StefanWe

@moped: du hast also nun eine universelle gruppe in deiner domäne erstellt, in welcher der benutzer existiert? Und in der zweiten Domäne, wo die Resource steht, kannst du diese Universelle Gruppe nicht finden ? Wird die Domain denn überhaupt richtig gefunden bzw. aufgelößt ? edit: Hast du in deiner Domäne wo die Resource steht eine Globale Gruppe angelegt? Und in dieser Gruppe dann versucht, die Universelle Gruppe hinzuzufügen?

Hi, kurz zur Umgebung. 2 Win 2003 TS mit Citrix. Es gibt lokale Drucker welche auf den CTS's installiert sind. Einige Benutzer nehmen ihre lokal angeschlossenen Drucker mit in die Sitzung. Drucken funktioniert soweit ohne Probleme. In den Citrix Regeln ist eingestellt, dass der lokale Standarddrucker auch in der Sitzung der Standarddrucker sein soll. Klappt auch einwandfrei. Der Kunde hat mir nun folgendes Phänomen mitgeteilt. Der Kunde startet morgens seine Anwendungen. Unter anderem auch Word. Nun kann er über seinen Standarddrucker drucken. Aber sporadisch verändert sich der Standarddrucker nun auf einen "SBS PDF Softwaredrucker". Dieser PDF Drucker kommt durch die SBS Lohn Software. Aber der Benutzer nutzt diese Anwendung überhaupt nicht. Hat jemand eine Idee, warum sich der Standarddrucker mitten im Betrieb sich einfach ändert ?

indem du das Root Zertifikat deiner CA auf allen PCs in den Trusted Root Store importierst.

Hast du mal für den User eine Universelle Gruppe in seiner Domäne erstellt. Den User in die Gruppe hinzugefügt. Und in der anderen Domäne dann mal geschaut, ob die Universelle Gruppe vorhanden ist, so dass du die Universelle Gruppe zu den lokalen Administratoren hinzufügen kannst.

Hi, wir betreuen hier eine größere TS Umgebung auf Server 2008. Meine Kollegen versetzen die TS Server immer vor einer Software installation in den install Modus und später wieder in den execute Modus. Ich kenn dies noch von Win 2000. Aber soweit ich weiß braucht man das ab 2003 nicht mehr. Ist das korrekt ? Bzw. was passiert im Hintergrund, wenn ich den Modus wechsel ?

Ist es nicht einfach möglich, ein Image zu erstellen ohne Lizenzkey? Bzw. diesen später mit Sysprep zu löschen. Dann das Image ohne Key auf die zig Netbooks spielen. Und beim ersten Start kann dann der Kunde seinen Key, der ja unterm Netbook steht eingeben und hat ein Notebook mit seinem Key und euren Einstellungen. So wie es auch die "großen" Hersteller von PC Systemen machen.

fahr die virtuellen maschienen doch nachts per script herunter. Kopiere dir die VM Files aufs NAS, oder sonstwohin und starte die VMs wieder. Ist nicht schön, aber selten. Oder nimm BackupExec oder ähnliches mit dem VMWare Agent, dann kannst du die Maschinen auch im laufenden Betrieb sichern.

per Mail :D

du kannst schon dein selbstausgestelltes zertifikat nehmen. du musst aber das root zertifikat deiner ca in jedes Device importieren, welches auf owa zugreifen soll. Nimmst du ein fertiges von Verisign oder ähnliches, dann kannst du dir das importieren sparen. das ganze soll ja eine testumgebung sein, daher würd ich dir empfehlen, einfach das selbstsignierte zu importieren und gut ist.

schau mal mit Get-ExchangeCertificate | fl nach wann das zertifikat abläuft bzw. ob dort auch alles richtig ist, was den fqdn anbelangt. anschließend kannst du mit Export-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXX -BinaryEncoded:$true -Path c:\msxfaq.de.pfx -Password:(Get-Credential).password das zertifkat exportieren und in IIS und dein mobil Device wieder importieren.

ähm, ich kann dir leider grad nicht den powershell befehl runterbeten, aber googel doch mal. Man kann mit der Powershell ganz einfach ein cert erstellen ( ohne request Datei ). Das cert muss den externen dns Namen haben, worüber euer ex07 von außen erreichbar ist. Wenn du das soweit hast, musst du das cert natürlich dem IIS bekannt machen und anschließend auch auf das mobile Gerät. Hier übrigens das Powershell Script, welches man auch auf der msxfaq Seite findet. Entsprechend anpassen und dann läuft die sache. Eigentlich ganz einfach ;)

aber panda und etrust ist auch mist ^^ Also normal z.b. hat auch ab und an nen false positiv. Von dem Produkt bin ich allerdings auch nicht wirklich begeistert.

also meine Erfahrung sagt, das ich bei avira sehr oft false positives hatte. Mal wurde mir sogar der iexplorer als Virus gelöscht. Fand ich damals nicht so nett. Kaspersky ist relativ langsam, vor allem mit integrierter Firewall. Ich bin allgemein kein Freund davon, wenn man am Client zuviel mit irgendeiner schicken GUI einstellen kann, das braucht alles nur unnötig viel Performance. Sophos, haben wir hier ca auf 1000 Rechnern laufen. Aber selber bin ich da auch noch nicht so der große Freund von. Norton oh mein Gott. Wo ich bis jetzt auch ur positives gehört habe, ist der Forefront von MS. Den würd ich an deiner Stelle vielleicht wirklich mal in einer Testumgebung installieren und ausrollen.

Zum Thema Router/Firewall noch folgendes: Du sagtest zwar, das ihr eure Switches austauschen wollt, aber ihr benötigt nicht unbedingt managebare wenn ihr zwischen den beiden Netzen Routen wollt. D.h. ihr nehmt einen oder entsprechend viele Switche für das Konstruktionsnetzwerk. Und entsprechend viele Switche für das normale Netz. So das ihr Hardwaremäßig zwei unterschiedliche voneinander getrennte Netzwerke habt. Dann nehmt ihr einen Ordentlichen Router/Firewall, welcher auch entsprechend Durchsatz schafft und verbindet jeweils eine Netzwerkkarte mit einem Netzwerk. Dann habt ihr das ganze sauber getrennt. Einen L3 fähigen Switch und VLANs benötigst du, in deinem Fall nur, wenn du beide Netzwerke( Konstr. und "normal" ) auf einem Switch abhandeln möchtest. Interessant für die Lösung mit der Firewall wäre noch zu wissen, um welche Datenmengen wir hier sprechen auf dem Fileserver. Exchange verursacht nicht wirklich viel Traffic. Word Dokumente oder ähnliches auch nicht. Wollt ihr allerdings CAD Zeichnungen oder ähnlichen 100MB-> Größer von dem Fileserver ins Konstr. Netzwerk laden, dann ist die Lösung mit der Firewall definitiv mehr als nur ein Flaschenhals. Edit: Zum Thema Broadcastminimierung würde ich mir keine Gedanken in der kleinen Umgebung machen.

ist die Frage was er möchte. Ob ein Router mit 2 1GB Nics als Router ausreicht. Oder ob es ein Teurer Switch mit InterVLAN Routing sein muss. Jenachdem was zwischen den beiden VLANs für Daten transportiert werden sollen.

Also du kannst jeden x beliebigen Router für die Aufgabe nehmen. Ok nen DSL Router sollte es nicht unbedingt sein. Aber wenn du es "billig" haben willst, nimm ne Kiste, steck da zwei Netzwerkkarten rein und installier dort ne m0n0wall. Und routest zwischen den Netzen und kannst sogar noch Paketfilterregeln erstellen, so dass z.b. nur SMB Verkehr geroutet wird.

naja ich denke er will wahrscheinlich zwischen den subnetzen noch kommunizieren? Dafür reicht ein einfacher Router, der in beiden VLANs ein "Beinchen" stehen hat. Am sinnvollsten im Zusammenhang mit einer Firewall, dann kann man auch den Datenverkehr genau eingrenzen, was darf und was eben nicht. Aber für das reine VLANing reichen normale L2 Switche die VLANs können.

frage, wie lößt du die namen der server aus? netbios namen oder dns namen? Wenn netbios, dann schau mal, ob der Winsserver bei den clients im vlan5 richtig eingetragen sind. Da die Clients im vlan4 ja die Server mittels broadcast auflösen kann. Die clients im vlan5 aber nicht, da broadcasts nicht geroutet werden.

achja. Der Grund warum das mit den GPOs nicht möglich war, ist der, das der Druckername nciht s1la ist sondern s1la auf server. Und das würde wiederum die Benutzer verwirren. Daher legen wir lokale Ports mit dem UNC Pfad des Druckers an. Damit ist es ein lokaler Drucker, wir können Berechtigungen vergeben und die Druckernamen sind kurz und nicht verwirrend.

ok, jedenfalls hab ich nun die Lösung gefunden. Ich habe das Zertifikat des Herstellers in den Store "TrustedPublisher" des Computerkontos importiert. Dann lassen sich auch die Drucker automatisch installieren.

Wenn du als authentifizierung Kerberos gewählt hast, meldet sich das Computerkonto per Kerberos unverschlüsselt am Domänencontroller an. Tauscht dann mittels IPSec die Verschlüssellungsdaten aus und ab da an ist die Verbindung verschlüsselt. Dann solltest du definitiv IPSEC Daten sehen. Nutzt du Zertifikate, sollte sich auch das Computerkonto schon über IPSEC anmelden. ( Hier bin ich mir aber nicht 100% sicher ) Vorausgesetzt du hast die GPO auch richtig konfiguriert.

ich kann dir leider gerade nicht mehr genau sagen warum nicht, aber das habe ich bereits versucht und es passte zu der restlichen Umgebung nicht.

Hi, ich habe 20 Drucker die ich auf ca. 25 Terminalserver ( Win 2008 x64) deployen muss. Nun habe ich mit printbrm oder auch printmig ein Druckermig. File erzeugt. Dieses lässt sich aber nicht installieren, da dem Treiberhersteller nicht vertraut wird. Wenn ich nun einmal einen Drucker manuell von dem Hersteller mit dem Treiber installiere, kann ich das printmig. bzw. printbrm File installieren. Soweit ich gesehen habe, kann man bei 2008 die Treibersignatur nicht mehr ausschalten. Die Drucker sind UTAX Drucker. Der Hersteller der Treiber scheint Kyocera zu sein. Das sind so OEM Drucker. Die Treiber sind auch signiert, allerdings wohl der Hersteller nicht. Kennt ihr eine Möglichkeit, die Drucker am besten zu deployen ? Bzw. dem Hersteller per Gruppenrichtlinie oder ähnlichem zu vertrauen ? Danke.

Ich glaube er meint keine VPN Verbindung sondern den internen LAN Verkehr per IPSEC zu verschlüsseln. Dies ist eigentlich ganz einfach. Die Default Domain Policy bitte nicht anfassen! In der neuen Gruppenrichtlinie dann: In der Computerkonfiguration->Windows Settings->Security->IP Security-> Die Secure Server Regel anschauen bzw. entsprechend anpassen. Wichtig achte drauf das alle Rechner die Gruppenrichtlinie ziehen. Dann sollte der gesamte Verkehr per IP Sec verschlüsselt werden. Wenn du es ohne CA machst, solltest du trotzdem die Kerberos Protokolle im Sniffer sehen, da hierüber dann die Authentifizierung der Rechner erfolgt.

kannst du mal die Logs hier reinstellen ?