Eisbär

:jau: Glückwunsch und Danke an alle. :jau: Vor allem an die, die schon lange aktiv am Boardleben teilnehmen.

Hi, die lokalen User können auf die Freigabe \\Rechner1\Freigabe1 zugreifen. Aber in Deinem Fall kannst Du doch gleich mit absoluten Pfad arbeiten. Hast Du die Explorer-Einstellungen geändert, so dass Du eine normale Freigabe-Ansicht hast wie bei w2k, ansonsten kannst Du das im Explorer unter Extras | Optionen ändern. Da heißt es glaube ich "einfache Freigabe" oder so ähnlich. Ich habe gerade keinen XP-Rechner zur Hand.

Hi, Du hast immer zwei Arten von Berechtigungen: - Freigabe - NTFS Wenn die Freigabe rechnerspezifisch ist, dann entferne alle Haken im Freigabe-Fenster und steuer die Berechtigungen mit NTFS. Von "außen" kann man dann auf die Freigabe nicht zugreifen.

Hi, ein paar Server sind über ein KVN - DSL Netz angebunden. Und nur zu diesen Servern kann ich immer wieder keine RDP-Sitzung aufbauen. Die anderen Server > 100 haben dieses Problem nicht. Ein Server war bis vor kurzem w2k gewesen und wurde nun ebenfalls auf w2k3 upgedatet und schon zeigt er das gleiche Phänomen wie seine anderen DSL-Kollegen, vorher hatte er das Problem nicht gehabt. Im Ereignisprotokoll gibt es überhaupt keine Fehlermeldungen dazu. Auf den Servern ist w2k3 SP1 und ca. 12 Sicherheitspatches installiert, eben alles, was ein RPC- bzw. Remoteangriff verhindern soll. Nach einem Neustart ist alles wieder tutti.

Hi, bei w2k3 kann man außer dem Systemstate noch u. a. die Festplattenkonfiguration auf Diskette sichern. Bei einem Totalausfall kann man so das Betriebssystem und das aktuelle Systemstate auf einen anderen Rechner installieren. Man installiert somit ein identisches neues System auf einen neuen/anderen Rechner. Die Frage ist einfach, was macht Ihr wenn eine HDD ausfällt (RAID1), kein Problem nicht kritisch. Was macht Ihr, wenn das (alte) Mainboard kaputt geht. Windows wird nicht oder nicht optimal laufen, wenn Mainboard und vor allem Prozessor auf mal anders sind. Wie schnell muß ein anderes System laufen? Mit einem 2. DC ändert sich so einiges, auch das muss berücksichtigt werden.

Hi, AD = Active Directory Dahinter verbirgt sich eine Datenbank, in der alle Objekte mit den dazugehörigen Attributen gespeichert sind. Anhand einer guten Dokumentation kann man die Domäne wieder neu einrichten. Nicht nur Policy und Architektur, sondern z. B. auch die Rollenverteilung, wer repliziert mit wem usw., z. B. auch anhand von Schaubildern (Topologie). Desweiteren kann man Login-Scripte dokumentieren, was macht welches Script. Einstellungen von DHCP, DNS, etc. Vereinfacht gesagt, der Admin ist nicht mehr da und der neue muss sich an Hand der Doku ein Bild von der Domäne machen können oder sie sogar neu aufsetzen können. Wie sieht es bei Euch mit Ersatzhardware aus? Habt Ihr Eure Festplatten gespiegelt?

Hi, schau Dir mal die Berechtigungen auf dem Ordner "Eigene Dateien" an, wahrscheinlich steht dort Administrator und nicht mehr der User. In solchen Fällen schlägt die Umleitung auch fehl. Manchmal braucht der Client auch ein oder zwei Neustarts (steht im Ereignisprotokoll des Clients) bevor er die Änderung des Pfades umsetzen kann.

Hi, bei den Clients sollte so viel wie möglich standartisiert werden, also gleiche Hardware, gleiche Software. Dadurch lassen sich PCs schnell bei Hardwareproblemen austauschen, durch die gleiche Arbeitsumgebung (Software) hat man es auch leichter bei der Fehlersuche. User arbeiten nur mit Benutzerrechten, so halten sich die Schäden am System durch die User etwas zurück. Ist ein System zu buggy wird F12 gedrückt (Betankung per RIS, kann der User selber machen.) Ebenso sollte auch die Hardware bei den Server gleich oder ähnlich sein. Alles rund ums AD muss dokumentiert sein. Bei w2k kann man mit Netmeeting arbeiten, bei XP mit RDP und man bleibt bei der Fehlersuche am Schreibtisch hocken. Es gibt auch Fernwartungssoftware, die über den Router hinweg funktioniert. Somit könnten sich auch ext. Firmen theoretisch auf dem Client aufschalten.

Hi, SP1 und auf jeden Fall alles worüber ein Angriff per RPC möglich ist. Und immer fleißig erst testen, bevor die Patches auf die Produktionsserver gehen.

Hi, falls es auch VBS sein kann. :) Option Explicit const C_Computer = "." const C_IP = "10.49.248.20" const C_Range = "10.49.250" DIM G_IP call S_ScanIP call S_CheckIP sub S_ScanIP DIM O_WMI DIM O_IPSet DIM O_IP DIM i Set O_WMI = GetObject("winmgmts:\\" & C_Computer & "\root\cimv2") Set O_IPSet = O_WMI.ExecQuery ("Select * from Win32_NetworkAdapterConfiguration where IPEnabled=TRUE") For Each O_IP in O_IPSet If Not IsNull(O_IP.IPAddress) Then For i=LBound(O_IP.IPAddress) to UBound(O_IP.IPAddress) G_IP = O_IP.IPAddress(i) exit for Next End If Next end sub sub S_CheckIP if G_IP = C_IP then wscript.echo "gleiche IP-Adresse: " & C_IP else wscript.echo "gefunden: " & G_IP & vbcrlf & "gesucht: " & C_IP end if if instr(C_IP,C_Range) > 0 then wscript.echo "gleiche Subnetz" else wscript.echo "anderes Subnetz" end if end sub Ausgabe: Gleiche IP-Adresse oder unterschiedliche IP-Adresse, gleiches Subnetz oder anderes Subnetz. Einfach mal die entsprechenden Konstanten anpassen. Wenn "." bei C_Computer gesetzt ist, wird der lokale Computer genommen, ansonsten einfach den Computernamen anpassen. Für ein Login-Script muss natürlich zuvor noch der Computername ausgelesen werden. Aber das möchte ich jetzt nicht alles in ein Script packen, da sonst die Übersichtlichkeit für nicht VB-Scripte verloren geht. Das Script habe ich angehängt, bitte das TXT entfernen IP-Adresse bestimmen.vbs.txt

Hi Olaf, das wäre natürlich eine feine Sache. Aber mit der Meinung würde ich alleine stehen und hätte einen sehr schweren Stand.

Hallo Olaf, vielleicht wäre eine eigene Policy für die VMWare-Server eine Lösung, bei der die Patches nur heruntergeladen werden, aber nicht installiert werden. Naja, dann ich es auch gleich selber per Hand machen. :(

Hi Daniel, kann der Server evtl. infiziert sein? Was hast Du zuvor geändert? Hast Du Programme mit einem eigenen Dienst installiert? Gibt es Einträge in den Run-Keys, die auf etwas schließen lassen?

Hi, sobald man mehr als einen DC hat, verlängert sich der Neustart spürbar, doppelt bis dreimal so lange. Mit dem Neustart werden unter anderem auch die Replikationsdienste gestartet und der DC möchte sich mit den anderen DC(s) unterhalten. Wenn nun kein DC erreichbar ist (kein Netz), dann kann so ein Neustart auch schon mal eine halbe Stunde dauern, z. B. bei über 200 DCs. Deine Fehlermeldungen deuten daraufhin, dass er beim Booten Probleme hat, den zweiten Server zu erreichen. Den DHCP-Server würde ich mal neu autorisieren. Den DNS-Dienst testen. Wenn Du DNS auf dem zweiten Server installierst, werden die Zonen automatisch repliziert, klappt das bei Dir? Wenn der Server ein paar Minuten oben ist und Du startest Dienste neu z. B. DHCP-Server oder DNS-Server, gibt es dann auch Fehlermeldungen? Ist Dein Rootserver als Zeitholer korrekt konfiguiert?

Hi, es gibt eine Policy "Keinen automatischen Neustart für geplante Installation durchführen", um den Neustart des Rechners für angemeldete User zu verhindern. Ich finde aber keine Möglichkeit, eine Einstellung vorzunehmen, um einen automatischen Neustart gänzlich zu verhindern. Server, die in der ersten Nacht einen Patch abbekommen, werden in der darauffolgenden Nacht um 3 Uhr automatisch gebootet. Dies hat natürlich für VMWare-Gast-Server katastrophale Folgen, da die Gast-Systeme nicht unbedingt vorher automatisch sauber heruntergefahren wurden. Da wir viel mit Gast-Servern arbeiten, kann ich die auch nicht manuell alle z. B. für eine Wochenende herunterfahren und dann nach zwei Tagen wieder hochfahren.

Hallo Marco, meine Einstellungen: Downloaden und sofort installieren. Erinnerung alle 60 min. Bei angemeldete User Rechner nicht neu starten. Erneute Installation nach 1 Min. (default: 5 Min.) Clients soll alle 2h nachgucken (jetzt in der Umstellungsphase) Und natürlich die Einstellung, dass die Clients beim WSUS-Server nach Updates gucken Ich führe eine Excel-Liste, wann ich welchen Patch ich wo installieren lasse.

Danke. Das war´s gewesen. :-)

Hallo arnd, ich habe Haken unter "Optionen | Optionen für automatische Genehmigungn | Für die Ermittlung genehmigt" gesetzt: - Service Packs, bei - Sicherheitsupdates und bei - Update-Rollups SP und Update-Rollups habe ich heute gesetzt und danach synchronisiert. Wenn ich nach Service Packs filter, dann zeigt er mir nichts an. :-(

Hi, bislang verteilen wir mit WSUS nur Sicherheitspatches. Nun möchte ich mit WSUS auch SP1 auf w2k3 installieren. Ich habe daher WSUS nun so konfiguriert, dass er beim Synchronisieren auch nach Service Packs guckt. Trotz zweifachen synchronisierens zeigt er mir unter Updates keine Service Packs an. Werden die für WSUS nicht bereitgestellt?

Hi, ab wann bekommt man wie Einblick in die anderen Dokumente? Sorry, ich konnte eine Weile nicht mitlesen und bin daher nicht mehr so auf dem laufenden.

Hi, nur zu Info, WSUS in deutsch kann nun heruntergeladen werden (von der engl. Seite). Download-Seite Man benötigt allerdings ein .Net-Konto zur Authentifizierung für den Download.

Hi, wenn ich den Memberserver neu aufsetze, ohne Format c: , könnte ich dann mit dem Administratorkonto wieder lokal zugreifen, ohne liest er dann diese Informationen aus der Registry aus und hält das Konto dann weiterhin deaktiviert?

Hi, ich habe meine Domäne umbenannt (der DC läuft unter vmware) und ich müsste nun 2x den Memberserver (Host) booten. Ich habe daher in vmware einen Schalter gesetzt, dass der DC nicht automatisch mitbooten soll. Ich habe aber nicht mehr daran gedacht, dass ich den lokalen Administrator deaktiviert habe. Mit Software von O&O kann man zwar Kennwörter zurücksetzen, aber keine Konten wieder aktivieren. Tja, und ohne DC gibt es keine Anmeldung. Auch übers Netz kann ich die vmware-Software nicht aufrufen, um den DC zu starten, da die Authentifizierung nicht möglich ist. Weiss jemand Rat?

sorry, bin wegen langsamer Modemverbindung im Thread verrutscht. :-(

Hallo Humpi, Danke für den Tipp, aber für 200 Euro hätte ich schon gerne ein Webfrontend dabei gehabt, das bieten selbst Mailserver für 100 Euro.