antares

Danke vielmals. Ich habe die entsprechenden Änderungen vorgenommen. ;-)

Konnte das Problem lösen ohne die DB finden und löschen zu müssen. (Wenn man eine gewisse Menge alter Einträge löscht, z.B. solche, deren Namen nicht mehr aufgelöst werden kann, weil die User schon vom System entfernt wurden, dann wird die Liste neu erstellt.)

Kleine Nachfrage: Es hat im Ordner "Richtlinien öffentlicher Schlüssel" ein Objekt "Einstellungen für die automatische Registrierung" und parallel dazu diverse Unterordner. Einer davon heisst "Einstellung der automatischen Zertifikatsanforderung". Dieser ist leer für Benutzer/Computer Settings der "Default Domain Policy", - und auch für den Benutzerteil der Default Domain Controllers Policy". In deren Computerteil findet man allerdings in diesem Order ein Objekt mit Namen "Computer". Betreffend des Objekts "Einstellungen für die automatische Registrierung" , ist in beidem GPOs sowohl im User als auch im Computer Branch die Einstellung "Zertifikate automatisch registrieren" aktiv. Ich möchte nichts ändern, was ich noch brauche, sondern nur dem Ex-CertSvr DC das Autoenrollment abgewöhnen. Muss ich für das nur das eine "Computer" Objekt in der DDCP löschen, oder eben noch alle vier anderen Einstellungen auf "Zertifikate nicht automatisch registrieren" stellen? antares

Vielen Dank! Probiere es gleich aus :) .

Unsere Datenträgerkontingent-Verwaltung auf dem Fileserver ist irgendwie beschädigt. Die Kontingenteinträge bauen sich SEHR langsam auf, manchmal überhaupt nicht mehr. Namen werden erst nach Minuten bis Stunden aufgelöst. Skripte, welche noch aus W2k Zeiten LOKAL laufen und auf dem Objekt "Microsoft.DiskQuota.1" beruhen, sterben mitten in der Ausführung ab. Wenn ich die Datenträgerträgerkontingente deaktiviere würde und wieder reaktiviere, wird dann eine neue leere DB erstellt? Wo ist der Speicherort dieser DB? (habe nichts ergoogeln können) Kann diese DB manuell löschen (falls nötig) und neu ertellen lassen? Für jede Hilfe sehr dankbar Antares

Im Rahmen von Anpassungen unserer Serverstruktur wurde die Zertizierungstelle vom einen Domain Controller zum Anderen gewechselt. Auf dem neuen DC ist eine "Eigenständige Root-CA" installiert, die IMHO ohne Autoenrollment funktioniert. (Das weiss ich erst seit ein paar Minuten ) Auf dem älteren DC wurde IIS samt der Zertifizierungsstelle komplett deinstalliert. Dennoch versucht dieser ältere DC immer noch alle 8 Stunden ein Autoentrollment durchzuführen und meldet im Eventlog: --------------------------------------------------------------------------------------------------- Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskategorie: Keine Ereigniskennung: 13 Datum: 04.01.2007 Zeit: 19:20:02 Benutzer: Nicht zutreffend Computer: FIREBIRD1 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert ---------------------------------------------------------------------------------------------------- Wo deaktiviere ich dieses Autoenrollment? Und da ich schon beim Thema bin: Auf dem neuen DC, auf dem certsvc läuft sehe ich ab und zu diese Warnung: Ereignistyp: Warnung Ereignisquelle: CertSvc Ereigniskategorie: Keine Ereigniskennung: 77 Datum: 09.02.2007 Zeit: 07:55:27 Benutzer: Nicht zutreffend Computer: HANNIBAL Beschreibung: Der Richtlinienmodul "Windows-Standard" hat folgende Warnung protokolliert: Die Active Directory-Verbindung mit HANNIBAL wurde wiederhergestellt mit HANNIBAL. Falls grad jemand was darüber weiss... Vielen Dank antares (Ein Cert Neuling)

Danke für die Antwort ;) Habe sie reichlich spät bemerkt. SID: Wir präparieren die Images mit Sysprep, die SIDs sollten sich also unterscheiden. Zuviele Broadcasts, dass könnte sein, wie kann ich das feststellen / messen? P.S. Ja wir sind in einer Domäne (W2k3 Server)

Hallo Kennt jemand Gründe für diese Symptome: Ein beliebiger XP Client in unserer 2k3 Domände ist plötzlich ohne Netzwerkverbindung. Folgende Services sind dann beendet: -Arbeitstationsdienst -Automatische Updates -Windows Audio -DHCP Client und weitere mehr Das Problem tritt meistens kurz nach dem Anmelden in Erscheinung. Ist ein Computer länger im Anmeldebildschirm, oder ist besonders viel in den Computerräumen los, dann kann das Problem schon während des Logins passieren. Das Anmeldeskript, welches offenbar immernoch verfügbar ist (oder zwischengespeichert wird), kann dann die Shares vom Fileserver nicht anbinden und meldet viele Fehler. Das Problem ist vom verwendeten Useraccount und Computer unabhängig. Das überall installierte Windows XP Image hat alle Updates gekriegt, und der Virenscanner gibt keinen Alarm. Es scheint sich in einem Raum zu häufen, Switch dort scheint einwandfrei zu laufen. Neue Verkabelung haben auch schon ausprobiert. Gibt es ein Limit an Netzwerkverbindungen? Könnte unser Fileserver plötzlich Verbindungen ablehnen? In "seinem" eventlog finde ich absolut nichts Verdächtiges! Gibts es "böse" Proggies, welche NAV nicht kennt, unsere Schüler sind ziemlich einfallsreich, nur bisher haben wir immer alles gefunden... Bin ehrlich ratlos und um jeden Tip SEHR dankbar! Freundliche Grüsse antares

Aus diesem Technet Artikel entnehme ich: und weiter unten: und genau hier liegt dann der Haken dieser Lösung, denn wir haben eine AD integrierte Zone, welche NUR sichere Updates erlaubt, und dies soll nicht geändert werden. Ich bin sicher, dass die Lösung mit einem dedicated User eigentlich die richtige Strategie ist, auch der zweite Server kann so bei Bedarf die Einträge aktualisieren. (Habe ich auch gelesen, weiss nur nicht mehr wo. :D ) Mein Hauptproblem ist daher die Entrümpelung der PTR und A Records. Muss ich nun alle früheren Einträge, die dem SYSTEM User gehören von Hand löschen, damit der dhcp "neu anfangen" kann? Könnten mir Aufräumtasks innerhalb des DNS Servers weiterhelfen (Diese Tasks habe ich noch überhaupt nicht verstanden.) Und vom Mechismus her ist mir auch nicht klar, zu welchem Zeitpunkt der dhcp Server die A und PTR entfernt. Die Option "A- und PTR-Einträge beim Löschen der Lease verwerfen" ist bereits aktiv. Doch wann wird ein Lease gelöscht? Ich sehe in der dhcp console abgelaufene Leases mit einem Ausrufezeichen im Icon. Ich habe bisher nie genau beobachtet wie lange der server nun mit Löschen zuwartet. Ewig, bis Adresse wieder vergeben? Eine bestimmte Zeit? Gruss und Danke schön! Antares

Ja, ich habe einen offline DHCP Server, der bei Ausfall übernehmen wird. Er sollte die Einträge aktualisieren können, weil der dieselben Credentials benützt. Die DNSUpdateProxy Gruppe ist AFAIK dazu da, Einträge so zu machen, dass später der erste CLIENT, der den A Eintrag aktualisiert automatisch Besitzer des A Eintrags wird. Dies möchte ich eingentlich nicht, da ich bevorzuge, wenn der DHCP Server beide Einträge pflegt und nicht die Clients. Ich testete erfolgreich dies: (Der dhcp ist darauf eingestellt den User "dhcp2dns" zu Verwenden, ein simpler "Domain User") Ein PC mit neuem nie dagewesenem Namen bezieht ein Lease (ohne Reservierung). Ein korrekter A Eintrag mit Besitzer "dhcp2dns" wurde erstellt, auch ein korrekter PTR Record mit Besitzer "SYSTEM" und einer ACE "dhcp2dns" welche den schreibenden Zugriff erlaubt. Dies sieht soweit gut aus. Unklar ist mir noch, ob ich nun alle älteren A und PTR manuell löschen muss, weil die noch dem SYSTEM gehören, und dann evtl der dhcp2dns nicht aktualisieren darf. Ich sehe in der dhcp console auch etliche PCs die statt dem normal icon noch eine art "schreibstift" zeigen. Dies bedeutet afaik, dass die Aktualisierung noch "pending" ist.

Hallo Leute Ich habe mit Schrecken bemerkt, dass A und PTR Einträge unseres DNS Servers (AD integrierte Zone) nicht stimmen, resp. mehrere Einträge für denselben Namen bei den A Records und mehrere Einträge für dieselbe IP bei den PTR Records existieren. Der DHCP läuft auf dem Domain Controller und ist so eingestellt, dass er dynmische Updates für A und PTR Einträge IN JEDEM FALL machen sollte. (Auch für legacy clients) Bisher war der DHCP Server nicht dafür konfiguriert einen speziellen User Account für die dynmaischen Updates zu benutzen. Dies möchte ich nach Studium diverser Internetquellen ändern damit nicht die geerbten DC Credentials den DHCP Server bevollmächtigen alle Einträge zu ändern. Eine erste prinzipielle Frage stellt sich schon hier: Welche Rechte braucht dieser dedicated User, welche Group Memberships soll ich ihm geben? Freundliche Grüsse antares

danke für die antworten, werde mal schauen, wie teuer es unserer schule zu stehen kommt...

Hallo Leute, Unsere 2003 Server weisen sich selbst aus 2003 SP1 aus. Auf den InstallCDs steht nur schlicht "Windows 2003 Server Enterprise Edition". Im Rahmen von Linux/Unix Authenifizierung stiess ich auch "Windows 2003 Server R2" und möchte diese Features nutzen. Nun bin ich unsicher, ob dieses "R2" was Neues ist, das ich im Laden kaufen müsste, oder ob es bezogen werden darf, oder ob ich gar bereits diese Version habe, und man das dem Windows nur nicht "ansieht". Kann ich das irgendwie überprüfen, hat jemand erfahrung mit diesem R2? Freundliche Grüsse antares

Die Änderungen sollen durchaus geschrieben werden, sofern nur AM ENDE des Files angehängt wird. Was ich verhindern möchte, dass man bestehenden Text überschreiben darf. Leider finde ich keinen Weg mittels vbs in ein File zu schreiben, ohne dass "FileAccess.Write" Recht zu benutzen. Das "FileAccess.Append" reicht offenbar nicht aus, was ich persönlich überaus ärgerlich finde. (In einem Logfile soll es für alle User möglich sein, Einträge hinzuzufügen, doch sicher nicht bestehende zu manopulieren oder zu ändern, oder?)

Hallo Leute Ich möchte, dass ein Benutzer per Skript Daten an eine Datei anhängen kann, aber nicht bestehende Daten im File verändern. Bei den speziellen Dateirechten gibt es ja "Dateien erstellen / Daten schreiben" und "Ordner erstellen / Dateien anhängen". Leider ich NICHT NUR das Zweite wählen: Sowohl im notepad als auch mit opentextfile (ForAppending) lassen sich keine Daten anhängen, wenn ich nicht auch das write Recht erteile. Kann ich das irgendwie anders lösen? antares

Unsere Domäne wurde kürzlich von Windows 2000 Server auf Windows 2003 Server aktualisiert. Es gibt zwei Domaincontrollers, welche ihren Dienst eigentlich gut erledigen. Eine Grundsatzfrage stellt sich mir als Newbie im Bereich Zertifikate: Braucht mindenstens ein DC eine Certificate Authority (CA)? Momentan lässt sich nämlich nirgendswo das MMC Snap-In "Zertifizierungsstelle" ausführen, da Dienst nicht installiert. (Wurde sogar explizit auf einem DC deinstalliert, nachdem er auf W2k3 aktualisiert wurde.) Zusätzlich erscheint alle 10 Stunden folgende Warnung: (hier englische Version) ID: 20 Source: KDC Symbolic Name: KDCEVENT_INVALID_KDC_CERTIFICATE Message: The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain's public key infrastructure. The chain status is in the error data. Als mögliche Erklärungen ergoogelte ich: - The KDC certificate has expired. - The KDC certificate is not trusted for smart card logons. - There is no CA Smart Card Logons sind bei uns nicht vorgesehen, und es entzieht sich meiner Kenntnis, ob man wirklich eine Certificate Authority braucht oder nicht. Dankbar für jede Hilfe antares P.S. Certutil -dcinfo meint auch, dass bei beiden DCs keine KDC Zertifikate existieren. (Falls es alte gab, wurden die mit "certutil -dcinfo deleteBad" bei meinen Versuchen gelöscht)

Vielen Dank für den Tip. Gerade wollte ich schon ganz stolz verkünden, dass ich nun die Lösung habe, weil ich Adobe Acrobat 7 als Übeltäter enttlarvt hatte. Ist wirklich ganz unglaublich, dass der das "saved" - flag der normal.dot dauernd auf true setzt! Falls Leute hier sind, die (ausser dem Update auf 7.07) einen Workaround suchen, kann ich den Trick zur Vollständigkeit noch erwähnen: Bevor man Word schliesst SHIFT Taste gedrückt halten und auf "Datei" klicken. Danach den Menüeintrag "Alle sichern" wählen. Nun wird auch unsere heiss geliebte Normal.dot wieder gesichert! Vielen Dank an alle Helfer im Thread ;) antares

Extras -> Optionen -> Speicherort für Dateien -> Benutzervorlagen : zeigt ins korrekte Verzeichnis. Extras -> Vorlagen und Add-Ins -> Anfügen: Öffnet dieses und präsentiert die vorher reinkopierte Normal.dot. Ich kann die expizit "verbinden" und trotzdem werden dann keine Änderungen gespeichert! Immer ratloser....

Wir arbeiten an einer Schule mit XP und Office 2003, Ordnerumleitungen (appdata, desktop, eigene dateien) und roaming profiles. Zum Testen verwendeten wir einen "Domain Admin" Account, dessen romaing profile und Appdata gelöscht wurden, so dass beim Einloggen wieder alles neu generiert wird. Nach dem "ersten" Einloggen ist im Verzeichnis %APPDATA%\Microsoft\Vorlagen leer. (Ob das bereits anomal ist, entzieht sich unserer Kenntnis.) Nach dem Start von Word 2003 wird die Formatvorlage "Standard" geändert, inklusive Haken bei "Zur Vorlage hinzufügen". Solange Word offen bleibt, und man nur Dateien schliesst und wieder Neue erstellt, wird die neue "Standard" Formatvorlage benutzt. Beendet man Word, wird aber keine Normal.dot am obigen Pfad erstellt. Es wird auch kein Fehler gemeldet. (Filemon meldet: "File not found".) Beim erneuten Start hat Word die angepasste "Standard" Vorlage dann logischerweise vergessen. Kopiert von einem anderen nicht Domänensystem eine funktionierende Normal.dot an die korrekte Stelle (Mit bereits angepassten Formatvorlagen), dann werden die auch richtig geladen. Allfällige Änderungen werden aber wieder nicht zurück in die Datei geschrieben. (Obwohl Besitzer, File und Folderpermissions korrekt sind, und Folder Redirecter Dienst keinen Fehler meldet.) Wir sind ratlos, hat jemand Erfahrung mit sowas? Freundliche Grüsse Antares

Habe bemerkt, dass das Thema immer noch auf Interessenten stösst. Im folgenden Artikel sind zwei Ansätze beschrieben, davon finde ich besonders die RefusePasswordChange Option elegant, weil es nur eine Änderung auf dem Server braucht, und nicht alle Client-Registries angepasst werden müssen. http://support.microsoft.com/kb/154501/EN-US/ MfG antares

Hey Danke sehr für all die schnellen Antworten! Ich habe selber auch noch einige MS Knowledge Base Artikel gelesen, Dank dem Hinweis hab ich auch mit netdom experimentiert... Ich habe mich nun entschieden für die betroffenen Geräte per Registry Eingriff das Wechseln der Computerpasswörter zu deaktivieren. Bei diesen Geräten geht es in der Tat darum nach gewisser Zeit die Useränderungen wieder rückgängig zu machen. Hardwarelösungen dafür sind uns zwar bekannt aber liegen für die 60 Arbeitsplätze zumindest momantan nicht im Budget. MfG antares

Hallo Leute, ich hoffe ihr habt auch Erfahrung mit der Administrierung von grösseren Domains an Schulen... Die Situation: Auf jedem Client in unserer W2k Domain haben wir auf einer versteckten Partition ein 1:1 Ghost Image der Systempartition des Clients. Dieses Image wird nach Bedarf über die existierende Systempartition geladen. (Weil diese Images "per-Computer" sind, ist kein sysprep oder ähnlich nötig.) Die Problematik: Spielt man dieses Image häufig auf, funktioniert alles wie erwartet. Überschreitet das Alter des Images aber eine gewisse Zeit (scheint bei ungefähr 30 Tagen zu liegen), ist nach dem Aufspielen bei der Anmeldung eines beliebigen Users (an der Domäne) folgende Anmeldemeldung zu sehen: "Das System kann Sie nicht bei dieser Domäne anmelden, da das Computerkonto des Systems in seiner primären Domäne fehlt, oder das Kennwort für dieses Computerkonto falsch ist." Löschen des Computerkonto's auf dem Server, danach ein lokales Anmelden am Client (als Admin), und diesen neu in die Domäne einfügen, behebt zwar das Problem, ist aber ziemlich mühsam bei sovielen Clients. Vielleicht hat jemand eine Idee, oder versteht dieses Verhalten besser als ich... Fragen dazu: -Warum ist das Computerkonto plötzlich nicht mehr gültig? -Dürfte man also einen Computer nicht länger als einen Monat pausenlos ausgeschaltet lassen? -oder geschieht irgendwas beim ghosten, was das Vertrauen zwischen Domäne und Client zerstört? (Wenn ja, wieso dann nur bei einem 30 Tage alten Image???) Tja, für jeden Tip danke ich schon im Voraus! Freundliche Grüsse antares