olc

Hi, neben dem von Frank vorgeschlagenen Batch Script läßt sich das Vorhaben auch problemlos mit WMI-Abfragen lösen. Welche Scriptsprache soll denn verwendet werden? Viele Grüße olc

Hi, wie Norbert schon sagte - sprachtechnisch sollte das kein Problem darstellen. Wenn Du den Ordner "%windir%\system32\GroupPolicy" vom Referenzsystem auf die anderen Systeme kopierst, sollte das also klappen. Unter W2k8 ist noch ein zweiter Ordner dazu gekommen, aber aus dem Betreff dieses Threads sieht es ausschließlich nach W2k3 bei Dir aus. :) Viele Grüße olc

Hi, was hast Du auf dem System für Software installiert? Beispielsweise Virenscanner o.ä. Filtertreiber können solche Probleme in ungünstigen Konstellationen schnell nach sich ziehen. Viele Grüße olc

Hi, die bevorzugte Variante wäre kein direktes Dial-In, sondern ein Site-to-Site VPN, bei dem dann der Server keine neue IP-Adresse bekommt. Ein DC mit Dial-In Netzwerkverbindung würde ich wie gesagt nicht einsetzen. Viele Grüße olc

Nein, wie Stephan schon sagte: Kein Problem, solange der NetBIOS Name und DNS Name gleich bleibt. :) Viele Grüße olc

Hallo schwarze Frau, ;) schau einmal in diesen KB-Artikel, er zeigt mögliche Schritte, das Problem zu beheben: How to recover from a corrupted registry that prevents Windows XP from starting Unter Umständen bist Du aber mit einer Neuinstallation schneller. ;) Viele Grüße olc

Hi, ich vermute, daß der Mac schlichtweg kein Kerberos oder NTLM mit der Webseite "sprechen kann" - versuch doch einmal die "Basic Authentication" auf dem IIS für diese Webseite zu aktivieren, vielleicht hast Du damit Glück. Viele Grüße olc

Hi, ich hoffe, daß ich den Aufbau richtig verstehe - warum vergibst Du beim Dial-In überhaupt eine eigene IP-Adresse? Wenn Du anstatt der neuen IP-Adresse nur einen Route mitgeben würdest, könnte die normale IP-Adresse des DCs genutzt werden. Der ganze Aufbau scheint mir insbesondere für DCs ein wenig abenteuerlich zu sein... ;) Viele Grüße olc

Hi, es gibt dazu Whitepaper und Übersichten im "Überfluß" - hast Du einmal die Suchmaschine Deiner Wahl bemüht? ;) Beispielsweise: Active Directory Certificate Services Step-by-Step Guide Download details: Windows Server 2008 Step-by-Step Guides Windows PKI blog : New whitepapers about Windows Server 2008 Certificate Services Viele Grüße olc

Hi sparky, der Fehler 1722 bedeutet: C:\>err 1722 # for decimal 1722 / hex 0x6ba : [color="Red"]ecLockTimedOut[/color] ec.h [color="Red"]RPC_S_SERVER_UNAVAILABLE[/color] winerror.h # The RPC server is unavailable. # 2 matches found for "1722" Also entweder die Dateien sind gerade durch einen Zugriff gesperrt oder die Verbindung zum Server bricht ab. Ist der Server "s1" ein Windows Server 2003 oder Windows Server 2008? Viele Grüße olc

Hi, kannst Du denn auf "\\w2k8-Domänenname\Stammname\" zugreifen? Wenn nicht sind die Berechtigungen auf dem Namespace wie schon beschrieben nicht korrekt. Viele Grüße olc

Hi, Du definierst am besten 2 DNS Server für die Aufräumvorgänge, so daß Du eine Ausfallsicherheit hast. Die DNS Server sollten dann bestenfalls in derselben Site stehen, damit die AD-Replikation auf beiden Systemen bzw. für beide Systeme bestenfalls nur kurze Latenzen hat, so daß es zu keinen "Löschkonflikten" kommt. Welche DNS Server Du konkret auswählen kannst, hängt von Deiner Umgebung ab. Vielleicht gibt es ja zwei DNS Server in der Datacenter Site, die nicht extrem ausgelastet sind und bezüglich der Replikationstopologie der DCs nicht weit voneinander entfernt sind - das sind dann gute Kandidaten. Mittels DNSCMD kannst Du dann auch direkt auf der Zone / dem AD Naming Context (etwa ForestDNSZone oder DomainDNSZone) festlegen, welche Server die Aufräumvorgänge durchführen dürfen - damit kann es dann zu keinen Problemen kommen, wenn irgendwelche DNS Server im Moment oder in der Zukunft aus Versehen mit der Aufräumfunktion konfiguriert wurden. Das ist dann kein Problem mehr. Viele Grüße olc

Hi, wo genau hast Du das CA Zertifikat installiert? Du mußt es im Speicher der Root-Zertifikate bzw. Intermediate-Zertifikate speichern, sonst kann die Korrektheit des ausgestellten Zertifikats nicht sicher gestellt werden. Also importiere noch das CA Zertifikat (bitte OHNE privaten Schlüssel) auf dem Client in die "Vertrauenswürdigen Stammzertifizierungsstellen", dann sollte es klappen. :) Das Thema "PKI" ist nun einmal kein Thema, was man so "nebenbei" betreuen kann oder sollte. ;) Viele Grüße olc

Hi, da die Zertifizierungsstelle nicht AD-integriert ist, also eine Enterprise CA, findet certmgr.msc keine Vorlagen. Versuche es einmal mit einem manuellen Request in einer Datei, den Du mit dem certmgr.msc erstellen kannst. Diesen übergibst Du dann an die CA und stellst das Zertifikat aus. Alternativ kannst Du auch das Webenrollment der CA nutzen - hier müssen die Vorlagen bei korrekten Berechtigungen / ACLs definitiv angezeigt werden. Ansonsten kannst Du meines Wissens die Berechtigungen der V1 Vorlagen durchaus bearbeiten - dazu mußt Du jedoch die CA selbst bemühen (in den Templates). Ich arbeite recht selten mit Standard CAs, daher weiß ich es nicht aus dem Kopf. :) Viele Grüße olc

Hi Canni, sorry - ich meine es nicht böse, aber wir drehen uns im Kreis. ;) a) Deine Antwort auf meinen Hinweis bezüglich der Benutzerzahlen war, daß das Problem auch auftritt, wenn nur wenige Benutzer angemeldet sind. Meine erste Vermutung ging ja konkret in die Richtung "Benutzerzahlen"... b) Ein Memory Leak kann durch die von Dir installierte Überwachungssoftware auftreten, siehe Memory leak - Wikipedia, the free encyclopedia . Damit ist kein Plattenproblem gemeint, sondern ein Speicher / RAM Problem. c) Wir haben Dir einige Hinweise gegeben, was Du prüfen kannst (etwa testweises Abschalten des RSOP, Deinstallation des Überwachungsclients, Perfmon, Reduzierung der Abtastrate). Ich denke, damit solltest Du erst einmal weiterkommen oder? ;) Viele Grüße olc

Hi, genauso ist es. Siehe auch "P.S." unter https://www.mcseboard.de/post4-951062.html . Viele Grüße olc

Hi, das im KB-Artikel beschriebene Vorgehen stellt lediglich den SYSVOL-Teil wieder her - das AD-Objekt bleibt davon unberührt. Mir ist also nicht ganz klar, wie Du mit der Wiederherstellung des SYSVOL-Teils die Berechtigung wiederhergestellt haben möchtest. ;) Ich vermute eher, daß die LDP Aktionen erfolgreich waren, Du nur vergessen hast die GPMC zu aktualisieren (Taste F5) oder wie oben empfohlen neu zu starten. Viele Grüße olc

Hi, eine Standard Edition Installation bringt bis Windows Server 2008 einige Vorlagen mit, nur kannst Du diese nicht großartig bearbeiten. Ab dem 2008 R2 ist das meines Wissens aufgelöst worden, d.h. auch 2008 R2 Standard CAs kennen dann V2 und V3 Templates. Jedoch sind angepaßte Templates nur in CA Enterprise Installationen (also "AD integriert") nutzbar, von daher ist das in Deiner Konstellation nicht relevant. Du solltest also normalerweise die vordefinierten Templates sehen können - jedoch nicht im Templates Ordner, sondern im certmgr.msc für den Computer. Du hast offensichtlich direkt auf der CA im CA SnapIn nachgeschaut, nicht auf dem Client SnapIn. Viele Grüße olc

Hi carnivore, nein, ich bin mir in diesem Fall sehr sicher, daß es Variante a) ist. Das Verhalten hat sich von XP zu Vista nicht verändert. Das heißt, daß die CRL / Delta CRL im Cache auf dem Client erst erneuert wird, wenn der Termin fällig ist. Der einzige Unterscheid zwischen XP und Vista ist, daß man unter Vista erstmalig (voll supported) den Cache löschen kann. Der Befehl dafür lautet: certutil -URLcache CRL Das war unter XP nicht offiziell supported, obwohl es da auch "Möglichkeiten" gab, von denen man jedoch besser die Finger läßt. ;) Wenn der Consultant da kein Einsehen hat, dann könnt Ihr das ganze ja recht schnell nachstellen. Ich denke, dann ist die Diskussion sehr schnell beendet. :D Viele Grüße olc

Hi, Du mußt in der Anzeige des Security Descriptors einfach den ACE (Access Control Entry) der Authentifizierten Benutzer mit dem "Deny" wieder entfernen. Also a) den Eintrag markieren und b) dann auf "Delete ACE" klicken. Danach bestätigst Du die Änderung in LDP und startest am besten die GPMC neu. Vom Prinzip her hast Du hier noch einmal eine kurze Anleitung dazu: Error message if you try to enable the telephony server on a domain controller that is running Windows Server 2008: "No call appearance available" Du mußt natürlich die korrekte GPO bearbeiten und die Authentifizierten Benutzer, nicht die im KB-Artikel genannten Einstellungen. Es sollte nur als Beispiel für das genaue Vorgehen herhalten. ;) Viele Grüße olc

Hi Christian und willkommen an Board, :) soweit ich weiß sind die Datenbanken kompatibel in 32-Bit und x64. Ich bin mir jedoch nicht sicher, ob Du direkt von 2003 auf 2008 R2 gehen kannst - ich denke schon, jedoch habe ich es bisher noch nicht getestet. Sichere die 2003er CA doch einmal nach dem bekannten KB-Artikel und stelle die Sicherung testweise auf einem x64 2008 R2 in einer Testumgebung wieder her. Dann siehst Du, ob die CA wieder los läuft. ;) Viele Grüße olc

Hi, mal abgesehen davon, daß Du meine Fragen oben nicht beantwortet hast ;), sollte im "Replace Mode" die Benutzer Policy komplett ersetzt werden, in Deinem beschriebenen Szenario also durch "leere" Einstellungen. Beim "Merge Mode" wäre in Deiner Beschreibung das Benutzer Setting auf Benutzer OU GPO Basis weiterhin aktiv. Aber wie oben angesprochen: Wenn es sich um Computer Einstellungen handelt, ist diese Diskussion nicht fruchtbar. Sag uns erst noch einmal konkret, was genau Du konfiguriert hast. Viele Grüße olc

Hi, ist vielleicht auch nicht die perfekte Lösung, aber wenn Du den Aufruf (oder das gesamte Script) als PowerShell Script implementierst, könnte Dir die Funktion ConvertTo-SecureString weiterhelfen. Viele Grüße olc

Hi, im Normalfall erneuert der Client die gecachte CRL nur, wenn die Lebensdauer abgelaufen ist. Also Variante a). :) Aus diesem Grund ist es auch so wichtig die Veröffentlichungsintervalle von CRL und Delta CRL gut zu planen, bevor es in die CA / PKI Implementierung geht. Viele Grüße olc

Hi, Du hast ja nun schon zwei Hinweise dazu erhalten ;) : 1. "Abtastrate" verringern 2. Auf Memory Leak prüfen Beides sollte Dich weiterbringen. :) Viele Grüße olc