olc

Hi Leute, ich suche derzeit für eine kleine Firma eines Bekannten nach einem SharePoint Hoster für ca. 1 Jahr. Die Anforderungen sind ganz grob: Zugriff für ca. 150 Leute (wichtig auch in Bezug auf inbegriffene Zugriffslizenzen) Vertrag bestenfalls monatlich kündbar, ansonsten maximal 1 Jahr der Dienst sollte "zuverlässig" / vertrauenswürdig / ausfallsicher sein, d.h. bitte keine Vorschläge für 1,- € Hoster in Tonga ;) voller Zugriff in Bezug auf Benutzereinrichtungen und Rechtevergabe HTTPS / SSL gesicherter Zugriff Backup etc. sollte selbstverständlich sein Nutzt jemand von Euch vielleicht SharePoint als externen Service? Gibt es Alternativen dazu, d.h. gleiche Funktionen mit alternativer Software (ebenfalls gehostet)? Danke Euch und Gruß olc

Schön, danke für die Rückmeldung. :) Viele Grüße olc

Glückwunsch auch von mir. :)

Hi, hättest Du die Exporte vielleicht auch als HTML Reports? Die Textdateien geben leider nicht alle Informationen her. Bitte bedenke dabei, daß da durchaus auch sicherheitskritische Daten drin stehen - man sollte also überlegen, ob man es hier postet (Textdateien als auch HTML Reporte gleichermaßen)... GPMC HTML Group Policy Results Report: Using GPMC Group Policy Results to Evaluate Group Policy Settings After Deployment Viele Grüße olc

Hi, blende einmal die erweiterten Optionen in der AD USers & Computers MMC ein: http://www.microsoft.com/windows/windows2000/en/advanced/help/dsadmin_advanced_view.htm Danach kannst Du per Rechtsklick --> Eigenschaften auf dem entsprechenden Objekt die ACLs / Sicherheitseinstellungen einsehen und prüfen, welche Accounts Zugriffsrecht haben. Im Normalfall solltest Du als Administrator (Domain-Admin / Enterprise-Admin oder mit den entsprechend delegierten Berechtigungen) die notwendigen Rechte haben. Zumindest standardmäßig ist das der Fall. Ansonsten hoste extern einmal das DCPROMO.log, dann kann man vielleicht genauer schauen, wo es Probleme gibt. Bitte beachte dabei, daß in der Datei durchaus Datenschutz-relevante Informationen stehen. Daher nicht "einfach so" posten. Lokal an dem zu promotenden System bist Du lokaler Administrator, korrekt? Viele Grüße olc

Hi fly87, die Einstellung kannst Du ebenfalls in der Default Domain Policy einstellen, wenn Du die anderen Kennwortrichtlinien dort vergeben hast. Die Einstellung findest Du hier: Maximum password age: Security Configuration Editor; Security Services Mit der Anwendung der Einstellung ist es im Kern wie mit den anderen Kennwortrichtlinien - vom Design her sollte es bestenfalls nur 1x in einer GPO auf Domänenebene festgelegt werden (bis 2003, aber 2008 gibt es hier zusätzliche Möglichkeiten). Viele Grüße olc

Hi, wie hast Du den alten DC denn aus der Domäne genommen? Korrekt demotet oder hast Du den einfach außer Betrieb genommen, ohne weitere Aktionen durchzuführen? Ist letzteres der Fall, müßte für diesen alten DC ein METADATA CLEANUP ausgeführt werden. Unter 2008 geht das recht einfach über die AD Users & Computers MMC: Clean up server metadata: Active Directory Dabei wäre zu beachten, daß das unter Umständen nicht ganz so einfach ist, da nun ein DC mit dem selben Namen existiert. Check das einmal ab, ggf. müßtest Du den alten als auch den neuen 2008er DC einmal sauber aus der Domäne entfernen, um ihn dann noch einmal korrekt zu promoten. Die IP-Konfigurationen sehen jedenfalls für den Moment recht gut aus - ich konnte auf den ersten Blick keine Fehler erkennen. Daran sollte es also nicht liegen. Viele Grüße olc

Hi, um ehrlich zu sein konnte ich Deinem Post oben nicht so recht folgen. Vielleicht kannst Du die Fragen noch einmal etwas "umformulieren"? :) Viele Grüße olc

Hi bobbele, wo ist die Gruppenrichtlinie verlinkt, die die Einstellungen enthält? Sie muß oberhalb der Benutzer angelegt / verlinkt sein, die die Laufwerke gemappt bekommen sollen. Testweise würde ich als Aktion anstatt des "Erstellens" einmal "Aktualisieren" versuchen. Zieh doch einmal einen GPMC Group Policy Results Report - wird die Gruppenrichtlinie mit den GPP Einstellungen als angewendete GPO für die Benutzer angezeigt? Viele Grüße olc

Hi, diese Probleme sollten Dir einmal mehr zeigen, daß man nicht "einfach so" mal solche Änderungen durchführen sollte. :wink2: Du kannst das Dienstkonto aber im Normalfall wieder über die services.msc zurück setzen. Nur dann kommt es ja wieder zu dem von Dir eingangs beschriebenen Effekt. Auf die anderen Fragen bist Du noch immer die Antwort schuldig. Viele Grüße olc

Hi Basti, weil - wie oben erwähnt - in den Support Tools für 2003 nur x86 Versionen vorliegen, wenn ich mich nicht irre. Da sich die Support Tools jedoch in den %PATH% an erster Stelle intragen, wertet die CMD auch das Support Tools Verzeichnis zuerst aus und nimmt die 32-Bit Version. Andere Komponenten können sich da anders verhalten - der Explorer etwa schaut meines Wissens erst in "%systemroot%\system32" nach. Du könntest also ggf. versuchen, den Pfad der Support Tools im %PATH% nach hinten zu verschieben, etwa an die letzte Stelle. Dann sollte es klappen. Viele Grüße olc

Hi Daniel, such einmal in den drei Domänen nach einem Computerkonto mit dem Namen der anderen Domänen. Zum Beispiel mit dsquery: dsquery computer -samid domain1* dsquery computer -samid dom* dsquery computer -samid domain3* Ich würde vermuten, daß Du in einer der Domänen fündig wirst und ein Computerkonto mit dem Namen einer der anderen Domänen existiert. Dieses Computerkonto müßtest Du dann (natürlich erst nach einer Prüfung, was sich dahinter verbirgt) ggf. umbenennen. Viele Grüße olc

Hi Rolf, zieh doch von so einem problematischen Benutzeranmeldungsvorgang ein UserEnv Debug Log: How to enable user environment debug logging in retail builds of Windows Der betroffene Client läuft auf Windows XP? In dem Log sollte man sehen, wo es hängt. Falls Du es hier (über einen externen Anbieter) hosten möchtest, denke bitte vorher an das Thema "Datenschutz" - in dem Log sind so einige Informationen drin, die man vielleicht nicht weltweit verteilen möchte. ;) Viele Grüße olc

Hi muriati, um einen ersten Ansatz zu haben, poste doch bitte einmal die Ausgabe von ipconfig /all 1x vom PDC-Emulator der Domäne (müßte ein 2003er sein nach Deinen Angaben) und 1x von Deinem neuen 2008er DC. Hast Du mehrere Netzwerkkarten in den DCs oder dem neuen DC verbaut und aktiv? Viele Grüße olc

Hi Björn, ja, das ist korrekt. Was genau ist Deine Frage? :wink2: Viele Grüße olc

Hi, einmal abgesehen vom Hinweis mit dem SMB-Signing - 2 Dinge: 1. Das Problem kann durchaus mit Deinen anderen Problemen zusammen hängen. Von daher würde ich erst einmal den einen Fehler aus dem Weg räumen und dann den anderen. Denn wenn ich richtig liege, fingen die Probleme zur selben Zeit an, korrekt? https://www.mcseboard.de/windows-forum-ms-backoffice-31/networkservice-155318.html Da könnte es natürlich einen Zusammenhang geben... :wink2: 2. Die Berechtigungen im SYSVOL sollte man nach Möglichkeit nicht direkt setzen, sondern "indirekt" über die Group Policy Objekte im AD "spiegeln". Installiere Dir also die GPMC (falls das derzeit noch nicht der Fall ist, den Download findest Du hier: http://www.microsoft.com/downloads/details.aspx?familyid=F39E9D60-7E41-4947-82F5-3330F37ADFEB&displaylang=de ) und klicke die betroffenen GPOs an. Du erhältst dann eine Meldung, ob die Berechtigungen wieder gerade gezogen werden sollen - das bestätigst Du mit "Ja". Aber wie schon gesagt, Du solltest das vielleicht auch im Zusammenhang mit Deinen anderen Problemen sehen. Sonst sucht man hier in diesem Thread vielleicht "umsonst" nach der Fehlerursache... Viele Grüße olc

Hi Oliver, danke für Deine Rückmeldung. Denke daran, daß alle Deine derzeit ausgestellten Zertifikate mit der Neuerstellung der CA Zertifikate bzw. Datenbank ablaufen werden bzw. nicht mehr nutzbar sein werden (spätestens nach Ablauf der CRL). Daher sollte die Neuinstallation gut überlegt sein. Viele Grüße olc

Hi, wie ich oben schon sagte, schau Dir einmal die angewendeten Gruppenrichtlinien an - unter Umständen wurden hier in diversen Diensteinstellungen etc. anstatt von SIDs direkt die Gruppennamen eingetragen. Das würde das Verhalten erklären. Den Link zum MSDTC-Problem habe ich nicht umsonst gepostet ;) - denn den Dienst einfach mit SYSTEM-Rechten laufen zu lassen, ist ein massives Sicherheitsrisiko. Die Gruppen / Konten haben unterschiedliche Berechtigungen im System, insbesondere der "Network Service" ist in vielerlei Hinsicht stark eingeschränkt - ganz im Gegensatz zu "Local System". Viele Grüße olc

Muahaha, das ist doch mal einen Lacher wert. Danke für den Link, das hat mir den Tag gerettet. :D Viele Grüße olc

Hi, die netdiag.exe Versionen aus den Support Tools sind meines Wissens alle 32-Bit Versionen. Das würde erklären, warum die Fehlermeldung immer von diesen Versionen geliefert wird. Schau doch einmal in die Dateieigenschaften, dort sollte die Plattform (x64 oder x86) zu finden sein. Also nimm lieber die auf CD mitgelieferte Version, die scheint ja korrekt zu laufen. ;) Viele Grüße olc

Hi, cooler Artikel, insbesondere in Bezug auf die SDPROP und dsHeuristics Aspekte. :) Aber es hauen auch ein, zwei Dinge nicht ganz hin - beispielsweise wird der adminCount=1 meines Wissens nicht zurück gesetzt, wenn ein Benutzer nicht mehr Mitglied einer geschützten Gruppe ist. Aber das kann man verschmerzen, wenn man den gesamtkontext des Artikels betrachtet. :) Viele Grüße olc

Hi Mike, leg den Ordner "_msdcs" von Hand noch einmal an, starte danach den DNS und den NETLOGON Dienst einmal neu. Das sollte im Normalfall ausreichend sein. Warte nach den Dienstneustarts ruhig vier, fünf Minuten - es kann einen Moment dauern, bis die Daten korrekt "aufgebaut" sind. Viele Grüße olc

Hi Oliver, schneide doch einmal die Aktionen mit dem ProcMon mit und filtere nach fehlschlagenden Aktionen. Vielleicht wird man daraus schlauer. In beiden Fällen sind es 32-Bit Systeme? Viele Grüße olc

Hi chucki, vielen Dank für Deine Rückmeldung. Freut mich, daß es geklappt hat. :) Bezüglich der Computer-Objekte: Ich habe es nicht getestet, aber Du könntest versuchen, ein "is not" für Computer einzubauen und User + Computer logisch zusammenzufassen: <object-filter>(|[b][color="Red"](&(objectClass=User)(!objectClass=computer))[/color][/b](objectClass=group)(objectClass=msExchDynamicDistributionList)(objectClass=publicFolder))</object-filter> Viele Grüße olc

Hi, die MSDTC Fehler scheinen eine Folge der Dienstprobleme zu sein, siehe dazu auch The Microsoft Distributed Transaction Coordinator service must run under the NT AUTHORITY\NetworkService Windows account in Windows Server 2003 and in Windows XP . Habt Ihr deutsche oder englische Systeme im Einsatz? Wenn Du den Account in den Diensteinstellungen über "Browse" suchst, wird dann "NETZWERKDIENST" oder "NETWORKSERVICE" angezeigt? Ggf. ist schlichtweg die Lokalisierung falsch, weil etwa Gruppenrichtlinieneinstellungen / Security Options falsch angewendet wurden. Wurde in der Umgebung in letzter Zeit etwas verändert, so z.B. Security Policies? Wirf dazu einmal einen Blick in einem GPMC Group Policy Results Report für einen betroffenen Server. Viele Grüße olc