olc

Hi, Du mußt auf einem (administrativen) Vista Client mit SP1 die RSAT Tools installieren, dann lassen sich die Einstellungen auch verwalten. Auf einem XP / 2003 System lassen sich ADMX Dateien nicht nutzen und damit auch nicht neue Einstellungen. http://www.microsoft.com/downloads/details.aspx?FamilyID=9ff6e897-23ce-4a36-b7fc-d52065de9960&DisplayLang=en Viele Grüße olc

Hi, im ersten Post hattest Du geschrieben, daß das DNS korrekt läuft. ;) Wenn der Ping auf die Domäne eine Zeitüberschreitung bringt, muß das nicht am DNS liegen, sondern kann ein Netzwerkproblem sein. Daher müßtest Du prüfen, ob die beim Ping zurück gegebene Adresse die korrekte ist (deshalb meine Nachfrage nach dem NSLOOKUP). Viele Grüße olc

Hi, Firewalls hast Du geprüft (auch lokal auf Client und Server)? IPv6 auf Client und Server aktiviert? Was sagt ein NSLOOKUP domain.tld, ausgeführt auf dem Windows 7 Client? Viele Grüße olc

Hi gecl_net, willkommen an Board, :) sind auf den Systemen unter Umständen Firewalls installiert bzw. liegt ggf. eine zusätzliche Firewall dazwischen? Falls ja, deaktiviere diese einmal testweise. Kannst Du auf Domänen Ressourcen (z.B. die SYSVOL-Freigabe eines DCs) vom Windows 7 Notebook zugreifen (nach manueller Eingabe der Benutzerdaten / Credentials)? Viele Grüße olc

Hi, versuch es einmal anstatt "&&" mit "-AND". Alternativ könntest Du auch mit einem "switch" Statement arbeiten, das wäre ebenso sauber. Viele Grüße olc

Willkommen an Board. :) Viele Grüße olc

Hi toasti, ich verstehe die Frage nicht ganz - aber Du löschst ja nicht das gesamte Attribut "PhysicalDeliveryOfficeName" aus dem Schema. Die Referenz ist das Benutzerobjekt ($objUser) und Du entfernst den Wert dieses Attributs für diesen Benutzer. Im AD werden "optionale" Attribute nicht bei jedem Benutzer für das Benutzerobjekt referenziert - erst, wenn ein Attribut für einen Benutzer (in diesem Fall ein Objekt der "user" Klasse) geschrieben wird, wird es auch an das entsprechende AD Objekt gebunden. Solange kein Wert vorhanden ist, gibt es in dem Sinne also auch kein entsprechendes Attribut verlinkt / verbunden mit dem entsprechenden Benutzerobjekt. Viele Grüße olc

Hi Thundergnome, gerne, vielen Dank für die Rückmeldung. :) Viele Grüße olc

Hi, das ist das Problem - da der Haken nicht gesetzt ist (auf dem Server), wird die IP-Adresse des Servers auch nicht im DNS registriert. Alternativ könntest Du den A-Record manuell anlegen - jedoch muß das dann auch in Zukunft manuell gepflegt werden. Viele Grüße olc

Hi towotec, willkommen an Board, :) ist auf der entsprechenden Netzwerkverbindung des Server unter Umständen der Haken bei "Register this connection's addresses in DNS" nicht gesetzt? Siehe dazu auch How to configure TCP/IP to use DNS in Windows XP Viele Grüße olc

Hi Brennerlein, willkommen an Board, Du kannst entweder mittels "secedit" eine angepaßte *inf Datei importieren, in der Du die Berechtigung festlegst oder das alte Tool "NTRights" verwenden (ist bei MS herunterladbar). Alternativ würde ich für den Installationszeitraum das Recht per Gruppenrichtlinie an die Clients verteilen, um es nach dem Installationszeitraum wieder zu entfernen. Das spart eine Menge Arbeit und gibt Dir zumindest grundsätzlich eine "zentrale Kontrolle" der Verteilung. Viele Grüße olc

Hi, ich verstehe Deine Frage nicht 100%ig, aber trotzdem der Versuch zu antworten: Zwei verschiedene Namespaces haben nichts mit Namespaceservern als solches zu tun. Du machst einen Namespace redundant, indem Du diesen wie in dem oben verlinkten HowTo mit einem zweiten Namespace Server ausstattest. Davon vollkommen unabhängig ist die Anforderung, einen zweiten Namespace einzurichten. Denn dieser stellt lediglich einen neuen Zugriffspunkt dar, jedoch bietet er keine Ausfallsicherheit, solange kein zweiter Namespace Server definiert wurde. Wenn Du also Ausfallsicherheit möchtest, d.h. wenn ein Namespace Server ausfällt soll der andere Namespace Server noch verfügbar sein, so daß Zugriffe weiterhin möglich sind, mußt Du wie in der Anleitung beschrieben einen zweiten Namespace Server hinzufügen. Was genau klappt damit nicht? Die Aussage "Nur das klappt bei mir nicht." ist nicht erhellend genug, um ein mögliches Problem einzugrenzen. ;) Viele Grüße olc

Hi, gibt es die Möglichkeit, das Zertifikat inkl. des privaten Schlüssels als *.PFX Datei zu bekommen? Dann kannst Du es beispielsweise bequem über den Wizard importieren. Viele Grüße olc

Hi, das sind offensichtlich Eure Benutzernamen. Du solltest also selbst wissen, wie Du die in "Klartextnamen" umsetzen kannst. ;) Wie genau hast Du die Abfrage denn gestartet - unter Umständen mußt Du nur weitere Attribute wie "CN", "sAMAccountName", "givenName" etc. einblenden, um die gewünschten Daten zu bekommen. Viele Grüße olc

Hi, neben dem Hinweis von lefg auf DHCP noch der Hinweis auf GPOs, in denen man die DNS Einstellungen ebenfalls vorgeben kann. Hier lohnt eventuell auch ein Blick hinein. Viele Grüße olc

Hi eustan1 und wollkommen an Board, :) kann die CA sonst auf andere AD Ressourcen zugreifen oder ist die Maschine unter Umständen "aus der Domäne gefallen"? Welche Berechtigungen sind denn auf "CN=Public Key Services,CN=Services,..." vergeben, soll heißen wie unterscheiden sich die Berechtigungen im Vergleich zu einer Standard-Installation? Event ID 94 ? AD CS Active Directory Domain Services Connection P.S.: Übrigens sind Cross-Postings nicht so gern gesehen, ein Forum reicht meist für eine qualifizierte Antwort. ;) Viele Grüße olc

Hi Konni und willkommen an Board, :) an den Berechtigungen auf dem entsprechenden Template, den Eigenschaften / Einstellungen des Templates hat sich nichts geändert? Ist das Computerkonto der CA in der AD "Trusted for Delegation"? Hat der Enrollment Agent die erforderlichen Berechtigungen bzw. selbst ein gültiges Zertifikat? Viele Grüße olc

Hi Thundergnome, willkommen an Board, :) Du kannst (und mußt) neue Benutzer / E-Mail Signierungs bzw. Verschlüsselungszetifikate ausstellen. Abgelaufene Zertifikate lassen sich nicht verlängern. Das ganze ist auch kein Problem - die alten E-Mails lassen sich weiterhin mit den alten Zertifikaten / privaten Schlüsseln entschlüsseln, solange das Schlüsselmatierial im Benutzerprofil nicht manuell gelöscht wird. Neue E-Mails werden dann mit dem neuen öffentlichen Schlüssel der Benutzer verschlüsselt und können mit dem neuen privaten Schlüssel (oder mit dem alten, je nachdem ob die alten Schlüssel verwendet werden) entschlüsselt werden. Viele Grüße olc

Hallo Mark, optimal, vielen Dank für Deine Rückmeldung. :) Viele Grüße olc

Hi Raphael und willkommen an Board, :) schau Dir einmal die PowerShell mit "Get-Acl" und "Set-Acl" an, vielleicht bringt Dich das weiter. Habe noch nicht getestet, ob die beiden CMDlets auch ADSI Objekte bearbeiten können. Ansonsten kannst Du die SDDL der Quell-OU im Normalfall auch mit DSACLS auslesen und diese dann auch wieder auf eine andere OU anwenden, siehe How to Use Dsacls.exe in Windows Server 2003 and Windows 2000 Viele Grüße olc

Hi, wenn der Domänen Modus Windows Server 2008 von Anfang an eingestellt war, als der zweite 2008er DC promotet wurde, dann wird DFSR verwendet. Das scheint bei Dir der Fall zu sein. Die deutschen Übersetzungen sind wie so oft nicht so prall, von daher nicht verwirren lassen. Wenn Du Dir die englischen Entsprechungen anschaust, wirst Du für den Status "Eliminated" die folgende Meldung bekommen: Ansonsten kannst Du auch einfach in der DFS MMC prüfen, ob dort das SYSVOL angezeigt wird (und ggf. einmal einen Health Report starten). Dann bestätigt das den Status noch einmal für Dich explizit. Viele Grüße olc

Hi, es gibt viele unterschiedliche Szenarien, in denen die Anzahl der möglichen Gruppen variieren kann. Siehe dazu z.B. hier: Users who are members of more than 1,015 groups may fail logon authentication Viele Grüße olc

Hi, Wie ist das gemeint? Wenn keine Netzwerkverbindung zum SYSVOL steht, kann auch das Script nicht ausgeführt werden. Ich mag mich irren, aber mir wäre neu, daß es einen "lokalen Cache" für in GPOs definierte Logonscripts (bereitgestellt im SYSVOL) gibt. Viele Grüße olc

Hi, wie gesagt, check einmal die Ports. Viele Grüße olc

Hi, Du mußt mehr als einen Server als Namespace-Server definieren, dann klappt auch der Zugriff nach dem Abschalten des 1. Servers. Siehe dazu Windows Server How-To Guides: Teil 1 - Verteilung von Namespaces auf verschiedene Server - ServerHowTo.de Viele Grüße olc