Christoph_A4

Hallo, ich versuche die Frage oberflächlich zu stellen: Kann mir jemand sagen welche die gegenwärtig(!) sicherste Methode darstellt, aus dem Internet auf ein NAS zuzugreifen? Welche Voraussetzungen müssen dafür gegeben sein? FTP scheint ja auszuscheiden... Gruß Christoph

Es wird immer verquerter. Was mir beim Betreten der Site auffällt ist, dass der IE im unteren Fensterbereich warnt, dass die "verstärkte sicherheitskonfiguration für Internet Explorer" noch enabled ist. Ich habe die Option auf dem Server jedoch bereits über "Systemsteuerung --> Windows-Komponenten hinzufügen/entfernen" entfernt. Wie könnt ihr euch das erklären? Worschtsalat: Ja, ist mir schon klar, deswegen hab ich die entspr. Einstellungen unter der GPO-Richtlinie wieder neutral zurückgesetzt.

Hört sich vielversprechend an, hätt ich auch drauf kommen können. Allerdings funktioniert das ebenso wenig. Befinde mich mittlerweile auch nicht mehr auf Domänen-GPO-Ebene, sondern konfigurier die lokale GPO, um auszuschließen, dass es nicht an irgendwelchen Domäneneinstellungen liegt.

Hallo, folgendes Szenario: Wir betreiben Windows 2003 Server Std. R2 als Terminalserver. Unseren Mitarbeitern soll es ermöglicht werden eine bestimmte Site über den Internet Explorer (8.0) abzurufen. Dass es bei dieser einen Site bleibt, haben wir über den Proxy geregelt. Der Proxy wird über Domänen-GPO bei allen Terminalserverbenutzern in den IE eingetragen, das funktioniert auch wunderbar. Verzweifeln tu ich allerdings bei den Möglichkeiten, die mir die GPO gibt, um die entsprechende Site in die "Vertraunenswürdige Sites" des IE einzutragen. Theoretisch soll dies im Gruppenrichtlinienverwaltungs-Editor (gpedit.msc) unter Benutzerkonfiguration --> Windows-Einstellungen --> Internet Explorer-Wartung --> Sicherheit --> Sicherheitszonen und Inhaltsfilter --> Sicherheitszonen und Datenschutz geschehen. Tut es bei mir aber nicht. Sobald ich die Einstellungen unter Sicherheitszonen und Datenschutz ändern will, werd ich erstmal via Popup hingewisen, dass die verstärkte Sicherheitskonfiguration auf dem Server deaktiviert/deinstalliert sein muss. Dies ist geschehen, half mir dennoch nicht weiter. Es wird mir an dieser Stelle ausdrücklich gesagt, dass die Einstellung IMPORTIERT werden. D.h. beim Öffnen der Domänen-GPO über bspw. einen Windows 7-Client (oder auch Windows 2003 R2 Server Std.) öffnen sich die LOKALEN Internetoptionen. Dort soll ich die Änderungen vornehmen (in meinem Fall die eine Site in die "Vertrauendswürdige Sites" aufnehmen). Danach sollten diese eingetragenen Änderungen in das GPO-Objekt geschrieben werden, um dann auf den Terminalservern zu wirken. Tun sie aber leider nicht. Kann mir da jemand weiterhelfen? Ich hoffe ich konnte die Problemstellung einigermaßen klar beschreiben. Ich frage mich sowieso grundsätzlich, was mir diese Importfunktion nutzt?! Das widerspricht doch komplett dem Sinn einer Domänen-GPO. Gruß

Sorry, die Rundum-Infos waren ein wenig knapp. Ja, ist ein R2. Auf dem Server läuft der hyper-v-Dienst. Um von einem W7-Client auf diesen Dienst über den clientseitigen Server-Manager zugreifen zu können, muss man angeblich auf Clientseite unter "Rollenverwaltungstools" die "Hyper-V-Tools" installieren........... Edit: Halt, jetzt funktioniert es! Sauber, im dritten Anlauf, ohne etwas geändert zu haben.... :confused:

Spitze, sowas stärkt mein Vertrauen in die Server 2008-Welt natürlich ungemein: Häkchen raus, Häkchen wieder rein und schon gehts. Aber da komm ich direkt auf die nächste Frage: Auf dem Server ist die hyper-v-Rolle installiert. Auf dem Client habe ich die hyper-v-Tools ebenfalls installiert, dennoch erscheint lediglich eine extrem abgespeckte Version dessen, was ich direkt auf dem Server angezeigt bekomme. Das ist normal so?

Du meinst "Remoteserververwaltung dieses Servers von anderen Computern aus zulassen"? Ist bereits aktiviert.

Hallo, ich habe auf einem Windows 7 Client die Remote Server Administration Tools installiert und habe vor, von diesem W7-Client den Server-Manager zu nutzen, um mich auf 2008 Server zu verbinden. Leider funktioniert dies nicht, die Fehlermeldung "Von Server-Manager kann keine Verbindung mit ServerXY hergestellt werden". Mein Verdacht ist, dass serverseitig noch etwas eingerichtet werden muss, evtl. ein Feature nachinstalliert werden muss? Weiß das jemand. Leider konnte ich bisher auch nichts ergoogeln...

Dukel: Was meinst du mit "was habt ihr wo?". Wir haben zwei physikalische Server, auf denen jeweils der hyper-v-Dienst eingerichtet wurde. Darauf laufen jeweils 3 Terminalserver-VMs, die ein CSV (iSCSI) nutzen. NilsK: Also entweder stehe ich auf dem Schlauch oder wir reden aneinander vorbei. Ich zitiere mal aus dem Windows 2008 Server R2-Buch von Thomas Joos: "Ein wichtiger Punkt, der bei der Aktivierung berücksichtigt wird, ist die MAC-Adresse der Netzwerkkarte. Verschieben Sie einen virtuellen Computer auf einen anderen Host, ändert sich dessen MAC-Adresse." Hier ist doch von der MAC-Adresse der VM die Rede oder?

Hallo, wir betreiben zur Zeit testweise ein Windows 2008R2-Failovercluster. Dieser besteht aus zwei Nodes, auf denen jeweils 3 Hyper-v-Terminalserver laufen. Nun sieht das Gesamtsystem vor, dass die Last gleichmäßig auf den beiden Nodes verteilt wird, indem die hyper-v-sessions von einem Node auf den anderen verschoben werden. In diesem Zuge ändert sich die MAC-Adresse der einzelnen hyper-v-Terminalserver. Die Windows-Aktivierungsroutine zählt bekannterweise Hardwareänderungen, bei 7 Änderungen ist eine erneute Windows-Aktivierung nötig. Wie darf man sich das in der Praxis vorstellen? Dass ich den Terminalservern "hinterher renne", um sie immer und immer wieder zu aktivieren? Vielen Dank schonmal im Voraus!

So, mittlerweile sind wir dabei das System in der dritten Umgebung zu testen, immer wieder stehen wir vor DIESEM selben Problem, es ist zum Mäuse melken... Gibt es vielleicht inzwischen Jemanden, der mir weitere Ansätze liefern kann?

Gude, mein Ziel ist eigentlich ganz simpel. Ich will die Mitglieder einer domänenlokalen Gruppe auslesen. Funktioniert wunderbar, vorausgesetzt die Benutzer dieser Gruppe sind allesamt in meiner "Home"-Domäne, in der ich mein Konto habe. Benutzer aus einer anderen Domäne mit Vertrauensstellung werden in der Ergebnisliste jedoch NICHT angezeigt. (&(objectClass=user)(objectCategory=person)(|(memberOf=CN=L_TS-Buero-IFS-Test-FFM,OU=Terminalserver,OU=Gruppen,DC=ffm,DC=samson,DC=intra))) Leider kenne ich mich (bisher) noch relativ wenig mit LDAP-Abfragen aus. Vielleicht kann mir jemand weiterhelfen.

Ich hab mit der doppelten Anmeldung das gleiche Problem, weiß denn niemand weiter?

Hat sich hier noch etwas ergeben? Stehe nämlich vor dem selben Problem.

Sorry Andreas, ich glaub wir missverstehen uns gerade. Das Problem ist, dass ich administrativ auf einen speziellen TS der beiden TS zugreifen will. Es gibt keine vorher geöffnete Session.

Also, haben es jetzt auf Multicast umgestellt, das Problem bleibt jedoch weiterhin bestehen. Wir können uns jetzt über alle drei IP-Adressen anmelden, die Sessions werden stets auf beide Terminalserver "gerecht" aufgeteilt. Nachtrag: Kann es sein, dass man sich mit "mstsc /admin" anmelden muss? Damit wird man nämlich NICHT unfreiwillig verteilt.

Ja gut, alle Server sind natürlich Mitglied der gleichen Domäne, IP-Adressen werden statisch vergeben, DNS sollte hier noch keine Rolle spielen, da wir vorerst alles direkt über die IP handeln. Domänencontroller ist ein Windows 2003 Server. Was für Informationen benötigst du genau?

Das passiert in beiden Fällen.

Gude, folgendes Szenario: Wir haben 3x Win2008 R2-Server. - S01 ist Sitzungsbroker - S02 + S03 sind Terminalserver mit aktiviertem NLB-Dienst - S04 ist der DNS-Name der virtuell erstellten IP-Adresse. Der Lastenausgleich läuft wunderbar, bei der Anmeldung an "S04" gleicht er die Sitzungen zwischen S01 und S02 immer schön aus. Nun haben wir folgendes Problem: Melden wir uns direkt auf S01 oder S02 (sowohl über DNS-Namen als auch über IP) zu administrativen Zwecken an, werden auch DORT die Sitzungen verteilt, d.h. wir landen nicht immer auf dem gewünschten Server. D.h. lok. Admin meldet sich an S01 an, um dort etwas zu konfigurieren, landen aber auf S02. Das nächste mal meldet sich der lok. Admin an S01 an und landet dann auch dort. Es wechselt also immer mal wieder. Kann mir jemand diesen Sachverhalt erklären? Vielen Dank schonmal!

Sunny: Siehst du den Screenshot nicht??

Genau das selbe Problem habe ich auch.

Gude, da es umständlich ist den Fehler zu erklären, habe ich einen Screenshot mit angehängt. Schau euch diesen doch bitte mal an, vielleicht habt ihr einen Ansatz, der zur Problemlösung beiträgt. Das aktive Fenster ist übrigens das Fenster der Systemsteuerung, welches ebenfalls falsch tituliert ist. Nach einen Rechtsklick auf den Arbeitsplatz ("Ordner"?!) erscheint das ebenfalls rot eingerahmte Fenster. Ich vermute eine fehlerhafte oder falsch berechtigte .dll dahinter, ich selbst bin auf diesem Domänencontroller lediglich als Server-Operator angemeldet, als Administrator sieht alles bestens aus.

Gude, ich stehe vor der Aufgabe die Summe der Benutzer aus 15 verschiedenen Gruppen abzufragen. Nun habe ich eine Abfrage erstellt, welche mir die richtigen Ergebnisse liefern würde. Allerdings musste ich mit Erstaunen feststellen, dass die Länge der LDAP-Abfrage in der ADS-Konsole auf relativ wenige Zeichen begrenzt ist. Ich habe die Abfrage für 2 der 15 Gruppen unten einmal aufgeführt. Gibt es eine Möglichkeit diese Abfrage in ihrer Länge zu kürzen? [b](&(objectClass=user)(objectCategory=person)(|(memberOf=CN=Vertrieb,OU=Terminalserver,OU=Gruppen,DC=ffm,DC=samson,DC=intra)(memberOf=CN=Produktion,OU=Terminalserver,OU=Gruppen,DC=ffm,DC=samson,DC=intra))) [/b]

Hab mit "regmon" mal geschaut, welche Einträge im Moment des Aktivierens ge/überschrieben werden, allerdings konnte ich keine logischen Zusammenhänge erkennen, welche mir weiterhelfen würden.

Ich bin mittlerweile so weit, dass ich zur Zeit mit den lokalen GPO's tüftel. Ich arbeite mit dem IE6.