olc

Hi, bekommst Du beim Abmelden irgendwelche Fehlermeldungen bzw. ist etwas in den Eventlogs zu finden? Merkwürdig, daß es bei einer Abmeldung nicht funktioniert, wohl aber bei einem Neustart. Gibt es eventuell Meldungen, daß das Profil nicht korrekt entladen werden kann? Melden sich die Benutzer unter Umstönden nicht ab, sondern nutzen die schnelle Benutzerumschaltung (ab Vista)? BTW: Um welche Betriebssysteme handelt es sich? Viele Grüße olc

Hi Ulli, nein, es gibt keine "vorgesehene Möglichkeit" den Abgleich vorzunehmen. Wenn Du ausgewählte Verzeichnisse abgleichen möchtest, kann es auch immer zu "Kollisionen" von Änderungen kommen, insbesondere wenn sich Benutzer gleichzeitig an mehreren PCs anmelden. In jedem Fall müßtest Du es scripten o.ä. - builtin ist meines Wissens nichts dabei, es ist auch m.E. "nicht empfehlenswert". Alternative wäre die Folder Redirection, damit könntest Du bestimmte Ordner für alle Systeme zentral ablegen. Aber das sollte gut überlegt sein, insbesondere der Desktop ist auf einem Netzlaufwerk / einer Umleitung oft sehr träge und kann sich auf die Performance der Client und Server auswirken. Bestimmte Themen wie "PST-Dateien" sind auf Netzlaufwerken oft auch nicht optimal. Viele Grüße olc

Hi, ok, verstehe. Dann ist das jedoch auch kein Problem, die Artikel sind "nur" Verweise auf die MS KB Artikel, d.h. das Ersetzen des "M" durch "KB" führt Dich zu folgendem KB-Artikel: How to delay loading of specific services . :) Viele Grüße olc

Hi, Du kannst ja einfach das SMB Signing wieder umstellen und den RPCLocator Dienst noch einmal beenden. Tritt der Fehler dann wieder auf, dann weißt Du, daß es daran lag. :D Scherz beiseite, Hauptsache es läuft wieder. :) Viele Grüße olc

Hi Daniel, mach Dir keine Gedanken, ich wollte mit meinem Kommentar nicht drauf bestehen, daß es genannt wurde. ;) Ich habe nur manchmal Sorge, daß es "übersehen" wird und man dann länger an einem Problem herum fummelt, welches schon behoben sein könnte. Aber das ist ja in diesem Fall nicht so. Beim DCPROMO wird der RPCLocator von "deaktiviert" auf "automatisch" gestellt, von daher sollte er eigentlich auch gestartet sein. Siehe dazu: Directory Service Configuration . Neben dem SMB Signing könnte also auch das ausschlaggebend gewesen sein. Viele Grüße olc

Hi, neben dem MediaSense habe ich oben doch auch vom SMB Signing und SNP gesprochen :suspect: ...? In jedem Fall macht es sich natürlich immer gut, Schritt für Schritt die Änderungen einzeln durchzugehen, um nicht genau in die Situation zu laufen, die Du jetzt hast: Nicht zu wissen, welche Einstellung das Verhalten geändert hat. Aber gut, im Moment scheint das Problem gelöst zu sein, also gibt es schlimmeres als nicht genau zu wissen, woran es lag. ;) Viele Grüße olc

Hi, nein, die Kommentare direkt auf der verlinkten EventID.net Seite kannst Du einsehen. Dazu benötigst Du keine Mitgliedschaft. Klar - es kann immer Probleme geben, wenn man solche Aktionen durchführt. Daher sollte man immer ein entsprechend valides und rücksicherbares Backup des Systems haben, welches man anfäßt. Viele Grüße olc

Hi, ok, mach das einmal. Wenn MediaSense nicht hilft, dann prüfe die oben genannten SNP Features. Hilft auch das nicht, könnte man noch einmal in Richtung SMB Signing schauen. Du schreibst oben, daß Du "überbleibsel" der NTDS Settings entfernt hast. Was genau meinst Du damit? Wenn der DC korrekt entfernt wurde, dann gibt es kein NTDS Objekt mehr. Falls doch, wäre das DCPROMO nicht korrekt gelaufen. In diesem Fall könnte das auch Probleme bereiten bzw. den Fehler verursachen, Du solltest dann ggf. noch einmal mittels Metadata Cleanup die Reste des alten DCs entfernen, siehe How to remove data in Active Directory after an unsuccessful domain controller demotion . Viele Grüße olc

Hi, Du kannst schlichtweg keine Gruppenrichtlinien abrufen, was gemeinhin ein großes Problem ist (insbesondere auf DCs). ;) Schau einmal in die oben genannten Links, vielleicht löst das schon Deine Probleme. Viele Grüße olc

Hi, der PDCe einer Domäne ist eine sogenannte FSMO Rolle. Es gibt keine PDCs im Sinne von Windows NT mehr. Ein "netdom query fsmo" etwa zeigt Dir, wo die PDCe Rolle derzeit in der jeweiligen Domäne liegt. In Bezug auf den Fehler kann es sehr, sehr viele Fehlerursachen geben. Der Fehler 1054 ist schon fast ein "Sammelbecken" für ganz verschiedene Probleme. Einen ersten Ansatz findest Du vielleicht hier: Cannot connect to domain controller and cannot apply Group Policy with Gigabit Ethernet devices Ansonsten kannst Du auch einmal einen Blick auf die Scalable Network Pack Features werfen und ggf. Deinen Netzwerkkarten Treiber aktualisieren: A Scalable Networking Pack (SNP) hotfix rollup package is available for Windows Server 2003 bzw. ggf. An update to turn off default SNP features is available for Windows Server 2003-based and Small Business Server 2003-based computers . Viele Grüße olc

Hi, neben dem Sperren von Dateien über den Hash könntest Du auch generell den Zugriff auf die CMD per GPO verweigern. Jedoch kommt man dann auch schnell als Admin in Probleme, wenn man "mal schnell" ein Troubleshooting mit Benutzerrechten machen möchte. Die Hash-Wert sind jedoch auch nicht unbedingt "sicher", da unterschiedliche Programmversionen unterschiedliche Hashes haben. Wie schon die Vorredner sagten: Auch ohne net.exe bekommst Du problemlos die Informationen, die Du auch über das Tool bekommen würdest. Gerade wenn die Benutzer offensichtlich genügend Kenntnis zu den Mechanismen von Gruppenrichtlinien und des Programms haben, wird solch eine simple Sperre sie wohl kaum aufhalten. Dafür gibt es genügend andere Möglichkeiten. Auch wenn ich zugeben muß, daß jede Information für einen Angreifer eine wichtige Information ist: Ein Arbeitsgeber, der seinen Mitarbeitern derart mißtraut, hat etwas falsch gemacht oder sollte sich alternativ nach anderen Mitarbeitern umsehen. Viele Grüße olc

Hi, also spontan fällt mir dazu im Moment nichts mehr ein. Ggf. würde ich noch einmal auf dem Registry Key, in dem Du die DCOM GUID gefunden hast, die Berechtigungen gegenprüfen - hat der Administrator darauf Zugriff? Aber im Grunde glaube ich nicht, daß es daran liegt - letztendlich wird ja recht konkret die Startberechtigung moniert. Unter Umständen liegt ja in dem Fakt, daß Du die Komponente nicht findest, genau das Problem. Wenn hier die Registrierung nicht korrekt gelaufen ist, mag es vielleicht auch Probleme geben. Schau dazu einmal hier hinein: How to troubleshoot the "503 service unavailable" error message in Outlook Web Access 2000. Unter Umständen mußt die ja eine der folgenden DLLs neu registrieren: * C:\Program Files\Common Files\System\Ole DB\oledb32.dll * C:\Program Files\Common Files\System\Ole DB\Oledb32r.dll * C:\Program Files\Common Files\System\Ole DB\Msdaipp.dll * C:\Program Files\Common Files\System\ado\Msado15.dll * C:\Program Files\Common Files\System\Ole DB\Msdaurl.dll Schau auch einmal in die folgenden Kommentare, insbesondere den 2. Kommentar (Anonymous): Event ID 10002 Source DCOM Viele Grüße olc

Hi, neben der von adedoc genannten Möglichkeit des "Sperrens" kannst Du auch ein "runas /USER:domain\DeinUser notepad" ausführen. Hier muß dann schon das neue Kennwort eingegeben werden und es wird der lokale Passwort Cache aktualisiert. Eine Neuanmeldung am Client sorgt dann auch dafür, daß das Benutzerticket aktualisiert wird, inkl. ggf. neuer Gruppenmitgliedschaften. Viele Grüße olc

Hi, über die Gruppenrichtlinie Log on locally sollte das gewünschte Verhalten konfigurierbar sein. Viele Grüße olc

Hi, schau einmal hier hinein, das dürfte die Ursache für das Phänomen sein: Aktives Verzeichnis Blog : ADPREP "multi-language" ;-) Viele Grüße olc

Hi, wenn Du die GUID tatsächlich nicht in der DCOM Konfiguration findest, dann schau einmal nach dem oben genannten "MSEXCHANGEIS". Wenn dieser Knoten in der DCOM Konfiguration zu finden ist, kannst Du hier die Rechte gegenprüfen. Setzen mußt Du offensichtlich für den Administrator das Recht "Aktivierungberechtigung" "zulassen". Viele Grüße olc

Hi Nimral, schau einmal hier hinein, vielleicht hilft es Dir weiter: Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de Windows Server How-To Guides: Grundlegende DFS-R Überwachung mit Hausmitteln - ServerHowTo.de Designing Distributed File Systems Distributed File System: Frequently Asked Questions Insgesamt würde ich persönlich in jedem Fall zu DFSR raten. FRS ist in den allermeisten Fällen die schlechtere Wahl. Du solltest vor dem Einsatz in der Produktivumgebung Dein Szenario gut testen, so daß keine Daten aus der Produktionsumgebung verloren gehen. Viele Grüße olc

Hi Stefan, es geht bei Duplikaten immer nur um 100%ige Übereinstimmungen. D.h. es liegt nur eine Kollision vor, wenn zwei SPNs der Form "HTTP/HOSTNAME1" genau gleich sind. "CIFS/HOSTNAME1" und "CIFS/HOSTNAME2" sind kein Problem, ebenfalls nicht "HTTP/HOSTNAME1" und "CIFS/HOSTNAME1". Die Installation von CRM kann durchaus die Probleme verursachen, wenn das Vorgehen nicht korrekt war. Du mußt meines Wissens für CRM einige SPNs registrieren, unter Umständen ist hierbei etwas schief gegangen. Prüfe noch einmal mittels des bekannten KB-Artikels, ob es tatsächlich keine Überschneidungen gibt: Event ID 11 in the System log of domain controllers Viele Grüße olc

Hi, ist der "DFS" Dienst auf dem System unter Umständen deaktiviert? Siehe dazu: https://www.mcseboard.de/windows-forum-ms-backoffice-31/dfs-testumgebung-144894.html Viele Grüße olc

Hi java, es ist niemand gezwungen, den MCM zu machen. Wenn Du also nicht mit dem Vorgehen nicht einverstanden bist, dann sparst Du das Geld einfach. ;) Der MCM ist kein "Massentitel / Zertifikat", so wie es der MCITP etc. ist. Da es sich bei MS Software in den allermeisten Fällen nicht um "Open Source" handelt, wird auch ein Senior AD Admin o.ä. nicht "alles" wissen (können). Ich kann mich da also nur noch einmal wiederholen - das Level ist scheinbar sehr, sehr hoch, man hat direkten Kontakt mit MS Mitarbeitern, die in den jeweiligen Technologiebereichen unterwegs sind, und es werden scheinbar recht tiefe Themen besprochen und abgefragt. Es wird meiner Meinung nach nur wenige Menschen geben, die das "problemlos" bringen. Auch DAX30 Unternehmen haben nicht nur "Freaks" beschäftigt, die "alles wissen". Außerdem werden Firmen das viele Geld sicher nicht investieren, wenn sie nicht der Meinung sind, daß sie einen Mehrwert daraus ziehen können. Viele Grüße olc

Hi Leute, grundsätzlich habt Ihr mit dem was Ihr sagt natürlich absolut Recht. Mit Zertifikaten um sich zu werfen ist eher kontraproduktiv, gerade weil diese nicht in jedem Fall auch Fachwissen oder den Blick für das Gesamte nachweisen. Der MCM ist aber eine andere Nummer - die Themen gehen unglaublich tief und nich umsonst macht man den Schein zumindest im Moment (soweit ich weiß) ausschließlich bei MS. Wenn man mal "das Glück" hatte, mit jemandem zu sprechen, der den MCM gemacht hat, dann weiß man, das das eine harte Nummer ist, was da abgefragt wird. Ergo: Meines Erachtens nichts für den "Durchschnitts-Administrator oder -Consultant", eher etwas für Leute, die wirklich tieferes Verständnis für MS Technologien haben. Kein Vergleich mit dem MCITP und Konsorten. Viele Grüße olc

Hi, schau doch noch einmal direkt in die DNS Konfiguration, ob dort Einträge "vertauscht" sind. Ich würde vermuten, daß es an einem fehlerhaften DNS Eintrag liegt. Der NETLOGON Dienst ist wahrscheinlich aus diesem Grund pausiert (siehe DCDIAG), was die zusätzlichen Probleme erklärt. Viele Grüße olc

Hi, der Process Monitor hat einen Boot Logging Modus (Optionen --> Enable Boot Logging). Das sollte Dich weiterbringen. Was genau möchtest Du prüfen bzw. was ist der Hintergrund für Deine Frage? Viele Grüße olc

Hi Ralph, das Problem (auch bei nicht Domänen-Clients) ist, daß Du ohne die Änderung der SIDs ein Sicherheitsproblem bekommst. Die Fehler bei Domänen-Clients kommen dann noch dazu. Von daher solltest Du so oder so die VMs mit Sysprep bearbeiten. Das ist aber im Prinzip ein anderes Thema, daher halte ich das jetzt hier mal recht kurz. ;) Viele Grüße olc

Hi dore, ggf. hättest Du vor dem Posting die SIDs ein wenig "unkenntlich" machen sollen - vielleicht holst Du das ja noch nach. ;) Wie sehen die ACLs auf einer der Problemressourcen aus? Ein "icacls.exe C:\Ressource" würde uns zeigen, welche Gruppenmitgliedschaft erforderlich ist, um zuzugreifen. Ggf. müssen dann die SIDs der SID History dagegen abgeglichen werden, sollten die neuen Gruppenmitgliedschaften des Benutzers nicht in den ACLs der Ressource zu finden sein. Viele Grüße olc