olc

Hi, Lösch einmal das GPP History Verzeichnis :The caveats of using Group Policy Preferences on Terminal Servers - AD Troubleshooting - Site Home - TechNet Blogs P. S. : GPOs auf einem DC zu "testen" ist wirklich suboptimal... ;) Viele Grüße olc

Hi, Welche Einstellungen bzw. welche CSEs werden denn aktuell für den Benutzer angewendet? Ab Vista sollte auch im Ereignisprotokoll (Group Policy) stehen, welche CSE die Neuanmeldung notwendig werden lässt, wenn ich mich recht entsinne. Viele Grüße olc

Hi, das "/force" kann in einigen Situationen zur Abmeldung oder zum Neustart des Rechners auffordern bzw. danach fragen. Hintergrund: Bestimmte CSEs werden nur synchron verarbeitet - und um in diesen synchronen Modus zu kommen, muß eine Anmeldung bzw. bei Computereinstellungen ein Neustart her. Das "/force" erzwingt ein erneutes Anwenden von diesen Einstellungen und weist dann darauf hin, daß die Einstellungen erst nach der Anmeldung / dem Neustart gezogen werden können. Haben Benutzer also eine oder mehrere dieser CSEs aktiviert (Beispiel "Folder Redirection") oder sind für Computer (Gott bewahre ;) ) Softwareverteilungen per GPO aktiv, kann es zu der Meldung in der CMD kommen. GPP Netzlaufwerke zählen meines Wissens auch dazu, bei den Druckern bin ich mir nicht sicher. Viele Grüße olc

Hi Daniel, mit TCP Chimney deaktivieren meinst Du alle drei Werte, korrekt? EnableTCPChimney EnableTCPA EnableRSS Was sagt der folgende Wert? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters --> DisableTaskOffload. Enthält er den Wert "1"? Beide Maschinen nach den TCP-Änderungen neu gestartet? Im Regelfall ist das übrigens eher nur für 2003 relevant, unter 2008 läuft das Offloading stabiler. Du hattest bei den Tests ganz oben Avira wirklich auf beiden Systemen testweise deinstalliert, korrekt? Nicht nur deaktiviert? Ist auf den Systemen irgend eine Art von NIC-Teaming aktiv? Ggf. könntest Du noch einen Netzwerktrace mitlaufen lassen um zu prüfen, von welchem System ggf. TCP Resets kommen oder ob es wirklich einfach "Verbindungsabbrüche" sind. P.S.: Nimm einmal die firmen-spezifischen Daten aus den Exports oben raus. :) Viele Grüße olc

Hi, schau einmal hier hinein: Changes in Kerberos Authentication Es werden schlichtweg die falschen eTypes vom Client angefordert / vom DC angeboten. Woher weißt Du, daß DES nicht genutzt wird? http://blogs.technet.com/b/instan/archive/2009/10/12/changes-in-default-encryption-type-for-kerberos-pre-authentication-on-vista-and-windows-7-clients-cause-security-audit-events-675-and-680-on-windows-server-2003-dc-s.aspx http://support.microsoft.com/default.aspx?scid=kb;EN-US;961302 Viele Grüße olc

Hi, die Anwendungsreihenfolge der Gruppenrichtlinien ist vermutlich falsch herum. Da in der Default Domain Policy vermutlich andere Einstellungen definiert sind, überschreibt diese die Kontensperrungs-GPO: Du müßtest also die Priorität der "Kontosperrung" GPO hochsetzen. Ansonsten noch der Hinweis, daß für Domänenkonten irrelevant ist, ob die Richtlinie auf den Mitglieds-Computern angewendet wurde. Sie muß auf den Domain Controllern angewendet werden, denn dort werden die Account geprüft / gesperrt usw. P.S.: Ein besseres Namenskonzept für die GPOs (z.B. mit Versionsnummer, Hinweis ob Computer oder Benutzereinstellungen usw.) ist auch meist langfristig sinnvoll. ;) Viele Grüße olc

Hi, Würde ich nicht machen. 1. ist USB 3.0 notwendig/sinnvoll und außerdem werden die Sticks sehr heiß im Dauerbetrieb, was einen Stick mit ausreichend passiver Kühlung (großer ableitender Korpus) sinnvoll werden läßt. Ich habe den hier, und damit funktioniert es sehr gut und zügig: http://www.amazon.de/Kingston-DataTraveler-Ultimate-32GB-USB-Stick/dp/B005039I32/ref=sr_1_3?ie=UTF8&qid=1349017355&sr=8-3 Viele Grüße olc

Gut, vielen Dank für Deine Rückmeldung. :) Viele Grüße olc

Hallo Beetlejuice, Du hast mit dem Bearbeiten des Eintrags einen statischen Eintrag aus einem dynamischen Eintrag gemacht. Der NETLOGON Dienst des 2003er DCs hat dann nach einiger Zeit seinen SRV Eintrag erneut geschrieben und es kam zu der Konstellation. Warum möchtest Du dem DC eine geringere Priorität geben? Wenn Du ihn ausphasen möchtest, verschiebe ihn einfach in eine eigene Site. Ggf. kannst Du ihn zusätzlich "verstecken", siehe dazu: How to optimize the location of a domain controller or global catalog that resides outside of a client's site . Wenn Du dennoch beim Ändern der Priorität bleiben möchtest, muß die Änderung nicht direkt auf dem DNS Eintrag erfolgen, sondern über den NETLOGON Dienst: Change the priority for DNS SRV records in the registry: Active Directory Zusätzlich die Gewichtung: Change the weight for DNS SRV records in the registry: Active Directory . Viele Grüße olc

Und warum machst Du das nicht einfach anstatt hier nur zu meckern? ;) Beim Tablet klar mit Fingern, klassisch mit Maus mittels STRG + Mausrad. Ein wenig **** ist, daß man mit der Maus nach dem zoomen nur mit den Balken nach links und rechts schieben kann. Per Kontext unten (mit der Maus rechts-klick) hast Du noch weitere Optionen und kannst z.B. TechNet Beschreibungen öffnen. Viele Grüße olc

Ja. ;) Was genau ist Deine Frage?

Hi, das Problem kann auch nach Log-Lage aus meiner Sicht aus vielerlei Gründen auftreten. Mir scheint, daß bis zum aktuellen Status eine Menge Aktionen erfolgt sind, die das Fehlerbild verwässern können. Kurz Rückmeldung zu Deinen Anmerkungen: a) RDC zu deaktivieren ist nicht sinnvoll. b) die AD-Replikation reicht leider nicht aus - der DFSR Dienst muß die Änderungen auch erst aus der AD abrufen. Das erfolgt standardmäßig jede Stunde 1x. Beschleunigen kannst Du das mittels "dfsrdiag pollad" auf den Zielmaschinen. c) Du schriebst, daß Du alle möglichen Hotfixes schon installiert hast - welche genau? d) Wie ist der Status von SNP auf dem 2003er Server? Sind die SNP Features deaktiviert oder alternativ auf dem neuesten Stand? A Scalable Networking Pack (SNP) hotfix rollup package is available for Windows Server 2003 e) Kannst Du ggf. das Quota einmal auf 20 GB hochdrehen und die Replikationsgruppe neu einrichten? Datensicherung nicht vergessen und richtigen Primary Member wählen. ;) f) Dabei bitte keine Bandbreiteneinschränkung konfigurieren wie oben beschrieben, das macht es nicht besser. g) Nach der Einrichtung der Replication Group das System einmal 24h "in Ruhe" lassen - keine Änderungen an der Konfiguration, kein Neustart der DFSR Dienste usw. BTW: Hardware oder virtuelle Maschinen? Viele Grüße olc

Server Posterpedia-App für Windows in der Windows Store-Vorschau

Hi, Ja, wurde ja auch vom TO angegeben :) ... : Neben den Hinweisen von LarryLaffler: Wie lange wartest Du nach Anpassung der Struktur oder DFSR-Dienst Neustart? Wie viele Systeme sind Teil der Replikationsgruppe? Wie stabil sind die WAN-Leitungen? Sind Anpassungen unterhalb von HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters auf den Systemen durchgeführt worden? Werden "WAN-Optimierer" (etwa von Riverbed) auf den Strecken eingesetzt? Viele Grüße olc

Hi, in einer der letzten c't war ein Bauvorschlag für ein solches NAS mit wenig Stromverbrauch, leise und auch nicht sooo teuer. Dazu wie schon angesprochen FreeNAS o.ä. klingt - finde ich - sehr gut. :) Viele Grüße olc

Hi, scheint so, als ob eine andere API genutzt wird, als diesjenige, die Du für "SELF" verwendet wird. Daher benötigst Du höhere Rechte. Schau Dir einmal PsPasswd an - klappt es damit vielleicht? Es gibt im Netz auch einige VBScripts dazu - ich bin mir jedoch nicht sicher, welche Schnittstelle diese benutzen. Viele Grüße olc

Hi, ok, ich habe es gerade auch noch einmal getestet - geht nicht. Als Admin oder mit delegierten Berechtigungen in der Remote Domäne klappt es, also fehlt vermutlich irgend ein Privileg beim Setzen des Kennworts. Wie sieht es hiermit aus? How to Change a User's Active Directory Password with PowerShell - Hey, Scripting Guy! Blog - Site Home - TechNet Blogs Viele Grüße olc

dsquery user -? ;)

Hi Chakoe, dann nimm dsquery / dsmod - mit den Parametern "-s" und "-d" kannst Du einen DC der anderen Domäne bzw. die remote Domäne selbst angeben und somit den remote Benutzer ändern. Du legst Dir die verschiedenen Kommandozeilen in eine Batchdatei und rufst sie bei Bedarf auf. Change a domain account’s password from the command line « ITnsomnia Viele Grüße olc

Genau, es geht um alle Cloud Anbieter und weniger um die Frage, wo die Daten liegen. Das ist nur ein Teilaspekt. Dieses Blendfeuer haben die Kollegen der Telekom und Konsorten geschickt mit ihren Lobbyverbänden gestreut, um sich gegen ausländische Konkurrenten zu positionieren. (Was natürlich nicht heißt, daß es sinnvoll ist, die Daten etwa in den USA oder China zu hosten - schon merkwürdig, die beiden Länder in einem Satz zu nennen ;)...). Und Du denkst, daß "Deine" Cloud in allen Aspekten "sicherer" ist als die der Anbieter? ;) Meine Erfahrung ist da eine andere. Privat als auch beruflich. Bei dem Thema gibt es verschiedene Ebenen - technische Angriffsmöglichkeiten, Möglichkeiten des staatlichen Zugriffs, Fragestellungen der Datenweitergabe usw. - und auch wenn Deine Daten vielleicht "rechtssicher" bei Dir liegen (was ja so auch nicht stimmt, spätestens wenn das BKA zum Festplatte-kopieren bei Dir vor der Tür steht ;)), sind sie unter Umständen doch "weniger sicher" in Bezug auf andere Aspekte. Was ich damit sagen will: Es hat Sinn alle Aspekte zu beleuchten oder sich ganz konkret auf einen Bereich zu konzentrieren. Alles andere wirft vieles durcheinander und verwässert die Diskussion. Aber gut, das ist alles etwas off topic. Also zurück zum Thema: Es ist vorbei, bye, bye TMG. :) Viele Grüße olc

Hi, möchtest Du es in jedem Fall mit PowerShell erldigen? Geht auch, aber mit "net user" und einer Batch-Datei mit dem Aufruf für alle Domänen bist Du ggf. schneller. net user /? Viele Grüße olc

Hi Daniel, welchen Virenscanner setzt Du ein? Supported dieser DFSR laut Hersteller explizit? Testweises deinstallieren (!) des Scanners auf beiden Seiten möglich? Viele Grüße olc

Hallo Oliver, willkommen, :) folgendes geht ohne "Lösch-Rechte": faq-o-matic.net » ice:2010 AD-Delegation – die Folien und Skripts Um jedoch ein Objekt in eine andere OU zu verschieben, muß es aus der Quell-OU gelöscht werden. Viele Grüße olc

Ach komm schon, als ob es hier mit dem "Rechtsstaat" besser bestellt wäre. Egal wo die Daten liegen, "Staaten" werden immer ran kommen, wenn sie es denn begründen können. Mit welchen Argumenten auch immer. Auch die Telekom wird sich nicht dagegen wehren können, wenn der Verfassungsschutz anklopft und "Deine" Daten aus der "Telekom Cloud" kopieren möchte. Aber bevor die da dran sind, haben geschätzte 3 Millionen Privatunternehmen eh schon auf die Daten direkt oder indirekt zugegriffen. Ich finde beides nicht schön. Viele Grüße olc

Hi, wenn ich schlecht gelaunt wäre würde ich sagen, es ist kein Problem der PKI, sondern ein Problem mangelhafter Anforderungsdefinition bei der Evaluierung der PKI Deinerseits. ;) Insgesamt hat die MS PKI einen anderen Funktionsumfang und einen anderen Fokus als einige andere Implementierungen (Open Source oder andere Hersteller) - Du mußt also vorher genau schauen, was Du mit welcher Lösung erreichen kannst. Viele Grüße olc