Ambix

Super, der Link hat weitergeholfen! Endergebnis ist somit: $ErrorActionPreference = "Stop" try { Tu_dies_und_das $GSerr= (&C:\Programme\ghostscript.exe -q -dNOPAUSE -dBATCH "-sOutputFile=$TIFfile" $PDFfile) | Out-String if ($LastExitCode -ne 0) { throw $GSerr } } catch { sendmail panic@fabrikam.com body=$error[0] } Tausend Dank für Deine Hilfe! Frank

Hallo zusammen, ich habe mir gerade mein erstes Powershell skript zusammengebaut und komme nicht weiter: Das Skript ruft unter anderem ein externes Programm auf. Falls irgendetwas während der Skriptausführung schiefgeht, möchte ich eine Mail mit dem Fehler versenden: $ErrorActionPreference = "Stop" try { Tu_dies_und_das &C:\Programme\ghostscript.exe -q -dNOPAUSE -dBATCH ... } catch { sendmail panic@fabrikam.com body=$error[0] } Das hab ich in der ISE gemacht und da funktioniert alles wie gewünscht. Verfälsche ich einen Parameter im ghostscript Aufruf bekomme ich im Mailbody die Fehlermeldung geliefert, die Ghostscript.exe ausgibt, z.B. GPL Ghostscript 9.16: **** Could not open the file D:\test.pdf. Dann habe ich das Ganze in den Taskplaner gepackt, weil das Skript regelmässig laufen soll. Provoziere ich einen Fehler in Tu_dies_und_das, bekomme ich immer noch eine Mail. Wenn aber Ghostscript auf einen Fehler läuft, bekomme ich nichts. Im Taskplaner steht: powershell -noprofile -file D:\MeinErstesSkript.ps1 Nach langer Suche habe ich nur gefunden, dass das gar nicht funktionieren dürfte (auch nicht in der ISE?), weil ich Fehler von externen Programmen mit Try/Catch gar nicht erwischen kann. Also flugs mein Skript modifiziert: Tu_dies_und_das &C:\Programme\ghostscript.exe -q -dNOPAUSE -dBATCH ... if ($LastExitCode -ne 0) { throw $error[0] } } catch...  Jetzt bekomme ich auch bei Ghostscript Fehlern eine Mail, aber als Fehlertext gibt es nur: ScriptHalted Gibt es nicht doch eine Möglichkeit, den Ghostscript Fehlertext in meine Mail zu bekommen? Lieben Dank Frank

Hi, ich möchte gerne einen Installationsordner für Office2010 pro in deutsch oder englisch bereitstellen - je nach Sprache des OS. Dazu habe ich eine englische Version in die Freigabe gepackt und danach die de-de Ordner aus dem deutschen Language Pack dazukopiert. Nun meine erste Frage: Im Update Ordner liegen die msps aus ServicePack1. Muss ich immer dafür sorgen, dass msps für beide Sprachen drin sind oder reicht englisch (weil Basisversion)? Und die zweite Frage: Wir wollen für beide Sprachen niederländische Rechtschreibprüfung ermöglichen - das Proofing Tool Kit erfordert aber eine separate Installation. Ist es möglich, nur das niederländische Proofing in die Office2010 Freigabe zu integrieren, so dass es mitsamt der Office Installation mitinstalliert wird? Vielen Dank für Eure Antworten, im Moment fehlt mir wirklich jede Zeit, sowas selbst auszuprobieren... Frank

Pest Hölle und Verdammnis, ich würde den ansonstem immer gern genutzen PDM am liebsten in kleinste Stückchen zerhacken... Ich hatte wie überall sonst auch einen Alias definiert, die Konfig sah also so aus: name 1.2.3.4 RAS_External global (outside) 1 RAS_External Und genau das funktioniert nicht! In dem Moment, wo ich den name Eintrag gelöscht habe und in der Konfig daraufhin global (outside) 1 1.2.3.4 stand, funktionierte alles wie geschmiert! Ich nutze übrigens PDM 3.0(4). Hegl, was Du beschreibst, könnte dieselbe Ursache haben, denn auch die Interface IP hat zumindest bei mir einen Alias. Herzlichen Dank für Eure Hilfe Frank

Nicht nur, dass es elend lange gedauert hat, Deine Lösung auszuprobieren, schlimmer noch, ich kriegs nicht hin... Hier mal ein bisschen mehr von meiner Konfig: PIX Version 6.3(5) access-list acc_inside permit tcp host SSL-Server any eq https access-list acc_inside deny ip any any access-list acc_outside permit tcp any host ExternalIP eq pptp access-list acc_outside permit tcp any host ExternalIP eq https access-list acc_outside deny ip any any access-list acc_inside_to_lower permit ip inside_lan 255.255.248.0 object-group VPN_Locations access-list acc_crypto_outside permit ip inside_lan 255.255.248.0 object-group VPN_Locations global (outside) 1 ExternalIP nat (inside) 0 access-list acc_inside_to_lower nat (inside) 1 SSL-Server 255.255.255.255 0 0 static (inside,outside) tcp ExternalIP pptp RAS-Server pptp netmask 255.255.255.255 0 0 static (inside,outside) tcp ExternalIP https SSL-Server https netmask 255.255.255.255 0 0 access-group acc_outside in interface outside access-group acc_inside in interface inside Da funktioniert nicht. PDM sagt mir bei der Translation rule nat (inside) 1, dass er keinen Pool 1 auf einem Interface mit lower security level finden kann. Gut, lege ich halt einen Pool auf dem outside Interface an, mit einer einzigen IP: ExternalIP. Das geht aber leider auch nicht, weil das mit static (inside,outside) https kollidiert. Langsam verzweifle ich, das muss doch gehen... frank

Hallo zusammen, folgendes Problem: Ich habe in meinem internen Netz einen PPTP Server und einen SSL Server, die sich eine öffentliche IP teilen müssen. Gemacht wird das über eine PIX 6.3(5), die Konfig sieht so aus: static (inside,outside) tcp externalIP pptp PPTP-Server pptp netmask 255.255.255.255 0 0 static (inside,outside) tcp externalIP https SSL-Server https netmask 255.255.255.255 0 0 dazu noch die entsprechenden access list Einträge fürs outside Interface gemacht, funktioniert prima. Jetzt kommt eine neue Anforderung: Der SSL Server soll nun auf Port 443 (und später auch auf 10090) Verbindungen über die gleiche öffentliche IP wie oben initiieren können. Ich wollte einfach nur in der inside access list einen Eintrag hinzunehmen: access-list acc_inside permit tcp host SSL-Server any eq 443 Aber nein, PDM sagt mir, dass mir dafür eine translation rule fehlt und bietet mir an, den kompletten SSL Server ohne jede Porteinschränkung auf die öffentliche IP zu packen - was wiederum misslingt, weil das mit den oben aufgeführten rules kollidiert. Ich habe dann einfach den access-list Eintrag per Konsole hinzugefügt. Der erscheint jetzt als nullified im PDM und es funktioniert tatsächlich auch nicht. Was mache ich falsch? Oder geht das gar nicht? ratlos Frank

Hallo zusammen, folgende Situation: Ich habe auf meinem 2003 DC eine Gruppenrichtlinie eingerichtet, die auf meinem XP Notebook (auf dem ich lokaler Admin bin) die Datei- und Druckerfreigabe der Windows Firewall modifiziert. Die Modifikation besteht nur darin,dass ich zum bereits vorhandenen Bereich " Local Subnet" die IPs meines DC und eines zweiten Servers innerhalb unserer Domäne hinzufüge. Wenn ich mein Notebook nun im LAN hochfahre, sehe ich in der Windows Firewall die Datei und Druckerfreigabe mit den richtigen Einstellungen, sie ist ausgegraut und in der Spalte Gruppenrichtlinie steht "Ja" Starte ich das Notebook offline, fehlt meine Modifikation und in besagter Spalte steht "nein" Im Ereignisprotokoll finde ich die Meldung "DC konnte nicht gefunden werden, die Verarbeitung der Gruppenrichtlinie wird abgebrochen". Zum Problem wird das, wenn ich mich via VPN in unser Netzwerk einwähle. Das geht mittels einer Cisco PIX, bei der aber keine Anmeldung am DC erfolgt, auch die IP, die mir die PIX zuweist, ist nicht Teil der IP Range meiner Server. Somit stellt sich mir die Frage, warum eine bereits einmal übernommene GPO offline nicht mehr greift? Soll das so sein, habe ich sie falsch angelegt oder liegt der Fehler vielleicht ganz woanders? Grundlagenwissen vermissender Frank

Ich hatte es befürchtet... Ich habe vor ein paar Jahren Sharepoint Server nur zum Spass installiert und fand zunächst sowas wie Newsticker, global announcements und sonstwas für einen unnützen Kram auf der Startseite. Als ich fünf Minuten später immer noch kein Dokument bereitstellen konnte, habe ich Sharepoint kurzerhand für doof befunden und wieder runtergeworfen - was sich heute als ganz bösen Fehler herausstellt... Gibt es denn vielleicht ein Tutorial, was mich etwas Zeit sparen liesse? Für jeden Hinweis dankbar Frank

Hallo zusammen, ich brauche in 14 Tagen ein funktionierendes Dokumentenmanagement System: Up- und Download von MS Office Dokumenten Historie: Wer hat welches Dokument wann geändert Lock: Dokument ist gerade von User xy in Bearbeitung und gesperrt Einfaches Berechtigungskonzept Deny/Read/Write Zugang ausschliesslich via Browser und https Das Ganze dient zum Managen eines einzigen Projektes mit etwa 70 weltweit verteilten Teilnehmern, ich glaube auch nicht, dass ich in der Summe mehr als 100 Dokumente zusammenbekomme. Potente Internetverbindung und Hardware wäre vorhanden. Aufgrund des Zeitdrucks habe ich trotzdem zunächst eine externe Lösung, nämlich WebOffice von Webex ins Auge gefasst. Nachteile: Sensible Daten liegen ausserhalb unseres Unternehmens 500€/Monat, avisierte Projektdauer 18 Monate Es wäre unserer Abteilung politisch äusserst zuträglich, wenn wir das aus eigener Kraft hinbekommen könnten Unter der realistischen Voraussetzung, dass ich 20% meiner Zeit in die Installation stecken könnte, kennt Ihr eine Software, die in drei Manntagen installiert und konfiguriert die obige Anforderung abdecken würde? Auf ein Wunder hoffend Frank

Der Link gibt so überschlagsmässig wieder, was ich meinte: faq-o-matic.net Warum Images nicht als Datensicherung taugen Von da aus bitte auch den Link zu Michael Bormanns Seite beachten. Es bleibt ein Jammertal Frank

Ähem, darf ich da auch noch den Versuch einer Vervollständigung machen? War es nicht so, dass ein mit Acronis gesichertes AD absolut nichts wert ist, weil ein Snapshot einer laufenden Datenbank nur zufällig konsistent ist? War es nicht ebenfalls so, dass ein mittels Acronis und ggfls. mittels Reparaturtools wiederhergestelltes AD das gute und laufende AD auf einem zweiten DC in der Regel rettungslos vernichtet? Gab es nicht einmal eine Seite, auf der detailliert beschrieben wurde, wie man mit Acronis sein AD auch und gerade bei Vorhandensein eines zweiten DCs so kaputt bekommt, dass man die gesamte Domäne von null auf neu aufbauen muss? Ich weiss noch, dass ich vor zwei Jahren alle drei Fragen mit Ja beantwortet habe und seitdem zuerst mit ntbackup den systemstate sichere und dann Acronis loslaufenlasse - und im Notfallhandbuch prangt auf der ersten Seite in Arial 48pt der Hinweis, dass man nach einem Image Restore um Himmelswillen zuerst den DC von Netz nimmt und ein systemstate restore macht... Solltest Du vielleicht in Deine Problemlösungen mit einbeziehen, bzw nach dieser Seite googeln... Vielleicht erbarmt sich ja auch mal Yusuf, ein paar erhellende Worte dazu auf seiner Seite zu verewigen... Viel Erfolg Frank

Morjen, morjen, jetzt fängst Du an, mir zu sagen, was alles möglich ist, dabei wollte ich doch wissen, was für mich sinnvoll ist:p Hat mich aber dazu gebracht, nochmal kräftig zu lesen und jetzt würde ich gerne nur noch wissen, ob das Folgende stimmt: Der bevorzugte DNS-Server der NL DCs in den TCP/IP Einstellungen sollte nur deshalb auf einen DC in der Zentrale verweisen, weil damit der Inseleffekt vermieden wird. Der Inseleffekt kann aber nur dann auftreten, wenn sich die IP Adresse eines DCs ändert. Bleiben die IP Adressen aller DCs bis in alle Ewigkeit gleich, gibt es diesen Effekt nicht. Unter dieser Voraussetzung ist es für das optimale Funktionieren der AD Replikation egal, ob der bevorzugte DNS-Server der NL DC selbst - oder der Zentrale DC ist. Falls keine anderen Designanforderungen (z.B. wie von blub beschrieben) berücksichtigt werden sollen, ist es dann besser, als bevorzugten DNS Server auf den NL DCs den DC selbst einzutragen. Das sorgt nämlich dafür, dass der NL DC in den seltenen Fällen, in denen er selbst eine Namensauflösung (aus welchen Gründen auch immer) benötigt, seinen eigenen DNS befragt und nicht den auf dem Zentrale DC. Der Eintrag für den alternativen DNS-Server kann getrost leer bleiben. Der wird nur dann genutzt, wenn der bevorzugte DNS Server nicht verfügbar ist - und dann hat man ein Prio1 Problem, da interessiert es nicht die Bohne, ob der DC selbst Namen auflösen kann, oder nicht. Die Clients haben mit diesen Einstellungen rein gar nichts zu tun, das ist vollkommen unabhängig voneinander. Hab ichs jetzt? Frank

Weil "Technik" bei uns nicht unbedingt mit "Computertechnik" gleichsetzbar ist... Du, ich hab kein Problem :D Ich wollte nur eine Alternative aufzeigen, falls killertomates Kollegen ähnlich zickig wie die meinigen sind (ohoh, gut, dass ich hier anonym bin...). Aber trotzdem mal interessehalber, da mein Versuch mit öffentlichen Ordnern aufgrund o.g. Zickigkeit bereits im Ansatz wieder eingestampft wurde: Welche Nachteile meiner Lösung habe ich denn dann vermieden? - Landet die Technikerantwort automatisch im öffentlichen Ordner? - Kann ich die Absenderadresse wie bei meiner Lösung beeinflussen? - Kann ich über neue Mails benachrichtigt werden? Neugierig Frank

Holla, jetzt muss ich denken. Erstmal Zusatzinformationen: Der grosse Flaschenhals ist die 2MBit Anbindung der Zentrale, ich versuche daher, den Traffic zu den NLs so klein wie möglich zu halten, bis ich endlich mal was dickeres bekomme. Daher hat jede NL eine eigene Cisco PIX (und einen nicht-MS Proxy auf dem DC) und geht so völlig unabhängig von der Zentrale ins Internet. WSUS habe ich deshalb gemieden und auch der Virenscanner ist deshalb bewusst dezentral, Kaspersky benachrichtigt uns recht zuverlässig, wenn irgendetwas im Argen sein sollte - und benötigt obendrein keinen nennenswerten Verwaltungsaufwand, da es sich sehr gut ins AD bzw. meine wohlgepflegten OUs integriert. So, genug der Werbung, zurück zum Thema. Dass die Namensauflösung für die Clients nicht über die Zentrale läuft, ist klar. Wie Du richtig vermutest, befragen die NL DCs (genauer: der DNS auf dem DC) die jeweiligen DNS-Server des Providers. Aber das gilt doch nicht für den NL DC selbst? Wenn ich da auf der Konsole oder per Remote Desktop den Browser öffne und "www.google.de" eintippe, müsste ich doch die googlesche IP Adresse vom Zentrale DC1 bekommen? Wenn das so wär, wärs schlecht für mich. Das macht mir ganz sicher andere Probleme, über die ich aber erstmal nachdenken muss (und dann wahrscheinlich auch ein neues Thema aufmachen sollte). Bis dahin könnte ich aber trotzdem schonmal festhalten, dass die Namensauflösung z.B. fürs Windows Update des DCs selbst über die Zentrale läuft? weiterdenkend und -lernend Frank

Hi, öffentliche Ordner werden bei uns als Teufelszeug abgetan (Kenn ich nich, will ich nich, muss ich zuviel klicken), deshalb habe ich eine andere Lösung gewählt: Ich habe ein Postfach "Technik" erstellt und den entsprechenden Kollegen das Recht zugewiesen, dieses Postfach zusätzlich zu dem eigenen in ihr Outlook einzubinden. Damit haben die Kollegen zwei Postfächer, der erste, der auf die neue Mail klickt, kennzeichnet sie dadurch als gelesen und hat damit die Verantwortung. Allerdings hat das ein paar gravierende Nachteile: Eine Benachrichtigung über eingehende Mails gibt es nicht, der Posteingang muss immer sichtbar sein, damit man am Wechsel auf Fettschrift sehen kann, ob eine neue Mail eingetroffen ist. Wenn man mit dem Absender technik@blabla antworten will, muss man im Outlook das Feld "Von" einblenden und dann die technikadresse auswählen. Obendrein landet die dann gesendete Mail auf jeden Fall im eigenen Ordner "Gesendete Objekte", man muss sie danach manuell in "Gesendete Objekte" des Technik Postfaches verschieben, damit die Kollegen auch die Antwort sehen können. Trotz dieser Nachteile hat dieser Weg bei uns wesentlich weniger Gezeter verursacht. gruss Frank

Hab Dank für die schnelle Antwort! Aber schon tut sich die nächste Wissenslücke auf: Wenn ich denn nun vom NiederlassungsDC aus ins Internet will (z.B. Windows- oder Virenupdate), wer macht dann die Namensauflösung? Wird in diesen Fällen nicht dann immer der Zentrale DC befragt? Wenn ja, muss ich das hinnehmen, damit mein AD friedvoll vor sich hinrennen kann, oder kann ich da sinnvoll eingreifen? Sich so langsam wie im Crashkurs fühlend Frank

Heute bin ich im Fragefieber... Ich habe schon eine Menge zum Thema korrekte DNS Konfiguration gefunden, aber vieles war schwammig, teilweise widersprüchlich oder ich habs nicht verstanden. Deshalb hier mal die Bitte nach einer klaren Antwort: Eine Domain, alles AD-integriert, eine Zentrale mit 2 DC und 5 Niederlassungen mit je 1 DC. AD-Standortverbindungen sind sternförmig angelegt, die Niederlassungen sind untereinander nicht verbunden. Die WAN Verbindungen variieren von schlechtem DSL1000 bis 50M VDSL. Was muss ich nun in den Eigenschaften der LAN-Verbindung /TCPIP einstellen? Bei den Niederlassungs DCs: Bevorzugter DNS-Server = DC1 Zentrale Alternativer DNS-Server = Eigene IP Bei Zentrale DC1: Bevorzugter DNS-Server = DC2 Alternativer DNS-Server = DC1 Bei Zentrale DC2: Bevorzugter DNS-Server = DC1 Alternativer DNS-Server = DC2 Oder umgekehrt? Oder ganz was anderes? Weiterhin wißbegierig Frank

Prima, ich habe jetzt sämtliche Zeiten im DHCP/DNS/WINS auf Standard gesetzt, mal sehen, was dabei rauskommt... Herzlichen Dank Frank

Hallo zusammen, ich habe eine Domain mit zwei AD-integrierten Standorten, jeder Standort mit eigenem Subnetz, eigenem DHCP Server (also kein DHCP Relay) und eigenem 2k3 DC, alle Clients haben XP. Nun bekommt ein Client an Standort A eine IP Adresse, die standardmässig 6 Tage gültig ist. Wass passiert, wenn er am nächsten Tag zu Standort B wechselt? Zu NT4/Win98 Zeiten hätte er die IP aus Standort A behalten und ohne ipconfig /release /renew wäre nichts möglich gewesen. Gilt das heutzutage auch noch? Und wenn ja, kennt jemand ein Tutorial, in dem drinsteht, wie ich das verhindern kann? Wenn ich nämlich einfach nur die DHCP Lease auf z.B. 12 Stunden runtersetze, bekomme ich doppelte Einträge im DNS. Wenn ich Alterungs/Aufräumzeiten im DNS ändere, funktioniert WINS nicht mehr richtig. Und jetzt bin ich an einen Punkt, wo ich einfach nicht weiss, was genau die verschiedenen Zeitintervalle bewirken - also frage ich hiermit mal einen, der was davon versteht... wissbegierig frank

Hi, ich hatte ähnliche Schwierigkeiten, zwei Server zu synchronisieren. Bei mir lags daran, dass der unwillige Server Peer Pakete anstelle von Client Paketen sendete, wenn er sich die Zeit holen wollte. Dieser Befehl (entscheidend ist das 0x8) brachte Abhilfe: w32tm /config /manualpeerlist:<MainTimeServerIP>, 0x8 /syncfromflags:manual Mit genauerem kann ich leider nicht dienen, ich hab mir damals nur aufgeschrieben wie es geht, nicht warum... gruss frank

Hallo zusammen, ich habe meine DMZ mit einer Cisco PIX realsisert. Der ISA Server steht in der DMZ und hat daher nur eine Netzwerkkarte. Ebenfalls auf diesem Rechner läuft mein SMTP Gateway. ISA soll primär als Webproxy eingesetzt werden. Nun würde ich gerne zusätzlich den SMTP Filter nutzen, um einige SMTP Befehle zu blocken. Wenn ich aber eine entsprechende Firewallregel veröffentliche, bekomme ich gleich zwei Probleme: 1. Damit ich mich von einem Client per Telnet am SMTP Server connecten kann, muss ich das Protkoll SMTP, also TCP 25 ausgehend zulassen. Lasse ich nur eingehend zu, wird der Zugriff durch die Standardregel verweigert. Ist das nicht genau falsch herum? 2. Obwohl der Filter im SMTP Protokoll unter Anwendungsfilter angehakt ist und im Filter selbst z.B. NOOP deaktiviert ist, kann ich fröhlich alle Befehle absetzen. Fehlt da noch was oder geht das alles nicht, weil ich nur eine Netzwerkkarte eingebaut habe? reichlich ratlos Frank