Theo Dor

Du, Betti, ich glaube das war voll am Thema vorbei ...

 

Deejoy, vergisse den Link, der bezieht sich auf Berechtigungprobleme, genauer der Besitzereigenschaft der ntuser.dat.

 

Mich nervt das auch schon seid langem, zumal ich das Gefühl habe, dass es bei Vista nochmal um einiges länger dauert. Habe aber selbst keinen anderen Workaround, als bei Notebooks z.B. im ausgedockten Zustand (soweit Dockingstation verwendet wird) die Netzkarte zu deaktivieren. Windows merkt sich die beiden Zustände (eingedockt oder nicht) und den Aktivierungszustand der Netzkarte je Hardwareprofil.

Das kommt erstmal darauf an, ob RDP oder ICA. Aber das Prinzip ist bei deiden das gleiche.

 

Du musst dem betreffenden Benutzer oder besser der betrefenden Gruppe von Benutzern auf dem RDP- oder ICA-Protokoll die entsprechenden Berechtigungen erteilen. Schau mal unter Programme -> Verwaltung -> Terminaldienstekonfiguration -> Verbindungen -> RDP-Tcp -> Eigenschaften -> Berechtigungen -> Erweitert

 

Den Rest musst Du halt ausprobieren. Bedenke aber folgendes: Du kannst damit nicht einschränken, welche Benutzer damit gesteuert werden können, sondern nur, wer steuern kann. Wenn es doch darauf ankommt, dies einzuschränken, dann geht das meines Wissens nur mit ICA (Citrix).

Wir haben hier einen Forest mit 3 Trees und mehreren Domains. Kürzlich haben wir in einem Tree (nicht der Stamm) eine weitere Subdomain eingerichtet. In dieser dann einen ESX2003 SP2. Win2003 und ESx2003 mit allen SP's und Updates. Diese Domain ist für einen entfernten Standort gedacht und bereits in Betrieb. Auch der EXS. Die allgemeine ADS-Replikation funktioniert tadellos. Soweit so gut.

 

Wir haben dann für diesen Standort eine eigenes OAB erstellt (dort wird ausschließlich Outlook 2003 verwendet). Und da beginnt das Problem. Für jedes OAB, wleches auch einem Postfachspeicher zugeordnet ist, werden in den Systemordnern normalerweise 4 Ordner erstellt:

 

1 Stammordner

/NON_IPM_SUBTREE/OFFLINE ADDRESS BOOK//o=OrganisationsName/cn=addrlists/cn=oabs/cn=OAB-Name/

3 Unterordner

/NON_IPM_SUBTREE/OFFLINE ADDRESS BOOK//o=OrganisationsName/cn=addrlists/cn=oabs/cn=OAB-Name/OAB Version 2/

/NON_IPM_SUBTREE/OFFLINE ADDRESS BOOK//o=OrganisationsName/cn=addrlists/cn=oabs/cn=OAB-Name/OAB Version 3/

/NON_IPM_SUBTREE/OFFLINE ADDRESS BOOK//o=OrganisationsName/cn=addrlists/cn=oabs/cn=OAB-Name/OAB Version 4/

 

Der Stamm- und die 3 Unterordner wurde auf unserem zentralen EXS im Rechenzentrum automatisch erstellt. Ich habe dann manuell je ein Replikat für den EXS am entfernten Standort hinzugefügt. Der Stammordner wurde darufhin repliziert, jedoch die 3 Unterordner nicht. Ich habe dann nochmal ein zweites OAB für diesen Standort erstellt und es mit einem Postfachspeicher verlinkt. Der gleiche Effekt.

Die Folge ist u.a. dass Outlook beim "Senden/Empfangen" meckert.

 

Inzwischen habe ich ALLE ESX in unserer Organisation einmal durchgestartet und gewartet, gewartet, geartet..... Tage lang ... Nichts.

 

Irgendeine Idee?

Danke für den Tip, aber das hilft mir leider nicht weiter.

Hi,

auf einem unserer EXS bekommen wir im Anwendungs-Protokoll laufend zwei Fehlermelgungen (s.u.)

 

Legende:

- "STRUKTUR2.local" ist unsere zweite Struktur in der Gesamtstruktur.

- "SUB1.STRUKTUR2.local" ist eine Unterdomäne ohne EXS.

- GUID "D0903C57-1F9E-469C-A59D-88A543F07B35" ist die der "Exchange Enterprise Server" in der Stammdomäne "STAMM.local"

- GUID "64F56A99-390C-45DC-ADC4-158F8659A53F" ist die der "Exchange Domain Server" einer weiteren Unterdomäne von "STRUKTUR2.local" mit EXS ("SUB2.STRUKTUR2.local").

- myEX1 ist ein EXS in der Stammdomäne "STAMM.local"

- Alle Domänen sind win2k3 native, Win2003 mit SP2 ff.

- Alle EXS sind Echange 2003 mit SP2 ff.

 

Die "Exchange Domain Server" der SUB2 sind bereits Mitglied der "Exchange Enterprise Server" der STAMM. Das wird an beiden Objekten bereits korrekt angezeigt (members und memberOf).

 

Ich verstehe nicht, warum EXS da immer noch versucht die Mitgliedschaft dieser Gruppen zu aktualisieren.

 

Ich habe schon in der KB von MS gesucht, aber nichts gefunden, was wirklich passt. Da gibts ja einige Artikel zu diesem Thema (u.a. 254030), aber die Scenarien dort passen nicht.

 

Was mich auch irritiert ist, dass die am Ende jeweils genannte Domäne eigentlich überhaupt nicht involviert ist. Die beiden GUID's gehören zu Gruppen in anderen Domänen. Die Domäne SUB1 selbst hat gar kein EXS.

 

Hat jemand vielleicht noch 'nen Tip?

 

mfg

Theo

 

 

-------------------------------

 

Ereignistyp: Fehler

Ereignisquelle: MSExchangeAL

Ereigniskategorie: LDAP-Operationen

Ereigniskennung: 8270

Datum: 06.04.2008

Zeit: 20:19:19

Benutzer: Nicht zutreffend

Computer: myEX1

Beschreibung:

LDAP gab beim Importieren der Transaktion

dn: <GUID=D0903C57-1F9E-469C-A59D-88A543F07B35>

changetype: Modify

member:add:<GUID=64F56A99-390C-45DC-ADC4-158F8659A53F>

-

den Fehler [20] Objekt nicht vorhanden zurück. DC=SUB1,DC=STRUKTUR2,DC=local

 

Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp.'>http://www.microsoft.com/contentredirect.asp.

 

-------------------------------

Ereignistyp: Fehler

Ereignisquelle: MSExchangeAL

Ereigniskategorie: LDAP-Operationen

Ereigniskennung: 8270

Datum: 06.04.2008

Zeit: 20:19:19

Benutzer: Nicht zutreffend

Computer: myEX1

Beschreibung:

LDAP gab beim Importieren der Transaktion

dn: <SID=0102000000000005200000002A020000>

changetype: Modify

member:add:<GUID=64F56A99-390C-45DC-ADC4-158F8659A53F>

-

den Fehler [20] Objekt nicht vorhanden zurück. DC=SUB1,DC=STRUKTUR2,DC=local

 

Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp.

Ja, nee, dann kanste das vergessen.

Nur so'ne Idee:

Ein Fileserver der nur von einem Terminalserver aus angesprochen werden kann. Benutzer können mit den Daten nur vom TS aus arbeiten. Auf dem TS unterbindest Du per GPO den Zugriff auf lokale Laufwerke und die Netzwerkumgebung. Da sind dann noch ein paar andere Einschränkungen nötig, wie "cmd.exe" und "Netzlaufwerk verbinden" sperren usw. Müsstest Du man mal ausprobieren, wie das in Euer Umfeld passt.

Möglicherweise könnte auch folgendes sein:

Ich tippe eher auf ein Replikationsproblem. Man bekommt diesen Fehler auch in größeren Netzen, wenn die Replkation der Configuration-Partition noch nicht abgeschlossen ist. Etwa so: Setup macht Änderungen in der Config-Part. Irgendwann später will es dann wieder was machen und verwendet dazu dummerweise einen anderen DC. Der hat die Config-Part aber noch nicht aktuell repliziert. "There ist no such Object on the server." Etwas später dann geht das auf einmal. Dann ist die Änderung überall bekannt. So oder ähnlich habe ich es selbst schon ein paar mal beobachtet. Vielleicht irre ich mich aber auch. Nur so eine Vermutung.

 

ADS und Exchange - Eile mit Weile!

Wir haben das bei uns so gelöst:

GPO mit VBscript bei Login

Datendatei im NETLOGON

 

in der Datendatei stehen zeilenweise Clientname und die zugehörigen Drucker (\\printserver\printershare)

 

Das Script fragt den Clientnamen ab (%CLIENTNAME%) und verbindet dann die Drucker laut Datendatei.

 

Abteilung Clientservice kann die Datendatei selbst pflegen. Abteilung Netservice sorgt dafür, dass die Drucker auf den Printservern eingerichtet sind und auf den TS die entsprechenden Druckertreiber drauf sind.

 

Wenn also irgendwo ein neuer Client aufgestellt wird, oder an einen anderen Ort verlagert oder sich (warum auch immer) sein Name ändern sollte, oder sich was am Drucker ändert ....... dann bearbeitet der Clientservice einmalig die Datei und fertig. Hat sich bei uns hervorrragend bewährt.

Wieso must Du denn jeden einzelnen Ordner freigeben?

Du kannst nach wie vor mit nur einer Stammfreigabe arbeiten. Erstelle die Unterverzeichnisse, verschiebe die Ordner so wie Du es haben willst, und passe dann die Einstellung am Benutzerobjekt entsprechend an.

Also z.B.

User: pappnase

alt

Home: \\server\freigabe\pappnase

 

neu

Ordner verschoben nach E:\Userdata\Nasen\pappnase

neu im Benutzerobjekt

Home: \\server\freigabe\Nasen\pappnase

 

Einfacher gehts nur, wenn Du Dir z.B. ein VBscript dafür schreibst, welches die Benutzerobjekte auswertet (OU und Homeshare), den Ordner entsprechend verschiebt und als Letztes den geänderten Homeshare jeweils in die Benutzerobjekte zurückschreibt. Lohnt aber der Aufwand? Hast Du soviele Schulungskonten?

Dann gibt es da noch die Gruppe "DNSUpdateProxy". Da muss der DHCP-Server dann auch noch Mitglied sein. Dann klappt's auch mit den sicheren Updates.:D

So weit ich weiß werden PTR immer nur vom DHCP eingetragen und aktualisiert. Eben nach Aufforderung durch den Client oder immer. Der Client schreibt nur seinen A.

Kann man das Programm nicht dahin anpassen, dass die Datei zuerst lokal gespeichert und dann ins Netz geschoben wird. Wäre sicherlich nicht chique aber es würde dann wenigstens funktionieren.

Schau mal in der DHCP-MMC unter Eigenschaften des DHCP-Servers, Reiter "DNS". Wie siehts da aus?

Nur vorsichtshalber:

Das der Proxy per User eingetragen werden muss ist klar, oder? Kann man auch per GPO erledigen.

Missverstanden!

Die "Domänen-Admins"-Gruppen zu Mitgliedern der jeweils anderen "Administratoren"-Gruppen machen. Die findest Du im Container "Builtin".

Guck mal: ipconfig /all

Hi Giffy,

vielleicht ergäzend noch dazu:

Wir haben eine Inter-Forest-Migration druchführen müssen. Die Pakete sind noch da. Kann man einfach so in der neuen Domäne einen neuen RIS aufsetzen und ihm die alten Pakete unterjubeln?

 

Die Benutzer, Gruppen und Computer wurden mit ADMT migriert. SID's wurden übernommen.

Du solltest als erstes die Logfiles von Exmerge sichten. Die stehen standardmäßig im selben Ordner wie die Exmerge.exe

Ich vermute, dass einige Postfächer nicht gesichert werden können (die mit dem 32K). Berechtigungsbrobleme vielleicht.

Versuch es mal mit dem Routing- und RAS-Dienst. Den Dienst einfach auf dem Host aktivieren, dann konfigurieren -> Benutzerdefiniert -> LAN-Routing.

Dann gehst Du auf "IP-Routing", "Allgemein" und wählst die entsprechende Schnittstelle aus -> Eigenschaften. Dort gibt es Eingangs- und Ausgangsfilter, die man konfigurieren kann. Theoretisch müsste es gehen, Regeln zu setzen, welche die Kommunikation von und nach der IP-Adresse des physischen Hosts unterbinden.

 

Ich habe das nicht ausprobiert, nur theortisch hergeleiert. Probiers mal aus, vielleicht geht es ja. Poste ggf. mal die Ergebnisse.

Schon mal versucht, das Ding ohne Netzwerkkabel zu booten und anzumelden. Erst danach wieder stecken.

Man kann einen Server auch überwachen, ohne sich direkt auf dem selben anmelden zu müssen. Wenn Du z.B. bloß regelmäßig in die Eventlogs schauen möchtest, dann kannst Du das auch über die lokale Computer-Verwaltungs-MMC. Einfach starten, dann mit der rechten Maustaste auf den Stamm, mit anderen Computer verbinden, Servername eingeben und fertig. Entsprechende Berechtigungen voarausgesetzt. Filesystem genauso. Zugriff über die administrativen Freigabe C$, D$ usw. oder über speziell angelegte Freigaben.

GPO für Computer erstellen

Computerkonfiguration -> Administrative Vorlagen -> System -> Anmeldung

"Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" auf aktiviert setzen.

 

Das sollte genau dein Problem behegen.

Ich weiß nicht ganz, ob ich die Frage komplett verstanden habe (ist ja auch etwas dünn). Aber einfach die Objekte in der MMC per Drag'n'drop verschieben bringt nicht das Ergebnis, was Du erwartest?

Keine Lösung, aber versuche mal einen Trick:

Man kann Task erstellen, indem man die auszuführende Datei oder das Script einfach per Drag'n'Drop in den Taskmanager schiebt. Anschließen musst Du das Ding noch bearbeiten, Zeit, Passwort etc. eintragen. Gehts dann vielleicht?