Andreas_Z

Hallo, vielen Dank für die Hinweise. Leider hilft mir keiner bei meinem eigentlichen Problem. Warum kann ich den Kopieren-Assisten nicht verwenden. Der würde meine Anforderungen perfekt erfüllen. Alle anderen Lösungen hatte ich schon selbst im Auge. Die taugen alle nicht. Inbesondere die Backup-Restore-Methode erfordert immer wieder mein Eingreifen. Na ja, vielleicht fällt mir da noch was schlaues ein. Vielen Dank nochmal und schönes Wochenende. Gruß Andreas

Hallo Ihr! Vielen Dank für die vielen Antworten. Ich muss tatsächlich mit der Daten kopieren-Funktion arbeiten. Die Datenbank abzuhängen würde natürlich sauber funktionieren. Aber genau das kann ich eben nicht tun. Die zu kopierende Datenbank ist in Produktion und ständig in Benutzung. Um aber für die Entwicklung möglichst häufig auch die aktuellen Inhalte dabei zu haben, wäre die Kopierenfunktion ideal. Das 'Domänenname\Computername$' verursacht der Server selbst. Ich habe die Kopieren-Assistenen angewiesen, den gesamten Vorgang in ein Logfile zu schreiben. Dort taucht dann genau dieser String auf. Eingegeben habe ich den selbst nirgens. Das ist aber auch verzwickt. Es gäb im AD ja noch die Möglichkeit, dem Benutzer für Deligierungszwecke zu vertrauen. Aber genau diese Funktion steht dem verwenden Domänenbenutzer nicht zur Verfügung. Was kann man denn da noch machen? Gruß Andreas

Hi Klaus! Keine schlechte Idee. Ich weiß nur leider nicht, warum der das dann macht und wo man das umstellt. Beide Server unterstützen beide Authentifizierungsvarianten. Die Anmeldung mittels Domänenbenutzer klappt auch bei beiden. Nur das Durchreichen der Anmeldung anscheinend nicht. Mit einem Verbindungserver habe ich auch schon probiert. Der nutzt an dieser Stelle leider gar nichts. Noch andere Ideen? Gruß Andreas

Hallo und schönen guten Tag! Ich sitze hier vor folgender Konfiguration: 1x MS SQLServer 2005 auf Windows 2003 (Server) 1x MS SQLServer2005 Developer Ed. auf Windows XP (Laptop) Beide Rechner sind Mitglied in ein und der selben Domäne. Alle SPs und Patches sind aufgespielt. Ich melde mich an dem XP-Rechner als Domänen-Benutzer. Dieser Benutzer ist auf dem Server in der SQL-Umgebung Serverrolle: public und auf der zu bearbeitenden Datenbank dbowner. Auf dem Laptop in der SQL-Umgebung hat der Benutzer die sysadmin-Rolle. Das Problem: Ich möchte eine Datenbank mittels <Tasks> <Datenbank kopieren> vom Server auf den Laptop kopieren. Leider schlägt das immer fehl. Laut Logfile des Tasks: "Faild to connect to server servername". Und weiter unten: "Fehler bei der Anmeldung für den Benutzer 'Domänenname\Computername$'.". Was hab ich bereits versucht: Ich habe dem Benutzer auf dem Server ebenfalls die sysadmin-Rolle verpasst. Das ist laut Hilfe nötig. Leider keine Besserung. Was kann ich noch versuchen? schönes Wochenende Andreas Zettl

Ne, ne. Nicht falsch verstehen. Der Server ist definiv noch Mitgliedsserver. dcpromo ist sauber durchgelaufen. Damit wurden dann auf dem Server die lokale Benutzerdatenbank und die lokalen Sicherheitsrichtlinien aktiv. In desen Richtlinien hatte das Dienstekonto der Domäne kein Recht zum starten als Dienst. Das ist doch ganz normal so. Ich hab's korrigert und gut. Das hatte ich ja auch oben versucht, klar zu machen. Ich habe das alles aufgeschrieben, damit ihr versteht, warum es zu dieser Situation gekommen ist. Im Normalfall hätte ich die oben zitierte Ereignislog-Meldung nicht erhalten. Ich habe eben nur den Fehler gemacht und den SQl_Server als lokales System gestartet. Damit hat er dann gleich mal das AD entsprechend ergänzt aber den alten SPN-Eintrag nicht entfernt. Das mußte ich jetzt eben von Hand nachholen. Aber genau das ist ja mein Problem. Auf den verschiedenen Seiten, die ich zur Lösung des Problems gelesen habe (siehe oben und noch einige mehr), wurde immer wieder ADSIEDIT erwähnt. Leider wurde aber an keiner Stelle erläutert, wo man die zu löschenden Einträge findet. Oder anders gesagt, die Ursache weiß ich, den Lösungsweg auch, nur mit dem Tool zur Problembeseitigung habe ich noch Verständnisschwierigkeiten. Eine Lösung mit setspn habe ich ja gefunden und erfolgreich angewendet. Da mir aber niemand erklären konnte, wo in sich der Ausgabe: CN=SERVER2,OU=Server,DC=domain,DC=net Class: computer Computer DNS: server2.domain.net -- MSSQLSvc/server2.domain.net:1433 -- HOST/server2.domain.net/INTERN -- HOST/SERVER2 -- HOST/server2.domain.net -- HOST/server2.domain.net/domain.net -- NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/server2.domain.net das lokale Systemkonto versteckt, mußte ich leider doch den SPN vom Dienstekonto erntfernen. Das geht auch, ist aber nicht das, was ich wollte. Ich bin also weiter an Tipps interessiert. MfG Andreas

Tja. Offensichtlich kennt auch hier keiner ADSIEDIT. Schade. Ich habe das Problem jetzt zwar selbst gelöst. Aber leider nicht so, wie es ursprünglich wollte. Mein SQL-Server läuft jetzt wieder mit dem lokalen Systemkonto. Den SPN für das Dienste-Konto habe ich dann mit SETSPN -D entfernt. Der war ja eindeutig zu erkennen. Falls doch noch jemand Tipps zum Umgang mit ADSIEDIT anbieten kann, bin sehr interessiert. MfG Andreas Zettl

Hallo! Bei mir hat sich folgendes zugetragen: Ausstattung: - Domaincontroller Win2003 Standard R2 mit letztem SP und allen Patches (SERVER1) - zusätzlicher Domaincontroller Win 2000 letztes SP und alles Patches, MSSQL-Server 2000 mit letztem SP, SQL-Server läuft unter einem speziell angelegten Dienste-Konto.(SERVER2) Situation: Der MSSQL-Server soll abgelöst werden. Für einen Übergangszeitraum soll er aber noch verfügbar bleiben. Deshalb habe ich einen neuen, modernen SQL-Server gebaut und den zum zusätzlichen Domaincontroller gemacht. Bisher läuft alles sauber und stabil. Nun habe ich den alten Server zum Mitgleidsserver gemacht. Auch das lief sauber über die Bühne. Der SQL-Server konnte zwar nicht mehr mit seinem Dienste-Konto gestartet werden, aber das habe ich kurzerhand gelöst, indem ich die entsprechenden Dienste vorläufig mit dem lokalen System-Konto starten ließ. Das Dienste-Konto habe ich nachträglich mit der Berechtigung "aLs Dienst starten" versehen. Seit dem läuft der SQL-Server auch wieder unter seinem angestammten Konto. Fehler: Auf dem Domainkontroller im Ereignisslog erscheint seitdem in der Rubrik "System" stündlich die folgende Meldung: Ereignistyp: Fehler Ereignisquelle: KDC Ereigniskategorie: Keine Ereigniskennung: 11 Datum: 11.09.2007 Zeit: 08:51:19 Benutzer: Nicht zutreffend Computer: SERVER1 Beschreibung: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen MSSQLSvc/server2.domain.net:1433 vorhanden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search. Lösungsversuch: Unter EventID.Net und Ereigniskennung 11 im Systemprotokoll von Domänencontrollern habe ich herausgefunden, warum dieser Fehler kommt und wie man ihn theoretisch beseitigt. 1. Zuerst herausfinden, welches Konto einen SPN zuviel hat 2. SPN löschen Für erstens habe ich gleich zwei Methoden probiert. Von der Evenid-Seite die von Brent Hudson und von der MS-Seite die Methode drei (cscript spnquery.vbs HOST/mycomputer* >check_SPN.txt). Heraus kam bei beiden (mit leichten Unterschieden in der Formulierung): CN=SERVER2,OU=Server,DC=domain,DC=net Class: computer Computer DNS: server2.domain.net -- MSSQLSvc/server2.domain.net:1433 -- HOST/server2.domain.net/INTERN -- HOST/SERVER2 -- HOST/server2.domain.net -- HOST/server2.domain.net/domain.net -- NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/server2.domain.net CN=dienste,CN=Users,DC=domain,DC=net Class: user User Logon: dienste -- MSSQLSvc/server5.domain.net:1433 -- MSSQLSvc/server2.domain.net:1433 (Server5 ist hier der neue SQL-Server) Mein eigentliches Problem: Ich habe nun schwierigkeiten, den richtigen Eintrag zu identifizieren. Woran erkenne ich denn in der oben Ausgabe von spnquery.vbs das Lokale Systemkonto? Dort müßte sich ja der überflüssige SPN befinden. Und wie bekomme ich den gelöscht? Ich habe mit ADSIEDIT.msc schon rauf und runter gesucht. Ich kann um's verrecken nicht die richtigen Einträge finden. Dummer Weise hat das Tool auch keine Suchfunktion. Kann mir da jemand ein paar entscheidende Tipps geben? MfG Andreas

:shock: Einfach diese Seite ganz nach oben scrollen.... Gruß Andreas

Hallo Wordo! Die Peers kannst Du ni meinem ersten Posting nachlesen. VPN-Tunnel zwischen VPN-C und Firewall. Auf der anderen Seite der Firewall stehen sämtliche Server. Auch der Radius. Äh... was ist eine "crypto map" im VPN-C? Gruß Andreas_Z

Hallo Wordo! Um die VLANs mache ich mir auch keine Gedanken. Die habe ich nur der Vollständigkeit halber erwähnt. ;) Genau hier sind wir am wunden Punkt. Wo muß ich denn da jetzt genau gucken? Die IP von Radius stimmt auf jeden fall. In der Sektion Configuration - Tunneling and Security - IPSec - LAN-to-LAN gibt es einen Eintrag. Der enthält eigentlich das Netz hinter dem Tunnel. Das Netz vor dem Tunnel ist der IP-Adress-Pool für die User. Ich würde ja meinen, daß hier auch noch die Adresse des VPN-C rein müßte. Aber welche. Er hat dch kein virtuelles Interface mit einer passenden IP-Adresse (siehe oben)? Gruß Andreas

Hallo Leute! Ich habe hier ein Problem, welches ich trotz suche im Forum und mehreren Anläufen bei der Konfiguration nicht den Griff bekommen habe. Meine Situation ist die folgende: Ich habe bis vor kurzem erfolgreich und stabil zwecks Remote-Zugriff auf einen Server einen Cisco VPN-Concentrator 3020 betrieben. Dieser unterhielt einen VPN-Tunnel (Lan to Lan) zu einer Firewall, hinter der dann letzlich (direkt angebunden) der Server stand. Meine User konnten sich mittels VPN-Client von Cisco mit dem Concentrator verbinden. Für die Benutzerauthentifikation am VPN-C hatte ich einen Windows2003-Radius Server direkt mit dem VPN-C verbunden (Cross-Over am privaten Interface). Diese Plattform mußte ich nun umbauen, um sie etwas flexibler zu machen. Jetzt befindet sich hinter der Firewall ein Switch mit mehreren VLANs. In jedem VLAN hängt ein anderer Server, welcher über den VPN-C erreichbar sein soll. Aus verschiedenen Gründen ist auch der Radius-Server in eines dieser VLANs gekommen und damit nicht mehr direkt mit dem VPN-C verbunden. Um weiterhin eine Benutzerathentifikation per Radius vornehmen zu können, muß der VPN-C nun seine Radius-Anfragen über den bestehenden VPN-Tunnel hinter die Firewall in das richtige VLAN senden. Aber genau das bekomme ich nicht hin. Was könnte ich alles vergessen haben? Gibt es irgenwo eine Anleitung für eine solche Konfig? Was habe ich alles herausgefunden: Die Radius-Pakete kommen nicht bei der Firewall an. Der Radius-Server ist seltsamer Weise nicht Pingbar, abwohl der Tunnel steht. Ich würde ja auf fehlende Routen tippen, aber die hatte ich vorher auch nicht und dennoch wurde das Netz hinter dem tunnel gefunden. Um entsprechende Interface-Regeln bauen zu können, brächte ich ein virtu. Interface für den Tunnelanfang, dem ich eine IP-Adresse geben kann. Aber das gibt es nicht. Ich bin für jeden Hinweis dankbar. Vielen Dank Gruß Andreas

Hallo Admins! Ich sitzte hier gerade vor dem Ereignislog meines Win2003 Servers (letztes SP und alle Patches) und ärgere mich über die immer wieder gleich lautenden Meldungen: Ereignistyp: Kein Ereignisquelle: xxxxx Ereigniskategorie: Keine Ereigniskennung: yyyy Datum: 29.01.2006 Zeit: 15:18:42 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: Die Beschreibung der Ereigniskennung ( yyyy ) in ( xxxx ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: zzzzzz Ich erhalte diese Meldungen für verschiedenste Services und weiß nicht warum. Auf anderen Rechnern laufen die selben Programm ohne diese Meldungen. Was kann ich dagegen tun? Ist eine Problem von Windows selbst oder mehr eines der einzelnen Services? Ich kann auch nicht erklären, wie dieses Problem entstanden sein soll. Ich habe den betreffenden Rechner vor eingen Wochen von Grund auf neu installiert und das alles ohne Probleme oder Fehlermeldungen. Kann mir jemand einen Tipp geben? Gruß Andreas

Hab ich alles schon versucht. Leider ohne Erfolg. Ich denke aber, daß die Profile nicht die Ursache sind. Ich vermute da eher einen nicht lauffähigen Dienst. Leider kann ich nicht feststellen, welcher..... Gruß Andreas

Hallo tom und Hansi! Den Taskmanager kann ich nicht aufrufen. Der Rechner reagiert auf keine Tastaturbefehle (übrigens nicht win2003 sondern winXP). Die Anmeldung mit einem anderen Benutzer habe ich natürlich auch schon versucht. Aber dort passiert das selbe. Der Zugriff auf eine Freigabe über das Netz geht nicht. Könnte aber mal per abgesichertem Modus versuchen. Ich glaube aber nicht an einen Erfolg. Gruß Andreas

Hallo an alle! Ich habe hier einen Rechner, der ein sehr seltsames Verhalten zeigt: Ich fahre hier eine Windows 2003-Domäne mit einigen WinXP-Office-Rechnern. Auf allen Rechnern ist alles, was an Patches so verfügbar ist, auch aufgespielt. Hatte leider noch keine Zeit für den SUS oder seinen Nachfolger daher holen sich die Clients Ihre Patches selbst. Das hat auch bei allen geklappt bis auf einen (letzter Patchday wegen WMF-Lücke). Der wurde am nächsten Tag normal hochgefahren und auch die Anmeldung vollzogen, aber danach passierte nichts mehr. Der Desktop kommt auch nach 30 Minuten Wartezeit nicht. Da die letzte Änderung nur im Einspielen der Patches bestand habe ich mit Hilfe des abgesicherten Modus (der geht zum Glück noch) die letzten Patches wieder entfernt. Leider ohne Erfolg. Dummerweise komme ich an den Rechner in einer solchen Situation auch nicht von außen ran (LAN). Ich weiß einfach nicht, wie ich Ihm ein paar Infos zum Stauts entlocken soll, um das Problem zu Fassen zu bekommen. Im Abgeischerten Modus wird defaultmäßig einiges nicht gestartet -> keine echte Hilfe. Das Ereignislog ist auch sauber -> Eigenartigerweise. Am selben Tag hatte ein anderer Rechner das selbe Problem. Dort wollte ich eine Software aktualisieren und habe die vorher die alte deinstalliert. Danach war auch nur noch der abgesicherte Modus möglich. Der lies sich aber wenigstens durch die Deinstallation der letzten Patches wiederbeleben. Hat einer einen guten Hinweis bevor ich den Rechner platt mache? Vielen Dank MfG Andreas Zettl