie Serverabsicherung uneingeschränkt zustimmen. Wo wir schon bei den wichtigen Sachen sind: Welche Art USV ist Dir denn angeboten worden? Meines Erachtens sollte es schon ne Online-USV sein, wobei ich den Preis dafür zu niedrig finde. Ich glaube also nicht das es eine Online-USV ist. Achte mal auf die Unterschiede und wähle nach dem aus, was Dir wichtig ist. Wichtig sind Dinge wie Überspannungschutz (Stromschwankungen, Blitzeinschlag), Leistung im Verhältnis zum Verbraucher (hier der Server mit seinen eingebauten Komponenten) = Überbrückungszeit, Wartbarkeit, Bypass-Verhalten der USV etc. 50 € für ne USV? Sorry, das ich ketzerisch werde, aber das kann nur ein Akku für nen Walkman sein. Beispiel: Mit einer 1000 oder 1500 VA Smart-UPS von APC solltest Du klarkommen. Auch was die Überbrückungszeit anbelangt. Ach ja, Überbrückungszeit: Wie lange braucht denn der Server zum runterfahren? Die kosten aber keine 140 € sondern durchaus 3 - 4 mal soviel. Schau mal auf der Seite von APC nach (http://www.apcc.com). Da gibt´s auch schöne Konfiguratoren ;) grüße dippas

Hallo Lex1th, mit Belkin und Mustek habe ich zwar keiner Erfahrunge, dafür aber mit APC. Und diese Dinger laufen 1a wie auf Schienen. Natürlich sind die preislich teurer, aber was soll´s, wenn ich ruhigen Gewissens schlafen kann mit dem Wissen, dass das Ding auch im GAU-Fall funzt ;) Beachte auch Folgekosten wie eine Ersatzbatterie. Wie verhält es sich damit? grüße dippas

Sorry, aber im Moment kann ich mit dieser Fehlermeldung deshalb nicht viel anfangen, weil mir spontan nicht einfällt, unter welcher Rubik ist die sortieren soll. Hatte den Fehler selbst noch nicht. Kannst Du mir da nähere Infos geben? Also, wenn aus dem Ereignisprotokoll kommend, welche Rubrik (System, Anwendung etc.) und vielleicht auch etwas mehr an Infos aus dem Ereignisprotokoll. Zugriff verweigert klingt ja nach fehlenden Berechtigungen. Die Frage ist halt nur, welche Berechtigungen fehlt ;) grüße dippas

hallo Humpi, na, Munition hast Du ja jetzt genug ;) Viel Erfolg bei Deinem Vorhaben. grüße dippas

Na, damit ist ja zumindest geklärt, dass es tatsächlich nur eine Domäne ist. Das ist schonmal gut. Das in den Eigenschaften des NTDS am Dc2000 der DC2003 (und umgekehrt) drin steht ist richtig so, denn die DCs replizieren ja jeweils vom anderen. Wenn Du unterhalb der NTDS-Settings schaust, sollte darin dann "<automatisch generiert> vom Server xyz ..." drin stehen. Damit ist gewährleistet, dass die Server auch tatsächlich miteinander "verbunden" sind. Auf einen solchen Eintrag "Rechtsklick" und Du kannst beispielsweise die manuelle Replikation anstoßen. Auch findest Du hier Einstellmöglichkeiten bezüglich der replikation, also Zeitplan, Transport (sollte auf RPC stehen) etc. Mach mal ne manuelle replikation und schaue mal im Ereignisprotokoll (Verzeichnis) nach, was passiert. grüße dippas

Der Einfachheit halber kontrolliere doch bitte mal im "AD-Benutzer und Computer" ob unter der OU "Domain Controllers" beide drin stehen. Ist dem so, so handelt es sich um eine einzige Domäne, weshalb Vertrauensstellungen uninteressant würden, denn die beziehen sich ja auf unterschiedliche Domänen. Dann würden sich fehlenden Benutzerkonten auf dem einen Rechner mit noch nicht erfolgter Replikation begründen lassen. Diese kann man unter "AD-Standorte und Dienste" auch manuell anstoßen. Hier kannst Du auch einsehen, wie die replikation der Server untereinander gestaltet ist. Steht nur ein Server drin (beisp. am DC2000 nur der DC2000 und umgekehrt), dann hast Du 2 Domänen. Sollten diese auch noch gleich heißen, hast Du ein Problem. Dann wirst Du (vermutlich) bei der Ausführung von dcpromo auf dem zweiten DC nicht angeklickt haben, dass das ein weiterer DC ist, sondern ein neuer. Dann würde es notwendig sein, auf einem DC das AD wieder runter zu schmeißen und neu zu installieren. Allerdings Vorsicht: mach das NACHDEM Du dich vergewissert hast, dass Du das NICHT beim Schemamaster etc. machst. In Deinem Fall würde ich dcpromo auf dem W2K ausführen und vorher alle Rollen auf den W2k3 übertragen. Dass spart Dir eine Schemaerweiterung auf dem W2k, denn der W2k3 hat ja bereits das durch den E2k3 erweiterte Schema. <Editiert> Vergiss ersten Satz des oberen Absatz, ist ein Gedankenfehler, da das voraussetzt, das Du nur eine Domäne hast. Allerdings würden beim Runterschmeißen vom AD am DC2000 die Benutzer logischweise auch weg sein und auf dem W2k3 übertragen werden müssen. <Editiert Ende> grüße dippas

Wie, ne öffentliche Verkaufsseite ohne öffentliches (also nicht vertrauenswürdiges) Zertifikat Ganz ehrlich: Als Kunde würde ich mir den Kauf dann vielleicht nochmal überlegen. Unter Umständen wäre es was anderes, wenn nur bestehende Geschäftskunden über einen abgeschlossenen Bereich auf die Verkaufsseite kämen. Aber auch da würde ich als Kunde ein wenig die Augenbrauen hochziehen. Ich glaube, der Einkauf eines "richtigen" Zertifikats sollte - trotz Investitionsstop - dennoch ins Auge gefasst werden. Du hättest: a) dokumentiert, dass man Dir (euch) "wirklich" vertrauen kann (dokumentiert durchs Zert.) b) keine/weniger Probleme mit IE Denk mal drüber nach und rechne auch Deinem Chef vor, wieviel Zeit es dich bisher gekostet hat, das Problem in den Griff zu bekommen. Wirst feststellen, dass der Preis für das Zertifikat bereits verbraucht ist ;) grüße dippas

Hast Du denn auch herausgefunden, warum sich die Clients am falschen DC angemeldet haben? grüße dippas