duff

Hallo Jungs, habe ein ähnliches Problem mit der XP Firewall bzw. damit, dass die lokalen Admins den Dienst der Firewall deaktiviern können oder auf manuell stellen. Ich habe als Grouppolicy in unserer W2K3 Domain eingestellt, dass die Firewall, sofern sich der PC bzw. Laptop an der Domäne anmeldet, deaktiviert ist und sobald der Rechner ausserhalb unseres Netzwerks Angemeldet wird sich die Firewall aktiviert. Jetzt habe ich folgendes Problem mit meinen Servicetechnikern: Die brauchen manchmal draussen an der Anlage verschiedene Tools und Dienste bzw. IP-Ports frei, um ihre Teile zu checken. Leider sind das viele unterschiedliche Ports und Dienste, die ich nicht alle per GP konfigurieren kann, da die Serviceler alle irgendwie für sich arbeiten und jeder anderst. Also habe ich ihnen die Möglichkeit per GP gegeben sich selbst Löcher in die FW zu schnitzen. Manche von den Jungs sind aber so faul und haben den Firewall-Dienst einfach deaktiviert damit sie sich damit nicht rum plagen müssen. An der Anlage geht das ja noch - aber abends im Hotel gehn die Jungs ins Internet - da ist die deaktivierte Firewall dann bullshieet. Ich suche jetzt nach einem Weg, den Jungs zwar die Möglichkeit zu geben den Dienst temporär zu beenden (da einfacher wie Löcher bohren) aber nicht auf "manuell" oder "deaktiviert" zu stellen. Bzw den Dienst nach einem neustart sofort wieder auf Automatisch zu biegen, falls das iner versucht. Hat einer ne Idee. Wäre klasse. Gruss Duff

hallo, habe das problem immer noch.... evtl. weiss ja heute einer was ???? gruss Duff

Hallo "AD- und DNS-Gurus" ;) , ich bekomme in meinem AD bei einem der DNS Server immer des Event 6702 (s.u.). Ich habe schon alle Host (A) Einträge geprüft und die sind alle richtig und vorhanden. Replikation und DNS funktionieren ebenfalls. Den Fehler kannn ich auf dem Server (ADS1) mit dem Befehl "ipconfig /registerdns" provozieren. NetDiag und DcDiag haben aber nichts zu meckern. Es sind zwar zwei NIC's in dem Server aber eines davon ist deaktiviert - es versucht sich also auch nur das aktive NIC zu registrieren. Wenn ich alle (A) des Servers aus dem DNS lösche und sie durch ein "Netdiag /fix" wieder eintragen lasse funktioniert das auch - aber spätestens nach dem Eintrag kommt mit einer erneuten dynamischen Registrierung des Servers am DNS wieder das Event 6702 ??? Ich habe leider weder hier im Forum, noch über EventID.net eine Lösung gefunden die den Fehler behebt bzw. mir einen Tip gibt wo der Hase im Pfeffer liegt. Meine Frage ist nun, was passiert wenn ich den Hacken für die dynamische Registrierung von den Eigenschaften der Netzwerkkarte entferne ??? Veraltet dann der DNS-Eintrag und wird danach gelöscht - ich glaube das wäre für die Replikation nicht gerade gut, oder ?????? Was ist mit den (SRV) einträgen? Ich weiss das löst zwar das Problem nicht, würde aber zumindest die Fehlermeldung unterdrücken. Oder hat einer doch noch nen Tip was ich machen kann? Zur Infrastruktur: Wir haben ein Parent-Child AD über zwei Sites "firma.corp" der Server ADS1 (Fehler) steht in der Root-Domain ".corp" zusammen mit dem Server ADS2. Server ADS3, ADS4, ADS5 stehen in der Child-Domain "firma.corp". ADS5 steht jedoch in der anderen Site (Aussenwerk). DNS läuft auf ADS1, ADS3, ADS5 und ist AD-Integrated. Externe DNS Abfragen werden an unsere Firewall gesendet die ein kopie der DNS-Zonen von ADS1 vorhält. Gruss Duff Ereignistyp: Fehler Ereignisquelle: DNS Ereigniskategorie: Keine Ereigniskennung: 6702 Datum: 19.01.2005 Zeit: 13:10:07 Benutzer: Nicht zutreffend Computer: ADS1 Beschreibung: DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen, dass die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren können, wurde versucht, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung zu aktualisieren. Dabei ist ein Fehler aufgetreten. Die Daten enthalten den Fehlercode. Wenn dieser DNS-Server keine verzeichnisdienstintegrierten Peers besitzt, sollte dieser Fehler ignoriert werden. Wenn die Replikationspartner des Active Directorys für diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, können sie nicht mit ihm replizieren. Führen Sie folgende Schritte aus, um sicherzustellen, dass die Replikation ordnungsgemäß durchgeführt wird: 1) Suchen Sie die Replikationspartner des Active Directory für diesen Server, die den DNS-Server ausführen. 2) Öffnen Sie den DNS-Manager und verbinden Sie sich der Reihe nach mit jedem der Replikationspartner. 3) Überprüfen Sie auf jedem der Server die Hostregistrierung (A-Eintrag) für DIESEN Server. 4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprechen. 5) Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie mindestens einen A-Eintrag entsprechend einer Adresse auf diesem Server hinzufügen, die der Replikationspartner ansprechen kann. (Mit anderen Worten: Falls es mehrere IP-Adressen für diesen Server gibt, müssen Sie mindestens eine hinzufügen, die sich im selben Netzwerk wie der DNS-Server des Active Directory befindet, den Sie aktualisieren möchten.) 6) Es ist nicht notwendig, ALLE Replikationspartner zu aktualisieren. Es ist lediglich erforderlich, dass alle Einträge mit genügend Replikationspartnern verbunden sind, so dass jeder Server, der mit diesem Server repliziert, die neuen Daten (mittels Replikation) erhält.

hi, habe mein Problem gelöst :D nach etwas 'rumprobieren mit der Registry habe ich folgende Löung für mein Problem gefunden: Ich habe die Datei "reg.exe" (Version 3.0) aus Windows XP in das "Netlogon" Verzeichnis eines Active-directory Domain Controllers kopiert, und folgende Zeilen in das Anmelde-Script geschrieben: ----------------------------------------------------------------------------------- echo *** " Registry wird abgefragt und Drucker werden gemappt" *** %logonserver%\netlogon\reg.exe query HKEY_CURRENT_USER\Printers\Connections\,,DWS1,ODV_1120 if errorlevel 1 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_1120 %logonserver%\netlogon\reg.exe query HKEY_CURRENT_USER\Printers\Connections\,,DWS1,ODV_KFM1 if errorlevel 1 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_KFM1 %logonserver%\netlogon\reg.exe query HKEY_CURRENT_USER\Printers\Connections\,,DWS1,ODV_LexE232 if errorlevel 1 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_LexE232 %logonserver%\netlogon\reg.exe query HKEY_CURRENT_USER\Printers\Connections\,,DWS1,ODV_HP700 if errorlevel 1 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_HP700 echo *** "Standard Drucker" *** rundll32 printui.dll,PrintUIEntry /y /n \\DWS1\ODV_1120 ------------------------------------------------------------------------------------ Das Programm "reg.exe" ist standrad mässig nur bei XP dabei, läuft aber auch unter 2000 und NT. Auch der Registry Pfad zu den Druckern ist gleich. Dadurch kann man das relativ flächendeckend nutzen. "Reg.exe" gibts auch im Ressource Kit für NT4.0 - scheint aber ein ältere Version zu sein. Wenn der Drucker schon gemappt ist, was ich über die ERrorlevel aus dem Prog "reg.exe" bekomme, überspringt er einfach den mapping Befehl. Wenn nicht zieht der mapping Befehl. Klappt Super!! :p Ich setze wenn möglich eben gerne Boardmittel bzw. MS-Tools ein - Trotzdem Danke für den Tip mit Kixtart! :) Gruss Duff

hi whitewater, thx für deine antwort. ich werde mir das tool mal anschauen. aber mein problem löst dein script ja nicht. soweit ich das nachvollziehen kann installiertst du mit dem script die neuen drucker und deinstallierst die alten drucker - das funzt mit meinem script auch. aber ich will nur dann den drucker installieren, wenn er noch nicht vorhanden ist. ich habe mir schon überlegt wie ich evtl. registrywerte in dem batch abfragen kann - das geht aber scheinbar nur mit XP (reg.exe /?) - nicht aber mit 2000 und NT naja - danke trotzdem. evtl gibt ja das tool was her was mit noch gefehlt hat. gruss duff

Hallo, habe folgendes Problem: Ich mappe die Drucker pro Abteilung per Logon-Script .CMD (Server: w2k3, Clients XP: 2000, NT), das im Druckerausschnitt wie folgt aussieht: ----------------------------------------------------------------------------------- REM *** " Drucker werden gemappt" *** rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_1120 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_KFM1 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_LexE232 rundll32 printui.dll,PrintUIEntry /in /n \\DWS1\ODV_HP700 REM *** "Standard Drucker" *** rundll32 printui.dll,PrintUIEntry /y /n \\DWS1\ODV_1120 ----------------------------------------------------------------------------------- Leider beschweren sich immer wieder die User, dass nach einem Reboot die Drucker allesammt wieder gemappt werden, das dauert unter Umständen in eingen Abteilungen mit vielen Druckern ein "bissel". Ich habe mir jetzt überlegt ob man da nicht ne "IF" Abfrage mit machen kann? Also so ne Art : "IF PRINTER \\DWS1\ODV_1120 EXIST GOTO IRGENDWAS" Leider bin ich wirklich nicht der Batch oder Script Guru und das Googel spuckt auch nix aus, aber evtl. hat ja hier jemand ne Lösung. Wäre echt Dankbar, Gruss Duff

hi velius, danke für den Tip!!! das netdiag /fix hats wieder hingebogen. Und ich wieder was dazugelernt. Ich glaube cih sollte mr mal ein wochenende die supporttools genau angucken, das könnte mir helfen bei zukünftigen fragen. ich hoffe die site-replikation läuft jetzt sauber, wenn nicht: I'LL BE BACK :p Cya, noch 'mal DANKE Duff

Hallo, also hab selber 'rausgefunden wo man diesen kryptischen namen findet: MMC Activedirectory Standorte und Dienste, unter eigenschaften des entsprechenden Servers in den NTDS-Settings. OK - war ja happy. Beim manuellen CNAME eintragen im DNS jedoch bekomme ich die Fehlermeldung, dass dieser "Name" nicht den RFC's entspricht!!!!!!! Na Toll - wieder am anfang. Also wenn einer nen Tipp hat. Gibts evtl nen Tool das die Replikationtopologie checkt so ne art "NTDSUTIL" für Replikation oder so ???? Gruss Duff

Hallo Forum, bin relativ neu hier, finde die infos aber wirklich sau gut, die man hier bekommt. leider habe ich auf mein problem nichts gefunden. wir haben hier bei uns vor nun AD mit W2k3 STD servern einzuführen um das alte NT abzulösen. soweit hat auch schon alles gut funktioniert. leider habe ich jetzt etwas probleme mit der site replikation. in einem MS-Artikel habe ich gelesen man soll sowohl die (A) einträge als auch die (CNAME) einträge in der "_msdcs.<FORESTNAME>" überprüfen. das habe ich auch gemacht und dabei diese kryptischen CNAME einträge für die Domain Controller gefunden. leider fehlt mir dabei einer meiner DC's aus der Child-Domain. (wir haben eine Parent-Domain (single Label) ".corp" , und eine Child-Domain "beispiel.corp") Meine frage nun: wie kann ich diesen eintrag von Hand ins DNS eintragen, woher bekomme ich diese krytische ID für den DC der fehlt???? und wofür ist das teil überhaupt ???? nen Alias benutze ich normalerweise nicht - schon ganicht so einen kryptischen, das muss also irgend was vom system sein. Wäre nett wenn Ihr mir etwas auf die sprünge helfen könntet. Gruss Duff P.S: Gibts nen vernünftigen und umfassenden Artikel über DFS, in dem auch ausfallszenarien behandelt werden. Ich finde immer nur klein Fetzten darüber??!!!