ginka

Hallo,

ich habe einem Benutzer die Gruppe DNSAdmins zugeteilt.

Wenn dieser nun über die WindowsServer2003-Verwaltungsprogramme auf das DNS-Snapin zugreift und die DNS-Ereignisanzeige öffnet, erscheint folgende Fehlermeldung:

##

Der Vorgang auf "DNS-Ereignisse" wurde nicht abgeschlossen. Zugriff wurde verweigert.

##

Er kann auch z.B. keinen neuen Alias (CNAME) erstellen, diese Befehle sind ausgegraut.

Wozu gibt es DNSAdmins, wenn die wichtigen Funktionen deaktiviert sind?

Oder muss noch etwas beachtet werden?

lg

Hallo,

in einem Netzwerk gibt es für jeden Benutzer (insgesamt 800 Benutzer) leider ein Logon-Script (benutzername.bat).

In diesem Script wird zuerst ein allgemeines Script (allgemein.bat) aufgerufen, das für jeden Benutzer gleich ist, und danach werden benutzerspezifische Laufwerk-Mappings durchgeführt.

Bei 800 Scripts ist jedoch die Wartung etwas aufwändig. Ich möchte die Scripts reduzieren.

Ein Ansatz dabei wäre KIXtart, denn hier kann man gruppenbasierende Entscheidungen implementieren.

Da jeder Benutzer eigene Mappings hat, wird ein einziges zentrales Script mit Sicherheit unübersichtlich, und das Script wird sehr groß.

Habt ihr vielleicht eine Lösung, wie man 800 Scripts unter einen Hut bringt?

######

Bsp.: Lösung derzeit

benutzer1.bat

======

call allgemein.bat

net use r: \\srv1\share1

net use s: \\srv1\share2

allgemein.bat

=======

net use h: \\srv1\home

net use k: \\srv1\daten

net use p: \\srv1\progs

###############

Hallo,

ich möchte die Bandbreite zwischen zwei PCs anhand dem Kopiervorgang einer 400-MB-Datei messen.

Gibt es da nützliche Tools, mit dem man dies bewerkstelligen kann?

lg

hallo,

es hat ja bei win nt das tool red nose gegeben, mit dem die domänen-kennwörter ausgelesen werden konnten.

ist das unter win2003-active-directory auch möglich?

das wäre ja dann eine fatale sicherheitslücke von microsoft

lg

Hast Du den betreffenden Rechner neu gestartet oder hast Du Dich nur ab- und wieder angemeldet ? Wenn das Computerkonto deaktiviert ist, kann kein SecureChannel aufgebaut werden. Aber warum schickst Du diese Rechner nicht in eine Arbeitsgruppe , dann kann sich da garantiert kein Domänenbenutzer mehr anmelden und Dein AD ist auch aufgeräumter ...

Der Rechner wurde neu gestartet, das ist ja das Komische. Langfristig ist geplant, die Rechner in eine Arbeitsgruppe zu schicken. Nur will ich aber erzwingen, dass sich die betreffenden User in der IT-Abteilung melden müssen, damit die Umstellung besser koordiniert werden kann.

Temporär oder dauerhaft?

 

 

 

Ja.

 

 

 

Klar.

 

 

 

 

Lokal oder an der Domäne?

Das ist an der Domäne passiert. Und der Rechner wurde neu gebootet.

Es soll temporär passieren.

hallo,

ich möchte erreichen, dass sich einige pcs in einer 2003-domäne nicht mehr an der domäne anmelden können.

reicht es, dass ich das jeweilige computerkonto deaktiviere?

beim deaktivieren kommt nämlich die warnung:

====

wenn sie dieses computerkonto deaktivieren, können sich benutzer auf dem computer nicht mehr in dieser domäne anmelden. möchten sie dieses computerkonto deaktivieren?

====

ich habe diese methode bei einem rechner getestet, neu gebootet, ad repliziert.

aber es können sich nach wie vor benutzer auf dem pc mit dem deaktivierten computerkonto anmelden.

habe ich etwas falsch gemacht?

hallo,

in einer testumgebung wurde wsus sowohl auf clients als auch auf servern gestestet.

ich habe mit wsus die erfahrung gemacht, dass wenn kein benutzer an einem server angemeldet ist, der server neu gestartet wird.

ein neustart ist aber in den meisten fällen ungünstig.

kann man irgendwie verhindern, dass ein server nach einer patch-installation restarted wird?

lg

hallo,

spricht etwas dagegen, den ms-sql-server-dienst als SYSTEM-Konto laufen zu lassen?

dann erspare ich mir jegliche passwort-änder-problematik

lg

hallo,

wie ist vorzugehen, wenn mein domänencontroller, der auch die fsmo-rollen rid, pdc, infrastuktur, dns und schema inne hat, ausfällt?

kann ich dann einen recovery-vorgang auf dem ausgefallenen server starten (eventuell wiederherstellungskonsole, etc)?

oder sollte ich eher die rollen auf den zweiten dc übertragen, das computerkonto vom defekten server löschen, den defekten server neu installieren und mit dcpromo wieder hochstufen?

lg

Hallo,

wie kann es sein, dass ein WINS-Eintrag den Status veraltet erhält.

Es ist nämlich das Phänomen aufgetreten (W2003-Server SP1 in 2003-Domäne), dass der Server mit dem WINS-Namen nicht mehr ansprechbar war. Nach Einsicht in der WINS-Datenbank habe ich einen veralteten WINS-Eintrag vorgefunden.

Sie kann man dies beheben bzw. in Zukunft vermeiden?

lg

Hallo,

welche Gründe kann es haben, dass ein W2003-Server SP1 von Zeit zu Zeit Seitenauslagerungen von 100% aufweist?

Es läuft ein Citrix Presentation Server 4.0 und dieser lässt ab dem Wert 100% keine Anmeldungen mehr zu.

Wo könnte ich nach den Ursachen forschen?

lg

hallo,

ich habe eine vollständige sicherung einer sql2000-datenbank.

die mdf-datei der produktionsdatenbank ist korrupt, die ldf-datei ist noch zugreifbar. kann ich jetzt ein roll-forward mit der transaktionsdatei ldf vornehmen oder muss ich wirklich auf gesicherte transaktionsdateien zurückgreifen?

hintergrund: die ldf-datei wäre aktueller als die gesicherte transaktionsdatei.

bei exchange 2000/2003 funktioniert ja ein roll-forward auf aktuelle transaktionsdateien.

lg

hallo,

spricht etwas dagegen, um bei einem sql 2000 server bei der täglichen backup-routine zuerst die datenbank zu sichern und danach die transaktions-logs?

lg

Schau mal mit NETDOM COMPUTERNAME <FQDN> /ENUMERATE , ob der Name überhaupt vorhanden ist. Schaue dann in der Forward-Lookupzone, ob er dort registriert ist ...

Die Fehlermeldung ist eindeutig, der Domänenmodus ist nicht hoch genug ...

mit enumerate wird er nicht angezeigt, aber in der forward-lookupzone wurde ein a-record für den alternativen namen eingegeben:

neue erkenntnis:

ich habe bei einem anderen server den registry-key DisableStrictNameChecking = 1 gesetzt und einfach einen alias (cname-record) im dns erstellt. mit dieser methode kann ich nun auch den server mit dem alternativen (alias)-namen ansprechen.

dies ist also eine alternative zum netdom, wenn der domänenmodus zu niedrig ist...

soweit ich das kenne werden diese regkeys bei der abmeldung wieder entladen und gelöscht und du siehst nur die standarduser, die ersten 6 einträge habe ich identisch mit dir und meinen aktuell angemeldeten user.

 

auf dem TS funktioniert das manchmal nicht richtig mit dem löschen und da gibt es sogar ein tool der als dienst mitläuft damit diese einträge dennoch sauber gelöscht werden.

 

der auszug der jeweiligen user liegt in dem profil. NTUSER.DAT

 

vielleicht beschreibst du mal bitte wozu du die anderen brauchst, vielleicht kann dir ja anderes geholfen werden.

 

edit: heute bin ich MVL des tages :D

ich möchte für einen bestimmten benutzer xy hkey_local_user registry-werte eintragen, aber als administrator. das wird halt nicht funktionieren.

auf 1

ich habe es probiert.

leider ist die fehlermeldung gekommen:

#################################

Unable to add newfound.domain.at

as an alternate name for the computer.

The error is:

Die Funktion kann nicht abgeschlossen werden.

The computer rename preparation procedure is available only if the

functional level of the domain to which this computer is joined is

Windows Server 2003 or higher.

The command failed to complete successfully.

##################################

Die Dom-Funktionsebene steht auf Win2000 pur.

Seltsamerweise erreiche ich den Server jetzt aber unter dem alternativen Namen, obwohl die Fehlermeldung erschienen ist.

Ist diese Fehlermeldung zu erklären.

Nebenbei: mit netdom computername /remove kann ich ja einen alternativen Computernamen wieder entfernen.

Das habe ich in diesem Fall auch probiert, leider funktioniert es nicht.

Fehlermeldung:

######################################

Unable to remove newfound.domain.at

as an alternamte name for the computer.

The error is:

Element nicht gefunden.

The command failed to complete successfully.

######################################

Obwohl ich den Server mit "newfound" ansprechen kann, sagt mir das netdom-Tool, dass der alternative Name nicht gefunden werden kann.

Wie bringe ich den alternativen Namen "sauber" wieder weg?

lg

Hallo,

sehe ich in der registry den HKEY_CURRENT_USER-Schlüssel von allen benutzern?

wenn ich nämlich unter HKEY_USERS nachsehe, bekomme ich nur folgende schlüssel:

.default

s-1-5-18

s-1-5-19

s-1-5-19_classes

s-1-5-20

s-1-5-20_classes

S-1-5-21-52125208-362048874-335166813-6153

S-1-5-21-52125208-362048874-335166813-6153_classes

wobei S-1-5-21-52125208-362048874-335166813-6153 die sid des aktuell angemeldeten benutzers ist.

auf diesem xp-rechner haben sich jedoch schon 3 andere domänen-benutzer angemeldet, deren sid finde ich aber nicht.

lg

Du kannst ihm mit NETDOM einen 2. Computernamen (Alternate) geben, musst dann noch einen Regkey setzen, damit es beim Aufrufen dieses Namens keinen Fehler gibt. Das ist aber kein NetBIOS-Name.

NETDOM COMPUTERNAME <FQDN des Servers> /ADD:<zusätzlicher FQDN>

Der Regkey ist unter

HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/LANMANSERVER/PARAMETERS

Wert: DisableStrictNameChecking REG_DWORD

und auf welchen Wert ist dieser Key zu setzen, auf 0???

Ja, das geht recht einfach über die Kommdanozeile mit dsget group. Näheres über die Online-hilfe ;)

 

grizzly999

danke für den hinweis!!

hallo,

kann ich aus dem active directory die mitglieder einer gruppe als text-datei exportieren.

ich möchte nämlich die gruppen dokumentieren, und wenn sehr viele benutzer mitglied einer gruppe sind, komme ich mit einem screenshot des active directory dialoges nicht mehr weiter.

danke

mfg

hallo,

ist es möglich, einem Windows2003-Server einen zweiten netbios-namen zu vergeben?

hintergrund: ein alter fileserver FILE2k wurde auf einen neuen fileserver FILE2k3 migriert.

leider haben einige office-programme den alten servernamen z.B. in verweisen zu vorlagen gespeichert, nun dauert das öffnen von word-dateien sehr lange, da ja der alte server FILE2k nicht mehr gefunden wird.

Jetzt wäre es also von Vorteil, wenn man dem Server FILE2k3 einen zweiten Namen FILE2k zuweisen könnte, damit man z.B. die Freigabe \\FILE2k3\Buchhaltung auch unter \\FILE2k\Buchhaltung erreichen kann.

ist das möglich?

lg

kommando zurück, gpedit funktioniert doch nicht.

leider hängt der w2003-server bei der maske "startskripts werden ausgeführt" einige minuten, und die befehle im skript "net-share befehl" werden nicht ausgeführt.

sind zu diesem zeitpunkt die netzwerktreiber noch nicht geladen?

auf windows xp prof funktioniert das einwandfrei

mit HKLM.

 

Danke mit den Gruppenrichtlinien hats funktioniert.

sollte es etwa mit HLKM auch funktionieren??

Mit welchen Run-Key wurde es dann probiert? HKLM oder HKU?

mit HKLM.

Danke mit den Gruppenrichtlinien hats funktioniert.