olc

Hi Yannick, mit dem DSMOD Befehl wärst Du zwar schneller gewesen ;), aber klasse, daß es funktioniert hat. Danke für Deine Rückmeldung und Gruß olc

Hi snoopy, nein, der DRA sollte ausreichen (natürlich neben dem eigenen EFS Zertifikat). Hast Du Punkt 6. aus dem folgenden Artikel ebenfalls durchgeführt? Error message when client computers encrypt a file in a Windows Server 2003 domain: “Recovery policy configured for this system contains invalid recovery certificate” Viele Grüße olc

Hi mac-duff, kein Problem :) - dann schau Dir mal den folgenden Thread bzw. Link an (dcomperm): How to change DCOMCNFG.exe settings programmatically Viele Grüße olc

Hi Carsten, Karl hat es korrekt in seinem Beitrag geschrieben: Port 636 Danach hast Du es aus Versehen verdreht auf "639" und ich habe es aus Versehen verdreht zu "686". Somit sind wir die Bösewichte. :D Der Port 636 ist jedenfalls LDAP/S und die Vermutung bleibt bestehen, daß den DCs schlichtweg die erforderlichen Zertifikate fehlen. ;) Viele Grüße olc

Hey Nils, Das hat mit der "Always wait for the network" Geschichte eigentlich nur am Rande etwas zu tun. :) Mittels der Einstellung aktivierst Du die synchrone Group Policy Abarbeitung, d.h. es werden Prozesse, die zur Verarbeitung notwendig sind, nicht gleichzeitig gestartet, sondern nacheinander. Damit muß im Zweifel die GPO Engine auf die Positivmeldung der Netzwerkkarte warten, daß sie einsatzbereit ist. Ist der Modus nicht aktiviert, läuft die Abarbeitung der Policies unter Umständen simultan los. Somit verzögert sich der Start und Anmeldevorgang in annähernd 100% der Fälle, die Frage ist nur, um wie viel Zeit. Es gab einige Änderungen in Bezug auf den NLA bzw. dessen zentrale Bedeutung für die Policy Abarbeitung. Aber die Verfügbarkeit des Netzwerks ist relativ: Der NLA muß auch hier prüfen, ob das Domänennetzwerk verfügbar ist oder ein anderes Netzwerk - damit macht der Schalter auch wieder Sinn (Home-Netzwerke, Offline-Anmeldung etc.). Ich mag mich da auch irren, aber eine Änderung in Bezug auf diese Einstellung bzw. der Policy-Abarbeitung mit der "Always wait..." ab Vista Option wäre mir im Moment nicht bekannt. Viele Grüße olc

Hi, Kennwörter sind im Grunde "das kleinste Problem" - wenn die neuen Benutzer in einer extra OU liegen, dann kannst Du etwa mittels DSQUERY USER OU=bla,DC=domain,DC=tld -limit 0 | DSMOD USER -pwd P@ssw0rd alle Kennwörter der Benutzer auf ein Dummy-Kennwort ändern. Mit ein wenig Scriptaufwand könntest Du auch jedem Benutzer ein eigenes Kennwort zuweisen. Viele Grüße olc

Hi haecker und willkommen an Board, :) das könntest Du etwa mit der PowerShell erledigen, siehe dazu https://www.mcseboard.de/windows-forum-ms-backoffice-31/cookies-z-b-14taegig-loeschen-138291.html Viele Grüße olc

Hey Daim, echt? Hatte ich nicht auf dem Schirm. Danke für den Hinweis, zum Glück habe ich eingeschoben, daß ich mich da auch irren kann. :D Aber dann war meine Quote wenigstens bei 2/3 korrekt, mehr als die Hälfte. :D ;) Danke und Gruß olc

Hi, ok - war da jetzt noch eine Frage versteckt oder wirst Du DCOMCNFG testen? ;) Viele Grüße olc

Hi, Du hast Dich offensichtlich nur auf die RootDSE verbunden. Wenn Du Dich nicht mit LDP.exe auskennst, nimm lieber "ADSIEdit.msc". ;) Dann prüfe den oben genannten Pfad im Configuration Naming Context - was liegt darunter? In der MMC kannst Du einfach per Rechtsklick auf "Personal" --> "New" oder so ähnlich --> "Request certificate" ein Zertifikat anfordern. Viele Grüße olc

Hi, greift die Richtlinie denn überhaupt auf den Clients? Check doch erst einmal ein GPMC Group Policy Results Report, ob die Richtlinie korrekt am Client ankommt - ich meine, es ist ein Computersetting. Korrekt? Viele Grüße olc

Hi, als Quelle ist der Zend Optimizer angegeben: Zend Technologies ? Wikipedia Da würde ich wahrscheinlich ansetzen. ;) Und wenn man dann "Zend Optimizer" + "Unable to view file mapping" in der Suchemaschine seiner Wahl eingibt, landet man zum Beispiel hier ;): Zend Optimizer Error Log . What is wrong? Viele Grüße olc

Hi, klingt gut. :) Prüft das ganze noch einmal etwas länger, vielleicht ist es die "Lösung". Letztendlich verlängert sich mit der Einstellung natürlich der Start- und Anmeldevorgang. Alternativ würde ich fürs erste einmal Netzwerkkartentreiber etc. auf Aktualität prüfen, unter Umständen ist der W7-Client dann schneller "bereit" für die Gruppenrichtlinienverarbeitung und Du kannst das Setting wieder entfernen. Viele Grüße olc

Hi, ok, das mit dem Netzwerkzugriff ist natürlich eine wichtige Information... ;) In diesem Fall müssen die Fileserver den entsprechenden Recovery Agent haben. Du entschlüsselst nämlich (kurz gesagt) die Daten beim Kopiervorgang erst lokal, überträgst die Daten dann unverschlüsselt und diese werden dann auf dem Fileserver neu verschlüsselt. Daher muß dieser ein aktuelles DRA-Zertifikat haben. Prüfe doch einmal, ob unter Umständen eine andere GPO Deine Domänenpolicy auf den Fileservern überschreibt. Am besten mittels GPMC Group Policy Results Report. Wenn es die korrekte Policy ist, prüfe einmal, ob die Änderung (also der neue DRA) an den Fileservern ebenfalls schon per GPO angekommen ist. Viele Grüße olc

Hi, 686 ist LDAP/S - also würde ich vermuten, daß sicht alle DCs ein Server Authentication Zertifikat besitzen. Daher kann auf diesen DCs kein SSL verwendet werden. Prüfe einmal alle auf dem DC vorhandenen "Personal"-Zertifikate - welche Templates / Verwendungszwecke haben die Zertifikate? C:\> certutil -v -store MY Ansonsten wie Carsten schon sagte: Mehr Infos wären nicht schlecht. ;) Viele Grüße olc

Hi, ergänzend zu Daim's hinweisen vielleicht noch die Anmerkung, daß man (wenn ich mich nicht irre ;)) Kennwörter mit CSVDE, "DSADD USER", der PowerShell etc. direkt mit den anderen Benutzerdaten importieren kann. Vielleicht ist das eine Alternative zu LDIFDE oder gibt es einen speziellen Grund, warum LDIFDE verwendet werden muß? Viele Grüße olc

Hi, schau Dir einmal das folgende Tool / Beispielscript an: DCOMCNFG programmatically manipulates DCOM server permissions Viele Grüße olc

Hi, also wenn ich mir den Fehlercode so anschaue, dann würde ich vermuten, daß irgend ein Treiber nicht mit dem Schlafmodus o.ä. klar kommt: C:\Windows\System32>err 0x0000009f # for hex 0x9f / decimal 159 : [color="Red"][b] DRIVER_POWER_STATE_FAILURE bugcodes.h[/b][/color] SQL_159_severity_15 sql_err # For DROP INDEX, you must give both the table and the index # name, in the form tablename.indexname. ERROR_BAD_THREADID_ADDR winerror.h # The address for the thread ID is not correct. SCW_E_KPLOCKED wpscoserr.mc # The authentication protocol of this known principal is # locked%0 # 4 matches found for "0x0000009f" Check doch einmal die Treiber auf Ihre Aktualität und schalte einmal die Energieoptionen "ab", d.h. Energiesparmodi aus. Tritt der Fehler dann immer noch auf? Aufgrund der Fehlermeldung im Eventlog wäre die Netzwerkkarte ein heißer Kandidat. Viele Grüße olc

Hi, wenn keine Icons angezeigt werden, dann wurde das scheinbar in irgend einer Policy oberhalb des Computerobjekts so eingestellt. ;) Zieh einmal einen GPMC RSOP Group Policy Results Report, dann siehst Du, aus welcher Policy die unerwünschten Einstellungen kommen. Viele Grüße olc

Hi, Du fragst offensichtlich nur das MemberOf Attribut ab - daher bekommst du auch keine verschachtelten Gruppenmitgliedschaften. Aber bevor man hier Hinweise zum VBScript gibt (es ist kein WMI, wie Du es oben schriebst...) die kurze Nachfrage, warum ein VBScript eingesetzt werden soll? Gibt es dafür einen speziellen Grund? Falls nicht, könntest Du Dir einmal die Group Policy Preferences anschauen, die sollten das recht problemlos mit wenig Aufwand lösen können. Falls Du es aber trotzdem unbedingt mit VBScript erledigen möchtest, wirf einmal einen Blick hier hinein: Hey, Scripting Guy!: Determining a User?s Group Memberships Viele Grüße olc

Hi zusammen, Wenn ich mich da jetzt nicht irre, überschreibt der Import bestehende Einstellungen. D.h. es findet keine Zusammenführung statt. Die Frage habe ich mir auch zuallererst gestellt. :D Das Script liest nur die registry.pol Dateien, d.h. nur einen Teil der möglichen GPO-Einstellungen bzw. CSE-Einstellungen. IE Maintenance, Softwareverteilung, Security Settings etc. pp. müßte man dann noch zusätzlich anfassen. Viele Grüße olc

Hi Matthias, mir persönlich wäre da kein Tool bekannt, weder von MS noch von Unternehmen wie Quest etc. Viele Grüße olc

Hi Daniel, nein, nicht wirklich. ;) Es ging ja nicht darum, ob das Abziehen der HDD funktioniert - das ist klar. Der Hinweis auf XP / 2003 in den Artikel bezieht sich auf die Lauffähigkeit des Tools, nicht auf die Einbindung der VHDs in eine VM. Die Fragestellung war also, ob sich ein solches Abbild der Platte dann auch problemlos in einer VM starten läßt. Hier spielen genau die oben genannten Faktoren rund um die HAL eine Rolle. Und genau dazu steht in den Blogs leider nichts - was nachvollziehbar ist, denn das Thema ist losgelöst von dem Tool. :) Viele Grüße olc

Hi Elrond, ja, das ist die angesprochene Webseite zum Beantragen von Zertifikaten. Wenn Du Dich von der CA aus mittels LDP.exe o.ä. Tools auf den Configurations-NC Deines Forests verbindest, was siehst Du dann unterhalb des folgenden Containers: CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld Sind darunter Templates vorhanden? Ist unter Umständen etwas an den ACLs dieses Containers verändert worden? Viele Grüße olc

Hi zusammen, also das hat mich dann doch zu sehr interessiert, daher habe ich es ausprobiert: 1. Sicherheitshalber Windows 7 Laptop mit "BCDEDIT /SET DETECTHAL TRUE" vorbereitet. 2. Disk2VHD die Platte abziehen lassen. 3. Platte im neuen Windows Virtual PC (RC) auf einem Windows 7 Host als Gastsystem eingebunden. Ergebnis: Alles läuft perfekt - es müssen nur noch die Integration Components nachinstalliert werden. Wie gesagt, ich hatte im Hinterkopf, daß sich da etwas seit Vista / 2008 getan hat. Die HAL wurde AFAIK mit einer neuen Zwischenschicht / Abstraktionsschicht versehen. Das ganze spielt ja auch in die neuen Deployment Methoden hinein, denn hier ist es möglich, seit Vista / 2008 mit einem einzigen Image mehrere Hardwareplattformen zu bedienen (WDS). Unter XP / 2003 wird das meines Erachtens also nicht in der Form funktionieren. Leider finde ich gerade keine Dokumente von MS dazu. Ist aber auch nicht so mein fachliches Thema... :) Viele Grüße olc