BaSe

AH ok, bin noch selber darauf gekommen.

(&(objectCategory=computer))(lastLogon<=127595195380000000)

Hab da so ein Script gefunden das die Zeit(bzw. Datum) umwandelt:

' DateToInteger8.vbs

' VBScript program demonstrating how to convert a datetime value to

' the corresponding Integer8 (64-bit) value. The Integer8 value is the

' number of 100-nanosecond intervals since 12:00 AM January 1, 1601,

' in Coordinated Universal Time (UTC). The conversion is only accurate

' to the nearest second, so the Integer8 value will always end in at

' least 7 zeros.

'

' ----------------------------------------------------------------------

' Copyright © 2004 Richard L. Mueller

' Hilltop Lab web site - http://www.rlmueller.net

' Version 1.0 - June 11, 2004

'

' You have a royalty-free right to use, modify, reproduce, and

' distribute this script file in any way you find useful, provided that

' you agree that the copyright owner above has no warranty, obligations,

' or liability for such use.

Option Explicit

Dim dtmDateValue, dtmAdjusted, lngSeconds, str64Bit

Dim objShell, lngBiasKey, lngBias, k

If Wscript.Arguments.Count <> 1 Then

Wscript.Echo "Required argument <DateTime> missing"

Wscript.Echo "For example:"

Wscript.Echo ""

Wscript.Echo "cscript DateToInteger8.vbs ""2/5/2004 4:58:58 PM"""

Wscript.Echo ""

Wscript.Echo "If the date/time value has spaces, enclose in quotes"

Wscript.Quit

End If

dtmDateValue = CDate(Wscript.Arguments(0))

' Obtain local Time Zone bias from machine registry.

Set objShell = CreateObject("Wscript.Shell")

lngBiasKey = objShell.RegRead("HKLM\System\CurrentControlSet\Control\" _

& "TimeZoneInformation\ActiveTimeBias")

If UCase(TypeName(lngBiasKey)) = "LONG" Then

lngBias = lngBiasKey

ElseIf UCase(TypeName(lngBiasKey)) = "VARIANT()" Then

lngBias = 0

For k = 0 To UBound(lngBiasKey)

lngBias = lngBias + (lngBiasKey(k) * 256^k)

Next

End If

' Convert datetime value to UTC.

dtmAdjusted = DateAdd("n", lngBias, dtmDateValue)

' Find number of seconds since 1/1/1601.

lngSeconds = DateDiff("s", #1/1/1601#, dtmAdjusted)

' Convert the number of seconds to a string

' and convert to 100-nanosecond intervals.

str64Bit = CStr(lngSeconds) & "0000000"

Wscript.Echo "Integer8 value: " & str64Bit

Hallo,

kann mir jeman be einem Query helfen. Ich möchte Abfragen wann ein Computer zuletzte an der Domäne angemeldet war oder in den letzten 6 Monaten nicht.

(objectCategory=computer)(lastLogon=*)

Weiß nicht ob das so funktionert und wie ich die Zeit ausrechne.

Danke, das Programm aus dem Resourcekit ist das bessere.

Ja den Weg kenne ich, ich dachte es gibt vielleicht noch eine zentrale Lösung, d.h das solche Sachen im AD Protokoll protokolliert werden, oder ein Weg um sich die Ereignisse von den PC´´s zu holen und in eine Logdatei zuschreiben.

Wie kann ich in einer Domäne am besten protokollieren wer Domänenbenutzer in die lokalen Admin oder Hauptbenutzergruppen der PC´s steckt ?

Wir haben vor 2 Wochen ein LTO3 Laufwerk von IBM gekauft, sauschnell und passen bis ca. 400 GB auf ein Band :cool:

Ich habe die REG Einträge auf jedem DC vorgenommen:

a) Server aus DFS Stamm entfernen

b) DFS Dienst beenden

c) Reg Eintrag setzen

c) DFS Dienst starten

d) Server zu DNS hinzufügen

Das gleiche mit den anderen Server machen die im DFS Stamm sind.

Hab gerade was gefunden was evtl. das Problem Lösen könnte, ist zwar für Win2k aber das Problem wäre das gleiche:

http://support.microsoft.com/default.aspx?scid=kb;en-us;244380

oder besser wenn das oben dann trotzdem nicht funktioniert:

http://support.microsoft.com/?kbid=900622

Kann das jemand verifizieren?

Die Links auf die einzelnen Fileserver stehen mit FQDN drin. Ich kann ja schon nicht das Netzlaufwerk mappen, würde es an den Links liegen würde ich es wenigstens Mappen können aber dann nicht auf die einzelnen Links zugreifen können.

Was mich wundert ist, das bei den ROOT Targets die DC mit Netbios Namen drinnen stehen:

\\server1\root

\\server2\root

\\server3\root

Wenn ich aber ein Ziel lösche und wieder mit dem kompletten FQDN hinzufüge zeigt er trotzdem nur den netbios namen an.

Für mich sieht das so aus als möchte der client den Domänen Stamm \\tester.basel.de\root mappen, das DFS dem Client aber nur den netbios namen mitteilt , aber nicht der FQDN.

Eine 03er Domäne mit 3 DC´s. Es gibt ein DFS welches in AD intigriert ist.

Der DFS Stamm(AD) bzw. die Domäne heisst z.b tester.basel.de(3 Server)

Eine 2te vertraute Domäne ist über einen Router mit unsere Domäne verbunden, der DNS Server dort leitet die Anfragen die nicht beantwortet werden können an unseren DNS Server weiter.

Möchte sich jetzt ein Client aus der vertrauten Domäne über

net use R: \\tester.basel.de\root

mit dem Netzlaufwerk verbinden bekommt er die Fehlermeldung das die Information bla bla vom DC nicht gelesen werden können. Wenn ich die 3 DC´s in die hosts Eintrage klappt das Verbinden, oder wenn ich vor dem Verbinden ein nslookup Abfragen starte um die 3 DC´s aufzulösen funktioniert es auch.

Ich hab so das Gefühl, wenn der Client das DFS fragt das dieser nur den Netbios Namen zurück gibt, aber nicht den Namen mit Suffix, so sucht der Client dann den Server in deren LAN.

Jemand ne Idee warum das so ist?

Ich hab im DFS zum Test die Replikation für unseren DFS(AD) konfiguriert. Jetzt gibt es auf dem Netzlaufwerk des DFS Stammes einen Ordner Namens "DO_NOT_REMOVE_NtFrs_PreInstall_Directory". Ich kenn diesen Ordner nur aus dem SYSVOL, aber wieso taucht er auf dem Netzwerkwerk auf? Löschen kann ich ihn wohl nicht, hätte ihn aber gerne weg.

Hat keiner eine Idee?

Zwischen 2 Domänen(2003) herrscht eine transitive Vertrauenstellung, Domain A und B.

Ein Benutzer möchte von Domäne A auf ein DFS Share der Domäne B zugreifen, bekommt aber die Fehlermeldung "Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden, oder der Zugriff wurde verweigert".

Ich hab Testweise auf dem DC ein Ordner "Test" freigegeben, NTSF Berechtigung JEDER.

Darauf kann der User aus Domänen A zugreifen, allerdings auf das DFS Share nicht.

Es handelt sich um ein Domain DFS Root(ingesamt 3 Server).

Ich hab dann auf einem der 3 Server in dem DFS Ordner die Domänen User der anderen Domain hinzugefügt, aber wieder die gleiche Fehlermeldung.

Kennt jemand das Problem?

Also ich musste den WSUS deinstallieren und dann neuinstallieren , die Datenbank und die Update Dateien konnte ich wiederherstellen.

Die Sync läuft jetzt zwar wieder aber das Ergebniss ist unbefriedigend da ich den Fehler nicht finden konnte. Ich habe auch in diverses Foren gesucht, es gab viele User den mit gleichen Fehler, scheint wohl ein Bug zu sein der an MS schon gemeldet wurde...

Seit 2-3 Tagen funktioniert die Sync nicht da er der Meinung ist das er sich nicht am Proxy authen kann. Wenn ich die Syncoptionen verändern möchte und abspeichere bringt er mit die Fehlermeldung: Der Verschlüsselungsschlüssel kann nicht abgerufen werden.

Server ist Win03 Std. mit SP1 und aktuellen Patchstand.

Details:

WebException: Die zugrundeliegende Verbindung wurde geschlossen: Die Verbindung mit dem Remoteserver kann nicht hergestellt werden.. ---> System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (407) Proxyauthentifizierung erforderlich.

at System.Net.HttpWebRequest.CheckFinalStatus()

at System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult)

at System.Net.HttpWebRequest.GetRequestStream()

at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)

at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()

at Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)

at Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)

at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.InternalGetConfig()

at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.CatalogSyncThreadProcessReal(Boolean allowRedirect)

wie auch immer, wenn du einen restore machst musst du dieses restore authorisieren sonst verschwindet die zone wieder.

Die authorisierung konnte man nur über das Kommandozeilentool vornehmen oder?

Also Server vom Netz trennen, Systemstatus zurücksetzen und dann auth. vornehmen?

Danke, habs wieder teilweise hinbekommen, mir sind fast die Tränen gekommen als die Zone weg war :suspect:

Ich wollte einen HOST löschen, hab ihn auch markiert, aber irgendwie hab ich wohl unsere AD Zone erwischt, ich hab aber gestern noch die Zone in eine txt File exportiert...zum glück. Dadurch das sich alle 3 DC´s in windeseile repliziert haben konnte ich nix mehr retten.

Aber welche Möglichkeiten gibt es wenn man sich eine Zone löscht? Wo werden denn die Zonendaten abgelegt? Werden über den Systemstatus die DNS Daten gesichert?

Hallo,

durch einne Fehlklick hab ich die DNS für AD gelöscht. Systemstatus u.s.w hab ich, wie kann ich die Zone am schnellsten wieder wiederherstellen???

Papierkorb und Bereinigung hab ich als erstes gemacht, Kommandozeilenparameter muss ich noch testen, Defrag lässt sich zwar starten aber er macht gor nix.

Ich habe mir dann die defrag. Daten angsehen und festgestellt das die ArcServe Datenbank von 1.2 GB sehr defraggt ist. Nach dem ich Datenbank temporär auf eine Partition gelegt hatte gibt es dann, nach dem zurück schieben dann wieder nicht.

Ich werde wohl am WE mal eine defrag. der ArcServe Datenbank starten müssen, aber die dauert ja ewig :o

Ich hab auf der Systempartition 6GB Kapazität, beim ersten Versuch meldete das Programm das 15% freier Speicher benötigt werden , aber nur 6% frei sind.

Also hab ich die Auslagerungsdatei von 1.5GB auf 200MB verkleinert und eine 2te mit einer Kapazität von 1.5GB auf einer anderen Partition erstellt. Nach einen Reboot sind jetzt auf der Systempart 2.3 GB frei, der defragger meint aberimmer noch es stehe nicht genügend Platz zu verfügung (nur 6%).

Ich werde daraus einfach nicht schlau

Das war der erste Schritt, da steht aber leider nix drinne. Protokolliert hochfahren hat auch nichts gebracht.

Hat keiner ähnliche Problem ? Gruml :o

Nun, die maximale (oder minimale, je anch Standpunkt) Authentifizeriungsebene wird numal durch die eingestezten Clients definniert. Und wenn da W95 im Spiel ist, dann geht halt nicht mehr als ...

BTW: DomB Ist nicht deine Domäne, aber wenn W95 im Spiel ist, dann dürfen wir das Wort "Sicherheit " nicht in den Mund nehmen :suspect:

 

Also Upgrade der Clients, oder entsprechende Authentifizierungsebene zulassen, oder keine Verbindung für diese Cleints in Kauf nehmen.

 

grizzly999

Das ist mir klar, nur wie steht ihr zum NTLM1 Protokoll? Ist halt mal so das derAuthentisierungsmechanismus NTLM unsicher ist, so das das Abhören des Netzverkehrs möglich ist um Benutzerpasswörter zu rekonstruieren.

Die Problemmatik ist mir klar, einer muss nachgeben :rolleyes:

Aber die gewichtung, sollen die ihre W95 Clients rausschmeissen oder auf kosten der Sicherheit wieder das NTLM1 einsetzen.

Die Frage war ja : Könnte Firma B als Richtlinie LM- und NTLM-Antworten senden(NTLMv2-Sitzungssicherheit verwenden) einsetzen um das Problem zulösen?

In welchen Funktionsebenen sind denn die Gesamtstrukturen? Sind in allen beteiligten Domänen ausschließlich W2K3 DCs im Einsatz?

In beiden Domänen sind nur Win2003 Server vorhanden, unsere läuft in der Windows 2003 Funktionsebene, bei der anderen Firma weiss ich es nicht.

Guten Morgen,

unser Firma steht kurz davor mit einer anderen Firma zu fusionieren, dabei geht es primär um die Vertrauenstellung zwischen den beiden Windows 2003 Domänen.

Firma A(das bin ich) setzt als LAN Manager Authentifizierungsebene NTLM2 ein und verweigert LM & NTLM.

Firma B setzt als LAN Manager Auth.ebene LM & NTLM ein.

Das Problem ist das wir zwar auf Resouren der Firma B zugreifen können, Firma B aber nicht da die Kontoinformationen der AD-Ctrl.(Resourcen) unserer Server, bedingt durch NTLM2.

Die Gründe liegen einfach in der Netzwerksicherheit und in den Schwachstellen des NTLM1 Protokolles.

Könnte Firma B als Richtlinie LM- und NTLM-Antworten senden(NTLMv2-Sitzungssicherheit verwenden) einsetzen um das Problem zulösen?

Firma B verwendet teilweise noch Windows NT und Windows95 Rechner :suspect:

Wir, FirmaA, XP und Windows 2000 Rechner.

Gut, auf den NT Rechner könnte man das Active Directory client extension Addon verwenden um den NT Rechner NTLM2 beizubringen, aber mit Windows95(DOS) von meinem Wissenstand nicht.

Was ist eure Meinung zu NTLM und NTLM2, wie könnte man das Problem angehen.

Vorneweg : Ich gehe sehr ungerne auf NTLM1 zurück, Sicherheit geht bei mir vor.