WolverineJR

Vielen Dank! Probiere ich gleich mal

Erstmal vielen, vielen Dank für Eure schnelle und ausführliche Hilfe! Wie sieht das aus wenn ich mehrere ADS-Domänen mit Vertrauensstellungen habe. Diese sind alle auf dem gleichen BS-Release (W2k3 SP1). Kann es zu Problemen kommen, wenn ich "nur" die DC einer Domäne auf R2 bringen und die anderen so lassen wie sie sind?

Hallo, wir haben im Unternehmen drei neue Terminalserver mit der Windows-Version 2003 R2 SP1 hingestellt. Diese drei Terminalserver sollen per DFS Benutzerprofile untereinander abgleichen. Unsere Domänencontroller sind zwei 2003 SP1 - Server. Wenn wir nun die DFS-Replikation aufsetzen, bekommen wir auf dem Terminalserver folgenden Eintrag in der Ereignisanzeige "DFS-Replikation": Der DFS-Replikationsdienst hat eine inkompatible Active Directory-Schemaversion beim Lesen von Konfigurationsobjekten auf Server "(unser Domäncontroller)" erkannt. Der Dienst hat die Verbindung mit diesem Server getrennt und wird den Versuch beim nächsten Abrufzyklus wiederholen. Weitere Informationen: Erwartete Version: 31 Inkompatible Serverversion: 30 Domänencontroller: (unser Domäncontroller) Abrufzyklus: 60 Minuten Nun die Frage... kann ich das Schema auf unseren DC's irgendwie zu der benötigten Version bringen? Oder muss ich die DC's auf 2k3 R2 SP1 updaten (was ich nicht gern machen möchte, weil wir hier einige Samba-Fileserver im Einsatz haben; ob die das so vertragen weiß ich nicht)?

Danke! Probiere ich dann mal aus... wenn ich wieder ein wenig Luft hab.

Sorry, hast recht... bin heute ein wenig am Rotieren. Habe eine Gruppenrichtlinie in der Domäne auf eine best. OU angewendet. In dieser sind aktuell mehrere Domänen-Gruppen eingetragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Erstellen von globaler Objekte). Nun muss noch der lokale Administrator der Computerobjekte in der betroffenen OU in diese Richtlinie miteingetragen werden. Aber wie trage ich den ein? Kann ja nicht in der Gruppenrichtlinie auf die Ebene der lokalen Benuter/Gruppen der Computerobjekte zugreifen. War das klar genug?

Hallo, kann mir jemand sagen, wie ich in einer AD-Gruppenrichtlinie (DS's sind W2k3-SP1) den lokalen Administrator einer Maschine hinzufügen kann? Habe schon probiert mit "LOCALHOST\Administrator" und "LOCAL\Administrator". Funzt nett. Danke!

Das ist dochmal eine Antwort!! Danke! Sieht (bis jetzt) gut aus.

Uups... sorry, deine Tipps hab ich total übersehen... schau ich mir gleich mal an. Danke!!

Ich möchte die Diskussion hier bitte beenden. Dabei prallen nunmal Welten aufeinander. Nur noch soviel gesagt... berufsbedingt bin ich in "beiden Welten" tätig. Mehr in der Unix/Linux-Welt als bei Microsoft. Was mich (bisher) bei Microsoft überzeugt hat ist ActiveDirectory. Hier gibt es meiner Meinung nach nichts Vergleichbares. So, nun wäre ich glücklich, wenn mir jemand sagen kann, ob das Tool "ppSchedule" bedenkenlos auf nem 2003-SP1 DC eingesetzt werden kann. :)

Habe ich auch nicht erwartet. Diese Diskussion habe ich schon oft genug geführt und erkannt, dass man auf kein Ergebnis kommt. Wollte nur meinem Unmut Luft machen.

Kann ich das Tool bedenkenlos auf W2k3-SP1 einsetzen? (Fungiert als DC)

Erstmal Vielen Dank für eure Antworten! Und nun werde ich mich wohl hier im Forum mächtig outen... Das ist ein weiterer Beweis dafür, dass Windows sehr früh an Grenzen stößt, bei denen meiner Meinung nach kein Serverbetriebssystem hängen bleiben sollte. :mad:

Werde ich mal probieren. Danke! BTW: was genau bedeutet eigentlich in einem "geplanten Task" im "Leerlauf starten". Heißt das, dass der Task nicht mehr laufen darf? Oder wenn der Server nichts zu tun hat?

Servus, möchte eine Batch-Datei auf einem W2k3-SP1-Server alle 5 Minuten ausführen lassen. Wie bekomme ich das hin? "Geplante Tasks" und "at"-Kommando sind nicht zufriedenstellend. Danke!

Hallo, wollte mal nachfragen, ob es zu Problemen kommen kann, wenn ich auf einen W2k3 SP1 AD-Controller Wireshark/Ethereal installiere? Hat damit schon jemand Erfahrung gemacht? Auf Unix/Linux-Seite ist das bekannterweise problemlos. Oder hat jemand vielleicht eine andere Empfehlung für ein OpenSource-Netzwerksniffer, der auf nem ADS-Controller einsetzbar ist. Zum Hintergrund: Wir haben mehrere ADS-Domänen per VPN an unsere zentrale ADS-Domäne angebunden. Läuft ohne Probleme. Nun sichern wir Daten von den angebunden Domäncontrollern auf einen Fileserver in der zentralen Domäne per Robocopy. Nach einigen Testläufen wollen wir nun feststellen, was von Seiten der angebundenen Domänen so netzwerkseitig alles in die zentrale Domäne läuft. Danke!

Ohne diese zusätzlichen Einträge funktioniert zwar die Zeitzonenänderung bei Windows (also Uhrzeit anklicken und dort der Haken bei Sommer-/Winterzeit)... wenn man aber dann unter Outlook die Zeitzonen überprüft, ist dort der Haken nicht gesetzt. Da ich in der VMWare-Testumgebung bei den Clients (XP und 2000) während der Sommerzeit mit Haken draußen, Testtermine eingetragen habe, müssten die Termine bei gesetztem und 100%ig funktionierendem Haken sich in der Sommerzeit um eine Stunde verschieben. Dadurch ist mir das aufgefallen mit den fehlenden Einträgen. Darum werde ich das auch nicht mit einem ADM-Template machen, sondern mit unserer Softwareverteilung. Weil eben mit einem ADM-Templete wohl keine HEX-Einträge gesetzt werden können, oder?

OK... Ansicht habe ich angepasst und das ADM-File wurde nun auch akzeptiert. Teste nun das File. Sage dann Bescheid, obs funzt. Also das ADM-File funktioniert. Das einzige Problem, was nun besteht ist, dass Outlook das anscheinend in der Kalenderverwaltung nicht mitbekommt. Dort ist unter "Extras/Optionen/Einstellungen/Kalenderoptionen/Zeitzone" in der aktuellen Zeitzone der Haken noch draußen. Gibt es hierfür auch eine Möglichkeit mit einem ADM-File zu arbeiten? So... hab es nun herausgefunden. Damit es auch mit Outlook klappt, müssen noch die beiden folgenden Werte in der Registry zusätzlich geändert werden: "DaylightBias" auf "4294967236" "DaylightStart" auf "00,00,03,00,05,00,02,00,00,00,00,00,00,00,00,00" (HEX) Nur leider kann man wohl mit ADM-Files keine HEX-Werte setzen? Wir lösen es mit unserer Softwareverteilung.

Was meinst Du damit?? Wenn ich das ADM-File versuche in meiner Testdomäne in der GPMC im Bereich "Computerkonfiguration/Administrative Vorlagen/Vorlagen hinzufügen entfernen" reinpacke, bekomme ich die Fehlermeldung, dass in der Zeile 9 des Skriptes der Eintrag "CATEGOR" und nicht "CATEGORY" steht, obwohl in der Datei augenscheinlich das "Y" geschrieben steht.

Hallo Leute, hab mal ne Frage bezüglich Zeitumstellung, Zeitzonen und "Haken raus, rein" in einer ActiveDirectory-Domäne. Vor so ziemlich genau 9 Monaten wurde die Uhr von Winterzeit auf Sommerzeit umgestellt. Normalerweise kein Problem... nur in unserem System ein GAU. Da ich einige Wochen vorher eine Funkuhr als zentralen Zeigeber an einen unserer Server gehängt habe und unsere ActiveDirectory-Domäne damit abgleichen lies, wurde bei der Sommerzeitumstellung eine um 1 Stunde differente Zeit eingestellt. Durch den immensen Druck "von oben" hab ich kurzfristig die Entscheidung getroffen, dass auf allen Servern und Clients das "Häckchen raus soll". Sprich, die Sommerzeit lokal auf den Maschinen auszuschalten ist. Was das für weitreichende Folgen hatte, war mir bis dahin (noch) nicht bewußt. Als dann Tage später zahlreiche Kollegen sich beschwerten, dass alle Kalendereinträge in Outlook im eine Stunde verstellt waren, war die K... am dampfen. Abgeholfen haben wir uns mit dem denkbar schlechtesten Weg: Kalender-Einträge exportieren, importieren... dann haben die Einträge wieder gestimmt. Nur leider gab es dann einige unschöne Nebeneffekte mit Handhelds, Handys, externen Kontakten und zu guter Letzt unseres Mailservers. Lange Rede, kurzer Sinn... Funkuhr töten, Zeit aus Internet holen und Häckchen überall wieder rein. Hört sich ja einfach an... ist es aber wohl nicht. Wir haben hier im Haus von der Firma CA die Software Unicenter (= u.a. Softwareverteilung). Damit wollen wir nun das Problem des "Häkchen rein" über Registry-Änderung lösen. Nur leider klappt das nicht so ganz. Zwar wird durch die Installation eines Softwarepaketes rein optisch das Häkchen wieder gesetzt, aber die Outlook-Kalender-Einträge zeigen an, dass die Änderungen nicht zu 100% vorgenommen worden. Hierzu ist zu sagen, dass ich eine ActiveDirectory-Testumgebung unter VMWare-Server mit zwei Domäncontroller, einem XP-Client und einem 2000-Client noch in der Sommerzeit aufgesetzt habe und auf den Clients in Outlook einige Test-Kalendereinträge setzte. Nun müssen die Kalender-Einträge in der Sommerzeit sich ändern, wenn das Softwarepaket für die "Häkchen"-Änderung korrekt arbeitet. Tut es aber nicht. Erst wenn ich per Hand das Häkchen raus und wieder rein nehme, ändern sich die Kalendereinträge. Nun meine Frage: Wo kann ich die Einträge vornehmen, damit zu 100% das "Häkchen" gesetzt wird (Registry, Dateien usw.). Vielen vielen Dank!!!!

Jetzt funzts... wahrscheinlich hats von Anfang an funktioniert. Mein (zugegebenerweise dummer) Fehler war, dass ich immer wieder den DNS-Eintrags des Computers gelöscht und erstellt habe, an welchem ich mich angemeldet habe. Und das Computerkonto hat ja sowieso Vollzugriff auf seinen eigenen DNS-Eintrag. Egal welcher User dies vornimmt. Trotzdem Vielen Dank!

Hmm... habe den User nun auf dem ADS-Server im Sicherheitsreiter von DNS mit Leserechten ausgestattet. Jetzt kann er über die Konsole sich auf den DNS-Server verbinden. Komischerweise kann er nun aber auch Objekte erstellen/löschen/ändern. Und das wollte ich eigentlich nicht. Eine Idee?

Der erwähnte Kollege ist 08/15-Domänen-Benutzer. Hat keine Rechte per Konsole auf den DNS-Server zuzugreifen.

Hi Leute! Für unseren Netzwerkadmin habe ich per adminpak.msi eine angepasste mmc-Konsole zusammengestellt, mit der er auf den DNS-Server (ADS-integriert!) zugreifen kann. Damit er überhaupt auf DNS über die Konsole zugreifen kann, musste ich ihn in die ADS-Gruppe "DNS-Admins" hinzufügen. Nun hat er aber Vollzugriff. Gibt es einen Weg, wie ich ihm nur Leserechte zuweisen kann? Danke!

Da wir hier uns hier schon mit E-Mail-Versand per Skript sind, kann ich noch das Tool "ERRTIMET" ans Herz legen. Damit kann man ganz einfach den Wochentag herausbekommen (habe ich mit meinem recht bescheidenen Wissen über Windows-Skripten per Kommandozeile sonst nicht herausbekommen). Ist für mich sehr nützlich, weil ich damit die tägliche Sicherung unserer Windows-Server benenne. Grüße!

Tools ist unterwegs