jose

Hallo GEDAG,

versuchsweise könntest Du im Gerätemanager die Webcam deaktivieren und einmal den Rechner durchstarten. Vielleicht gibt es danach hilfreiche Fehlermeldungen, die auf den Prozess (falls es sich um einen legitimen Prozess handeln sollte) hinweisen, der die Kamera in beschlag nimmt?!

Zum Stichwort *trojaner: Bei einem solchen Verhalten sollte auch ein Einsatz eines Offline Virenscanners in Erwägung gezogen werden.

Weiterhin empfehle ich den Process Monitor von Sysinternals.

Misc WARNING: WinHttp: SendRequestUsingProxy failed for <http://WINSRVEXCH:8530/selfupdate/wuident.cab>. error 0x80072efd

Ohne Deine Infrastruktur zu kennen... aber ist der Proxy in diesem Fall auch tatsächlich ok? Ähnliches habe ich bereits öfter gesehen und mir hat es geholfen per proxycfg den Proxy zu entfernen.

How the Windows Update client determines which proxy server to use to connect to the Windows Update Web site

Nachtrag: Sorry... ich seh jetzt erst, dass dieser Lösungsansatz bereits verlinkt wurde (Ich hab nur bis zum Cache leeren gelesen)

Ich schätze Dein lobenswertes und nachahmenswertes Verhalten Demented Clown.

Falls nicht schon geschehen, kann ein Blick in C:\Windows\WindowsUpdate.log nicht schaden. Oft sind die Informationen im Log hilfreicher, als die Fehlercodes aus der GUI.

Das kostenlose Robocopy bzw. xcopy von Microsoft können Dateien via Archivbit sichern.

Ein kurzes Script kann sicherlich beim Abmelden ausgeführt werden, dass bestimmte Ordner wie z.B. die Eigenen Dateien auf diese Weise auf eine externe USB-Platte sichert.

Hallo,

ich kann Dir den Process Monitor von Sysinternals empfehlen.

Darüber solltest Du sehen was genau im fraglichen Augenblick im System geschieht.

Freut mich, dass ich helfen konnte.

Hallo fireblade2000,

ich vermute, dass Du ein Problem mit den geklonten Netzwerkschnittstellen hast. Das Sysprep bereinigt vieles, jedoch nicht die GUID Deiner Schnittstellen.

Du kannst es ja mal auf beiden Systemen per Powershell überprüfen:

gwmi Win32_NetworkAdapter | fl Name,GUID

Abhilfe schafft das Löschen der betroffen Karten (am Besten auf dem Klon) im Gerätemanager. Sobald die Netzwerkkarten erneut installiert sind, sollten diese auch neue GUIDs haben.

Ich hatte jedenfalls dieses Problem in einer Testumgebung, als ich mit einem Cluster unter 2008R2 experimentiert habe und aus Bequemlichkeit einen Knoten mal schnell geklont habe. Trotz eines SysPreps hatte ich beim Aufsetzen des Clusters oben genannte Schwierigkeiten.

Viel Erfolg! ;)

Bei folgendem Befehl

 

dsquery user -name %username% | dsget user -fn >\\server.domäne\userlogon\Sicherheitsübung\%username%.txt -L

Statt der Prozentzeichen solltest Du "*"(Sternchen) nutzen, dann sollte es auch funktionieren.

Wenn es wirklich am vermuteten Treiber staropen.sys liegt, dann würde ich denn zunächst deaktivieren. Dies kannst du ganz einfach mit dem Tool "Autoruns" von Sysinternals bewerkstelligen.

Unter folgendem Pfad...

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\hivelist

...werden die Pfade zu den sog. Hives, aus denen die Registrierung zusammengesetzt ist, angegeben.

Ob ein System nach einer Manipulation an dieser Stelle stabil läuft oder ob sowas überhaupt supported wird, steht auf einem anderen Blatt.

Ich habe das übrigens auch noch nie probiert (also ohne Gewähr) ;)

Ich würde sowas ausgiebig testen und mir ernsthaft gedanken über alternative machen!

Naja und dem einen vom Helpdesk haben wir jetzt die rechte weggenommen damit er nichts mehr installieren kann, so ein Honk echt ...

... so wie ich das sehe wird jetzt das Opfer-Lamm beim User-Helpdesk geschlachtet?!

Mir fehlen die Worte... man kann nur hoffen, dass ein Dritter (vielleicht sogar das Lamm selbst) aus dem Unternehmen mitliest...

Ihr solltet Euch wirklich externe Hilfe holen...

Sunny meint die Synchronisation mit dem Esx-Host. Deaktiviere diese Synchronisation und konfiguriere w32tm, um die Zeit von einer externen Zeitquelle zu beziehen.

Das von Dir beschriebene Szenario lässt leider sehr viele Möglichkeiten zu.

Ich würde an Deiner Stelle zunächst die Logs analysieren.

Also 1ter Blick nach eventvwr.msc ;)

Als nächstes würde ich, falls Eventlogs nicht bringen das NetLogon Log durchforsten (ist leider recht mühselig).

Siehe zum aktivieren des Debugging für NetLogon hier: Enabling debug logging for the Net Logon service

Darüber hinaus würde ich folgende Fragen klären:

a) Wurde kurz vor Auftreten dieses Fehlers ein Update/Patch eingespielt?

b) Wurden Konfigurationsänderungen durchgeführt?

c) Wurde neue Software installiert?

d) Falls Drittsoftware auf den entsprechenden Servern läuft, kann man ausschließen, dass hierdurch Fehler produziert werden? (Stichwort: TrendMicro)

Hoffentlich bringen diese ersten Anlaufpunkte etwas mehr Licht ins Dunkel.

Viel Glück beim Auswerten! ;)

Gruß

jose

Und wenn ich gar keine Anhänge verschicken kann, dann schicke ich alles im Plaintext und rekonstruire alles wieder zu Hause.

E-Mail geht überhaupt nicht?! Gut... USB-Stick, Notebook (externe Dienstleister, Besucher), Kamerahandy, CD-Brenner, Web-Mail, VPN, HTTP Upload etc. pp... oder zu guter letzt alles auf Papier ausdrucken und im Aktenkoffer transportieren.

Es gibt viele Möglichkeiten und daher auch viele Maßnahmen, die man treffen könnte. Maßnahmen gegen Datenklau sind richtig und wichtig, aber durch bloßes unterbinden von Dateianhängen löse ich das Problem nicht.

Hier sind organisatorische Maßnahmen sehr viel angebrachter. Die Frage der Mitarbeiterzufriedenheit sollte nicht außer Acht gelassen werden. Zufriedene Mitarbeiter sind gute Mitarbeiter...

Auch die settings der Monitore waren ein paar mal verstellt, Helligkeit aus und andere Menü Sprache etc

Spontan hätte ich nun behauptet, dass die Daten, welche Du über Dein Netzwerk hin und her bewegst Viren/Trojaner befallen sein könnten, aber Helligkeit und Menüsprachen eines Monitors verstellen?! Das halte ich nun wirklich für sehr sonderbar. Da fällt mir doch ein Posting eines Vorredners ein... wirklich Merkwürdig das ganze. :suspect:

Ich werde den Verdacht nicht los, daß du alle hier nur an der Nase herumführen möchtest.

Hmmh, aber die nötigen $$ fehlen.

Da ich davon ausging, dass Geld durchaus eine Rolle spielt, hielt ich zunächst die kommunikative Lösung als die simpelste und wirtschaftlichste.

Klar rücken Azubis immer und immer wieder nach (offenbar ein gesunder Betrieb, schön :)), aber ich würde mir die Tatsache zu Nutze machen, dass unterschiedliche Jahrgänge parallel in der Ausbildung sind (das interpretiere ich zumindest aus dem oberen Zitat).

Nach diesen Jahrgängen könnte man auch die Rechtestruktur für die Azubis anwenden. Azubis aus dem ersten Lehrjahr kriegen weniger Rechte, als die aus dem Zweiten Lehrjahr usw.

Sobald ein Azubi aus dem ersten Lehrjahr höhere Rechte benötigt, so könnte er sich auch (nicht nur) an einen Azubi-Kollegen aus dem nächsthöheren Lehrjahr wenden. Ich geh davon aus, dass der Azubi aus dem höheren Lehrjahr mehr Erfahrung hat und somit darauf achtet, dass kein DHCP-Server einfach so ins Netz gehoben wird.

Ansonsten genau das was zahni schreibt: Azubinetze von Produktivnetzen trennen.

Die einfachste Möglichkeit wäre eine ordentliche Aufklärung der Azubis. Offenbar besitzen die Azubis genug Rechte auf den entsprechenden Workstations/Servern, dass Sie eben solche "Rouge-DHCP"-Server aufsetzen können.

Die Beschneidung der Rechte wäre eine Möglichkeit, der klügere Weg wäre - wie bereits gesagt - die Aufklärung (=Ausbildung).

So wie ich das sehe, würde ich Dir zunächst vollkommen zustimmen.

Bei einem reinem Failover ist auf dem ersten Knoten die LUN online und auf dem anderen offline.

Es hat sich jedoch seit Server 2008 einiges geändert. Womöglich trifft der Folgende Artikel ja auf Deinen Fall zu?!

Cluster Shared Volumes

Hallo,

zu ähnlichen Zwecken stehen bei MS VMs für Entwickler zur Verfügung.

Diese Maschinen laufen irgendwann mal automatisch ab.

Vielleicht ist das ja was für dich?!

Internet Explorer Application Compatibility VPC Image

Frohe Feiertage! ;)

Hallo TimWegner,

die Technet-Bibliotheken unter dem Stichwort "Windows Security Collection" solltest du Dir diesbezüglich mal genauer ansehen. Da solltest du eine Menge an Informationsmaterial finden.

Hier schonmal ein Link bzgl. Logon & Authentifizierung:

Logon and Authentication Technologies

Ich bin mir ziemlich sicher, dass es da auch eine ähnliche Übersicht bzgl. Smartcard gab, aber auf die Schnelle konnte ich das jetzt nicht finden.

Hoffe ich konnte Dir helfen. :)

Hallo DoomRunner,

ich würde diesbezüglich im Eventlog unter Sicherheit die entsprechenden Einträge checken, die zum selben Zeitpunkt auftraten. Gibt dies auch keinen weiteren Aufschluß darüber, hilft nur ein Blick in die Logs von Switches bzw. Router etc....

Den Defragmentierer gibt es nicht als Dienst. Das Programm wird manchmal gestartet, wenn man angemeldet ist und man längere Zeit nicht gearbeitet hat.

Hört sich für mich stark nach dem Index-Agent an, denn der wird von Haus aus tätig und indeziert fleißig, sobald man längere Zeit nicht aktiv war.

Schau doch mal unter Dienste ob der Indexdienst gestartet ist bzw. "cisvc.exe" im Taskmanager, wenn ich mich jetzt nicht irre.

Hallo general78,

diesbezüglich solltest du dir diesen Thread mal anschauen.

http://www.mcseboard.de/tipps-links-5/dc-imaging-usn-rollback-103491.html

Generell gilt es beim Backup via Imaging-Technik, wie sie von Acronis geboten wird, einiges bezüglich USN-Rollback zu beachten. Einfach mal Google hierzu bemühen... das gibt ne Menge her und man kann sich einigen Ärger ersparen.