olc

Hallo,

wenn ich Dich richtig verstanden habe, wurde zwar auf R2 "upgegradet", aber nichts weiter installiert?

Wenn dem so ist, hast Du die Lösung für Dein Problem gefunden ;) : Nach dem Upgrade auf R2 mußt Du die DFS-R Komponenten nachinstallieren. Dazu gehst Du über „Systemsteuerung“ -> „Software“ -> „Windows-Komponenten hinzufügen/entfernen“ und wählst „Verteiltes Dateisystem (DFS)“. Du kannst hier alle drei Komponenten oder auch weniger installieren. Wichtig für die Replikation ist natürlich der DFS-Replikationsdienst.

Ein paar zusätzliche Informationen zu DFS-R im Allgemeinen, darunter auch ein paar kurze Erläuterungen zur Installation, findest Du unter

Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de

und

Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de

Gruß olc

N'abend,

bei den beiden oben genannten NAS Systemen kannst Du die Benutzeranmeldung entweder lokal oder über LDAP / AD einrichten. Beide können Domainmember sein oder nur als Stand-Alone NAS mit LDAP / AD Anbindung dienen.

Gibt es einen Grund, warum Du OpenSuSE nehmen willst und kein dediziertes NAS?

Gruß olc

Hallo,

wie Damian schon sagte - mit Samba sollte eine Freigabe kein Thema sein. Das sind nur ein paar Zeilen Config.

Wenn Du die Linux Kiste nur als NAS nutzen willst und keine anderen Dienste darauf laufen sollen, ist vielleicht ein reines NAS System eine Alternative. Spart Ressourcen zund stellt Dir viele auf diesen Anwendungsbereich zugeschnittenen Funktionen zur Verfügung.

Zwei freie NAS Systeme, die ich recht gut finde, sind Openfiler und FreeNAS.

Gruß olc

Hallo grizzly999,

jepp - danke für den Hinweis. Wußte nicht mehr 100%ig, wie es genau war. :)

Danke und Gruß

olc

Hallo,

wenn ich mich recht entsinne kannst Du auch gar nicht das Forest Functional Level auf Windows Server 2003 umstellen, wenn es noch Domänen in einem tieferen Modus gibt.

Du bekommst dann meines Erachtens eine Fehlermeldung, die Dich darauf hinweist.

Gruß olc

Hallo,

\\HI-DFS01\DfsDE

Der Netzwerkpfad wurde nicht gefunden.

entschuldige - ich habe das "dfsxx" dazwischen vergessen.

\\HI-DFS01\

Hier sehe ich jetzt das "Verzeichnis" dfsxx und darin dann wieder DFSDE, FSIT, DFSJP, DFSNL etc. ..

Und wenn jetzt die Transferleistung gepaßt hätte, würdest Du noch einmal versuchen auf den Ordner "DFSDE" unterhalb des Namespaces "dfsxx" zuzugreifen --> also DFSDE etc. ;) Wenn es dann nicht funktioniert, würde ich auf Rechteproblematik tippen, obwohl Dir Deine Kollegen etwas anderes erzählen. Ist aber natürlich nur eine Vermutung.

Du könntest mittels Shareenum ja einmal testen, wie es mit den Berechtigungen aussieht. Aber im Kern wirst Du sicherlich wieder ein "Zugriff verweigert" oder soetwas bekommen (habe die Ausgabe des Tools jetzt nicht im Kopf).

Gruß olc

Hallo,

ich sollte mir vielleicht einmal eine Vorlage basteln, die ich in solchen Fällen immer wieder verwenden kann; würde Zeit sparen ;) :

Wenn Du Windows Server 2003 R2 nutzt meinst Du wahrscheinlich "DFS-R" und nicht "DFS" (dann eigentlich FRS) in Bezug auf den Replikationsdienst oder liege ich da falsch? Wenn dem so ist, erleichtert es das Lesen und das Verständnis ungemein, wenn Du auch die Bezeichnung "DFS-R" verwendest.

Weiterhin sind DFS im Allgemeinen (MS bezeichnet diese Technik neuerdings "DFS-N" für DFS-Namespaces) und der Replikationsdienst "DFS-R" zwei verschiedene paar Schuhe. Das ist wichtig für das DFS / DFS-R Verständnis. Daß Du einen (Zitat:) "Stamm", also Namespace, anlegen kannst bedeutet dementsprechend nicht, daß auch die Replikationskomponente läuft.

Zum Thema: Ich gehe jetzt einmal davon aus, daß Ihr DFS-R verwendet, sonst hättest Du die R2 Erweiterung wahrscheinlich nicht betont.

Habt Ihr auf beiden DCs tatsächlich "DFS-R" installiert oder ist unter Umständen auf einem der beiden DCs aus Versehen nur "DFS" installiert worden?

Habt Ihr auf den beiden DCs die DFS-R Replikationskomponente ebenfalls installiert? Man kann die Unterkomponenten von DFS-R manuell an- und abwählen. Vielleicht ist dabei ein Fehler passiert?

P.S.: Bitte meine Zeilen nicht falsch verstehen - meine es nicht böse, sondern zielführend. ;)

Viele Grüße

olc

N'abend,

wie in einigen Threads hier geschrieben, ist diese Frage nicht mit ein, zwei Sätzen zu beantworten.

Diese Art der Angriffe (und auch andere) kann man nicht einfach mit Maßnahme X oder Maßnahme Y unterbinden. Dazu gehört ein komplettes und umfassendes Sicherheitskonzept. Sicherheit ist ein niemals endender Prozess, keine einzelne Maßnahme.

Unter Windows Server How-To Guides: „Man-In-The-Middle“ - Angriff leicht gemacht - ServerHowTo.de hatte ich dazu vor einiger Zeit einmal kurzes HowTo fertig gemacht, das im Fazit zumindest ein paar mögliche Maßnahmen nennt, wenn auch bewußt nicht ausführt.

Du wirst also keine "einfachen" oder wirklich umfassenden Antworten auf Deine Frage bekommen. Ein paar Antworten werden sicherlich kommen, aber mit Sicherheit nichts vollständiges und mit Sicherheit einiges Unsinniges. :D

Was will ich damit sagen: Sieh Dich in einschlägiger Literatur und Webseiten um, bleib auf dem laufenden und sei paranoid. :D

Und vor allen Dingen verlaß Dich nicht nur auf die Technik...

So, genug Buzzwords gebracht.

Gruß olc

Hallo,

damit kommen wir der Sache doch schon näher. :)

Ein Journal Wrap kann aus verschiedenen Gründen auftreten, im Grunde wäre jetzt erst einmal Ursachenforschung angesagt.

Troubleshooting journal_wrap errors on Sysvol and DFS replica sets

Troubleshooting File Replication Service

Seit wann werden denn die Fehlermeldungen geloggt?

Die Quick and Dirty Lösung ist zwar ein Restore des SYSVOLs auf dem Remote DC (Stichwort D2 / D4). Aber das macht erst Sinn, nachdem Du die Ursache für den Journal Wrap gefunden hast.

Using the BurFlags registry key to reinitialize File Replication Service replica sets

Gruß olc

Hallo,

hmm, alles kann ich nicht beantworten. Mal sehen...

...was natürlich immer schlecht ist, wenn man ein Problem lösen will.

Namespace ... keine Ahnung. Um für solche Information den richtigen Ansprechpartner zu bekommen, ist mein Arbeitgeber zu hierarchisch strukturiert (ich sag nur: firmenweite Hotline mit dem üblichen CallCenter-Volk). Das dauert vielleicht 'ne Weile...

Du hast die Antwort mit der Ausgabe von "dfsutil" gegeben. Wenn dort als Namespace "firma.com" steht, ist der Namespace AD-integriert... ;)

IP-Adressen bekomme ich massenhaft zurück. Die stimmen auch weitestgehend überein mit der nslookup-Ausgabe eines Kollegen, bei dem es funktioniert. Hab jetzt aber nicht jede einzelne verglichen...

Entscheidende Anwort ist hier (wenn also die Einträge für die DCs stimmen), ob ein nslookup auf den Rechnernamen eines der Namespaceserver, der bei Dir zugriffstechnisch "nicht funktioniert", die korrekte IP wiedergibt.

--mup.sys--
  0:[\HI-DFS01\Dfsxx] State:0x119 ( ACTIVE )
[...]
Entry: \firma.com\dfsxx\DfsDE

Was passiert, wenn Du auf \\HI-DFS01\ und HI-DFS01\DfsDE zugreifst?

firma.com ist der betroffene Server, bei dem's nicht klappt.

Nein, das ist nicht der Server. Das ist Dein DNS-Domänenname. ;)

Nee, ich hab den Link nur gepostet, da er

D.h. Dein Ereignisprotokoll ist sauber?

Geh ich auf diesen Pfad \\firma.com\dfsxx sehe ich alle möglichen anderen Pfade (DFSDE, FSIT, DFSJP, DFSNL etc. ... alles Länder wo meine Firma auch hockt)

Das bedeutet, daß Du auf den Namespace zugreifen kannst. DFS funktioniert also grundsätzlich scheinbar erst einmal.

von denen einige aber nach Öffnen die gleichen Fehlermeldungen erzeugen, wie der für mich bestimmte, DFSDE. Witzgerweise komme ich z.B. bei DFSIT (wo ich gar nicht reindürfte) auf so ziemlich allen Ebenen weiter - wie ich gerade bemerkt habe. Das sollten mir unsere Hotliner allerdings schon mal erklären... :O Da hak ich nochmal nach!

Mal abgesehen von den Securityproblemen ist genau das die Nadel im Informationsheuhaufen. Es stellt sich an diesem Punkt nämlich die Frage, ob Du beispielsweise ein Netzwerkproblem hast (und die Server, auf die die Freigaben verlinkt sind, für Deine Clients nicht zu erreichen sind) oder ob Dir doch die Berechtigungen fehlen (daher meine Nachfrage was passiert, wenn Du direkt auf die Freigabe zugreifst).

Siehe die Frage nach dem Namespace... ;)

Na ja, zumindest wird es wahrscheinlich mindestens Windows 2000 Server sein. :D

Aber ein paar mehr Informationen wären durchaus hilfreich...

Gruß olc

Hallo,

ich glaube es gerät hier einiges durcheinander. Ohne strukturierte Informationen kommt man sogut wie nie weiter...

ich verstehe deine Frage leider nicht so ganz.

Meine Frage zielte in die Richtung, ob die Änderung tatsächlich schon auf dem anderen DC angekommen ist. Da Du schriebst, daß Du die Replikation abgewartet hast (aber nicht geschrieben hast "wie"), wollte ich das über diesen "Umweg" herausfinden. Soll heißen: Ist das neu angelegte Gruppenrichtlinienobjekt tatsächlich schon auf dem Remote DC vorhanden (in der AD Datenbank als auch im SYSVOL)?

Bevor Du weitermachst würde ich das in jedem Fall erst einmal überprüfen.

Davon einmal abgesehen gehe ich davon aus, daß wir auch wirklich über eine Domäne sprechen (nur um sicher zu gehen). Sunny61 hat weiterhin eine korrekte Frage gestellt: Arbeitest Du mit Sites, sind die Subnetze korrekt angelegt und die DCs für die Site korrekt im DNS registriert? Ich gehe im Grunde davon aus da Du geschrieben hast, daß alle anderen Richtlinien da sind - aber besser einmal zuviel nachgefragt als einmal zu wenig...

Gruß olc

Hallo,

ein gpupdate /force auf dem Client ist sinnvoll, nicht auf den Servern - von daher alles korrekt.

Thema Replikation: Wenn Du Dich mit der MMC auf den Remote DC verbindest und dann die GPO überprüfst - wird die Policy dann korrekt angezeigt?

Gruß olc

Hallo,

kann mich ehrlich gesagt nicht mehr so gut an Windows 2000 erinnern (Asche auf mein Haupt) ;) , aber laut Technet ist das Software Restriction Feature erst ab Windows Server 2003 / Windows XP mit dabei. Also schlechte Karten für Windows 2000:

Software restriction policies, new with Windows XP and Windows Server 2003, provide a policy-driven mechanism that enables you to identify the programs that are running on computers in your domain, and to control their ability to run.

Gruß olc

Hallo,

Ich werde bestimmt nicht über 100 Clients anfassen:suspect:

brauchst Du ja auch nicht - leg die NTFS Berechtigungen einfach per GPO fest (wenn Du diesen "schmutzigen" Weg wirklich gehen willst).

Gruß olc

Hallo,

da mir Deine Frage nicht ganz klar ist und auch die Form irgendwie "komisch" ist, nur eine kurze Antwort:

Du mußt auf dem DNS Server selbst die Scavening Option einschalten und zusätzlich auf der jeweiligen Zone.

Hintergrund ist, daß man unter Umständen auf verschiedenen Zonen unterschiedliche Einstellungen vornehmen möchte.

Gruß olc

Hallo,

anbei erst einmal ein paar Fragen zu Deiner Umgebung:

• Wenn ich Dich richtig verstehe kannst Du also auf alle anderen Netzwerk Ressourcen zugreifen, lediglich der DFS Zugriff funktioniert nicht?
  
• Ist der Namespace AD integriert oder ein Standalone Namespace? Je nachdem was davon der Fall ist: Bekommst Du von Deinen Problemclients die korrekte IP-Adresse bei einem nslookup auf den entsprechenden Server bzw. die Angabe des Domänennamens?
  
• Was gibt Dir ein "dfsutil /pktinfo" aus?
  
• Ist Dein Client Domänenmitglied? Ich nehme das an, da Du den Link mit den Userenv Fehlern gepostet hast. Bekommst Du diese Fehler, falls ja wie lautet die genaue Fehlermeldung bzw. die Fehlercodes? Ist "zufällig" kein Zugriff auf das SYSVOL bzw. die Group Policies möglich?
  
• Kannst Du in Umgehung des Namespaces direkt auf eine Freigabe eines DFS Servers zugreifen (BTW: nutzt Ihr "nur" DFS-Links oder auch DFS-Replikation)?
  
• Welches Betriebssystem läuft auf den Servern?
  

Gruß olc

Hallo Beowulf,

bevor Du dieses Problem angehst, solltest Du ein wenig Struktur in Dein Vorgehen bringen (bzw. in das, was Du hier postest).

Deine Maßnahme (den "Vollzugriff" ? NTFS? Freigabe?) für "Jeder" einzustellen, bringt Dir außer massiven Sicherheitslücken und Datenschutzproblemen wahrscheinlich eher wenig.

Auf welchen Server sind die Clients verbunden, die die Links nicht mehr öffnen können, an welchen diejenigen Clients, die noch Datenzugriff haben?

Überschneidet sich die Last im Netzwerk unter Umständen mit den Replikationszeiten der Server?

Ist auf den Servern zum Zeitpunkt der Zugriffsprobleme auch Last erkennbar? Wenn ja welche (CPU, RAM, HDD, NIC, ...).

Wenn Du schon eingrenzen konntest, daß die Last über das Netzwerk kommt, solltest Du vielleicht auch hier ansetzen.

Vielleicht kannst Du diese Informationen ja einmal sammeln und Dich dann ggf. mit den Ergebnissen noch einmal melden, falls Du das Problem dann nicht schon selbst eingrenzen kannst. ;)

Gruß olc

Hallo,

ich habe noch ein wenig getestet und herumgefragt:

Es sieht so aus, als wenn Du den "Parameterfehler" nicht "beheben" kannst. Das Verhalten scheint by design zu sein.

Im Grunde wäre die Fehlermeldung besser verständlich, wenn Du ein "access denied" bekommen würdest - denn die Fehlermeldung "falscher Parameter" besagt im Grunde ein "access denied".

Wenn Du versuchst, den Verlauf im gleichen Dialog zu leeren, bekommst Du die gleiche Fehlermeldung. Den Cache / Verlauf zu löschen, kannst Du im Normalfall mit administrativen Rechten mit dem Befehl "dfsutil /purgemupcache" erledigen. Das funtkioniert ebenfalls nicht mit normalen Benutzerrechten --> nur ist dabei die Fehlermeldung einleuchtender ;).

Dieses Verhalten in Bezug auf die Benutzerrechte ist durchaus gewünscht, so daß normale Benutzer keine Änderungen an den bevorzugten DFS-Referrals vornehmen können.

Läßt sich also scheinbar nix machen...

Gruß olc

Hallo,

unter Umständen ist etwas an den Berechtigungen auf die Group Policies im Filesystem geschraubt worden?

Schau mal auf den versteckten Ordner %SYSTEMROOT%\system32\GroupPolicy ob in ACLs zum Beispiel den Authentifizierten Benutzern der Zugriff verweigert wird oder dem Administrator selbst.

Viele Grüße

olc

Hallo,

an der Stelle nur einmal kurz die Nachfrage, warum Du das mittels Batch-Datei machen willst. Gibt es dafür einen bestimmten Grund?

Du nutzt ja offensichtlich eine AD - warum erledigst Du das also nicht per Gruppenrichtlinie?

Gruß olc

Ja, mach das mal.

Ein guter Ansatz sind neben den Health Reports die DFS / DFS-R Kommandozeilenprogramme, da diese auch eine Menge Informationen "zusammenstellen" können.

Folgende Ausgaben könntest Du hier beispielsweise (als "CODE") posten, wenn Du den anderen Thread öffnest, damit wir ein paar Grundinformationen haben (bitte anpsassen):

dfsradmin membership list /RGName:domain.tld\namespace\rgname /attr:ALL
dfsradmin conn list /RGName:domain.tld\namespace\rgname

Bezüglich der "Parameterfehler" schau ich morgen Abend noch einmal ein wenig herum und melde mich dann noch einmal.

Gruß olc

Die Version von WSV, die in der RTM Version von Windows Server 2008 enthalten sein wird, wird auch auf Server Core laufen.

Woher hast Du diese Information? Ist diese "gesichert"?

Ich denke auch, daß es in Bezug auf den Windows Server 2008 kaum eine bessere Basis für die Virtualisierungsfunktion geben könnte, als den Server Core. Das haben sich das Product Team und die Developer sicherlich auch gedacht. ;) Von daher ist tatsächlich anzunehmen, daß es irgendwann einmal integriert wird - spätestens nach dem Druck der "Anwender".

Fakt ist aber auch, daß es immer wieder Änderungen zu den RCs an den Funktionen vor der endgültigen RTM gab und gibt. Das war bisher bei jedem Produkt von MS so.

Sol heißen: Derzeit ist Viridian nicht auf dem Server Core lauffähig. Ob es das einmal sein wird ist nicht mehr als eine Vermutung, wenn auch recht wahrscheinlich.

Es sei denn, jemand von Euch sitzt im Product Team für Windows Server 2008 und weiß es genau. ;)

Bezüglich der Performance würde ich auch einiges relativieren: <VERMUTUNG>Die Performance wird sicherlich recht gut sein, wenn vielleicht aufgrund der Architektur im Moment nicht so gut wie beim ESX.</VERMUTUNG>

Aber im Kern geht es wie oben schon angeschnitten nicht nur um die Performance von virtuellen Maschinen, sondern um deren Funktionsmerkmale und Zusatzfunktionen des Managements / der Verwaltung. Damit wird auch jetzt schon das meiste Geld verdient, nicht mit der Virtualisierung bzw. den Virtualisierungsprodukten als solches...

Gruß olc

Guten Abend,

wir sollten diesen Thread hier nicht zum Sammelthread werden lassen - also bitte immer nur ein Problem behandeln und ein anderes in einem anderen Thread ansprechen. ;)

Da wir nun schon vom Ursprungsthread abgewichen sind bezüglich der DFS Referrals, sollten wir das nicht noch ein drittes Mal tun. ;)

Ich durchsuche gern noch einmal das weltweite Netz nach Ansätzen zu der "Falscher Parameter" Problematik. Im Moment habe ich dazu jedoch leider keinen Ansatz.

Ich habe gerade einmal mit dem Procmon mitgeschnitten, was bei dem Zugriff auf die Option mit einem eingeschränkten Benutzeraccount passiert. Ist jedoch nicht wirklich etwas herauszulesen...

Bezüglich Deines letzten Posts (den vermuteten Replikationsproblemen) geht es im Grunde wieder in die gleiche Richtung der Hinweise von oben zu Deiner ersten Frage.

Bitte ggf. hierfür wie geschrieben einen neuen Thread öffnen.

Grundsätzlich wäre es wirklich hilfreich, wenn Du mehr Informationen zu Deiner Konfiguration und zu den getätigten Einstellungen gibst. Denn warum die Replikation unter Umständen nicht funktioniert, läßt sich mit der bloßen Aussage, daß es nicht funktioniert, schlecht eingrenzen. ;)

Ist nicht böse gemeint - bitte nur ein wenig die Regeln beachten, sonst kommen wir hier nicht wirklich weiter...

Gruß olc

Hallo,

ohne hier jetzt den Reigen der halbgaren Antworten eröffnen zu wollen ;) - meine letzte Information zum Thema ist, daß Veridian nicht auf dem Server Core laufen wird...

Fragt mich jetzt bitte nicht nach Quellen - habe es an verschiedenen Stellen so gelesen.

Aber letztlich wird das sicherlich (wie so oft) erst endgültig feststehen, wenn die DVDs gepreßt werden... :D

Gruß olc

Hallo,

Dafür ist AFAIK die Verweisreihenfolge zuständig. Konfiguration mittels DFS-Verwaltungs Konsole.

So wie ich qmaestroq verstanden habe, möchte er die Einstellung nicht grundsätzlich vornehmen, sondern bei Bedarf auf einen anderen Server verweisen. Das heißt, er möchte mit einem nicht administrativen Benutzer das Referral auf einem Client im Explorer umstellen.

@qmaestroq: Ist es richtig, wie ich Dich verstanden habe?

Leider weiß ich nicht, ob es für diese Umstellung überhaupt ein entsprechendes Setting gibt. Ich schaue einmal, ob ich dazu etwas finden kann...

Warum soll der entsprechende Benutzer den Verweis manuell umstellen? Gibt es dafür einen bestimmten Grund?

Viele Grüße

olc