olc

Hi,

die *.mib Tabellen kannst Du meines Erachtens nicht einfach in *.dll Dateien "konvertieren".

Leider sind die OIDs für Windows Systeme nicht wirklich gut dokumentiert - ich habe in der Vergangenheit auch immer wieder heftig suchen müssen.

Am besten ist es, Du schaust Dir mit einem SNMP Walker Deiner Wahl den Microsoft OID Namespace an. MS bietet dazu auch ein Programm, aber es gibt bessere: How To Use the Snmputil.exe Tool to Verify the Microsoft SNMP Agent Configuration in Windows Server 2003

Man kann sich auch damit behelfen, z.B. einige passende Nagios Plugins auseinander zu nehmen, um im Quelltext des Plugins zu schauen, welche OID verwendet wird. Das ist recht einfach und leistet oftmals gute Dienste. ;)

Die meisten Nagios SNMP Plugins sind kostenlos als Open Source verfügbar, so z.B. unter Nagios Plugins | The home of the official plugins

Viele Grüße

olc

Hi Lord_x,

wenn ich das richtig sehe, ist der Agent also eine Erweiterung, die bestimmte Eigenschaften des Windows Systems, auf dem es installiert ist, zur Verfügung stellt. Ich persönlich kenne dieses Produkt nicht, daher kann ich dazu nicht viel sagen. Unter Umständen hilft ein Post auf "deren" Newsgroup / Forum? Da es keine Standard-OIDs sind (wenn ich das richtig sehe), kann Dir auch nur jemand mit Kenntnis dieses Produkts helfen - es sei denn, hier kennt sich jemand mit diesem Produkt aus...

Viele Grüße

olc

Hallo,

wie genau lautet denn die Fehlermeldung und von welcher Komponente ist die OID, dessen Eigenschaften Du damit abfragen willst?

Viele Grüße

olc

Hi,

unter Umständen kannst Du "Invoke-Expression" nutzen. Aber einmal anders gefragt: Was möchtest Du genau erreichen?

Viele Grüße

olc

Hi,

der IIS bringt eine SMTP Engine mit (die glaube ich auch für die AD SMTP Replikation genutzt wird - bin mir jedoch im Moment nicht 100% sicher), die unter Umständen beschädigt sein kann. Daher würde ich es in jedem Fall einmal probieren, denn auch wenn die SMTP Replikation nicht genutzt wird, wird sie zumindest von den AD-Diensten initialisiert. Gibt es hier Probleme, kann es auch zu den genannten Fehlermeldungen kommen.

Viele Grüße

olc

Hallo,

schau Dir einmal NcFTP an: NcFTP Client

NcFTPGet / NcFTPPut und NcFTPBatch können das gewünschte Prozedere gewährleisten.

Viele Grüße

olc

Hi,

nur mal ein zusätzlicher "quick shot" in die Runde: Ist auf dem System zufällig auch der IIS installiert?

Falls ja, deinstalliere diesen einmal und installiere ihn (falls notwendig) neu. Ggf. Metabase und Daten vorher sichern.

Gruß olc

Hi,

ist die 2003er CA als auch die 2008er CA eine Enterprise CA, also "AD-integriert"? Sieht für mich erst einmal so aus...

Ist die Antwort "ja", schau doch einmal (z.B. mittels ADSIEdit oder LDP), wo überall die alte CA unterhalb des folgenden LDAP-Pfades aufgeführt ist: CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<tld>

Besonders interessant sind die beiden Container "CN=Certification Authorities" und "CN=NTAuthCertificates". Liegt dort unter Umständen noch die "Leiche" der alten CA?

Bitte bedenke: Entfernst Du die alte CA auch von dort, sind die bisher ausgestellten Zertifikate ungültig, sobald diese Änderung auf den Clients übernommen wurde, da diese die Zertifikatkette nicht mehr verifizieren können, sobald das alte Root-Zertifikat aus dem lokalen, zwischengespeicherten Store entfernt wurde. Das passiert nach dem Entfernen des entsprechenden Zertifikats vom genannten Pfad / den genannten Containern.

Viele Grüße

olc

Hi,

der von ITHome gepostete Thread sollte die Fragte nach der maximalen Anzahl an Gruppenmitgliedern beantworten - trotzdem einmal nachgefragt: Um wie viele Gruppenmitglieder handelt es sich denn und in welchem Domänenmodus läuft die Domäne?

Kann es unter Umständen sein, daß eine Änderung an der Gruppe auf mehreren Sites / mehreren DCs passiert? Unter Umständen kommt es zu Kollisionen, die die Gruppe auf den Status der anderen Site zurücksetzt, wenn diese Änderung später war.

Sind es tatsächlich immer genau 6 Stunden oder ist das Zeitfenster feststellbar (Stichwort Replication Schedules)?

Laufen unter Umständen irgendwelche Scripts per Taskplaner durch?

Wird in den Security Eventlogs der DCs etwas geloggt? Schau doch einmal, woher die letzte Änderung auf dem Gruppenobjekt kam (repadmin /showobjmeta <DC> <Gruppe>). Dort prüfe einmal die Security Eventlogs nach entsprechenden Einträgen.

@ITHome: Der AdminSDHolder kann es eigentlich nicht sein - er regelt ja nicht die Gruppenmitgliedschaften eines Benutzers bzw. die möglichen Mitglieder einer Gruppe o.ä., sondern die ACL auf dem geschützten Objekt.

Viele Grüße

olc

...ach quatsch - ist doch nur meiner Eitelkeit geschuldet. :D

Danke und Gruß

olc

...ergänzend zum Hintergund des Ganzen :): Windows Server How-To Guides: Der AdminSDHolder - ServerHowTo.de

Viele Grüße

olc

Hallo,

Oder hat zumindest jemand eine Idee, wie man 100% zuverlässig die SID des gerade angemeldeten Benutzers bestimmen kann, so daß ich mit HKEY_USERS weiterkomme?

Neben User2SID kannst Du auch PsGetSID aus den PsTools verwenden - ich finde dieses zumindest Tool recht gut und übersichtlich mit intelligenten Optionen. Download siehe hier: PsGetSid .

Bezüglich der Rechteänderung an sich wurde Subinacl schon genannt.

Viele Grüße

olc

Hi,

im Normalfall sollte der Kopiervorgang auch in dem beschriebenen Szenario nicht so lange dauern.

Wurde von Dir während des Kopiervorgangs einmal geprüft, was neben der Netzwerkauslastung so Komponenten wie CPU, HDD und RAM sagen?

Hast Du einen Virenscanner auf dem Quellsystem installiert? Kannst Du den Virenscanner ggf. testweise deaktivieren?

Viele Grüße

olc

...vielleicht ist zum besseren Verständnis noch erwähnenswert (da es noch nicht explizit genannt wurde), daß ein Connection Object, also der rechts angezeigte Link, immer nur ein Inbound Object darstellt. D.h. der (links) markierte Server hat Inbound Connection Objects von seinen Replikationspartnern. Diese Objects sind rechts in der MMC dargestellt.

Und nun die (leider schon beantwortete Preisfrage) ;) : Von wo nach wo werden die Daten beim Auswählen von "Jetzt replizieren" / "Replicate now" gezogen? ;)

Viele Grüße

olc

...ok, dann habe ich ein wenig "um die Ecke gedacht". ;)

Wenn es kein Routing geben würde, würde sich die Frage ja schlichtweg gar nicht stellen (bei TCP/IP) - zumindest war das mein Gedanke. Du hast jedoch Recht, unter Umständen habe ich das bloß aus dem Zusammenhang impliziert.

In jedem Fall sind die Fragen von Fränky - denke ich - beantwortet. :)

Viele Grüße

olc

Hi Xheon,

hast Du einmal versucht das Script direkt auf einem Client auszuführen, den Du damit abfragen wolltest? Ist der Zugriff dann möglich? Können die Benutzer den Dienst direkt z.B. über die Services.msc starten / stoppen oder liegt es unter Umständen gar nicht am Namespace-Recht?

Nebenbei die Frage warum Du dafür ein Script einsetzen möchtest - mittels SC.EXE kannst Du auch remote Dienste steuern. Oder ist dieses Script Teil von einem größeren Script / Vorhaben?

Viele Grüße

olc

Hi,

zusätzlich ist vielleicht noch zu erwähnen, daß Broadcasts im Normalfall nicht über Router weitergeleitet werden, es sei denn, Du hast es explizit am Router freigegeben. Da laut deiner Aussage zwei Subnetze existieren, sollte es also damit auch keine Probleme geben. Es kann also auch kein Masterbrowser gefunden werden, wenn der "lokale" WINS Server ausfällt.

Ob ein Broadcast überhaupt gesendet wird (und wenn ja, wann), ist vom Knotentyp abhängig: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cncd_win_nidh.mspx?mfr=true

Viele Grüße

olc

Hi,

grundsätzlich muß der (remote) zugreifende Benutzer die entsprechenden Berechtigungen auf den Namespace haben, in Deinem Fall also "root\cimv2". Setzen kannst Du die erforderlichen Berechtigungen wie folgt: Windows Management Instrumentation (WMI): Frequently Asked Questions. Nach der Rechteänderung muß der WMI-Dienst neu gestartet werden.

Die ACLs auf dem Namespace zeigen Dir dann auch gleich, wer standardmäßig Zugriff auf den Namespace hat: Im Normalfall der lokale Administrator, der Netzwerkdienst und der lokale Dienst bzw. System.

Viele Grüße

olc

Hi Fränky,

wenn ich das richtig sehe: Ja, das ist richtig so. ;)

Viele Grüße

olc

Hallo Philipp,

vielen Dank für Deine Rückmeldung - ist ja interessant: Warum zeigte sich das Problem erst ab dem zweiten Benutzer, der den Zugriff auf die Access Datenbank durchführte? War bei dem ersten Benutzer unter Umständen der Pfad schon in den Trusted Sites / Intranet Zone eingetragen oder wieso war der Zugriff hier möglich?

Danke und Gruß

olc

Hi,

das Grundproblem bei manuell erstellten Connection Objects ist, daß diese nicht flexibel auf Veränderungen in der AD Umgebung reagieren. Microsoft empfiehlt bis zu einer sehr großen Anzahl an Sites (leider finde ich die genaue Anzahl der Sites gerade nicht, aber ich habe da so 1.000 Sites im Hinterkopf und auch ab und an bei der kurzen Suche gerade die Zahl 1.000 gesehen - das muß jedoch nicht korrekt sein...) den KCC die Arbeit automatisch machen zu lassen. Dieser arbeitet tatsächlich sehr gut und ist vor allen Dingen bei Änderungen recht schnell dabei, die Verbindungen anzupassen.

Ein oft genannter Grund für das manuelle Erstellen der Connection Objects ist, daß man bestimmte DCs direkt miteinander verknüpfen will. Dies ist aber meist nur notwendig, wenn mit der Replikation etwas nicht stimmt - denn sonst reicht auch das Anpassen der Site-Links etc. In diesem Fall ist es eher ratsam die Replikation / Topologie in Ordnung zu bringen und nicht die Verbindungen manuell zu erstellen, was nur den Fehler verdeckt, jedoch nicht behebt.

Weiterhin ist zu bedenken, daß auch die Schedules von manuell erstellten Connection Objects ggf. manuell angepaßt werden müssen. Ein paar weitere Eckpunkte zu den Connection Objects in Bezug auf das Thema Replication Schedules findest Du beispielsweise hier: Windows Server How-To Guides: Replication Schedules unter Windows Server 2003 - ServerHowTo.de. Am Ende findest Du auch noch einige Links zu dem Thema, die recht interessant sind...

Dort wird auch ansatzweise auf grundsätzliche Erwägungen eingegangen, was die Connection Objects betrifft - ich persönlich würde empfehlen, diese im Normalfall nicht anzufassen, sondern vom KCC verwalten zu lassen. Spart man sich unter Umständen eine Menge Arbeit. Aber auch bei diesem Thema gehen sicherlich die Meinungen auseinander...

[EDIT]Habe doch noch einen Artikel dazu gefunden: How to optimize Active Directory replication in a large network

Die Berechnung sieht dort wie folgt aus:

Example

In some large site configurations containing many sites, many domains, or many routes betweens sites, the inter-site KCC executes slowly, consuming too much Central Processing Unit (CPU) time and memory resources.

 

If D is the number of domains in your network, S is the number of sites in your network, and

(1 + D) * S^2 <= 100,000

then you can safely ignore the rest of this article.

[/EDIT]

Viele Grüße

olc

Hallo Fränky,

ja, das ist richtig. Der WINS Server zeigt nur auf sich selbst, da es sonst zu Schleifen bei der Replikation von WINS-Datensätzen kommen kann (und nein, ich meine damit nicht so hübsche Schleifchen wie es bei Geschenken der Fall ist :D ).

Die WINS Replikation konfigurierst Du für den WINS Dienst selbst - hierbei gibst Du Push / Pull Partnerschaften an, die dann für die Replikation der Datensätze sorgen. Dies hat nichts mehr mit den Netzwerkeinstellungen zu tun, sondern ist Aufgabe / Feature von WINS selbst.

Viele Grüße

olc

...ohne jetzt Du dem gesamten Thema beitragen zu können nur der Hinweis, daß die Nutzung von DFS-N / DFS-R für Profile zwar grundsätzlich von MS supportet, jedoch nicht empfohlen wird.

Da es diverse Abhängigkeiten bei Profilen gibt, besonders in Bezug auf Datenkonsistenz des gesamten Profils, weiterhin File-Locks etc. beim Laden / Speichern der Profile auftreten (was bei anderen Daten in der Form zwar auch, jedoch nicht so massiv und oftmals nicht so frequentiert auftritt), sollte man nach Möglichkeit die Finger davon lassen oder sehr, sehr ausgiebig testen - auch was das Anmeldeverhalten von Benutzern an verschiedenen Rechner auch über Standortgrenzen hinweg betrifft.

Ein weiterer Punkt bei Profilen sind die oftmals eingesetzten Quotas - auch hier liegt ein Stolperstein.

Alles in allem (mir fallen gerade keine weiteren Punkte ein ;) ) sollte man also sehr genau überlegen, ob man das so einsetzen möchte / sollte...

Viele Grüße

olc

Hi,

vielleicht noch als zusätzlichen Hinweis ein kostenloses Programm: "testdisk".

Ist bei jeder Knoppix CD mit dabei und kann den oben genannten Fehler recht schnell und zuverlässig ausbügeln, indem es die alte Partitionstabelle wiederherstellt (neben anderen Funktionen).

Für alle, die zumindest Grundkenntnisse für Linux haben, sollte die Anwendung kein Problem darstellen.

Viele Grüße

olc