olc

Hi, Du kannst mit einem Snapshot nur sehr eingeschränkt Daten / Objekte zurücksichern. Große Bereiche werden von einem Export von Snapshot Daten und dem Re-Import in die produktive AD-Umgebung nicht abgedeckt. Von daher ist Nils' Hinweis definitiv korrekt. In beiden Teilen, nicht nur einem wie Du schreibst... ;) Viele Grüße olc

Hi, ist die Einstellung eine "Computer Configuration" oder "User Configuration"? Gib bitte einmal den kompletten "Pfad" zur Gruppenrichtlinie. Wenn es eine Computerkonfiguration ist, dann brauchst Du keine Loopback verarbeitung - dann konfigurierst Du einfach die Einstellung auf der Schulungsrechner OU in einer eigenen GPO. Oder ist die Domänen Policy (Standard Settings) "erzwungen / enforced"? Viele Grüße olc

Hi, ja, es macht einen Unterschied, ob Du die GPMC oder ein reines LDAP Interface benutzt. Es werden einfach gesagt andere Schnittstellen angesprochen. Wenn es mit LDP nicht geklappt hat, dann würde ich erst einmal vermuten, daß Du etwas nicht ganz korrekt durchgeführt hast ;) - denn dieses Vorgehen funktioniert im Normalfall (mußte es leider ab und an schon durchführen). Beschreibe doch noch einmal genau die Schritte, die Du mit LDP durchgeführt hast. Viele Grüße olc

Hi, unter Umständen sorgt der PRTG mit den vielen Anfragen erst für die Probleme...? Viele Grüße olc

Hi, einmal abgesehen davon, daß der Weg des "Klonens" der Systeme mit gleichen SIDs etc. etwas fragwürdig erscheint ;) (soll heißen: laß die Finger davon), sollte das im Normalfall nicht funktionieren. Um EFS Dateien auf einem Remote-System zu verschlüsseln, muß der Computer Account "Trusted for delegation" sein - und das ist nur in Domänenumgebungen möglich. Ich befürchte also, Du mußt Dich nach Alternativen umschauen, so z.B. nach Verschlüsselungsprodukten von Ultimaco, PGP etc. Viele Grüße olc

Hi, füge in einer MMC testweise einmal die "Zertifikate" für den Computer anstatt für den Benutzer hinzu. Dann solltest Du auch eine "Webserver" / SSL Vorlage über "Eigene Zertifikate" / "Personal" nutzen können. Falls das nicht klappt beschreibe noch einmal den Weg, den Du zur Einrichtung des Templates als auch der Ausstellung des Zertifikats gehst, etwas genauer. :) Viele Grüße olc

Hi, bei welchem Schritt kommt die Fehlermeldung, wie lautet die Fehlermeldung genau? Viele Grüße olc

Hi, Du kannst als Domain Admin / Enterprise Admin mittels LDP den ACL Eintrag für die Authentifizierten Benutzer entfernen. Starte dazu LDP, verbinde Dich mit dem Admin Account auf den Domänen Kontext, navigiere zu dem betroffenen Gruppenrichtlinienobjekt unter "CN={GUID},CN=Policies,CN=System,DC=domain,DC=tld", dann Rechtsklick auf das Objekt, Security Descriptor anzeigen / bearbeiten. Hier kannst Du die ACL bearbeiten - entferne einfach den Eintrag der Authentifizierten Benutzer. ADSIEdit geht in dieser Konstellation nicht, daher müßtest Du LDP benutzen. Viele Grüße olc

Hi, je nachdem, wie viele Benutzer gleichzeitig auf dem System arbeiten (ggf. gleichzeitige Anmeldungen etc.), kann die WMI Datenbank bzw. das WMI-Interface durchaus Probleme bekommen. Schalte doch testweise einmal den RSOP für Benutzer ab - tut sich dann etwas in die positive Richtung, ist die WMI DB vielleicht zu stark unter Last. Ansonsten kannst Du versuchen, mittels Performance Monitor herauszufinden, ob beispielsweise die Platte unter Last steht. Viele Grüße olc

Hi, wie gesagt - Du mußt den Haken korrekt setzen. Anders wird das nichts. ;) Viele Grüße olc

Hi, um was für ein OS handelt es sich bei dem TS? Ab 2008 benötigt das Computerkonto des Systems mit aktiviertem Loopback-Processing auch "READ"-Rechte auf die Policy. P.S.: Du versetzt immer das gesamte System in den Loopback Modus - damit greift die Einstellung für alle Benutzer und alle Policies dieses Systems. Eine Filterung, so daß nur bestimmte Policies per Loopback verarbeitet werden, ist nicht möglich. Alle oder keine (auf diesem System). Viele Grüße olc

Hi, wenn Du die Option auf einem Vista / 2008 RSAT System mit der GPMC (v2.x) anschaust, tritt der Fehler nicht mehr auf. Soweit ich weiß, wurde (und wird) das Problem unter 2003 nicht gefixt. Viele Grüße olc

Hi, schau mal bei Backup Exec, ob Du in den Shadow Components eine Option zur autorisierenden Herstellung findest. Ansonsten einmal auf den Support Seiten von Symante suchen. ;) Viele Grüße olc

Hi, schau Dir einmal UPHClean an und laß es im Logging Modus laufen: UPHClean and other profile ramblings Damit solltest Du vielleicht den Sub-Prozess identifizieren können, der die Datei sperrt. Eine Deaktivierung des AV-Scanners bzw. anderen Filtertreibern ist oft / meist nicht ausreichend, da die Filter auch nach der Dienstdeaktivierung noch aktiv sind. Daher solltest Du testweise falls möglich einmal eine Deinstallation in Erwägung ziehen. Ansonsten gibt es eine ganze Menge KBs zu dem Thema, da verschiedene Komponenten (z.B. IE Maintenance und weitere) Dateien ungewollt sperren können. Vielleicht kannst Du das auch noch einmal gegenprüfen. Zusätzlich kannst Du mit dem ProcMon von Sysinternals im Boot Logging Modus prüfen, ob Du den Prozess eingrenzen kannst (etwa über den Stack des SYSTEM Zugriffs). Viele Grüße olc

Hi, interessant ist doch, daß der Zielname für den Zugriff "MSSQLSvc/debghzaphlp0001.XXXXX.com" lautet, jedoch dieser SPN in Deinem Export nicht autaucht. Ich bin nicht fit in Bezug auf SQL Server, muß der SPN unter Umständen erst registriert werden oder löst der automatisch wie ein paar andere Dienste automatisch auf den HOST-Eintrag auf? Soweit ich mich erinnern kann, benötigt man einen expliziten SPN für den MSSQL. Benutze zusätzlich einmal den im folgenden Blog genannten Export, um zu prüfen, ob doppelte SPNs vergeben wurden: Carlos : Quick way to finding duplicate SPN's Viele Grüße olc

Hi, es kommt bei dem Thema natürlich ein wenig darauf an, wie viel Arbeit investiert werden soll / darf. Du bekommst als Open Source eine ganze Menge ausgewachsener Systeme, die ähnlich wie der SBS viele Funktionen bereitstellen. Die Dienste mußt Du dann jedoch auch pflegen (können) und entsprechend Zeit investieren. Open Source Groupware - Bing Viele Grüße olc

...ergänzend zu den Hinweisen der Kollegen auch noch die Anmerkung, daß WMI-Filter für Gruppenrichtlinien sehr "teuer" sind und den Start- / Logon-Vorgang stark verzögern können. Von daher würde ich auch Nils' Hinweisen folgen, zusätzlich zu dem Fakt, daß Dein geplanter WMI-Weg "von Hinten durch die Brust ins Auge" wäre. Viele Grüße olc

Hi, soweit ich weiß, gab es bei den Größen keine Änderung. Aber da würde ich jetzt auch nicht die Hand ins Feuer legen, obwohl ich eher eine Vergrößerung anstatt einer Verkleinerung erwarten würde, wenn überhaupt etwas geändert werden würde. Mal abgesehen davon: Was sagt denn ein LDIFDE Dump des Objektes "CN=Mail-Ausgang 19994293,CN=Microsoft Exchange System Objects,DC=domain,DC=local"? Ist vielleicht ein Attribut mit extrem vielen Werten gefüllt, binary Werte vorhanden etc.? Was sagt der Security Descriptor des Objektes (also wie groß ist die ACL) bzw. wie oft wird die ACL verändert (dsCorePropagationData)? Insgesamt kann das Objekt auch nur das Opfer einer fehlschlagenden Transaktion sein - unter Umständen zeigt die Fehlermeldung auf das falsche Objekt. Prüfe doch einmal, welche Objekte davor repliziert wurden und wie groß diese sind (Attribute / Attributwerte und Security Descriptor). Viele Grüße olc

Hi, check einmal das DNS, in diesem Fall hier war das unter Umständen die Lösung: https://www.mcseboard.de/windows-forum-allgemein-28/kerberosfehlermeldungen-krb_ap_err_modified-fehler-154251.html Viele Grüße olc

Hi, Ja, das ist eine häufige Ursache bei solchen Problemen (neben doppelten SPNs). Gegen einen entsprechenden Betrag auf meinem Konto biete ich Dir gern auch ein SLA von wenigen Stunden an. :D ;) :p Viele Grüße olc

Hi Murf, freut mich, danke für die Rückmeldung. :) Viele Grüße olc

Hi, wie genau hast Du die SID geändert? SYSPREP oder NewSID ändern nur die lokale SID. Die ist in dem Fall jedoch nicht relevant. Im AD kannst Du die SID ohne neuen Beitritt zur Domäne nicht ändern, ggf. müßtest Du das also noch einmal mit der entsprechenden Maschine nachholen. Sind unter Umständen noch falsche DNS Einträge vorhanden? Viele Grüße olc

Hi, lade Dir einmal das Tool "handle.exe" von Sysinternals / MS herunter und prüfe, welche Prozesse zugreifen. Heiße Kandidaten sind Virenscanner oder Verschlüsselungsprodukte. Viele Grüße olc

Hi, versuch es einmal mit dem folgenden: \\Pfad\psexec \\server c:\windows\system32\dirquota.exe template list | Out-File \\in\eine\datei Bringt nicht PsExec eine eigene Option mit, den Output zu Exportieren (bin mir gerade nicht ganz sicher)? Viele Grüße olc

Hi, hier scheint grundsätzlich etwas nicht hin zu hauen: Der Server "computer_ws18$" fragt nach cifs/computer_ws12.abc-domäne.de und nicht nach dem DC. Überprüfe einmal die in den Events genannten Zielsysteme - unter Umständen gibt es hier doppelte SPNs oder die IP-Adressen hauen nicht hin (bzw. die DNS Einträge sind falsch). Ansonsten sind keine anderen Meldungen im Eventlog der DCs als auch der genannten Server / Workstations zu finden? Viele Grüße olc