groszmann

Hallo, Standardbrowser ist also demnach der IE? Ich weiss dass das keine Lösung sondern nur ein Workaround ist, aber warum benutzen die Leute den Firefox nicht als Standardbrowser? Ich habe Fehlersuche im IE mittlerweile aufgegeben und benutze und lasse benutzen ein Produkt das funktioniert und das tut was es soll. Gruss Hans

Hallo, ich hätte da mal ein sehr merkwürdiges Problem: auf einem w2k8 r2 Domaincontroller ist der DNS Server ausgefallen, der Dienst lässt sich nicht starten mit der Fehlermeldung: Der Dienst "DNS-Server" auf XXX konnte nicht gestartet werden. Fehler 1717: Die Schnittstelle ist unbekannt. Als erste Massnahme habe ich die Rolle DNS deinstalliert, eine Neuinstallation schlägt dann mit der Fehlermeldung Fehler beim Installieren von DNS-Server. Fehlercode: 0x80070643. Schwerwiegender Fehler bei der Installation fehl. Um die Leute wieder ans Arbeiten zu bekommen habe ich auf einem Memberserver die DNS Rolle installiert und konfiguriert. Das funktionierte zunächst auch, doch nach einigen Tagen ist auch auf diesem Server DNS ausgefallen und der Dienst lässt sich nicht mehr starten. Bei der weiteren Fehlerdiagnose zeigte sich, dass weitere systemnahe Dienste nicht zu starten sind, z.B.: - Windows-Ereignisprotokoll - Fehler 0x8007000e: Für diesen Vorgang ist nicht genügend Speicher verfügbar. - Windows-Firewall - Windows-Firewall auf XXX konnte nicht gestartet werden. Weitere Informationen finden Sie im Systemereignissprotokoll. Setzen Sie sich mit dem Diensthersteller in Verbindung, wenn es sich um einen Nicht-Microsoft-Dienst handelt. Beziehen Sie sich auf den dienstspezifischen Fehlercode 14. - Netzwerkrichtlinienserver - Der Dienst "Netzwerkrichtlinienserver" auf XXX konnte nicht gestartet werden. Fehler 0x800706b5: Die Schnittstelle ist unbekannt. Dies betrifft alle Server der Domäne. Irgendetwas ist hier böse im Argen. Zu den Fehlermeldungen: selbstredend ist ausreichend Speicher (RAM und HD) vorhanden und die Dienste funktionierten bis vor kurzem problemlos. Netzrecherchen zu den Fehlermeldungen führten ins Nirwana, am häufigsten fanden sich noch Hinweise, den SBS 2003 betreffend. Zur Umgebung: - ein physischer Server als Hyper-V Host, ein DC, ein Terminalserver als Member-Server alle auf Server 2008 R2 Standard, DC auf aktuellstem Patchstand, aktueller Virenscanner NOD32, manueller Scan der Server ohne Befund Ich bin hier mit meinem Latein am Ende. In einer Ecke des Web habe ich noch einen Hinweis auf Kerberos gefunden, z.B. abgelaufenes Zertifikat o.Ä.. Da ich mit Kerberos aber nicht so firm bin weiss ich nicht wo ich da ansetzen soll.

Hi, das wäre ja eine Option, auch wenn Berechtigungen wieder angepasst werden müssen (das ist ein Netzwerk mit ca. 20 Usern). Allerdings habe ich bisher auch keine Option zum Import/Export gefunden. Das ginge dann über Outlook, oder? Gruss Hans

Hallo, ich bin in Exchange Administration nicht besonders bewandert und habe hier eine anspruchsvolle Aufgabe: bei einem Kunden wird die betagte SBS2003 Domain durch eine SBS2011 Infrastruktur ersetzt. Das heisst also auch Umstieg von Exchange 2003 nach 2010. Eine Inplace Upgrade kommt nicht in Frage, da ich mich durch die Umstellung gerade von diversen Altlasten befreien möchte und mit einer sauberen Infrastruktur neustarten. Exchange wird in der alten Welt intensiv genutzt, neben den persönlichen Postfächern gibt es eine intensive Nutzung öffentlicher Ordner als "Mailarchiv" bzw. zur Zuordnung zu jeder Menge Projekte. Ausserdem wird hierüber ein Gruppenkalender für alle gepflegt und ein Ordner für zentrale Kontaktverwaltung. Dies möchte ich in der neuen Welt möglichst 1 zu 1 wieder abbilden. Die Frage ist nun, wie bekomme ich den Content in den neuen Exchange? Alles was ich über google gefunden habe, bezieht sich entweder auf Migrationen innerhalb einer Domain oder domainübergreifend auf identische Exchange Plattformen. Alle Tools von denen ich bisher gelesen haben taugen für mein Szenario nicht. Gibt es keine Möglichkeit, das ganze auf Datenbankeben zu lösen? Wenn Exchange in SQL speichern würde könnte ich mir vorstellen das über Datenbank-Ex- und -Import zu machen, Gibt es sowas auch für die Exchange edbs? Dankbar für jede Hilfe Hans

Hallo, ich möchte eine dauerhafte VPN-Verbindung von einem W2K8 R2 Terminalserver als Client zu einem LAN hinter einer ZyWall USG200 als Server aufbauen. Das funktioniert ja schon mit Windows Bordmitteln, die aber zwei Nachteile haben: 1. Muss die VPN-Verbindung im Benutzerkontext aufgebaut werden und ist bei Benutzerabmeldung nicht verfügbar 2. Wird bei dieser L2TP-Verbindung der gesamte Internettraffic über das remote LAN geroutet Mein Ziel ist eine VPN Verbindung, die unabhängig von der Benutzeranmeldung funktioniert und bei der der Internettraffic des Terminalservers über das lokale Gateway läuft. Any suggestions? Hans

Hallo, ich habe schon einige Terminalserver aufgesetzt und betreut, aber das hier ist mir neu: Egal ob Anmeldung an der Konsole oder über RDP, egal ob admin oder spezifischer user, ich werde immer mit einem temporären Profil angemeldet. Die Profile liegen eigentlich auf einer Freigabe auf der D:-Partition, aber auch wenn ich im AD beim user "lokales Profil" aktiviere ändert sich nichts. Die Berechtigungen sowohl von C:\users als auch der Freigabe auf D:\ habe ich natürlich geprüft und das scheint m.E. in Ordnung, zumal es für manche User funktioniert, für andere und den Domain-Admin aber nicht. Dankbar für jede Hilfe Hans

Hallo, ich möchte folgendes realisieren: - Absicherung des Zugriffs über das Internet auf interne Terminalserverressourcen mittels Clientzertifikaten Der Zugriff läuft derzeit ohne Zertifikate, so dass ich keine Kontrolle über die zugreifenden Clients habe. Ziel ist, den Zugriff auf Clients zu beschränken, auf denen ein selbstausgestelltes Zertifikat installiert ist. Meine Umgebung: - Clients: PCs von WinXP bis Win7, diese sind nicht Mitglieder der Domäne aud die zugegriffen wird. Die Authentifizierung läuft derzeit ausschliesslich über Benutzername und Passwort (die Benutzer sind natürlich Domänenmitglieder) - ISA2006 als Perimeterfirewall - Terminalservergateway zur Zuordnung der Zugriffe von verschiedenen Mandanten auf die internen Ressourcen - Eigene Unternehmens-PKI Ich stelle mir vor, für die Clients Zertifikate mit der eigenen PKI auszustellen, diese und das Stammstellenzertifikat auf den jeweiligen Clients zu installieren und die ISA-Regel entsprechen anzupassen, so dass man nur mit gültigem Zertifikat durchkommt. Die Probleme beginnen aber schon bei der Beantragung des Zertifikats am Client. Ich weiss nicht, wie hier vorgegangen werden muss und habe trotz intensiver Recherche keine Anleitung hierzu finden können. Das Zertifikat muss über eine crq-Datei offline beantragt werden, die PKI ist über das Internet nicht erreichbar. Kann mir jemand das Vorgehen beschreiben oder kennt einen link zu einem detaillierten HowTo? Gruss Hans

Mag sein, aber ich bin noch nicht so lange in VMware. Gruss Hans

Hallo, vielen Dank, das hätte ich im Leben nicht gefunden. Gruss Hans

Hallo, ich suche gerade unter VMware ESXi und vSphere 4.0 nach einer Möglichkeit (wie unter Hyper-V) einzustellen, dass die VMs nach einem Hoststart automatisch eingeschaltet werden und finde nichts. Entweder bin ich mit Blindheit geschlagen oder es gibt unter VMware tatsächlich keine Option. Dankbar für jede Hilfe Hans

Sorry, wer lesen kann ist klar im Vorteil. Gruss Hans

Hallo, ich habe es selber noch nicht probiert, aber hast Du die Datei mal in die Ausnahmeliste der "Datenasführungsverhinderung" eingetragen? Gruss Hans

Hallo, um noch mal zum Kern der Frage zurückzukommen: Das gleiche Szenario benutze ich in kleinen Umgebungen auch: manuelle Zuweisung eines LW-Buchstaben für die USB-HDDs, die im Wochenturnus gewechselt und ausser Haus geschafft werden. Auf die Platten läuft dann jeweils die Windows Serversicherung. Exchange, SQL oder Sharepoint hat man in solch einer Umgebung eher selten. Wenn solche Produkte eingesetzt werden sollte man tatsächlich zu leistungsfähigerer Backup-Software greifen. Ansonsten muss m.E. der Kunde selbst entscheiden, welches Datensicherungskonzept er haben will, also wieviel Datenverlust er sich leisten kann oder auch nicht und wieviel er dafür zu zahlen bereit ist. Das sollte man in dieser Konsequenz kommunizieren, auch um falschen Erwartungen entgegenzuwirken. Gruss Hans

Hallo, mein Rat wäre: nicht zurück zu XP sondern vorwärts zu W2K8. Dort sind gerade die TS-Druckerprobleme durch ein neues Konzept endlich behoben worden. Die Druckjobs werden nun im RAW-Format an den Client gesendet und dort vom lokalen Treiber weiterverarbeitet, so dass auf dem TS gar keine Treiberinstallation mehr erforderlich ist und auch exotische Clientdrucker benutzt werden können. Mir ist klar, dass das ein wohlfeiler Rat ist, da natürlich mit Lizenzkosten und dem Aufwand einer neuen TS-Installation verbunden. Wir sind diesen Weg aber, auch wegen anderer Verbesserungen von W2k3 zuW2k8 z.B. RemoteApps, TS-Gateway u.A., gegangen und ich möchte keinen 2003er TS mehr haben. Gruss Hans

Das sind ja gleich drei Wünsche auf einmal. . . Spass beiseite, die Standardantwort für sicher lautete bisher: VPN. Seit W2K8 R2 gibt es jetzt das Terminalservergateway, was zum einen eine RDP-Verbindung mit SSL verschlüsselt. Sicher ein Zugewinn an Sicherheit, nach den aktuell bekanntgewordenen SSL/TLS-Sicherheitslücken muss sich aber erst noch zeigen, wieviel das tatsächlich wert ist. TS-Gateway reduziert auch den Aufwand für die Clientkonfiguration im Vergleich zur VPN-Einrichtung. Allerdings braucht es eben einen TS-Gatewayserver mit Konfiguration und Zertifikat, was ja auch einen gewissen Konfigurationsaufwand erfordert (von der erforderlichen Serverlizenz mal zu schweigen). Sicher und einfach sind eben zwei Dinge, die sich widersprechen, einen Tod muss man sterben. . . Gruss Hans

Z.B. um sie zu administrieren? Oder mit welchem Account erledigst Du Verwaltungsarbeiten z.B. auf Terminalservern? Gruss Hans

Hallo, offensichtlich handelte es sich um eines der berüchtigten MS-Geisterprobleme. Nach Neuanlage der ISA-Regel (mit exakt den gleichen Einstellungen wie bei der alten Regel) funktioniert es nun. Gruss Hans

Nein, aber GPOs wirken sich ja auf die Computer und standardmässig alle darauf angemeldeten Benutzer (also auch Domain-Admins) aus. Damit hat man imho dann per se ein Problem. In den von mir betreuten Domänen gibt es keine User mit Domain-Admin Rechten (allenfalls mal LocalAdmin Rechte auf ihrem PC, das ist aber auch das höchste der Gefühle). @killm0 Kommt drauf an, womit Du die GPOs bearbeitest. Im GPMC finde ich die Option gerade auch nicht. In der "Active Directory-Benutzer und -Computer"-Konsole öffnest Du das Eigenschaften-Fenster der betreffenden GPO, klickst unten "Eigenschaften" an, gehst in dem folgenden Fenster auf den Reiter "Sicherheit" und verweigerst dort für den Admin oder die Admingruppe den Zugriff auf die Berechtigung "Gruppenrichtlinie übernehmen". Gruss Hans

Hallo, in den Sicherheitseinstellungen der GPO bei Richtlinie anwenden für den Admin Zugriff verweigern aktivieren, gpupdate nicht vergessen, et voilá. Gruss Hans

Das kannst Du mit einem SQL-Query machen. ldf-Dateien von 12 GB halte ich sowieso für übertrieben. Du brauchst diese Dateien nur, wenn Du einzelne Datenbankoperationen feingranular wiederherstellen oder rückgängig machen willst. Die Grösse erklärt sich auch aus dem gewählten Recovery-Mode "full". Ich habe alle ldf-Files auf Recovery-Mode "simple" gesetzt und die Grösse auf 300 MB beschränkt. Für meine Bedürfnisse reicht das völlig aus, aber Du solltest prüfen, wieviel Recovery-Sichertheit Du brauchst. Bei Bedarf kann ich Dir den Code für das Query geben. Gruss Hans

Hallo, ... und Einschalten des Install-Mode bei Anwendungsinstallation nicht vergessen (change user /install, nach Abschluss der Installation change user /execute), da sonst die Anwendung ausschliesslich im Kontext des angemeldeten Users vorgenommen wird. Gruss Hans

Hallo, das würde ich über die Sicherheitseinstellungen der GPO regeln. Also drei GPOs anlegen (A, B, C) und den jeweils nicht betroffenen Gruppen den Zugriff verweigern: GPO A: Zugriff verweigert für Gruppen B und C GPO B: Zugriff verweigert für Gruppen A und C GPO C: Zugriff verweigert für Gruppen A und B Und nicht vergessen der Admin-Gruppe ebenfalls den Zugriff auf alle GPOs zu verweigern, sonst schränkst Du deren Berechtigung auch ein. Gruss Hans

So, ein Problem ist beseitigt: die ISA-Regel greift nun, da gab es ein Problem mit dem TS-Gateway-Zertifikat. Nachdem dieses nun korrekt auf dem ISA installiert ist läuft der Trafic über Port 443 und wird zugelassen. da taucht auch schon das nächste auf: die Eingabe der User-Credentials im RDP-Client kommt immer wieder, eben wie bei einer fehlgeschlagenen Anmeldung. Domain\Username und PW stimmen definitiv, getestet über die Anmeldung im LAN. Keinerlei Fehlermeldungen am Client, keinerlei Eintrag in der Ereignisanzeige des TS-Gateway oder des DC. Any idea? Gruss Hans

Hallo, ich will mein erstes TS-Gateway unter W2K8 R2 in Betrieb nehmen und die Konfiguration ist soweit erfolgreich abgeschlossen. Eine Besonderheit ist, dass TS und TS-Gateway auf der gleichen VM installiert sind. Ich weiss, das ist von MS nicht empfohlen und nicht supported, laut Auskunft des TechnicalPresalesService aber technisch möglich. Zu Evaluierungszwecken ist das jetzt erstmal so, da ich z.Zt. nicht die Resourcen für zwei VMs habe. Veröffentlicht wird das Ganze über einen ISA 2006. Die Einrichtung habe ich nach der sehr ausführlichen Anleitung "TS Gateway Step-by-Step Guide" von MS vorgenommen. Intern funktioniert jetzt soweit alles, aber es hakt beim Verbindungsaufbau von extern mit dem RDP-Client 6.1. Der Hostheader ts-gateway.domain.de ist sowohl auf LAN- als auch auf Public-DNS eingetragen und wird über beide Wege korrekt aufgelöst. Selbstsigniertes Zertifikat ist korrekt auf TS-Gateway, ISA und Client-PC installiert. Wenn ich mich nun mit dem Client verbinden will kommt die Anfrage beim ISA mit Ziel-IP = WAN-IP und mit Zielport 3389 (also nicht 443) an und wird von der Standardregel abgewiesen. Am Client bekomme ich nach Abfrage der User-Credentials im Fenster "Gatewayserver-Anmeldeinformationen" die Fehlermeldung "Der Computer kann keine Verbindung mit dem Remotecomputer herstellen, da die Gatewayserveradresse der Terminaldienste nicht erreichbar oder falsch ist. Geben Sie eine gültige Serveradresse ein". Was läuft hier falsch? Ich vermute das Problem entweder bei den RDP-Clienteinstellungen (wieso fragt dieser über 3389 und nicht 443 an?) oder bei der entsprechenden ISA-Regel, weiss aber nicht wo ansetzen. Dankbar für jede Hilfe Hans

Hallo Arnd, ich hatte Dir eine Mail geschickt, ist die angekommen? Gruss Hans