olc

Hi,

der CSP / Treiber der SC muß auch auf dem Terminal Server installiert sein. Sonst klappt es nicht.

Viele Grüße

olc

Hi,

DNS Einstellungen "über Kreuz" helfen Dir nicht weiter, Du mußt DNS Weiterleitungen einrichten für den jeweiligen Namensraum "gegenüber".

Ein Netzwerktrace sollte zeigen, wo es hakt. Vermutlich bei der DNS-Auflösung.

Viele Grüße

olc

Hi,

der private Schlüssel wird durch das Gerät erstellt, auf dem Du die Anfrage absetzt.

Ohne den genauen Testaufbau und Dein Vorgehen beim Erstellen eines Zertifikats zu kennen, kann man schwer helfen.

Download: Microsoft SCEP Implementation Whitepaper. - Microsoft Download Center - Download Details

Viele Grüße

olc

Hi,

schalte am "teuren" Switch einmal die "Portfast" Option ab (falls möglich und getestet) und deaktivieren am Client die "media sense" Funktion, sprich setze die Verbindungsgeschwindigkeit einmal auf den jeweiligen Wert (etwa 100Mbit/s oder 1Gbit/s).

Und miß doch einmal nach, um wie viel Zeitverzug es sich tatsächlich handelt mit der o.g. Option (einfach vorher / nachher Vergleich). :)

Viele Grüße

olc

Hi,

wenn ich mir nur das Userlogin von Gruppenrichtlinienseite her anschaue, ist das sehr schnell durch:

Start (Deine Anmeldung, korrekt?):

GPSVC(49c.15a4) 09:45:00:751 UserPolicy: Waiting for machine policy complete event with timeout 600000 MS

Beendet:

GPSVC(49c.15a4) 09:45:02:375 CompareGPOLists:  The lists are the same.
GPSVC(49c.15a4) 09:45:02:375 CheckGPOs: No GPO changes but couldn't read extension CP's status or policy time.
GPSVC(49c.15a4) 09:45:02:375 ProcessGPOs: Extension CP skipped with flags 0x1000e.
GPSVC(49c.15a4) 09:45:02:375 gpGetFgPolicyRefreshInfo: Mode: 2, Reason: 0
GPSVC(49c.15a4) 09:45:02:375 SetFgRefreshInfo: Previous User Fg policy Asynchronous, Reason: NoNeedForSync.
GPSVC(49c.15a4) 09:45:02:375 ProcessGPOs: No WMI logging done in this policy cycle.
GPSVC(49c.15a4) 09:45:02:375 ProcessGPOs: Boot/Logon Policy processing - checking if UBPM trigger events need to be fired
GPSVC(49c.15a4) 09:45:02:375 CheckAndFireGPTriggerEvent: Fired Policy present UBPM trigger event for User.
GPSVC(49c.15a4) 09:45:02:375 Application complete with bConnectivityFailure = 0.
GPSVC(49c.15a4) 09:45:02:375 Application complete with bConnectivityFailure = 0.

Fragen:

• Wo genau bleibt der Anmeldevorgang denn hängen? Was zeigt Dir der Windows 7 Client zum Zeitpunkt des "Abwartens" an?
  
• Hast Du wie angesprochen einmal in die Ereignisprotokolle geschaut?
  
• Was läuft im Autostart des Benutzers (schau z.B. einmal mit "Autoruns" von Sysinternals hinein).
  
• Kannst Du einmal testweise alle nicht-Microsoft Dienste auf einem Testsystem mittels "MSCONFIG" deaktivieren --> dort findest Du einen Schalter, der alle Microsoft Dienste ausblendet. Den Rest schaltest Du einmal testweise ab.
  

Viele Grüße

olc

Hi,

wie Norbert sagte: "Scripten" mit doversen Tools. Da wären etwa "adfind.exe", die PowerShell oder ein simples "dsquery user -inactive 26 -limit 0".

Dsquery user

Deaktivieren kannst Du die Benutzer bei Bedarf (und nachdem Du ausgiebig getestet hast, ob die Benutzer tatsächlich deaktiviert werden sollen) dann gleich so:

dsquery user -inactive 26 -limit 0 | dsmod user -disabled yes

Dsmod user

Beispiel PowerShell: https://blogs.technet.com/b/heyscriptingguy/archive/2010/07/20/hey-scripting-guy-how-can-i-use-windows-powershell-to-identify-inactive-user-accounts-in-active-directory-domain-services.aspx?Redirected=true

Viele Grüße

olc

Hi,

schau einmal in die Datei "netsetup.log" im Windows\Debug Verzeichnis des Clients hinein. Dort wird der Beitritts-Versuch geloggt: Join and Authentication Issues

Ansonsten zieh einen Netzwerktrace auf dem Client während des Beitritt-Versuchs. Ersteres ist jedoch sinnvoller im ersten Atemzug.

Viele Grüße

olc

Hi,

manuelle Aufzeichnungen sind je nach Größenordnung wie schon von den Vorrednern angesprochen fast aussichtslos. Jedoch bieten diverse Hersteller Inventarisierungslösungen an, die auch frei definierbare (technische) Komponenten eines Systems abprüfen können.

Mit SCCM o.ä. Software kannst Du also den Lebenszyklus von so einem Endgerät recht gut steuern und dokumentieren.

Eine der "Königsdisziplinen"ist dann darauf aufsetzend das "Desired Configuration Management", bei dem Du Änderungen an von Dir definierten Komponenten, Richtlinien usw. überwachst: Introduction to Desired Configuration Management (DCM) in SCCM 2007

Ob das auf allen Clients Sinn hat, mußt Du nach Deinen Anforderungen entscheiden.

Viele Grüße

olc

Hi,

laß einmal ADInsight mitlaufen, vielleicht zeigt sich ja ein Problem in dem "Trace".

Viele Grüße

olc

Hi Stefan,

Deine Interpretation von der Einstellung "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" ist nicht ganz korrekt :) :

Es heißt nicht, daß auf eine IP-Adresse oder auf eine Domänenverbindung gewartet wird. Es wird schlichtweg auf das Netzwerk Subsystem (Treiber usw.) gewartet - und der Treiber und damit die NIC ist laut Deinem Log oben ja recht schnell "online".

Prüf einmal den folgenden Hotfix: Teste die Installation einmal, auch wenn kein DHCP Relay Agent im Einsatz ist: Event ID 5719 and event ID 1129 may be logged when a non-Microsoft DHCP Relay Agent is used

Wenn das nicht hilft, verändere einmal den Wert der folgenden Richtlinie: Group Policy Search

60 Sekunden sind für den Beginn vermutlich ein guter Testwert.

Viele Grüße

olc

Hi,

prüf einmal die im folgenden KB genannten Punkte einzeln: Redirecting the users and computers containers in Active Directory domains

Viele Grüße

olc

Hi,

bevor Du Dir das GpSvc Log anschaust: Was sagt der Group Policy Eventlog Channel usw. dazu?

Troubleshoot Group Policy with GPLogView

Die Einträge oben aus dem ersten Post sind nicht "auswertbar". Ich sehe zumindest keine Verzögerung anhand der Zeitlinie, die Du gepostet hast… ;)

Viele Grüße

olc

Hi Frank,

löblicher Ansatz. :)

Tatsächlich ist mir jedoch in Bezug auf die Microsoft PKI kein vergleichbares Buch bekannt, auch wenn es bei Gallileo usw. auch andere Bücher zum Thema gibt.

Sicher gibt es jedoch zum Thema PKI diverse Bücher, die dann jedoch keinen direkten Bezug zu Microsofts Implementierung haben.

Viele Grüße

olc

Hi,

das Recht eine GPO zu verknüpfen wird auf einer OU festgelegt. D.h. "nein", das Recht kommt nicht automatisch mit, wenn jemand eine GPO erstellen kann.

Die GPMC regelt das mit den Berechtigungen. Du kannst mittels GPMC die Rechte auf einer GPO als auch für die OUs (Verlinkung von GPOs) regeln.

Viele Grüße

olc

Hi,

was genau ist denn Deine Frage? Auch nach mehrmaligem Lesen erschließt sich mir nicht, was Du genau wissen / erreichen möchtest bzw. Deine Anforderung ist. ;)

Viele Grüße

olc

Hi,

versuch es einmal mit dem Befehl "nltest /DSDEREGDNS:dcname.domain.com" und warte ca. 1 Stunde.

Die Host-A Einträge mußt Du auf einem DNS Server selbständig löschen, sofern die DNS Zone AD-integriert ist und es keine Replikationsprobleme gibt, wird die Löschung repliziert.

Viele Grüße

olc

Hi,

die NS-Einträge werden nicht vom Scavenging erfaßt, also mußt Du Dir darüber keine Gedanken machen. ;)

Siehe dazu: Dnscmd

Record scavenging does not occur unless the records are time stamped. Name server (NS) resource records, start of authority (SOA) resource records, and Windows Internet Name Service (WINS) resource records are not included in the scavenging process, and they are not time stamped even when the ageallrecords command runs.

Viele Grüße

olc

Hi Frank,

das von Dir genannte Buch ist vermutlich "die" Referenz, trotz kleinerer "Fehler".

Was genau interessiert Dich denn bzw. warum soll es ein anderes Buch sein?

Viele Grüße

olc

Hi,

die GPMC setzt die Rechte für vorhandene Gruppenrichtlinien korrekt für beide GPO Komponenten, siehe den Link von Norbert.

Wenn Du die Standard ACLs nach Erstellung von neuen GPOs delegieren möchtest, mußt Du das Schema anpassen bzw. den default Security Descriptor des groupPolicy Schema Objektes. Siehe dazu: How to change the default permissions on GPOs in Windows 2000 and Windows Server 2003

Ansonsten schau Dir einmal die Gruppe "Group Policy Creator Owners" an. :)

Viele Grüße

olc

Hi,

das Löschen des Junction Points zieht nicht das Löschen des SYSVOLs nach sich.

Du darfst nur auf keinen Fall die Inhalte des Junction Points löschen, das wäre das originale SYSVOL.

Lösch den Junction Point nach einem Backup von mindestens 2 DCs (!) erst einmal und prüfe, wie es in Bezug auf die Fehler danach aussieht.

Viele Grüße

olc

Hi,

kann es sein, daß unter F:\TEMP nur der Junction Point auf das SYSVOL verweist?

Schau Dir einmal die Struktur unter F:\TEMP mittels "dir.exe" auf der Kommandozeile an: Wird dort vielleicht nur ein "JUNCTION" angezeigt?

Der Rest ist normales Troubleshooting - etwa, ob das SYSVOL überhaupt freigegeben ist auf dem DC (net share) usw.

Viele Grüße

olc

Hi,

schau Dir einmal die Erklärung zum "central store" an, das sollte bezüglich der Editor Ansicht erklärend sein. :)

How to create a Central Store for Group Policy Administrative Templates in Window Vista

Zu dem anderen Problem: Domänenrichtlinien haben eine höhere Wertigkeit als lokale Richtlinien. D.h. die Richtlinien aus der Domäne überschreiben die lokalen Richtlinien bei Konflikten. Sinn der Policies ist, daß sie auch "offline" wirken, d.h. auch ohne Domänenanmeldung. Das ist bei Dir der Fall.

Mir ist nicht klar, warum Du bei "offline Anmeldung" andere Einstellungen wirken lassen möchtest als "online". Das hat m.E. keinen Sinn.

[Edit] Wer zu lange schreibt, den bestraft das Leben (oder dmetzger). ;) [/Edit]

Viele Grüße

olc

Hi,

schau einmal hier hinein, das sollte Dir weiterhelfen: Don't be afraid of DNS Scavenging. Just be patient. - Microsoft Enterprise Networking Team - Site Home - TechNet Blogs

Viele Grüße

olc

Hi,

ch denke nicht, daß es wirklich damit zusammen hängt - aber versuch einmal der CA nochmals mitzugeben, daß sie eine Enterprise CA ist:

certutil -setreg ca\setupstatus +512
net stop certsvc
net start certsvc

Wenn das nicht funktioniert, hab ich auch keine Idee, was da los ist.

Viele Grüße

olc

Hi,

Was kann ich da machen?

Ganz ehrlich? Wenn Du den Benutzern nicht eine längere Zeit ohne Exchange zumuten möchtest, schalte einen Dienstleister ein oder den Microsoft Support.

Alternativ:

Problem beim Überprüfen des Status von Active Directory: Die Version der Ac

tive Directory-Organisationskonfiguration (14247) ist höher als die Setupversion

(13214). Daher kann der Befehl 'PrepareAD' nicht ausgeführt werden.

Wie konkreter sollte eine Fehlermeldung sein? ;)

Es ist schlichtweg nicht die neueste Version. Hast Du zufällig eine DVD ohne Service Pack o.ä. verwendet? Du benötigst die DVD von Exchange 2010 SP2.

Setup von Exchange Server wurde nicht abgeschlossen. Weitere Details finden Sie im Protokoll 'ExchangeSetup.log' im Ordner '<SystemDrive>:\ExchangeSetupLogs'.

Die Log-Datei sollte ggf. zusätzliche Informationen enthalten.

Viele Grüße

olc