woiza

Hallo Hobbypsychologe, wer kommt in seinem Job nicht weit? Musst du hier alle beleidigen? Such dir doch was als Psychoonkel und lass hier die Leute in Ruhe. Oder bist du frustriert, dass dich in deinem Metier keiner haben will?

@mr.index auf diesen gehörst du. Wenn du wirklich studiert hast (was ich nicht glaube), dann nicht Psychologie. Und wenn Psychologie, dann hast du nicht viel verstanden. Oder sollen das hier Feldstudien sein, dass du jeden anpöbelst?

Ne, für den MOC kriegst du kein Zertifikat, sondern lediglich ne Teilnahmebestätigung. Da du aber ja theoretisch im Kurs auch schlafen könntest, kannst du dir das Teil aufs Klo hängen, das dürfte keinen interessieren. Interessant sind die Certs, weil da musst du ja was nachweisen. Wenn ich sehe, wie viele Leute bei uns die MOCs gemacht haben und trotzdem jenseits von gut und böse sind...

Hi, erstens solltest du prüfen, ob es noch mehr Richtlinien gibt. Das Recht muss reichen. Kommt ihr denn über RDP auf die Maschine? Hier gibt es übrigens die Beschreibung des Rechts "Lokal anmelden zulassen". Bei DCs sollten folgende Mitglieder vorhanden sein: Konten-Operatoren, Administratoren, Sicherungs-Operatoren, Druck-Operatoren und Server-Operatoren Alternativ können wir auch die gesamte Richtlinie zurücksetzen. Übrigens ist dies der Grund, weshalb man NIE die Default Policies ändern sollte. Hättet ihr die Änderung in einer zusätzlichen gemacht, würden wir die jetzt rauswerfen, bzw. die Verknüpfung aufheben und gut. Aber prüf noch mal, ob es da mehr Policies auf dieser OU gibt, dann sehen wir weiter. Gruß woiza

Doch, im großen und ganzen schon. wir haben keine zusätzliche Software installiert und z.B. Webshield ist ein bisschen mehr, als nur Virenschutz. Er blockt z.B. auch verdächtige Seiten. Und sollte doch mal was durchkommen... Die Spyware muss sich ja irgendie installieren. Da gibts hauptsächlich 2 Möglichkeiten. Entweder reichen die Rechte des Users aus. Das kann ich aber mit Policies, bzw. Rechteeinschränkungen unterbinden. Oder die Malware nutzt Lücken im OS, bzw. Applikationen aus. Beliebt ist hier z.B. der IE. Dagegen hilft z.B. regelmäßiges Patchen. Den Rest werden die Virenscanner schon rausfiltern.

Wir haben nen mehrstufigen Schutz. -Mailsweeper mit Virenscanner als SMTP-Eingang -Webshield als Proxy -Trend oder NAI auf den Mailboxservern - Symantec auf den Clients Außerdem haben die Benutzer nicht die erforderlichen Rechte, um Software zu installieren. Gruß woiza

Kleiner Tipp: Pack in die Richtlinie nicht nur den einzelnen User, sondern die Gruppe Administratoren. Sollte sich dann mal der Admin aussperren oder aus Versehen (vom Praktikant :cool: ), kann sich ein anderer Admin immer noch anmelden. Gruß woiza

Ruhe ist bei AD das wichtigste. Je größer das AD, desto mehr Tassen Kaffe zwischen den Änderungen.

cmd.exe net stop netlogon net start netlogon Alternativ heißt das Ding im Deutschen glaube ich Anmeldedienst oder so...

OU heißen die lustigen gelben Ordner in AD Benutzer und Computer (die du am einfachsten mit ausführen/dsa.msc aufrufst). Du suchst nicht nach nem Ordner, der so heißt sondern nach einer OU, die Domain Controller heißt. Auf diesem Ordner rechte Maustaste, dann kommst du in die Eigenschaften, dort gibt es Gruppenrichtlinien. Dann gehst du auf die Default Domain Controllers Policy und dann auf bearbeiten. Dort gibt es dann unter Conputerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten. Dort gibt es lokal anmelden verweigern. Die sollte entweder leer sein oder nur was mit Support_xyz2334 enthalten. Zusätzlich gibt es die Richtlinie Lokal anmelden zulassen. Hier sollte die Gruppe der Administratoren aufgeführt sein. Übrigens hast du keinen PDC/BDC mehr im AD. Gruß woiza

Lass alle mit dem primären Eintrag auf den 100er zeigen. Wie du es NACH der Problembehebung machst ist eine philosophische Frage. Den Timeout bekommst du vermutlich weil, keine Reversezone da ist. Dann kann er die DNS-Server Ip nicht dem Namen zuordnen. Ist im Moment wohl eher ein Schönheitsfehler.

Der 99 hat trotzdem ein Problem. Da der Server irgendwann weg soll und erst weg kann, wenn der Rest tut, lass uns den Rest in Ordnung bringen. Du brauchst ja den DNS auf dem 99 nicht wirklich. So... netlogon Neustart bewirkt, dass sich der DC mit allen Service Records neu registriert im DNS. Alternativ kannst du die Server auch neu starten. Die Zone, soweit AD-integriert liegt in einer extra Partition des AD. Diese muss erstmal auf den Server repliziert werden. Solange das nicht passiert, kann er sie auch nicht anzeigen. Und er wird solange nicht replizieren, bis er sich in der COnfig mit obigem Attribut eingetragen hat. Das ist auf ihm selbst vermutlich schon passiert, muss aber noch repliziert werden. Auch hier gilt wieder: ohne DNS keine Replikation.

Ich vermute mittlerweile, dass dein DNS beim Upgrade was abgekriegt hat. Lass alle DCs auf den 100 zeigen. Der 99 wird ja eh irgendwann entfernt. Mach dann nen Neustart des Netlogon auf allen DCs. Sobald deine Replikation wieder tut, wird die Zone auch auf dem Server 3 auftauchen. Die Info, welcher DC die Zonen kriegt, steht bei AD-integrierten Zonen im AD. Da gibt es in der Configuration unter Partitions bei den DNS-Partitions das Attribut msDS-NC-Replica-Locations. Da würde ich aber nicht spielen.

Schau mal in den Diensten, ob der DNS-Dienst wirklich läuft, das gibts doch gar nicht?

Ja, aber geh mal mit rechts auf die Zone und schau in die Eigenschaften, dort unter Replikation. Mach mal zusätzlich auf der 99 folgendes: nslookup 10.78.10.100 127.0.0.1 und poste das Ergebnis hier. Vielleicht haben wir ja ein Firewallproblem...

Hallo Helix, ich würde dir empfehlen, alle DCs primär auf einen DC zeigen zu lassen. Wenn alles tut, kannst du gerne wieder zurückstellen. Normalerweise müsste deine dritte Maschine schon lange eine Zone bekommen haben, weil diese ja AD-integriert ist. Also hast du ein Replikationsproblem. Können wir uns irgendwie übrigens auf einen Thread einigen, das ist so ein wenig anstrengend. Ich würde dann ab jetzt zu deinem Problem nur noch im anderen posten, ok? Gruß woiza

Wer ist denn bdc_temp2003.bgbdom.lan? Das müsste dann die 99 sein, oder? Wie hast du die Zone denn AD-integriert? Alle in der Gesamtstruktur?

Hi Velius, du hast recht, wenn alles funktioniert, kein Problem. Dann ist die Redundanz größer, wenn jeder auf sich zeigt. Wobei trotzdem jeder zunächst auf den "zentralen" zeigen könnte und sekundär auf sich. Aber sobald du Inkonsistenzen in den Zonen hast, wird es interessant. Ich habe ja schon ein Beispiel gebracht, dass uns viel Kopfzerbrechen bereitet hat. Ich hätte noch eins: Wir mussten einen DC mit ntdsutil rauswerfen. Leider waren wir etwas ungeduldig und haben die Maschine wieder reingeholt, ohne vorher die DNS-Zonen zu kontrollieren. In der msdcs stand der GUID-Eintrag noch drin... Jetzt haben wir bei der neuinstallierten Maschine den DNS-Eintrag erst auf sich und dann auf eine andere Maschine zeigen lassen. Alles kein Problem, DCPromo tut, weil er selbst die Zone noch nicht hat, nimmt er den zweiten für die Auflösung. Nach dem Reboot will er sich mit allen Records im DNS registrieren und nimmt dann aber seine eigene Zonenkopie. Im ganzen Forest steht er also noch mit der alten GUID, nur auf sich selbst mit der neuen. Wie soll die Maschine je replizieren? Und der sekundäre Eintrag wird ja nur dann verwendet, wenn der primäre Server nicht erreichbar ist.

Hi weg5st0, eigentlich gibts wenig Grund, da sich die Clientanfragen der DCs ja in Grenzen halten. Deshalb empfiehlt ja MS heute auch, alle DCs/DNS auf einen zeigen zu lassen. Das ist definitiv die Config, bei der ich am wenigsten beachten muss und die am unempfindlichsten gegen Replikationsstörungen ist. Aber, wenn ich weiß, was ich tue, dann gehen auch die anderen Modelle, ist dann eher ne Philosophiefrage. Und vor vier Jahren hat MS uns noch das Überkreuz empfohlen. Gruß woiza

Genau so machen wir das, mit dem kleinen Unterschied, dass wir die Dinger in jedem Standort überkreuz zeigen lassen. Unter 2000 gab es das Problem beim Reboot, dass sich der Netlogon in den DNS eintragen wollte, dies geht erst, wenn der DNS-Dienst läuft, der seinerseits auf das Anspringend es Netlogon wartet... Und dann ging das Spielchen bis zum Timeout. Teilweise dauerte so ein Reboot mehrere Minuten. Mit den Einträgen überkreuz kein Problem. Außer, man bootet beide gleichzeitgig. ;)

Gut, dann schau mal in die Zone, ob da irgendwelche Hosts eingetragen sind.

Hi, installier die das CIM Studio, dann kannst du die Klassen browsen. WMI Tools Alternativ sind auch die nicht schlecht: Scriptomatic WMI Code Creator Aber um die Antwort kurz zu machen, nein das Objekt SubnetMask gibt es nicht, dafür aber IPSubnet. Gruß woiza

Und der 99 zeigt als Client auf sich selbst?

Hi kannst du noch mal die drei Server Nr.1 bis Nr.3 in eine Reihenfolge bringen? Also Installationsreihenfolge, IP...

mir ist noch nicht ganz deine Config klar mach noch mal nslookup 10.78.10.100 10.78.10.99 auf dem 99