olc

Hi, als ergänzenden Hinweis würde ich es einmal mit dem DNS / NetBIOS Servernamen anstatt der IP-Adresse versuchen. Sonst passiert da nix mit Kerberos, sondern nur mit NTLM. Viele Grüße olc

Hi Daniel, ich hätte es auch nicht "auf Anhieb" vermutet, wenn ich nicht vor einiger Zeit einen Artikel dazu gelesen hätte (ich glaube in der "iX" oder so). :) Viele Grüße olc

Hi, Du kannst die Kommandozeile bemühen, um die DB und die privaten Schlüssel der CA zu sichern. Schau Dir dazu einmal den Befehl "certutil -backup" an. Wichtig ist, daß Du vor der Deinstallation der Rolle die Datenbank inkl. Logdateien, den privaten Schlüssel + Zertifikat (=PFX) der CA und die CertSrv-Registrierungsschlüssel hast. Viele Grüße olc

Hi Holger, wenn keine Sicherheitsüberwachung aktiviert war, sieht das nicht so gut aus. Indirekt könnte man es jedoch nachweisen, indem man die Ereignisprotokolle (nachdem man sie gesichert hat) überprüft, ob irgendwo "negative Zeitsprünge" zu finden sind. Wenn Du die Systemzeit (und nicht nur die Zeitzone) verstellt, dann sollten die Ereignisprotokolle, z.B. im Applikationslog, Systemlog oder Securitylog irgendwo einen Zeitsprung nachweisbar machen. Zusätzlich gibt es sicher noch eine Menge Textlogs im System, die jedoch leichter zu manipulieren sind, als es die Ereignisprotokolle sind. Viele Grüße olc

Hi, der Grund steht in Deiner Ausgabe von GPRESULT: Folgende [color="Red"][b]herausgefilterte[/b][/color] Gruppenrichtlinien werden [color="Red"][b]nicht angewendet[/b][/color]. ---------------------------------------------------------------------- [color="Red"][b]erlaubt RDP Verbindungen auf den PC[/b][/color] Filterung: [color="Red"][b]Deaktiviert (Link)[/b][/color] Offensichtlich hast Du den Link auf der OU deaktiviert. Aktiviere ihn wieder, dann sollte es klappen. :) Viele Grüße olc

Hi, standardmäßig ist die Farbtiefe auf 16-Bit limitiert (4MB Grafikkarte in den Integration Services). Es gibt aber den ein oder anderen Weg, um das zu umgehen, siehe Is 16 bit color the maximum available in VM's? . Ob das jedoch von MS supportet ist, kann ich nicht sagen. :D Viele Grüße olc

Hi, daß das GPOTool ohne Fehler durchgelaufen ist, wundert mich sehr... Einen weiteren Hinweis hatte ich Dir schon gegeben, nämlich den AV-Scanner von den betroffenen Systemen testweise einmal zu deinstallieren. Netzwerkkarten-Treiber bzw. NIC-Teaming sind auch oft heiße Kandidaten für Probleme. Zusätzlich würde ich einmal ein "GPUPDATE /FORCE" durchführen - tritt der Fehler dann immer noch auf? Ansonsten die "Standard Frage", was sich auf den Systemen verändert hat? P.S.: Da wir uns hier schon Mühe geben, Dir bei Deinem Problem zu helfen, mußt Du nciht unbedingt zusätzlich auf verschiedenen anderen Foren posten. Das widerspricht der Netiquette. :wink2: Viele Grüße olc

Hi Flex, keine Ahnung - mach ein Backup der CA inkl. privaten Schlüsseln, Datenbank und Registry Keys und installiere die CA Rolle neu. Dann wird es wieder angelegt, sollte es fehlen. Was Du sichern mußt, erfährst Du hier: How to move a certification authority to another server Viele Grüße olc

Hi maxschaf, Du kannst das Vorhaben mit diversen Scriptsprachen ermöglichen, bestenfalls mit der PowerShell. Zusätzlich gibt es auch Tools wie PsLogList , die die Aktionen ermöglichen. Eine ebenfalls recht komfortable (und im Prinzip für Dein Vorhaben sicherlich sehr, sehr gut geeignete) Möglichkeit ist das Wevtutil . Dort kannst Du neben dem reinen Exportieren / Archivieren auch diverse Filter einsetzen. Viele Grüße olc

Hi ENC, Freut mich zu hören. Danke für die Rückmeldung. :) Das Konzept ist schon sinnvoll - warum sollen alle Komponenten installiert werden, wenn auf den meisten Systemen nicht alle Komponenten benötigt werden? :) Viele Grüße olc

Hi nochmal, aktiviere doch bitte einmal das UserEnv Logging auf einem DC (siehe How to enable user environment debug logging in retail builds of Windows ) und poste das datenschutztechnische "bereinigte" Log hier. Unter Umständen ist es (neben den anderen oben genannten potentiellen Fehlerquellen) ja auch ein DNS-Problem, was man im UserEnv Debug Log sehen sollte. Siehe dazu auch die Ergebnisse zur englischen Fehlermeldung, die scheinbar recht oft auf DNS Probleme zurückzuführen waren: Google Viele Grüße olc

Du könntest außerdem einmal versuchen, die lokale Sicherheitsdatenbank auf einem DC zu löschen und den DC neu zu starten, siehe auch diesen Thread: https://www.mcseboard.de/windows-forum-ms-backoffice-31/event-1202-richtlinien-wurden-fehlern-propagiert-155555.html . Seht Ihr Euch als "Hochsicherheitsumgebung"? Warum sind all diese Einschränkungen auf Diensten, Registrierung etc. so hart konfiguriert? Hast Du ggf. ein Backup von der Default Domain Controller Policy vor den Problemen? Ich würde einiges darauf setzen, daß die Probleme durch irgend eine dieser Einstellungen hervorgerufen werden. Wie gesagt: Ich habe die Sache nur "überflogen" - vielleicht macht es an dieser Stelle für Euch Sinn, einen Dienstleister hinzu zu ziehen, der sich damit gut auskennt. Hier im Forum wird das meines Erachtens ab diesem Punkt etwas schwierig... Viele Grüße olc

Hi, ich habe gerade einen kurzen Blick in die HTML-Reporte geworfen. Kurzfassung: Es wird in fast jedem MS Dokument empfohlen, die Default Domain Policy als auch die Default Domain Controller Policy nicht großartig zu bearbeiten. Wenn ich mir das folgende anschaue, läuft es mir also kalt den Rücken runter: Default Domain Controllers Policy MEINEDOMAIN.de/Domain Controllers [color="Red"]AD (3697), Sysvol (3697)[/color] Die Änderungen betreffen neben vielen anderen systemrelevanten Einstellungen, die man genau prüfen sollte (insbesondere auf DCs), auch solche Einstellungen wie: Anmelden als Dienst MEINEDOMAIN\admin, NETZWERKDIENST, MEINEDOMAIN\MopUPS, SYSTEM Default Domain Controllers Policy Das sind für mich heiße Kandidaten in Bezug auf die Ursachenforschung zum Problem. Hier wäre übrigens auch interessant zu schauen, ob die SID für "NETZWERKDIENST" oder der Name in der Datei "\\DEINEDOMAIN.de\SYSVOL\DEINEDOMAIN.de\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf" stehen. Ich könnte mir vorstellen, daß die manuell gesetzten Einstellungen als Name darin auftauchen, was Probleme nach sich ziehen kann, wenn Ihr auch andere Sprachen auf Euren Systemen einsetzt als nur "deutsch". In den Systemdiensten wurden neben dem Startmodus auch die Berechtigungen (ACLs) für diesen Dienst festgelegt. Und so, wie ich das beim überfliegen lese, mit nicht in jedem Fall unbedingt sinnvollen Einstellungen. Da habt Ihr eine Menge Arbeit vor Euch, wenn Ihr das rückgängig bzw. "richtig" machen wollt, denn das sind "Tattoos", die Einstellungen kann man also nicht so einfach wieder "zurücknehmen", sondern muß sie überschreiben. Aber ich habe mir jetzt auch nicht jeden Dienst angeschaut, vielleicht ist das auch weniger "schlimm", als es auf den ersten Blick aussieht. Man kann aber auch seine Umgebung "kaputt konfigurieren", und danach sieht es ehrlich gesagt für mich im Moment ein wenig aus... Du könntest schauen, ob Du die folgenden Fehlermeldungen ins englische Übersetzt und in der MS KB suchst: Komponentenstatus Ausblenden Komponentenname Status Letzter Prozess am [color="Red"]Gruppenrichtlinieninfrastruktur Fehlgeschlagen 24.08.2009 09:17:27 Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen. Zugriff verweigert Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar. Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 24.08.2009 09:17:26 und 24.08.2009 09:17:27. [/color] [...] Security (N/V) 20.08.2009 16:14:34 [color="Red"]Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein. Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.08.2009 16:14:21 und 20.08.2009 16:14:34. [/color] Nutzen kannst Du dafür das Sprachportal von MS: http://www.microsoft.com/language/de/de/search.mspx Unten geht es weiter...

Off-Topic: Ok, ok - mein Fehler. :) Und Du heißt jetzt bei mir ab sofort nur noch "Adlerauge". :D Danke und Gruß olc

Hi, such doch einmal in den Komponentendiensten nach der GUID "{D99E6E73-FC88-11D0-B498-00A0C90312F3}" - die sollte im Normalfall vorhanden sein. Dort vergibst Du dann die entsprechenden Berechtigungen. Viele Grüße olc

Hi, ok, jetzt ist es bei mir angekommen. :D Du mußt auf dem System mit den installierten RSAT Tools die Funktion erst installieren, das ist standardmäßig nicht der Fall. Dazu fügst Du in den Rollen den RSAT Tools die Funktion "Windows Deployment Services Tools" hinzu. Danach die AD Users & Computers MMC neu starten, dann hast Du den Dialog wieder in der MMC. :) Alternativ kannst Du auch per Kommandozeile prestagen: How to Manage Client Computers Viele Grüße olc

Hi, da gibt es eine ganze Menge Lösungen. Fragen wir mal so: Über welche Größenordnung sprechen wir hier (Anzahl zu schützender Systeme, zu erwartender Datendurchsatz auf diesen Systemen, OS etc.) und wie hoch ist das finanzielle Budget? Oder geht es nur um das 2003er IIS System? Was genau meinst Du mit "Websites vollspammen"? Solche "inhaltlichen Angriffe" sollte im Normalfall ja auf Applikationsebene geblockt werden und muß nicht unbedingt durch vorgeschaltete Filter laufen. Je nach Design der Umgebung ist natürlich auch beides möglich (Vorfilterung oder Applikationsfilterung oder bestenfalls beides). Viele Grüße olc

Herzlich willkommen. :) Viele Grüße olc

Hi, der BITS Dienst wird im Normalfall auf "Manuell" gestellt, so daß er bei Bedarf "nachgezogen" wird. Was hast Du in den Diensteinstellungen der GPO definiert? Diese Einstellung wird im RSOP eines Clients auch angezeigt? Gibt es Fehlermeldungen im Eventlog? Reicht ein normales "gpupdate" oder benötigst Du ein "gpupdate /force"? Was genau ist "nicht aktiv" gemeint? Meinst Du "der Dienst ist nicht gestartet" oder "die Dienststartart ist nicht korrekt übernommen worden"? Ersteres wird bei Startart "Manuell" wie gesagt nur auf Anforderung durchgeführt, d.h. der Dienst kann durchaus gestoppt sein. Viele Grüße olc

Salut, Danke für die Ergänzung, war schon etwas spät für vollständige Sätze meinerseits. :D Grundsätzlich hast Du Recht - jedoch ist der 2008 R2 nicht zu vergleichen mit den 2003 R2. Es wurden große Teile der Codebasis (2008 vs. 2008 R2) verändert, zusätzlich sind diverse Kernfunktionen von Diensten (so auch Teile der AD-Dienste) stark verändert worden. Dementsprechend kann man - auch wenn offiziell "nur" ein R2 - schon sagen, daß ein Inplace-Upgrade von 2008 auf 2008 R2 durchaus mehr "Risiken" birgt, als es von 2003 zu 2003 R2 der Fall war. Korrekt, jedoch wissen wir auch beide, daß ein Inplace-Upgrade immer auch "Leichen" im System hinterläßt, die zu Instabilitäten führen können. Deshalb habe ich auch nur meine Meinung geäußert. Der Riesenvorteil von eigenen Meinungen ist - fast jeder hat eine. ;) Von daher muß der TO nun nur noch entscheiden, was seine eigene Meinung dazu ist und bestenfalls den Vorgang ordentlich testen. Ich denke nicht, daß ich etwas anderes behauptet habe, oder? ;) Viele Grüße olc

Hi Lukas, ich denke nicht, daß wir uns da verheddert haben. :) XP Mode ist die Möglichkeit, direkt mit einer Art von XP "Lizenz" (ja, ich weiß, daß das nicht ganz korrekt ist :)) in Windows 7 Prof. aufwärts eine virtuelle Instanz laufen zu haben, die alte Applikationen hosten kann. Ganz klares Feature für Unternehmen (jedweder Größenordnung, also auch für Großkunden). Virtual PC bringt auch weiterhin keine eigene "Lizenz" für ein MS OS mit, daher ist das hier gar nicht zu vergleichen. Man kann es sicher in gleicher Art und Weise nutzen, aber die Zielgruppe ist eine andere - soweit gehe ich mit der von Dir verlinkten Folie auch überein. Daß Virtual PC die "seamless application windows" mitbringt ist klar, denn der XP Mode ist ja im Kern / der Plattform auch nur ein eingeschränkter Virtual PC. MED-V kannst Du zur Verwaltung von virtuellen Instanzen verwenden - egal ob nun Virtual PC oder XP Mode. Aber gerade der letztere Punkt zeigt, daß der XP Mode nicht nur für Consumer oder Small Business gedacht ist - denn dort wird mit hoher Wahrscheinlichkeit nur sehr selten MED-V eingesetzt. Es ist also ein AddOn zur Verwaltung. Um Applikationen mit MS Techniken bereit zu stellen, nutzt Du aber seltener MED-V, sondern eher APP-V. Der Autor des Blog Artikels widerspricht sich selbst. Er schreibt beispielsweise: Im Consumer Markt wird größtenteils die Home Versions von Windows 7 eingesetzt - von daher auch hier wieder ein Hinweis, daß es gerade nicht um Consumer geht. Ganz ehrlich: Warum auch? Bei Heimcomputern gibt es bei weitem weniger Probleme mit den Applikationen als in den Unternehmen. Es gibt in dem Blog noch weitere Punkte, die sich widersprechen. Aber Du hast Recht, das führt hier vielleicht zu weit. :) Halten wir fest: Der XP Mode soll (egal ob bei Endbenutzern oder in Großunternehmen) gar nicht alle Funktionen eines OS abbilden. Es soll als Übergangslösung positioniert werden. Ich denke, hier sind wir uns einig oder? Denn das war ja die Grundlage der fruchtbaren Diskussion :) @ zahni: Ok, darauf können wir uns "einigen". :) Viele Grüße olc

Hi, interessante Folie (Devs und Testing als Hauptgruppe für das normale Virtual PC ist klar). Aber der XP Mode ist eben gerade kein reines Endbenutzer / Small Business Feature. MED-V kann natürlich "auch" Virtual PCs verwalten (bzw. tut dies hauptsächlich :D), aber der XP Mode ist damit aufgrund der selben Plattform natürlich ebenfalls verwaltbar. Der große Vorteil des XP Modes ist ja die Transparenz für den Nutzer ("seamless desktop windows"), und genau diese Transparenz stellt ein wichtiges Kriterium in Großunternehmen dar. Wie schon gesagt: Übergang, solange einige kritische / problematische Applikationen noch nicht komplett umgestellt sind. Viele Grüße olc

Hi Lukas, welche Folien meinst Du genau? Der Fokus des XP Mode liegt durchaus (auch) bei Großkunden von MS - schließlich werden hier oft Applikationen betrieben, die nicht mit Vista / Windows 7 klar kommen. Um hier die Migration auf diese neuen MS OS Versionen zu erleichtern, kann der XP Mode genutzt werden. Für Consumer ist das eher nicht so relevant - dort sind die (Gesamt-)Kosten für eine Umstellung schlichtweg nicht vergleichbar mit denen von größeren Unternehmen. Daher gibt es für den XP Mode dann auch MED-V technisch einige Möglichkeiten, die Maschinen zu verwalten bzw. zu aktualisieren (Updates etc.). Und MED-V ist soweit ich weiß bei "Consumern" eher kein Thema. ;) Viele Grüße olc

Hi zahni, mir ist klar, wie das mit dem XP Mode funktioniert. ;) Aber wie oben schon gesagt: Es geht beim XP Mode nicht um eine Dauerlösung, sondern um eine Übergangslösung. Und wenn die Applikationen, die Du im XP Mode laufen lassen möchtest, einen Brenner benötigen, dann lohnt es sich, die Applikationen schneller anzupassen / umzustellen. So ist zumindest das Konzept von MS dahinter, ob es einem nun gefällt oder nicht. Von daher paßt der Vergleich zu VMWare Workstation oder die Erwartungshaltung, daß in der XP Mode VM "alles funktioniert", schlichtweg nicht zur Ausrichtung. Nur das wollte ich sagen - und ich denke, das ist auch angekommen oder? ;) Viele Grüße olc

Hi Philipp, nein, das mußt Du nicht gleichzeitig auf den DCs ausführen. Ist ein Virenscanner auf den Systemen installiert? Vielleicht kannst Du den - falls vorhanden - auf einem System testweise einmal deinstallieren? Ansonsten fällt mir momentan nicht viel zu dem Fehler ein... Zusätzlich könntest Du einmal das "GPOTool" (Teil des Windows Server 2003 Resource Kits) laufen lassen, vielleicht gibt das Hinweise zu Problemen mit den Policies als solches: http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en Viele Grüße olc