mc02000

Hi,

bei jedem Versuch Sites in den IE-Sicherheitszonen (Lokales Intranet, Internet, Vertrauenswürdige Seite) mit Einträgen per GPO zu befüllen, wird dadurch die manuelle Bearbeitung im IE (am Client) gesperrt. Dieses tritt leider bei jedem IE auf. Die Felder werden einfach im IE gesperrt.

Gibt es daher eine Möglichkeit, dass die Einträge zentral verwaltet werden, jedoch der User die Möglichkeit bekommt die Einträge zu ändern bzw. Einträge hinzuzufügen?

Mir würde es schon ausreichen, wenn ich das Lokale Intranet vorgeben würde, der User aber unter Vertrauenswürdige Sites selbst Einträge hinzufügen, löschen, bearbeiten könnte.

Meine Versuche:

- Regkeyimport

- IE Wartung    <-- also der alte Weg

- ADM --> Windows Components --> IE

- Preferences --> Control Panel Settings --> IE          <-- Pflege der Sites ist ausgegraut

Besten Dank und Gruß

Michael

Hi,

es hat sich herausgestellt, dass zwischen den beiden Servern ein WAN-Beschleuniger von Riverbed im Einsatz ist.

Dieser unterstützt smb3 nicht.

Übergangsweise habe ich smb3 auf beiden Windows 2012 Servern deaktiviert.

Gruß

mc

Hi,

ich bin gerade dabei zwei neue Windows 2012 Server zu installieren.

Bei dieser Arbeit versuche ich vergebens vom Server 1 auf die Freigabe \\Server2\c$ zuzugreifen (beide Server sind Windows 2012 Server ink. aktuellem Patchstand) oder auch anders herum.

Hierbei erscheint die Benutzerabfrage + Password. Nach Eingabe der Daten erscheint dieses Fenster wieder und wieder und wieder.

Bei einem Versuch auf eine extra Freigabe \\Server2\service zuzugreifen, erscheint das Anmeldefenster nicht, der Zugriff funktioniert jedoch auch nicht.

Ein Zugriff von einem Windows 2008R2 Server auf beide neuen Windows 2012 Server ist sofort möglich. Es muss auch kein User + Passwort eingegeben werden.

- Beide Systeme sind in der gleichen Domäne und mein User ist zudem Domänenadmin.

- Die Regeln der lokalen Windows 2012 Firewalls beider Systeme sind deaktiviert (Dienst läuft).

- UAC auf beiden Servern deaktiviert.

- Eine weitere Firewall zwischen den Systemen existiert nicht.

- ping auf den Namen ist i.O.

Ich vermute daher, dass es an einer Sicherheitseinstellung liegt die nur dann greift, sobald es sich um zwei Windows 2012 ggf. auch Windows 8 Systeme handelt.

Hat jemand eine Idee?

Danke und Gruß

Hi,

ich habe eine kurze Frage bezüglich Update von unserem bestehenden Hyper-V 2008 Cluster mit 4 Nodes auf 2012.

Wie ich bislang im www gefunden habe, wird meist die Variante erklärt, bei der ein neuer 2012 Cluster mit z.B. einem Node installiert wird und dann per Cluster Migration Wizard die VMs rüber genommen werden.

How to Move Highly Available (Clustered) VMs to Windows Server 2012 with the Cluster Migration Wizard - Clustering and High-Availability - Site Home - MSDN Blogs

Ich suche jedoch eine andere Lösung, in der ich den neuen 2012 Node in die bestehende 2008 Farm integriere und dann die VMs auf den neuen Host verschiebe, dann die alten 2008 Nodes nach und nach mit 2012 neu installiere und somit wieder einen HA Lösung vorhanden ist.

Funktioniert so etwas? Ist dieses zu empfehlen?

Danke und Gruß

Michael

Hallo zusammen,

AGPM (Advanced Group Policy Management) ist ein Teil von MDOP.

So weit so gut. Ich möchte jedoch lediglich AGPM auf einem DC installieren um z.B. eine Versionierung von GPOs zu realisieren oder den Rollout von GPO´s zu verbessern. Ich möchte also nicht die weiteren MDOP Produkte verwenden.

Benötigte ich also eine MDOP Lizenz für meinen zentralen DC auf dem ich AGPM installieren will,

oder muss ich zusätzlich MDOP Lizenzen für meine 1000 Clients erwerben? Oder für alle DC´s?

Besten Dank und Gruß

Michael

hi,

was ich leider auch nicht finden bzw. aktivieren konnte sind die zum einen die

und

klar kann ich das alles über Regkeys suchen, aber irgendwie scheint mir das alles mit dem IE unausgegoren zu sein da viele Einstellungen einfach zentral nicht möglich sind. :-(

Euch ein schönes WE

Was ist porcmon? Hast Du nichts gefunden oder deiner Meinung nach nichts brauchbares?

Zum einen meinte ich natürlich "Procmon.exe" und nicht "porcmon". Aber vielen Dank für deine Nachfrage.

Das glaub ich nicht. Schreib doch an der Stelle einfach einen irren Wert rein: MeinSuperTollerProxy. Such danach in der Registry, evtl. findest Du den anderen Wert dann auch noch.

Es handelt sich bei der gesuchten Einstellung um ein Feld welches nur durch einen Haken aktiviert bzw. deaktiviert werden kann. Somit kann ich da nichts rein tippen und in der Registry suchen.

Ich habe jetzt aber etwas gefunden.

Meine Vorgehensweise:

Ich konnte mit dem Regkey, den ich im Folgenden angepasst darstelle, nicht direkt etwas anfangen, da er aus einem ziemlich langen Hexcode besteht. (habe ich mit Procmon.exe soweit eingrenzen können)

"[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]

"DefaultConnectionSettings"=hex:46,00,00,00,ca,09,00,00,09,"

Um mich zu vergewissern ob es sich um den richtigen handelt, habe ich weiter im www gesucht. IE8 LAN-Einstellungen "automatische Suche" deaktiveren per GPO oder HKML

Abschließend habe ich den Hexcode mit Notepad++ verglichen und so weit gekürzt, dass nur noch der relevante Teil aufgeführt wird. (siehe oben)

Die ersten Tests (manueller Import des Keys an verschiedenen WinXP PCs) waren erfolgreich. Somit steht einem Rollout nichts im Wege.

Ich finde es natürlich schade, dass in der GPO

und

Habt ihr dafür eine Erklärung?

Hi,

besten Dank erst einmal.

Ich habe mir das genauer angeschaut (porcmon) und leider nichts brauchbares gefunden.

Es scheint so, alls wenn dieser key von System zu System unterschiedlich ist.

kleiner Nachtrag:

sobald ich eine Adresse einpflege und mit OK bestätige wird der Haken bei "Skript für automatische Konfiguration verwenden" gesetzt.

Da bleibt jedoch noch das nicht Anhaken von "Einstellungen automatisch erkennen".

Hi,

ich hab´s mir gerade angeschaut.

Leider kann ich unter

GPP --> Group Policy Preferences --> Gruppenrichtlinien Einstellungen

--> Neue Richtlinie IE8 --> Verbindungen --> LAN-Einstellungen

nur eine Adresse für einen Skriptpfad angeben und nicht die Haken für "Einstellungen automatisch erkennen" sowie "Skript für automatische Konfiguration verwenden" setzen.

Mache ich da etwas falsch?

Besten Dank und Gruß

Hallo zusammen,

es hat sich bei uns in manchen GPOs ein Fehler eingeschlichen.

In diesen wurde versehentlich der folgende Haken gesetzt (also aktiviert):

GPO: --> Benutzerkonfiguration --> Windows-Einstellungen --> Internet Explorer-Wartung --> Verbindung/Automatische Browserkonfiguration --> "Automatische Ermittlung von Konfigurationseinstellungen"

Wenn ich nun den Haken entferne wird dieses automatisch als "deaktiviert" gesetzt.

Bei einer neuen GPO ist dieser Haken jedoch nicht gesetzt und es wird nicht als "deaktiviert" angesehen sondern als "nicht konfiguriert".

Genau diesen Zustand benötige ich jedoch, da ich andere GPOs (direkt auf der Root der Domäne) konfiguriert habe die dieses steuern sollen und deren Einstellungen über die fehlerhaft konfigurierten GPOs umkonfiguriert werden.

Wie kann ich also genau diesen Zustand herbeiführen, da es in der "normalen GPO-GIU" keine Möglichkeit für diesen Zustand gibt.

Kann man eventuell eine GPO per Notepad etc. öffnen und einfach diese Zeile entfernen?

Danke erst einmal,

...

die Frage war doch klar. Oder?

...

nicht immer ist die Standard-Antwort auch das Ende aller Dinge

...

es wäre ein Lösungsansatz, wäre halt eine zusätzliche Freigabe die ich mir einsparen wollte

...

@NilsK

Bandbreitenmessung: Es werden große und kleine Dateien direkt kopiert.

Dieses zeigt direkt ob die Leitungen i.O. sind oder nicht. Ob es nur ein bestimmtes Segment betrifft oder nicht.

Danke Norbert,

aber so schlau war ich doch schon selbst. :-)

Deshalb ja auch die Frage hier ob es trotzdem möglich ist

die Berechtigung zu ändern.

Eine Alternative wäre ja eine Freigabe "Service$" auf jedem Client per GPO zu erstellen auf die die Netzwerkadmins zugreifen können.

HI,

unsere Netzwerkadmins möchten Zugriff auf andere PCs erhalten um Bandbreitentests zwischen den verschiedenen IP-Segementen durchzuführen. Hierfür würden sie gerne das Laufwerk c$ verbinden. Dieses funktioniert jedoch nur, wenn sie DomänenAdmin sind oder den lokalen Admin des Zielsystems haben.

Daher die folgende Frage:

Kann ich per GPO steuern wer zusätzlich auf eine administrative Freigabe zugriff erhalten soll und wer nicht?

Besten Dank und greez

Michael

Hat denn niemand eine Idee?

Hi,

folgend der Fehler:

1. Notebook ist im Homeoffice (XP XP2 etc.) und wurde ohne Netzwerk hoch gefahren. Ein lokales Arbeiten ist ohne Probleme möglich.

2. Danach wird eine Verbindung über VPN zum Firmennetz aufgebaut und z.B. Emails abgerufen.

3. Nach dem Arbeiten wird dann die VPN-Verbindung getrennt.

--> Daraufhin wird das Notebook so träge, dass es fast einfriert.

Nach einigen Minuten ist meist ein Arbeiten wieder möglich. Schneller funktioniert es, wenn das Netzwerkkabel oder das WLAN getrennt oder das Notebook "hart" ausgeschaltet wird. Selbst ein Herunterfahren des Systems ist kaum möglich.

Es ist hierbei irrelevant, ob Netzlaufwerke verbunden wurden oder auch nicht.

Meine Frage bzw. Vermutung:

Gibt es einen Regkey / GPO mit der der Timeout (ich glaube das NB sucht weiterhin die Domäne nachdem die VPN-Verbindung getrennt wurde bis das ein Timeout kommt) beeinflusst werden kann?

VG und besten Dank

Michael

HI,

wenn ich mich recht entsinne, gibt es doch lediglich Probleme beim Recover.

Sprich ein Recover aus einem Snap darf nicht durchgeführt werden,

sondern wenn dann ein standardisierter MS Recovery eines DCs.

Oder?

...

ist es nur nicht zu empfehlen oder kommt es tatsächlich zu Fehlern in der ADS-DB?

Ich könnte ja auch im Abgesicherten Modus hoch fahren und schauen ob ich den VMware Converter ans Rennen bekomme.

OK,

das hilft mir jedoch nicht bei der Kernfrage,

ob ein DC auch per VMware Tools importiert werden kann,

wenn der ADDS, DNS und DHCP Dienst beendet wurde.

Dann muss ich leider einige Skripte + GPOs für die Drucker anpassen.

P2V wäre da theoretisch einfacher.

Hi,

ich versuche zur Zeit einen Win2008R2 DC (wir haben mehrere mit GC etc.) unter ESXi 4.1 zu virtualisieren.

Dabei bekomme ich beim Booten des DCs einen Bluescreen. Da ich schon die verschiedensten Möglichkeiten zur Behebung des Bluescreens durch habe, möchte ich nun versuchen den eingeschalteten DC "quasi online" zu virtualisieren.

Hierzu habe ich gelesen, dass es reichen soll den "ADDS" Dienst zu beenden, damit das AD offline ist. Dann könnte ich doch den VMware Converter einsetzen um den DC zu virtualisieren.

Oder gibt´s da weitere Dienste zu beachten? (DNS, WINS, DHCP könnte ich ja zudem beenden)

VG und besten Dank.

Michael

- was ist denn alles auf den Servern installiert.

--> Dell Server Administrator, CA Arcserve Backup, Intel Network Treiber, Java, EMC PowerPath, Beyond Compare, Navisphere, SANsurver, Sophos AntivVirus (9.5), Treesize Prof.

- Bilden beide Server einen Cluster ?

--> Ja. Standard MS Cluster

- Welche Virenscanner werden verwendt ?

--> Sophos AntiVirus

- Welche Service-Pack- und Hotfix-Stände sind installert ?

--> SP2 inkl. aller Patche. (Stand vor ca. 2 Wochen)

Und wozu gehört tcpsrv ?

--> tcpsrv hängt mit dem dhcp Server zusammen. Laut Foren kann es zu fehler kommen wenn dieser zuviel Arbeitsspeicher verwendet.

3 GB Switch

Könnte ich entfernen, wobei der Switch schon Jahre gesetzt ist und es sich bei den Dateien nur um kleine Dateien. (ein paar MB)

Der Vollständigkeit halber pro Node:

2x Intel Xeon 3,2 GHz CPU

8 GB Ram

Ein Task, Backup oder Virenscann läuft zu dem Zeitpunkt auch nicht

Da der Fehler gerade da ist und ich mich per RDP nicht anmelden kann habe ich mich direkt an die Console gehangen.

Laut Prozessexplorer hat der

- Sophos Antivirus 85 MB (das ist normal.)

- System 39 MB

- explorer.exe 19 MB

...

CPU Last:

- System Idle Process 95 bis 98 %

- System 1 bis 3 %

Alles in allem nicht auffälliges.

Hallo zusammen,

seit einigen Monaten haben wir das Problem, dass der Zugriff (speichern) auf die unterschiedlichsten Daten sporadisch nicht möglich ist.

folgende Konstellation:

- 2x W2K3 R2 32bit Enterprise zum File-, DHCP- und Printservercluster konfiguriert

- 2 Daten-LUNs mit 800 und 600 GB und kleine Quorum und Print LUN

- Clients WinXP 32bit

Fehlerbild:

Der Filezugriff friert gelegentlich ein.

Hierbei ist es egal ob es sich um kleine oder große Dateien handelt. Die User erhalten folgende Meldung z.B. in Excel: "Auf ´<Dateiname>´ konnte nicht zugegriffen werden. Unter Umständen ist die Datei oder der Speicherplatz der Datei schreibgeschützt, oder der Server, auf dem das Dokument gespeichert ist, reagiert nicht mehr". In CAD-Anwendungen gibt es wieder andere Fehlermeldungen. Selbst das Verschieben / Kopieren von Daten auf dem Server ist dann fehlerhaft. Zusätzlich ist meist der RDP-Zugriff auf den Server nicht mehr möglich. (die mstsc schließt sich sofort wieder und kein Anmeldefenster erscheint). Wir haben daraus geschlossen, dass irgend ein Dienst, Prozess, Datei etc. den Server auslastet.

Nach ein paar Sekunden oder Minuten läuft wieder alles ganz normal. Falls nicht schwenken wir den Node und alles ist wieder iO.

Was haben wir bislang gemacht:

- Am Anfang dachten wir es liegt am Spooler. Daraufhin haben wir diesen auf NodeA gelegt und die Files auf NodeB. Der Fehler tauchte aber wieder auf.

- Spooler so konfiguriert das als "Print Prozessor" der "WinPrint" RAW verwendet wird

- Es liegt auch nicht an einem Node, da der Fehler auf beiden auftritt.

- Bei den Prozessen war nur der "tcpsrv" auffällig, da dieser sehr groß wurde (z.B. 630MB). Daraufhin habe ich eine Anpassungen gemacht und der Prozess bleibt nun unter 20MB.

- Alle MS Updates installiert (ist bei uns Standard)

- Alle Dell Updates installiert

- Arbeitsspeicher erweitert (4 auf 8 GB; 3 GB Switch in der boot.ini war schon gesetzt)

- Netzwerkkartentreiber aktualisiert und Teaming etc. entfernt

- MS Patch (WindowsServer2003-KB939928-x86-DEU.exe) DNS_Memory_Leak installiert

- AntiViren Programm deaktiviert und Node neu gestartet.

Leider ist der Fehler heute wieder aufgetreten

und ich weiß mir langsam keinen Rat mehr.

Gruß und Danke

Hi,

danke für die Hilfe.

Leider funktionieren die Tipps so nicht (wmi & GPO mit Itemsteuerung),

da die Filterung nicht auf die tatsächliche Client-IP (z.B.10.125.x.x) bei Öffnen der veröffentlichen Citrixapplikation zugreift, sondern die des Citrixservers. (z.B. 10.101.x.x).

Zum Verständnis:

Meine GPO ist wie folgt konfiguriert:

Führe Mapping nur durch, wenn der Client die IP 10.125.x.x hat.

<-- Das Mapping wird bei meinen Tests leider nicht durchgeführt, obwohl der Client die IP 10.125.x.x hat

Wenn ich in der GPO aus der 10.125.x.x die 10.101.x.x (Citrixserver) mache funktioniert das Mapping einwandfrei.

Fazit:

Da die GPO am Citrixserver ausgeführt wird, wird die IP des Citrixservers als Client-IP verwendet welches für meine Anforderung schlecht ist, da ich die tatsächliche Client-IP (10.125.x.x) benötige.

Gibt´s weitere Ideen?

Ich bin beim googlen noch auf "ICAClientInfo.exe" gestoßen. Leider funktioniert das bislang auch noch nicht. :-(