RalphT

Ich werde das mal dementsprechend abändern und dann nochmal berichten.

Doch ja. Zuminest einer von den beiden. Das sind getrennte Forests.

So, jetzt habe ich den Zugriff nach dem A-G-DL-P Prinzip eingerichtet. Am Client war zunächst kein Zugriff möglich, nach dem Neustart funktionierte es. Im Containe ForeignSecurityPrincipals ist ein neuer Eintrag hinzugekommen. Dieser Eintrag wird als SID angezeigt. es gibt dort auch die Spalte Anzeigename. In dieser Spalte nichts angezeigt. Ich habe es vorhin auch schon beobachtet, dass dort ein Ort zu hinterlegt war. Weiterhin ist mir folgender Effekt aufgefallen: Sehe ich mir in der Domänenlokale Gruppe die Mitglieder an (hier ist es nur eine Globale Gruppe aus der fremden Domäne), dann wird mir zw. nur die SID angezeigt. Etwas später steht der Gruppenname aus der fremden Domäne da. Also auch wieder dieser komische Effekt, dass es ca. alle 90 Minuten richtig angezeigt wird und danach immer nur als SID. Es scheint so, dass das Problem entweder DNS oder anderer Natur ist. Ich weiß nicht,ob das für das Problem relevant ist, dass ich über ein VPN auch noch andere DCs habe. In einer Domäne habe ich in der Hauptgeschäftsstelle zwei DCs und in der Zweigstelle auch zwei DCs. Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht. In der anderen Domäne gibt es nur zwei DCs.

DCDIAG und NETDIAG habe ich auf beiden DCs laufen lassen. Keine Fehlermeldungen. Nachdem ich gestern noch einen kleinen Fehler in der DNS behoben hatte, lassen sich jetzt auch auf beiden DCs die Vertrauensstellungen überprüfen. Da gab es ja vorher immer Probleme. Jetzt wird immer bestätigt, dass die Vertrauensstellung aktiv ist. Das ist ja schon mal ein Fortschritt. Das habe ich gerade gemacht. Ich nehme an, dass ich im Ordner ForeignSecurityPrincipals nachsehen soll, ob dort ein Eintrag erstellt wird. Das habe ich gemacht und es gab hier auf beiden Seiten keine Änderung. Allerdings gibt es hier eine positive Änderung: Vorher war es so, dass der Zugriff anfangs für ca. 15 Min nicht möglich war. Hier ist beim Client der Zugriff sofort möglich. Allerdings ist unter den Sicherheitseinstellungen immer noch das Phänomen, dass statt des Gruppennamens dessen SID angezeigt wird. Wenn dieser Fehler jetzt nochweg wäre, dann wäre das Problem gelöst. Es sieht hier nur noch nach ein Schönheitsproblem aus, aber ich habe dabei kein gutes Gefühl. Nachtrag: Der Wechsel der Anzeige nur SIDs zu Gruppennamen scheint sich alle 90 Minuten zu ändern.

Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen. Ich habe die DNS wie Folgt konfiguriert: In Domäne A habe ich eine sekundäre Zone von Domäne B eingerichtet und umgekehrt. Das Gleiche gilt für die Reverse Zonen. Ich habe in Domäne A den Client1 und in Domäne B den Server1. Domäne A nennt sich Hamburg.meinefirma.de und Domäne B heißt meinladen.de Mit nslookup habe ich folgende Tests durchgeführt: In Domäne A: client1 - Hier kam als Ergebnis Client1.hamburg.meinefirma.de zurück. Ich denke soweit ok. server1 - Hier konnte nslookup diesen Namen nicht auflösen. Ich weiß nicht, ob das richtig ist, denn gebe ich server1.meinladen.de - Dann kann nslookup auflösen. In Domäne B ist das Verhalten genauso. Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler? Nochmal zum Zugriff auf den Ordner: Lege ich die Gruppe neu an und füge der Gruppe einen alten User hinzu, dann beim Client erst einmal kein Zugriff möglich. Nach ca. 10 oder 15 Minuten ist der Zugriff möglich. Dieser Zugriff scheint dauerhaft zu funktionieren. In den Sicherheitseinstelllungen des freigegeben Ordners hatte ich schon weiter oben geschrieben, dass statt des Gruppennamens nur dessen SID erscheint. Heute habe ich festgestellt, dass mal der Gruppenname wieder da steht und irgend wann nur dessen SID. Ich habe mich jetzt nicht für eine bedingte Weiterleitung entschieden, da Bandbreite hier kein Problem darstellt. Oder ist meine DNS Konfiguration falsch? @lefg Ich sehe gerade Antwort. Nein das hatte ich noch nicht gemacht. Kann ich morgen aber schnell machen.

Ich glaube es auch, dass DNS nicht so arbeitet, wie es arbeiten soll. Ich teste das nacher noch einmal alles mit NSLOOKUP und melde dazu später noch ein mal. Vielleicht habe ich dort etwas nicht richtig konfiguriert.

Ok, das hatte ich so vor. Ich sehe heute nachmittag mal nach. Habe jetzt keine Zeit dazu.

Ich habe mir den Artikel noch mal genauer durchgelesen. Da ich kein NT habe, kann ich ja die Replizierung von WINS stoppen. Auf jeden Fall. Habe sogar mehrmals einen Neustart gemacht. Auch ein GPUPDATE /FORCE. Das brachte aber nichts. Was mich doch jetzt sehr stutzig macht, dass die Gruppe, die ich bei den Berechtigungen hinzugefügt habe, nach einer gewissen Zeit nur noch als eine SID-Nummer erscheint. Aber der Zugriff funktioniert schon seit Stunden. Allerdings habe ich dabei ein schlechtes Gefühl, weil ich nicht weiß, wie lange das noch funktioniert.

Naja, mir kam dieser Artikel beim Googeln unter. U.A. steht dort dieses, welches mich zutrifft. Fehler: "Es stehen momentan keine Anmeldeserver zur Verfügung" Dieses Problem tritt am häufigsten in Umgebungen auf, in denen der Systemadministrator eine bidirektionale Vertrauensstellung zwischen zwei zuvor unabhängigen Domänen erstellt hat. Meistens sind WINS-Server in beiden Domänen enthalten, replizieren ihre Datenbanken jedoch nicht gegenseitig. Diese Gruppe wurde gerade erstellt. Beim Testen ist mir folgendes aufgefallen: Eine Globale Sicherheitsgruppe auf DC von Domäne A angelegt. Dort einen User hinzugefügt. Auf Domäne B einen Ordner freigegeben und unter den Sicherheitseinstellungen dieses Gruppe von Domäne A hinzugefügt. Der Zugriff funktioniert erst mal nicht. Nach ca. 10- 15 Min und WINS Replizierung funktioniert der Zugriff. Bei der Kontrolle unter den Sicherheitseinstellungen auf dem Ordner ist nach einer gewissen Zeit der Name der Globalen Sicherheitsgruppe weg. Statt dessen wird nur die SID-Nummer dort angezeigt. Irgenwie muss es bei der Replizierung Probleme geben oder warum ist der Gruppenname weg und nur dessen SID sichtbar? Ich könnte ja mal komplett auf WINS verzichten. Mal sehen was denn passiert.

@necron: hatte ich schon probiert. Aber wenn ich auf Domäne A das als universelle Gruppe angelegt habe, dann konnte ich beim Suchen der Sicherheitsberechtigen nicht diese gerade erstellte Gruppe sehen. Die Gruppe war nur sichtbar, wenn sie vom Typ Sicherheitsgruppe Global ist. @Stephan Betken: Die Namensauflösung funktioniert auf beiden Domänen tadellos. Auf Domäne A kann ich über nslookup jedes Gerät auflösen und umgekehrt. Kurz vor Feierabend hatte der Zugriff seltsamerweise funktioniert. Ich habe nichts verändert. Allerdings werde ich das Gefühl nicht los, dass das doch etwas mit der Vertrauensstellung zu tun hat. Denn man kann diese ja überprüfen. Nachdem ich zum überprüfen, das Administratorpasswort eingegeben habe, kam die Meldung, dass die Vertrauensstellung verifiziert sei. Ich habe gleich danach wieder eine Überprüfung angeschoben. Danach war die Überprüfung nicht ok. Fehlermeldung wie schon oben genannt. Nach dieser Fehlermeldung habe ich mal gesucht und Microsoft schreibt, dass es sich um ein Problem bei der WINS-Replizierung handelt. Diese Replizierung hatte ich schon vorher eingerichtet. Ein Blick in das Ereignisprotokoll bestätigt, dass die Replizierung unterbrochen worden ist. Ich werde morgen mal nach der Microsoft Anleitung die Replizierung erneut einrichten. Oder liege ich hier falsch und beseitige nur einen anderen Fehler, der hiermit nichts zu tun hat?

Hallo, ich habe 2 unterschiedliche Domänen. Eine Vertrauensstellung zwischen beiden Domänen ist vorhanden. Von Domäne A möchte ich auf eine Freigabe auf Domäne B zugreifen. Auf dem freigegeben Ordner habe ich eine Gruppe von Domäne A das Recht Ändern erteilt. Das funktioniert nicht. Daraufhin habe ich nur einen Nutzer von Domäne A das Recht zum Ändern des Ordners unter Sicherheitseinstellungen erteilt. Jetzt hat der Nutzer von Domäne A Zugriff auf das Laufwerk. Die Gruppe ist vom Typ Sicherheitsgruppe - Global. Oder arbeitet meine Vertrauenstellung nicht korrekt? Denn, wenn ich diese Überprüfen möchte, kommt eine Fehlermeldung, dass sie nicht überprüft werden konnte. Die Fehlermeldung in diesem Fenster lautet: "Es sind momentan keine Anmeldeserver zum Verarbeiten Anmeldanforderungen verfügbar" Liegt es an der evtl nicht korrekten Vertrauensstellung oder an dem Typ der Gruppe?

Äh, ich mag garnicht fragen, aber ich möchte diesen Fall gerne weiterspinnen. Auf einem Notebook ist nicht Office 2003 Prof. installiert, sondern Office 2007. Wie verhält sich das jetzt? Jetzt stimmt die Version vom Notebook absolut nicht mehr mit der Version auf dem TS überein. Braucht der eine Notebookbesitzer eine Lizenz für den TS? Mein Gefühl sagt mir nein, denn der Notebookbesitzer hat ja eine höherwertiger Version. Aber ich kann mich natürlich täuschen. Wäre nett, wenn Du mir auch diese Frage noch beantworten könntest.

Danke für die Ausdauer. Damit ist meine Frage beantwortet.

An dem Notebook. Deine Fragestellung lässt mich vermuten, ich habe mir die Antwort selbst gegeben. Wenn dem so ist und ich die gleiche Office-Version auf dem TS nutze, wie ich sie lokal habe, dann habe ich ja die Lizenzbestimmung eingehalten. Dieses Dokument geht allerdings nicht darauf ein, ob OEM oder Open License verwendet wird. Lt. Ausagen von XP-Fan scheint es dort wohl eine Unterscheidung zu geben. Jetzt stelle ich noch mal meine konkrete Frage: Ich habe 25 Notebooks bestückt mit Office 2003 und OEM Lizenzen. Muss ich für den TS Lizenzen haben? Wenn ja, was muss ich kaufen? Ich hoffe Ihr seid nicht zu sehr über meine ****e Fragestellung genervt, aber für mich das Thema nicht so gaz einfach.

@Dr. Melzer, nein das kannte ich noch nicht. Ihc habe hier noch ein kleines Verständnisproblem: Aus diesem Domument ein Auszug: Wenn ich Office über den TS nutze, auf welchem Gerät wird denn diese Applikation genutzt? Lautet die Antwort jetzt über das Notebook oder der TS?

Wenn ich für Office eine Open License kaufe, dann muss ich doch wissen für wie viele User ich das benötige. Reicht eine Open License für 5 User oder gibt es noch andere Verträge? Sorry, dass ich so frage, aber ich hatte bisher noch keine Open License für Office gekauft.

Aha, d.h. für mich, mir nutzt die OEM-Version für den TS nichts, ich muss eine Open-Licence für den TS kaufen. In einem Satz erklärt: Ich habe 50 Clients mit jeweils 50 OEM-Lizenzen und auf dem TS muss eine Open Licence mit 50 Lizenzen drauf. Ist das so richtig?

Also auf dem TS ist Office 2003 Prof. Das ist eine OEM Lizenz. Auf den Clients ist die gleiche Version installiert.

Hallo, eine spezielle Frage zur Lizensierung TS im Bereich Office: Ich habe einen TS. Dieser hat eine Serverlizenz und 5 CALs für User. Auf diesem TS ist Office 2003 installiert. Jetzt greife ich mit einem Client, auf dem auch Office 2003 installiert und lizensiert ist, darauf zu. Frage: Benötige ich für diesen einen Client eine Officelizenz auf dem TS? Diese http://www.serverhowto.de/Grundlagen-der-Lizenzierung-von-Microsoft-Produkten-in-Volumenlizenzvertraegen.78.0.html Seite habe ich mir angesehen, habe da aber keine direkte Antwort auf meine Frage gefunden. Schon mal Danke für Eure Hilfe. Noch ein Nachtrag von mir: auf http://www.microsoft.com/germany/licensing/about-licensing/product-licensing.aspx von Microsoft habe ich noch den folgenden Textabsatz gesehen: Der Zugriff auf Kopien der auf einem Netzwerkgerät installierten Software ist Ihnen nur von einem Gerät aus erlaubt, das für die Software lizenziert wurde. Das heißt doch in diesem Beispiel: Ich benötige auf dem TS für dieses Notebook keine extra Office-Lizenz.

Alles klar, dann werde ich das so umsetzen. Danke

Ja, das hatte ich auch so vor.

@Dy0nisus Nein einen Grund gibt es nicht. Allerdings habe ich das noch nie gemacht, dass ich mit versch. Sites gearbeitet habe. Wie würde das funktionieren? Den DC-Zweigstelle in eine andere Site verschieben. Ok, dann hätte ich die Site "Berlin" und "Hamburg". Müsste ich dann unter NTDS-Settings dort die entsprechenden Replizierungen einstellen? D.h. es muss sich DC-Berlin mit DC-Hamburg replizieren? Ist es richtig, dass bei dieser Konstellation keine Probleme mit DNS auftauchen? @LukasB So etwas ähnliches hatte ich mal gemacht und zwei unterschiedliche Domänen über eine Vertrauenstellung verbunden. Dort tauchte allerdings das Problem auf, dass manchmal ein Zugriff auf eine andere Resource nicht möglich war. Es kam die Fehlermeldung "Es stehen keine Anmeldesserver zur Verfügung". Lt. Microsoft solllte dieses Problem zu lösen sein, indem man WINS gegenseitig repliziert. Allerdings replizierten beide Server nicht richtig.

Hallo, ich habe mal eine Frage zu Domänen in Active Directory. Dazu ein Beispiel: Die Hauptstelle ist in Berlin und die Zweigstelle in Hamburg. Ich habe eine Domäne contoso.com. Diese Domäne ist für den Internetauftritt und bei einem externen Dienstleister gehostet. Jetzt wollte ich jeweils einen DC in Berlin und Hamburg aufstellen. Die beiden DCs sollen folgende Domänen haben: berlin.contoso.com und hamburg.contoso.com. Die Nutzer in Berlin sollen auf Resourcen in Hamburg zugreifen können und umgekehrt. Auch soll die DNS-Auflösung beidseitig funktionieren. Könnte man das mit diesen beiden Domänen lösen? Evtl. über eine Vertrauensstellung? Wie ist das mit der DNS Weiterleitung? Oder ist die Namensgebung unglücklich?

Hallo, irgendwie verzweifle ich an einer kleine Sache: Ich möchte auf einem Windows XP Rechner nur folgenden Befehl in einer Batchdatei ausführen: @echo off runas /User:Administrator@meinedomain.local "cmd" Wenn ich diese Zeile in ein DOS-Fenster eingebe, werde ich nach meinem Passwort gefragt und es öffnet sich dann ein neues DOS-Fenster mit Adminrechten. In der Batchdatei funktioniert es nicht. Schalte ich echo auf on, dann sieht man die Befehlszeile mit runsas schnell durchlaufen. Unterbreche ich mit STRG+C die Abarbeitung, dann wird diese Zeile ständig wiederholt. Ein Pause hinter dieser Zeile bringt nichts. Was habe ich hier falsch gemacht?

Hallo, ich habe Mithilfe des Befehls net use ein Laufwerk verbinden wollen. Es kam die Meldung zurück: "Es stehen momentan keine Anmeldeserver zur Verfügung". In diesem Beitrag (Fehler: "Es stehen momentan keine Anmeldeserver zur Verfügung") von Herr Microsoft steht das Problem beschrieben. Ich habe eine unidirektionale Vertrauenstellung von zwei unterschiedlichen Domänen und habe daraufhin WINS so eingerichtet, dass beide DCs gegenseitig als Push/Pull Replikationspartner eingetragen sind. Allerdings funktioniert das nicht so richtig. In Domäne A habe ich 320 Einträge und in Domäne B sind es 355. Es müssten doch auf beiden Seiten die gleiche Anzahl der Hosts stehen, oder? Denn von Domäne B ein net use nach Domäne A funktioniert. Kann es an der schwachen DSL-Leitung liegen? Das Ereignislog sagt nichts. Gibt es noch ein LOG für WINS, wo man nachsehen kann?