Grobiii

Hallo,

irgendwie verliere ich gerade den Überblick und hoffe jemand kennt sich da jemand besser aus als ich.

Unzwar geht es darum das wir innerhalb der ADS zwei Policys haben, einmal für User die ins I-net dürfen und eine proxy pac bekommen, und eine welche diese halt nicht bekommen und somit nicht ins Internet sondern nur wie alle per allg. Policy ins Intranet dürfen.

Nun ist das Problem das letztere, welche keine Proxy pac bekommen Probleme im Intranet haben.

1.

z.b. bei der seite http://www.mun.eur.astra.com

Bei Usern mit Proxy kommt keine erneute Anmeldung, bei Usern ohne Proxy kommt eine Anmeldung. Was aber nicht gewollt ist.

*.astra.com ist auch als vertraute Zone der Intranet Site eingetragen.

2.

die Seite astra-corpnet bzw. astra-corpnet.astra.internal

Hier ist *.astra.internal und astra-corpnet als vetraute Zonen eingetragen, komischer weise funktioniert bei Usern ohne Proxy nur astra-corpnet, aber astra-corpnet.astra.internal garnicht, wobei beides auf die gleiche Seite führt...zumindest bei den Usern mit proxy.

Jemand Ideen woran das liegen kann? Evtl. Berechtigungsprobleme auf den Servern von den Seiten?

ok, schon gefunden, da gibts den sogenannten ADS (Auto. Deployment Service) für.

ps. nur noch die Frage, funktionieren diese p2v Tools auch mit VirtualServer von MS, oder nur mit VMWare?

danke, das schaut gut aus...werde mich damit mal näher auseinander setzten.

thx again!

Hallo!

Folgendes Problem:

Wir haben einen Dell Server mit einem VirualServer drauf. Nun wollten wir ein GhostImage mit win2k auf diesen virtuellen Server aufspielen. Dies funktioniert auch soweit, aber sobald das Windows startet, gehts irgendwann nicht mehr weiter.

Er bricht den Startvorgang bei verschiedenen Sys drivern ab. Erst bei der dcdbas32.sys (wohl ein Dell spezifischer Service), nach Deaktivierung im Image dieser, bricht er bei der mup.sys ab.

Irgendwie glaube ich inzwischen nicht mehr das es an den Services liegt. Da des mup ja nun Standartservice ist.

Jemand eine Idee?

Viele Grüße

die Frage ist, woher weiss der PES wo das Key File auf dem Server liegt?! Wärend der Installation kam keine Abfrage.

ich hab da im Zuge eines Migrationstests ein kleines Problem mit dem Password Export Server. Mit dem der neuen ADMT Version sieht ja der CommandoZeilenBefehl eh etwas anders aus.

z.b.

admt.exe key /option:create /sourcedomain:adstest /keyfile:c:\

leider bekomme ich immer, egal welche Domaine ich angebe, diesen Fehler:

Invalid pointer (0x80004003)

Der Test besteht zwischen 2 W2k3 Domainen.

Jemand eine Idee was da los ist? Trusts und Rechte sind eigentlich soweit vorhanden.

EDIT: okay, hat sich erledigt

Lag wohl am ADMT selber, habs runter gehaun, und neu drauf, tadaaaa! :)

EDIT2: nächstes momentane Problem. Password Export Server läuft, aber bei der Usermigration mecker der Ziel Server an, dass er den Key nicht hätte. o_O den PES auf dem Source Server erkennt er.

Microsoft konnte helfen..sowas aber auch.

Also es liegt daran das der Hotfix versucht eine alte Version folgender DLL: Ws03res.dll zu installieren. Diese DLL ist vom 18-Jun-2004, hat man durch ein Security Update eine neuere Version dieser DLL auf dem Rechner, entsteht das oben genannte Problem.

Also einfach die vorhandene DLL umbennen, Fix installieren, und schon gehts. Soweit ich mich erinnere entsteht keine grosse Sicherheitslücke durch den Austausch. Kann man googeln.

also haben den Hotfix bekommen, ging sogar recht schnell, ich war überrascht. :)

Leider funktioniert er nicht richtig. Nach dem installieren kann man in der erstellten WLAN GPO kein Netzwerk adden...es passiert einfach nichts wenn man den Knopf drückt.

Komisch war auch das nach der Installation kein Restart nötig war...

Ideen?

Ja genau, einfach ein Mail an MS und alles Weitere folgt.

hm, nun denn...bin ich mal gespannt.

hallo!

Bei uns haben wir auch das Problem, w2k3 Server ohne Sp1 und wollen WPA nutzen.

Dafür gibt es ja wohl hier: http://support.microsoft.com/default.aspx?scid=kb;en-us;811233

nur wo? sehe nur das man sich wohl mit dem Support in Verbindung setzten soll.

btw. könnte man nicht das kompl. w2k3 sp1 adm einspielen? wobei...glaube eher nicht hm?

danke!

ja, das Problem ist aber, das die Änderung erst nach 2,3 o. 4 Explorer starts übernommen werden. Da scheint noch irgendwas anderes nötig zu sein.

wie kann ich das "verschieben" der Eigenen dateien beim erstellen eines Users ohne AD Lokal bewerkstelligen???

danke

geht dies auch per script oder regedit?

Also wir haben mal etwas weiter geforscht. Es liegt daran, das backup exec den Zugriff auf die pst "klaut" und der User selber nicht mehr auf die pst zugreifen kann. Genau ab dem Zeitpunkt geht garnichts mehr, und Outlook versucht wohl immer auf die "defekte" pst zuzugreifen. Dadurch schmiert wohl der Server ab. Neue pst´s kann man dann auch nicht mehr mit dem User anlegen, ab da kommt dann "access denied".

Hallo,

im Verlauf einiger Tests zum Backup vom pst Files, wollte ich mit einem Testuser pst Datein auf einen Server legen. Dazu hab ich ein Verzeichnis erstellt und alle nötigen Berechtigungen vergeben (Share Vollzugriff, Security Mod Rechte).

Wenn ich nun das pst File in diesen Ordner speichern(erstellen) will, bekomm ich immer im Outlook die Meldung <....pst access denied> und spätestens wenn ich mich mit dem Client abmelde, stürzt der Server total ab.

Hat jemand eine Idee woran das liegen kann?

danke!

Die gibt es natürlich, aber daran sollte es auch nicht liegen.

Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten.

Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben.

Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen.

danke für dine Antwort!

Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes.

Hallo Admins,

mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten.

Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug.

Wie in diesem Artikel beschrieben.

http://support.microsoft.com/kb/280830/en-us

Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme.

Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben?

kleines Beispiel:

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht.

Hat jemand eine Idee?

Danke!

http://www.microsoft.com/technet/scriptcenter/topics/win2003/lastlogon.mspx

das sollte helfen. Script um die Felder auszulesen und den Wert in ein datum umzuwandeln.

ah ja, danke! Hatte das neuste PSP drüber gespielt, lag wohl dann an der neue Version bzw. der von dir genannten Umstellung und das ich den Text nich gelesen hab.

danke für die schnelle Antwort!!!

Hallo!

Kennt einer eine Möglichkeit das PW für die HP Managment Homepage zu reseten. Ich hab schon das ganze SupportPack neuinstalliert, nur kommt dort einfach keine neue Konfiguration der User/Pws.

thx

also über LDP haben wir das auch gemacht. Rechte werden damit wunderbar wiederhergestellt, leider gehen vorher gefüllte Attribute total verloren. Oder gibts da noch ein Trick?

Das Tool tut da nichts besseres. Geht halt nur schneller wenn man die Objekte in die alte DN wiederherstellen möchte. Attribute auch verloren...leider.

Also ich hab nu auch noch mal ein wenig rumprobiert. Solange man sich mit einem Local Benutzer anmeldet und dieser berechtigt ist, funktioniert es wunderbar, und er kann Drucker installieren. Aber sobald die Domain ins Spiel kommt geht nix mehr.

Ich habe in der Domain Policy eine Usergruppe dazu berechtigt Treiber installieren zu dürfen, leider bewirkt dies rein garnichts.

:/

EDIT:

Okay, habs. Man muss den Domain User zum einen das Recht in der Domain Policy geben und ihn Local zu den Poweruser/Hauptbenutzerhinzufügen.

Ja aber genau das ist das Problem, wir wollen ihnen es ja erlauben, aber halt nur für die Drucker.

Wenn ich in der oben genannten Policy verbiete Treiber zu installieren, und dann das Verbot Druckertreiberinstallationen durchzuführen disable, können sie es dann wieder!? Ich versuchs mal, glaub es aber nicht.