Jump to content

warbird001

Members
  • Gesamte Inhalte

    208
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von warbird001

  1. Hallo Alle, vielen Dank fuer eure Hilfe. Im laufe der Suche ist mir aufgefallen das ich am Anfang etwas uebersehen habe - DFS. Der Laufwerke sind in einem DFS eingebunden und werden ueber GPO an die Benutzer verteilt. Greift der Benutzer(a) direkt auf den Server zu z.b indem er \\dateiserver\verzeichniss1 im Explorer eingibt dann stimmt alles, die Zugriffsrechte gelten dann wie erwartet. Greift Benutzer(a) aber ueber den DFS Pfad \\domain.intern\freigabe auf das gleich Verzeichniss zu dann hat er deutlich mehr Rechte als gewuenscht. Dabei macht es keinen Unterschied ob der Zugriff ueber per GPO gemountetem Laufwerk oder direkt ueber den Explorer erfolgt.
  2. In der lokalen "Administratoren" Gruppe des Servers ist der Nutzer nicht. In der "Domänen Admin" Gruppe des AD auch nicht.
  3. Der User sieht die Dateien, kann die Dateien Öffnen , bearbeiten und auch Löschen
  4. "Administratoren" und "dateiadmins" ist bei "whoami /groups" nicht zu sehen. Abgesehen von den Gruppen die in "Active Directory Benutzer und Computer" auch zu sehen sind, tauchen da noch ein paar Gruppen auf die ich nicht ganz genau zuordnen kann. Sowas wie: NT-AUTORITÄT\INTERAKTIV NT-AUTORITÄT\Authentifizierte Benutzer NT-AUTORITÄT\Diese Organisation LOKAL Bei diesen Gruppen steht als Typ: "Bekannte Gruppe" Wenn ich das mit meiner eigenen (non Admin) Benutzeranmeldung vergleiche.... die tauchen auch bei meiner Anmeldung auf.
  5. Guten Tag, ich habe hier das Problem das ein Benutzer(a)auf DatenVerzeichnisse zugreifen kann auf die er eigentlich keinen Zugriff haben sollte. Die Rechtevererbung auf diese DatenVerzeichnisse wurde bei Erstellung deaktiviert und die Zugriffsrechte manuell neu gesetzt. Auf das Verzeichniss haben Zugriff: "dateiadmins" "Administratoren" "system" "derbenutzer-dem-die-dateien-gehoeren" Der Benutzer(a) der auf das Verzeichniss Zugriff hat ist nicht "der-benutzer-dem-die-dateien-gehoeren" und er ist NICHT Mitglied in den Gruppen "dateiadmins" und "Administratoren". Trotzdem hatt er in den Verzeichnissen Read/Write Zugriff. Wenn ich den beiden Gruppen - "Administratoren" und "dateiadmins" - die Zugriffsrechte fuer das Verzeichniss wegnehme dann hat auch der Benutzer(a) keinen Zugang/Zugriff mehr zu den Verzeichnissen. Der Benutzer ist aber KEIN Mitglied in den beiden Gruppen. Wenn man eine Kopie des Nutzers ueber "Active Directory Benutzer und Computer" erstellt, so hat der neue erstellte Benutzer keinen Zugriff. An der Gruppenzugehoerigkeit scheint es also nicht zu liegen, die sind Identisch. OS ist Windows Server 2016 Es scheint nur dieser eine (File)Server betroffen zu sein. Auf anderen Servern scheint Benutzer(a) keine auffaelligen Rechte zu haben. In den AD GPOs und der Lokalen GPO habe ich nicht auffaelliges finden können, weiss aber auch nicht so genau wo ich da genau hinsehen muesste. Wenn ich mir auf unserem DC in einer Powershell Get-ADGroupMember Administratoren -recursiv ansehe ist der Benutzer(a) nirgendwo zu sehen. Hat jemand ne Idee wo ich noch suchen kann?
  6. Der DC nacht zusaetzlich noch DHCP. Der DC wurde nach dem Crash nur eingeschaltet. Bisher wurde kein Backup/Image irgendeiner Art zurueckgeschrieben.
  7. Hallo Alle Bei einem Hardware Ausfalls an unserem ersten DC (server1) sind die beiden DCs unserer alt umgebung aus dem Tritt gekommen. Es handelt sich um zwei w2k3 DCs auf denen eine w2k3 Domaene Laeuft. In der Domaene melden sich keine normalen Anwender mehr an sie muss aber wegen einer sehr speziellen Software bis auf weiteres weiterlaufen. Auf dem ersten DC(server1) der alle AD Rollen innehat taucht seit dem vorfall die gleiche Fehlermeldung (Ereignisskennung: 13508) auf wie auf dem Server7. Ansonsten ist auf server1 nichts weiter zu sehen. Auf den anderen server(server7, server4) taucht unter anderem noch Ereignisskennung: 4 KRB_AP_ERR_MODIEFIED auf. Mir sind fuer so eine Situation 2 Moeglichkeiten Bekannt: 1. Den server1 non-Authoritiv aus einem Backup wiederherstellen, -> server1 vom Netz trennen, mittels ntbackup non-authoritiv wieder einspielen, neu starten, netzwerk anschliessen und hoffen das die zwei sich wieder syncronisieren. Ich bin mir aber unsicher ob das beim Inhaber aller AD Rollen so einfach machbar ist. 2. Den Server1 komplett entfernen und server7 mittels ntdsutil (SEIZE) zum Inhaber aller Rollen zu machen. Ist das so richtig oder gibt es bei Ereignisskennung 4 - KRB_AP_ERR_MODIFIED noch einen anderen Loesungsweg? Die Kompletten Ferhlermeldungen habe ich unten angehaengt. Danke. ciao Stefan:wq Der zweite DC (server7) bringt seit dem Vorfall folgende Meldungen im Ereignissprotokoll: Bereich Verzeichnissdienst: --- Ereignistyp: Warnung Ereignisquelle: NtFrs Ereigniskategorie: Keine Ereigniskennung: 13508 Datum: 26.03.2017 Zeit: 16:27:12 Benutzer: Nicht zutreffend Computer: SERVER7 Beschreibung: Der Dateireplikationsdienst konnte die Replikation von SERVER1 nach SERVER7 für c:\windows\sysvol\domain mit DNS-Namen server1.ausbildung.XXX.de nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name server1.ausbildung.xxx.de von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf server1.ausbildung.xxx.de nicht ausgeführt. [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 21 07 00 00 !... Bereich System: Ereignistyp: Fehler Ereignisquelle: Kerberos Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 27.03.2017 Zeit: 10:24:36 Benutzer: Nicht zutreffend Computer: SERVER7 Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war . Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. --- Auf den 2 Mitgliesservern der Domaene tauchen folgende Fehlermeldungen immer wieder auf: Im Bereich System: --- Ereignistyp: Fehler Ereignisquelle: Kerberos Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 27.03.2017 Zeit: 12:13:57 Benutzer: Nicht zutreffend Computer: SERVER4 Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war DNS/server1.ausbildung.xxx.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Im Bereich Anwendung: Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1030 Datum: 27.03.2017 Zeit: 11:41:33 Benutzer: AUSBILDUNG\adm Computer: SERVER4 Beschreibung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1058 Datum: 27.03.2017 Zeit: 04:40:01 Benutzer: AUSBILDUNG\Administrator Computer: SERVER4 Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={2DB7F410-FBBF-4A0F-91F8-E4358F91C537},CN=Policies,CN=System,DC=ausbildung,DC=xxx,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ausbildung.xxx.de\SysVol\ausbildung.xxx.de\Policies\{2DB7F410-FBBF-4A0F-91F8-E4358F91C537}\gpt.ini> vorhanden sein. (Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ---
  8. Hallo Alle Wenn ich einen Windows 2012R2 Server als DC in eine Domaene Einbinden will in der bisher nur 2008R2 DCs vorhanden sind und die im 2008R2 Modus betrieben wird, will der 2012R2 eine Schemaerweiterung durchfuehren? Ist es nach diese Schemaerweiterung noch moeglich neue 2008R2 DCs einzubinden, oder bin ich ab da auf 2012R2 und neuer festgelegt? ciao Stefan:wq
  9. Hallo Alle, Ausser dem Klassiker \ hatte ich auch einige andere escapings bzw encodings fuer das Leerzeichen ausprobiert, U+0020 20 32 %20 #32 \32 als das Problem auftrat hat keins davon geholfen. Merkwuerdigerweise funktioniert die Anbindung jetzt. Der Inhalt von AUTHLDAPURL - ldap://****** - muss in doppelte Anfuehruengszeichen(") gesetzt werden, dann geht sowohl das Leerzeichen als auch deutsche Sonderzeichen im OU Namen. (hier wars ein Ü) Ich kann leider nicht mehr nachvollziehen was eigentlich das Problem war. Danke ciao Stefan:wq
  10. Hallo Alle Gibt es im AD eine Moeglichkeit eine OU mit einem zweiten Namen anzusprechen? (So eine Art symbolic Link) Es geht darum einem Apachen Zugriff per LDAP zu ermoeglichen. Die OU um die es geht enthaelt Leerzeichen, der Name der OU darf aber nicht geaendert werden. (Ordre de mufti) Der LDAP Zugriff funktioniert grundsaetzlich. Nur nicht wenn es um OUs geht die Leerzeichen enthalten. ciao Stefan:wq
  11. Hallo Alle Ich habe hier immer wieder das Problem das Devices (z.b Rechner oder IP Drucker) aus anderen IP Netzen nicht ereichbar sind obwohl sie es sein sollten. Das Problem tritt nur auf wenn der Zugriff aus einem anderen Netz erfolgt sind die Devices im gleichen Netz ist alles in Ordnung. Erst wenn ich von der IP des betroffenen Devices einen Ping auf das Gateway mache ist die Verbindung auf einmal da. Das Gateway ist unser Core Switch ein HP J8698A 5412zl. Bei den Rechnern ist Pingen vom Rechner zum Gateway kein Problem, bei den Druckern schon. Im Moment regele ich das indem ich den Drucker ausschalte und die IP des Druckers kurzfristig einem anderen Rechner zuordne. Hat jemand eine Idee was das Problem ist? In den Logs des Switches ist nichts zu sehen. Ich weiss im Moment nicht wo ich weiter suchen soll. Danke ciao Stefan:wq
  12. Er ist im Fruehjahr auf einem MS-Lizensseminar (2 Tage) gewesen und meinte das das da erwaehnt worden waere. ciao Stefan:wq
  13. Hallo Alle Hier steht die Installation einer Zertifizierungsstelle auf einem w2k8r2 an, um eigene Zertifikate erstellen zu koennen. Verwendet werden sollen diese Zertifikate im internen Netz, einem von aussen fuer Mitarbeiter zugaenglichen exchange/owa und einigen unserer Server auf die via Internet zugegriffen wird. Nun meint ein Kollege das man bei der Verwendung von mittels Microsoft Software selbsterstellten Zertifikaten extra Lizensen kaufen muesse. Ich hoere das zum ersten mal. Ist da was dran? ciao Stefan:wq
  14. Anwendungen bzw Hilfsmittel die sich nur im Nutzerkontext anpassen lassen haben wir einige. Insbesondere Fehlersuche ist hier in 90% aller faelle gar nicht anders Moeglich als mit der Anmeldung des Benutzers. In unserem "alten" Netz war es noch so das die Passwoerter der Nutzer noch bekannt waren. Dadurch brauchte der Benutzer nicht umbedingt vor Ort zu sein wenn wir uns um ein Problem gekuemmert haben. Das mit den Passwoertern soll sich eigentlich aendern. Wenn dadurch aber Fehlersuche nur mit Termin vor Ort moeglich ist, nunja ich lass mich ueberaschen wohin das Fuehrt. Das muss dann die Chefetage entscheiden. Vielen Dank fuer eure Hilfe. ciao
  15. Hallo Alle Ein Administrator muss Einstellungen in einem Benutzeraccount vornehmen dafuer setzt er das Kennwort des Nutzers zurueck. Wenn der Benutzer versucht sich wieder anzumeden bekommt er erstmal nur eine Meldung mit der Aufforderung sich beim Service zu melden damit diese ihm sein neues Passwort mitteilen. Es ist eine Windows 2008 R2 Domaene (Sowohl Server als auch Modus) Ist sowas ueber GPO einstellbar? ciao
  16. o.k , scheint erstmal alles geklappt zu haben. Danke Schoen ciao Stefan:wq
  17. Hallo Alle Ich bin im Moment dabei 3 bestehende Forests in einen neuen zu ueberfuehren. Jeder dieser Forests enthaelt nur eine Domaene. Die drei bestehenden sind ueber externe Vertrauenstellung mit der neuen Domaene verbunden. In der Zeit des Uebergangs muessen die jeweiligen Benutzer der 4 Forests auch auf Dateien in den jeweils anderen Forests zugreifen koennen Alle Gruppen ueber die Dateizugriffsrechte in den 3 alten Domaenen geregelt werden sind globale Gruppen. Damit ist erstmal keine Verschachtelung ueber die Forestgrenzen hinweg moeglich. Nun ist es hier moeglich diese globalen Gruppen zuerst zu universellen Gruppen und dann wieder zu lokalen Gruppen zu machen was dann eine Verschachtelung moeglich macht. Allerdings haette ich dann erstmal Domaenenlokale Gruppen mit ca 60 Benutzerkonten. Die koennte ich zwar mit der Zeit in eine andere globale Gruppe umziehen, aber erstmal haette ich einen Zustand von dem ausdruecklich abgeraten wird. Muss ich mit Problemen rechnen wenn ich das so mache? Oder wird vorm hinzufuegen von Benutzern zu domaenenlokalen Gruppen nur aus Organisatorisch / Verwaltungtechnischen Gruenden abgeraten? Die 3 alten Forests/Domaenen sind alle im Windows 2003 Modus. Der Neue ist im Windows 2008 R2 Modus. ciao Stefan:Wq
  18. Ja, klar. Es geht um Netzwerkgewschwindigkeit die mitunter stark variert, das gilt haupsaechlich fuer die Reaktionszeiten, ein Durchsatzproblem habe ich bisher nicht feststellen koennen. Es geht auch darum das immer mal wieder in unterschiedlichem Masse Fehler auftauchen die in der Ereignissanzeige der Clients als mrxsmb bezeichnet werden. Kurz gesagt ist das ein Allgemeiner Netzwerkfehler der nicht naeher spezifizert ist. Die genau ID und Bezeichnung habe ich derzeit nicht greifbar. Das ganze Netz ist eine einzige Layer2 Broadcast Domaene. Interne Router gibt es nicht. Anzahl der Clients bis zu ca 300 Plus ca 10 Server. Dazu kommen noch Drucker die direkt ueber IP angesprochen werden. Wenn ich nun die Managbaren Switches hinzuzaehle komme ich in bzw ueber den Bereich von 341 der mit den 2KB Switchen gerade noch so abdeckbar scheint. Hintergrund ist folgender: Der Austauch aller Geraete auf einen Schlag ist nicht moeglich. Derzeit wird ausgetauscht wenn es im jeweiligen Raum gerade Organisatorisch guenstig ist. Stellt sich die Frage ob es was bringt sich unter allen Umstaenden auf die Raeume mit den alten Geraeten zu Konzentrieren. Wenn die alten (nicht Managbaren, mit 1024 und 2048 Speicher) Switches bei der Zaehlung der Mac's miteingerechnet werden muessen dann bringt es wars***einlich nichts. Dann liege ich auf jedenfall bei ueber 400 Mac's .
  19. hmm, ein Vergleich mit aktuellen Realtek's hinkt wohl. Die Dinger sind Schaetzungsweise 4 (Rubytech) bis 10 (Deltacom) Jahre alt. Die aktuellen Linksys Modelle die wir ebenfalls einsetzen koennen lt. Datenblatt 8000 Eintraege. Die Frage ist eher ob diese "dummen" Switches in der Gesamtzaehlung der im Netzwerk vorhadenen MAC's beruecksichtigt werden muessen.
  20. Die genauen Typenbezeichnungen habe ich jetzt nicht zur Hand. Die Herstellernamen sind Deltacom und Rubytech. Die Dinger haben maximal 8 Ports und werden in der Form nicht mehr hergestellt.
  21. Hallo Alle Beim nachschauen in diversen Unterlagen ueber Switche bin ich immer wieder darueber gestolpert das dort die max Groesse der Mac Tabelle auf 1024 Byte oder 2048 Byte angegeben wird. Wenn ich nun ansetze das eine Mac Adresse 6 Byte gross ist heisst das das die Maximale Groesse des Netzwerks auf 170 bzw 341 Mac's beschraenkt ist? Nach allem was man so liest sinkt die Netzwerkgeschwindigkeit stark ab wenn die groesse der Tabellen ueberschritten wird. Unklar ist mir wie ich da zaehlen muss, das jeder PC eine MAC hatt ist klar. Zaehlen die Switche selber auch? Solche die mit Weboberflaeche oder aehnlichem daherkommen bestimmt. Aber was ist mit den kleineren? danke ciao Stefan:wq
  22. warbird001

    w2k8 Lizenzen

    Hab ich getan: Zitat aus dem Abschnitt "Lizensierung der Server Betriebssysteme" "Mit jeder CAL darf auf beliebig viele entsprechende Server des Lizenznehmers zugegriffen werden. ... Die CALs können wahlweise „per User“ oder „Per Device“ lizenziert werden. Bei einer Lizenzierung per Device dürfen beliebig viele Mitarbeiter von dem lizenzierten Gerät aus, auf den Server zugreifen" In einem bin ich aber unsicher: Wenn ich 10 Serverlizensen(physikalische Server) und 300 Device Cals(Geraete) habe. Duerfen dann alle 300 Geraete wahlweise auf die 10 Server zugreifen? Oder brauche ich dann 3000 Device Cals? Auf: http://www.microsoft.com/germany/windowsserver2008/r2-lizenzierung.mspx Heisst es: --- "Eine Windows Server 2008 Geräte-CAL erlaubt einem Gerät, das von einem beliebigen Nutzer verwendet wird, auf Instanzen von Windows Server 2008 R2 auf den lizenzierten Servern des Unternehmens zuzugreifen. Die Geräte-CAL ist sinnvoll für mehrere Nutzer, die abwechselnd von einem gemeinsam genutzten Gerät auf Instanzen von Windows Server 2008 R2 zugreifen (z.B. in einem Call-Center)." --- Demnach reichen 300, Oder?
  23. warbird001

    w2k8 Lizenzen

    Hmm, Installation o.k, Jedes Geraet was heisst das? Wenn ich einen Server Installiere und z.b 300 User dafuer Lizensiere. Gilt das dann nur fuer diesen Server? d.h Fuer jeden weiteren Server dieser Art muessten wieder z.b 300 User Lizensiert werden? Bei 2003 kann man anstatt der Nutzer die Anzahl der gleichzeitigen Verbindungen eintragen. Ich weiss aber nicht ob das beim 2008er noch geht.
  24. warbird001

    w2k8 Lizenzen

    Hallo Alle Ich habe hier ein Paeckchen auf dem Tisch liegen, steht drauf: Windows SrvStd 2008 32 Bit/64 German 1pk DSP OEI DVD 1-4CPU 5 CLt Wenn ich mit der DVD dem Key nun einen Server Installiere , den ich zuerst als Teststellung spaeter dann als Produktiv System nutze , was muss ich dann beachten wenn spaeter neue Lizensen hinzukommen sollen? Ist das ueberhaupt moeglich? Kann man den Server dann auch auf Verbindungen Lizensieren? Der Server soll der erste Domainencontroller fuer ein Netz werden in dem zum Schluss etwa 300-400 PCs mit Windows XP auf den Clients sein soll. Die genaue Anzahl der Server die in diesem Netz laufen werden ist derzeit noch nicht absehbar. Koennten 10-30 sein. (einige 2008 bereits vorhandene 2003er) ciao Stefan:wq
  25. Er spielt im AD keine weitere Rolle. Also kein DC,DNS, Exchange oder aehnliches. Genaugenommen ist das ein Autorisierungs und InstallationsServer fuer eine Spezialsoftware. Das sieht dann so aus das das Installationsprogramm ein Share auf dem Server erstellt. Von diesem Share wird die Software dann auf dem jeweiligen Client Installiert. Bei jedem Start des Programms greift der Client auf das Share zu und holt sich dort seine Lizens. Deshalb ist auch die Namensgleichheit so wichtig. Wenn sich der UNC Pfad aendert gibts auf jedenfall Aerger mit den Clients, im Schlimmstenfall muesste die Software auf gut 300 Clients manuell neu Installiert werden. )--: ciao Stefan:wq
×
×
  • Neu erstellen...