olc

denn unter admodify habe ich den Schalter leider nicht gefunden?!?

@lefg und Daim: Das hatte fjoerderman schon "ausgeschlossen". Ich weiß momentan jedoch nicht, ob es in ADModify einen Schalter dafür gibt. Aber sicherlich gibt es den... :D

@fjoerderman: Nein, Du mußt nicht alle Gruppen einzeln anfassen. Wenn die Gruppen beispielsweise in einer (oder mehreren) OU(s) liegen, kannst Du diese vorher mittels dsquery bzw. dsget abfragen und dann mittels Pipe " | " an dsmod übergeben.

Wenn Deine selbst erzeugten Gruppen - so wie es Microsoft empfiehlt - einen einheitlichen Namensraum nutzen, so z.B. Grp_G_* oder Grp_U_* oder ähnliches kannst Du auch mit Platzhaltern arbeiten.

Wie gesagt, schau Dir ADModify noch einmal an, ist wahrscheinlich richtig was lefg und Daim gesagt haben. Wenn nicht, bleibt Dir zum Beispiel die DS-Tools Geschichte...

Gruß olc

N'abend,

Du kannst meines Wissens die "eventtriggers.exe", die standardmäßig bei XP / 2003 dabei ist, einfach auf ein 2000er System kopieren und dann dort verwenden. Vielleicht testest Du das einfach mal.

Eine E-Mail kann tatsächlich erst ab Vista / Windows Server 2008 standardmäßig gesendet werden. Aber mit Hilfe von Blat oder ähnlichen Programmen geht das auch unter 2000 / XP / 2003.

Viele Grüße

olc

Hallo,

dafür wird Dir hier niemand eine Garantie geben (können). ;)

Aus diesem Grund habe ich im letzten Post folgendes geschrieben:

Bitte vorher testen, bevor möglicherweise ein Datenverlust auftritt...

Das geht recht einfach, indem Du den Vorgang mit Testverzeichnissen durchgehst und schaust, was passiert.

Aber im Kern ist es so wie beschrieben: Die Daten von D: werden in das Verzeichnis auf R: gespiegelt - was aber (wie "Finanzamt" richtig schrieb) zur Folge hat, daß auf D: nicht mehr vorhandene Daten auf R: gelöscht werden.

Testen, testen, testen. ;)

Gruß olc

...und noch eine "schmutzige" Variante: ;)

http://www.mcseboard.de/windows-forum-ms-backoffice-31/schattenkopie-windows-2003-server-73704.html

Gruß olc

Hallo Klaus,

versuch es doch einmal mit dem Schalter "/MIR".

Bitte vorher testen, bevor möglicherweise ein Datenverlust auftritt...

Gruß olc

Hallo fjoerderman,

vielleicht ist "dsmod" eine Alternative?

 

dsmod group GruppenDN ... [-samid SAMName] [-desc Beschreibung] [-secgrp {yes | no}] [-scope {l | g | u}] [{-addmbr | -rmmbr | -chmbr} MitgliedsDN ...] [{-s Server | -d Domäne}] [-u Benutzername] [-p {Kennwort | *}] [-c] [-q] [{-uc | -uco | -uci}]

Achte aber in jedem Fall vor der Umwandlung des Scopes auf die Verschalchtelung von Gruppen.

Je nach Funktionsmodus kann es hier zu Problemen kommen, siehe http://www.microsoft.com/windows/windows2000/en/advanced/help/sag_adgroups_3groupscopes.htm.

Gruß olc

...oder wenn Du nur die Einträge löschen willst und nichts anderes, kannst Du auch die Einträge mit "Entf" bzw. "Del" einfach aus der Leiste löschen.

Dazu mußt Du im Suchfeld ledgilich die Pfeil-nach-unten Taste nutzen und dann jeden Eintrag einzeln löschen. ;)

Gruß olc

Hallo,

vielen Dank für Deine Rückmeldung.

Diese Aussage ist doch dann im Grunde genau das, was ich in meinem zweiten Post hier geschrieben habe oder? :)

Gruß olc

Hallo Miguel,

zum neuen Fehler: Ich habe keine Ahnung, woher der Fehler kommen könnte. Microsoft sagt:

ProcessGPOs: GetNetworkName failed with %d."

 

This function writes the FQDN of the domain into the Group Policy Cache. Many of the CSEs and Components that are policy implemented look for this name in the cache. This return code should be used wit the net command to determine the error message. Some of the lower-level functions in this name are Winsock library calls. If this is appearing and you are seeing some policies fail, make sure the machine is free from any viruses, worms, or other forms of malicious software.

Das hilft nicht so wirklich weiter - zumindest wenn wir davon ausgehen können, daß der Client virenfrei ist ;).

Kannst Du irgendwie sicherstellen, daß zum Zeitpunkt der Abfrage tatsächlich ein DC zur Abfrage vorhanden war bzw. die DNS-Auflösung korrekt lief?

Gibt es im Eventlog zu diesem Zeitpunkt andere Hinweise und läßt sich der Fehler vielleicht reproduzieren?

Interessant ist ja die Zeit, zu der der Fehler auftritt: Eine gute Zeit für Backups oder Wartungsvorgänge. ;) Vielleicht gibt es hier "Schnittmengen" mit dem Fehler?

Gruß olc

Hallo tgyssling,

ich meine mich zu erinnern, daß das genaue Gegenteil der Fall ist:

Gibst Du in Deiner E-Mail an, daß ein Virenscanner benutzt wurde, dieser die E-Mail als unbedenklich eingestuft hat und es doch zu einem Virenbefall des Gegenübers kommt, kann das Konsequenzen nach sich ziehen.

Habe darüber (glaube ich) irgendwann einmal etwas in der iX gelesen. Finde den Artikel nur leider nicht mehr.

Im Header oder im Text der E-Mail muß rechtlich gesehen meines Erachtens nichts dergleichen stehen...

Gruß olc

Hallo grizzly999,

mit certreq.exe kann man keinen Request erstellen, nur einen bereits erstellten bei einer CA einkippen und auch wieder abholen.

Ich weiß im Moment nicht, ob wir jetzt vielleicht aneinander vorbei reden - deshalb lieber noch einmal nachgefragt: Wieso sollte man mit certreq.exe keinen Zertifikatrequest erstellen können? Natürlich geht das, denn das ist (unter anderem) Sinn des Programms...

Microsoft Corporation

MMC geht, bei einer Enterprise CA, ansonsten nicht, wissen wir hier aber zu wenig darüber.........

Damit hast Du allerdings Recht.

Gruß olc

Hallo,

mal ein Schuß ins Blaue: Diese Kerberos Fehler treten unter anderem häufig auf, wenn die MTU bei VPN Verbindungen problematisch ist bzw. die Netzwerkonnektivität nicht so recht hinhaut.

Im folgenden Artikel wird erklärt, wie man Kerberos Anfragen auf TCP binden kann - das hilft in solchen Fällen (Stichwort UDP Fragmentation): How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000

Das würde zwar nicht erklären, warum nicht alle Benutzer betroffen sind, aber einen Versuch ist es vielleicht wert.

Grundsätzliche Kerberos Troubleshooting Informationen findest Du in folgendem Dokument: Troubleshooting Kerberos Errors

Ansonsten mal Netzwerkkartentreiber der neuen Kiste aktualisieren.

P.S.: Wie gesagt --> Angaben ohne Gewähr. ;)

Gruß olc

Hallo,

wie grizzly999 schon schrieb, kannst Du den IIS auch nachinstallieren.

Zertifikate ohne IIS zu erstellen ist kein Problem: Entweder Du verwendest dafür die MMC oder Du erledigst das mittels "certreq.exe".

Gruß olc

Hallo Muffel,

hat nicht wirklich etwas mit dem Thread zu tun oder? ;)

Hier (trotzdem) die Antwort - siehe Unterpunkt "Windows Server 2003 Operating System Needed for Each Procedure": Building an Enterprise Root Certification Authority in Small and Medium Businesses

Gruß olc

Hallo DaniFilth,

weiß nicht genau ob "Fehlerberichterstattung" die gleiche "Anwendung" ist - denke aber, daß es so ist.

Falls ja, findest Du die Möglichkeit zum Deaktivieren in der lokalen Gruppenrichtlinie:

Benutzerkonfiguration / Computerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten --> Windows-Fehlerberichterstattung

Falls es das nicht ist, würde ich trotzdem auf irgendein Policy-Setting tippen. ;)

Gruß olc

Hallo,

momentan fällt mir keine Möglichkeit ein, eine zweite IP-Adresse über die GUI festzulegen. Auf der Kommandozeile kannst Du das jedoch mittels "ifconfig" manuell durchführen. Für ein Beispiel siehe: http://www.onlamp.com/linux/cmd/i/ifconfig.html

To add a second IP address to wlan0:

 

ifconfig wlan0:1 192.168.2.41 netmask 255.255.255.0

M0n0wall ist grundsätzlich schon eine feine Sache. Die Frage ist, wofür bzw. für welche Umgebung und Größenordnung Du die M0n0wall einsetzen möchtest.

Die oftmals angeführten Argumente für oder gegen eine OpenSource Lösung sind meist nicht unbedingt funktioneller Natur, sondern gehen eher in die Richtung Support, Zuverlässigkeit, Fehlerbehebung etc.

Meine Antwort ist daher bewußt eher allgemein gehalten. Es kommt konkret auf Deine Anforderungen an, welche Lösung für Dich geeignet ist. Das läßt sich (wie bei anderen Themen auch nicht) nicht ohne weitere Informationen beantworten.

Eine weitere recht populäre Firewall ist IPCop. Schau sie Dir doch auch noch einmal an. Ich meine hier im Forum schon ein, zwei Benutzer des IPCop "gesehen" zu haben. ;)

Aber paß auf, daß jetzt hier kein "Flamewar" zu OpenSource, Firewalllösungen etc. entsteht. ;)

Gruß olc

Hallo Daim,

dieses Mal bist Du aber im Thread verrutscht oder? ;)

Meine Antwort war auf das Thread-Thema mit dem "Administration limit on the server has exceeded." gemünzt und sollte meinen Fauxpas auf Seite 1 beheben. ;)

Das Range Retrieval Thema hatten wir hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/max-gruppenanzahl-ad-121793.html#post750985

Windows Server 2000 hat 1.000, 2003 kann 1.500.

Gruß olc

Hallo,

um mein "Mißgeschick" von oben wieder gut zu machen, habe ich noch ein wenig herumgestöbert. ;)

Das Limit liegt unter Funktionsmodus Windows 2000 grob bei 910 "non-linked" multivalue Attributen pro Objekt, von denen in der Praxis ca. 850 nutzbar sind, siehe MS Exchange Blog : Message Filtering Limits .

Microsoft gibt offiziell 800 für Windows 2000 an:

Object Size vs. Maximum Database Record Size

 

Each object in the directory is represented as one record, or row, in the database, and each attribute is represented as one column in the row. The only exceptions are certain attributes whose values are stored separately as links. The limit for record size in the database is 800 non-linked values across all attributes. Attributes that represent links do not count in this value. (For more information about linked attributes, see "Linked Attributes" later in this chapter.) The size of objects is not a problem if you use the recommended guidelines described in "Data Characteristics" earlier in this chapter.

Unter den Windows 2003 Funktionmodi haben sich die Werte noch einmal geändert:

The limit for the multivalued object in a non-linked attribute in the Active Directory directory service is defined by the operating system version and by its forest functional level. Windows Server 2003 increases the maximum numeric value that can be stored in a non-linked attribute.

 

The following table contains estimates of the maximum value that can be stored in a non-linked attribute in Windows 2000 Server and in Windows Server 2003.

 

Windows 2000 Server Mixed mode or native mode: 800

Windows Server 2003 Windows 2000 Server (default): 800

Windows Server 2003 Windows Server 2003 interim: 1300

Windows Server 2003 Windows Server 2003: 1300

 

Note: The actual value of a non-linked attribute varies depending on the length of characters and on the length of character sets in Active Directory.

Offensichtlich variieren die Werte (verständlicherweise) ein wenig, je nachdem was für Werte in den nicht verlinkten Attributen gespeichert werden bzw. wieviel Platz dadurch belegt wird.

Nichts genaues weiß man nicht. ;)

[EDIT] Hoffe dieses mal liege ich richtig mit meinem Verständnis des Threads. :D :D :D [/EDIT]

Gruß olc

AAAARRRRGGGHHHHH..... Habe mir nach Deinem Post den Thread noch einmal durchgelesen. Oh man, es passiert mir immer wieder: Erst lesen, dann schreiben. :(

Für mich las es sich auf den ersten Blick so, als wenn das "Bulk-Hinzufügen" von vielen Daten fehlschlägt.

Aber es geht um die Gesamtanzahl an Attributwerten für ein Objekt.

Entschuldigt - ich gelobe Besserung.

Gruß olc

Hallo,

für diese Größenordnung (basierend auf den Informationen von Dir) ist eine CA wahrscheinlich "overkill".

Ich würde in diesem Fall eher den Erwerb eines Zertifikats einer kommerziellen Zertifizierungsstelle erwägen - das kostet heute nicht mehr die Welt - oder ein selbst signiertes Zertifikat erstellen, welches Du beispielsweise per GPO an die Clients im internen Netz verteilen kannst. Die zweite Variante ist dann natürlich nicht so optimal wie das kommerzielle Zertifikat.

Eine CA in die DMZ zu stellen ist sicherheitstechnischer "Selbstmord". Wenn Du unbedingt eine CA verwenden willst, sollte diese in Deinem internen Netz liegen.

Gruß olc

Hallo,

es erst ab Windows Server 2003 Forestmodus ist es (theoretisch) möglich, mehr als 5.000 Werte in einer Datenbanktransaktion ein Attribut zu schreiben, siehe Microsoft Corporation

In welchem Forestmodus ist die Domäne?

Wie viele Werte schreibt Ihr in das Attribut?

Grundsätzlich widersprechen sich jedoch die Quellen diesbezüglich: Auf der einen Seite wird bestätigt, daß die 5.000er Grenze ab Forestlevel Windows Server 2003 (bzw. Windows Server 2003 interim) gefallen ist, auf der anderen Seite gilt die Grenze jedoch weiterhin in Bezug auf LDAP-Queries (auch Add oder Modify):

Originating Updates: Initiating Changes

 

As a Lightweight Directory Access Protocol (LDAP) directory service, Active Directory supports the following four types of update requests:

- Add an object to the directory.

- Modify (add, delete, or replace) attribute values of an object in the directory.

- Move an object by changing the name or parent of the object.

- Delete an object from the directory.

 

Each LDAP request generates a separate write transaction. An LDAP directory service processes each write request as an atomic transaction; that is, the transaction is either completed in full or not applied at all. The practical limit to the number of values that can be written in one LDAP transaction is approximately 5,000 values added, modified, or deleted at the same time.

A write request either commits and all its effects are durable, or it fails before completion and has no effect. A write request that commits is called an originating update. An originating update is initiated and committed at a specific replica. The absolute success or failure of an update applies even for requests that might affect several attributes of a single object, such as Add or Modify. In this case, if one attribute update fails, they all fail and the object is not updated.

Außerdem werden scheinbar nicht alle Attribute (in dem Beispiel in Bezug auf Gruppenmitgliedschaften) automatisch nach dem Anheben des Funktionmodus konvertiert:

Effect of Raising the Forest Functional Level on Existing Linked, Multivalued Attributes

 

Existing linked, multivalued attributes are not directly affected when you raise the forest functional level to enable linked-value replication. These attribute values are converted to replicate as single values only when they are modified. This design avoids the performance effects that would potentially result from rewriting the existing member attribute values of all group objects in the forest at the same time.

 

Because the member attribute is not converted until it is modified, a group that exceeded the 5,000-member limit in Windows 2000 continues to represent a replication issue because the original set of members continues to replicate as a unit under the new forest functional level. New members that are added and any member values that are updated replicate separately thereafter. Therefore, if the groups that were created in Windows 2000 do not exceed the 5,000-member limit, no replication issues are associated with the group.

Was kannst Du also tun?

Keine Ahnung. :D

Entweder - wie von Daim vorgeschlagen - direkt an den Microsoft Support wenden oder überprüfen, wie viele Werte in einem Query in die Datenbank geschrieben werden sollen --> denn die 5000er (LDAP-) Grenze scheint weiterhin zu bestehen.

Gruß olc

Hallo,

schalte doch mal das Userenv Debug Logging ein und poste den Output hier als Textdatei, falls das sicherheitstechnisch für Dich möglich ist.

Vielleicht bekommt man daraus einen Hinweis, an welcher Stelle die Anmeldung hängt...

Gruß olc

Hallo,

vielleicht ist ADAM etwas für Dich?

Gruß olc

Hallo,

kann es sein, daß Dein Laptop zum Capture Zeitpunkt schon eine feste IP hatte?

Bitte setze den Laptop auf DHCP und führe folgende Befehle auf der Kommandozeile aus, während Du den Traffic mitschneidest:

ipconfig /release
ipconfig /renew

[EDIT]

...und was mir gerade noch aufgefallen ist: Wieso fragt eigentlich die FritzBox nach einer Adresse und nicht der Client?

Ich bin zwar nicht der Profi bezüglich Netzwerk-Captures, aber meiner Meinung sollte doch der Client nachfragen und der Server anbieten oder? :D :D :D

Kann es sein, daß Du zwei DCHP Server im Netzwerk laufen hast?

[/EDIT]

Gruß olc