olc

Hi Ralph, im Grunde hast Du ja die Lösung für das Problem - ich würde also ggf. die anderen Aktionen nicht unbedingt durchführen. bezüglich der Datensicherung mittels VMWare - da wäre ich bei einer CA vorsichtig. Das macht nur Sinn, wenn Du die CA vor der Sicherung offline nimmst und dann ggf. nicht wieder ans Netz bringst, bevor die Tests abgeschlossen sind. Sonst werden unter Umständen Zertifikate von der CA ausgestellt, zu denen es dann bei einer Rücksicherung keine Referenz mehr in der Datenbank gibt und die Request IDs in der DB gleich sind. Das kann Probleme nach sich ziehen, so etwa beim Versuch ein Zertifikat zurückzuziehen. Wie gesagt: Du hast eine Lösung. Die anderen Dinge sind also nicht wirklich mehr notwendig. Bezüglich des Kopierens der VMs: Kopierst Du das Template, bevor die Clients in die Domäne gehoben werden oder danach? Letzteres wäre übel, ersteres nicht übel aber auch nicht optimal. Du solltest Sysprep verwenden, nachdem Du eine VM dupliziert hast. Alles andere zieht Probleme nach sich. Viele Grüße olc

Hi, schau einmal in den folgenden KB-Artikel - dort findest Du die Informationen, welche Daten Du wie sichern kannst und mußt: How to move a certification authority to another server Viele Grüße olc

Hi dore und willkommen an Board, :) ich bin mir nicht sicher, ob die beiden Fehler zusammen hängen. Der Winlogon Fehler deutet jedoch darauf hin, daß Ihr in der neuen Domäne mit deutschen Betriebssystemen arbeitet. Auf diesen Systemen gibt es nur "Benutzer" anstatt "Users" und "Hauptbenutzer" anstatt "Power Users". Diese englischen "Strings" habt Ihr in einer oder mehreren Policies eingetragen, so daß diese auf den deutschen Systemen nicht gefunden werden können. Es wird sich aller Wahrscheinlichkeit nach um Sicherheitseinstellungen der entsprechenden GPOs handeln. Das solltet Ihr beheben, siehe auch Troubleshooting SCECLI 1202 Events Der Zugriff auf die Ressourcen kann aus vielerlei Gründen scheitern. Was genau ist denn die Fehlermeldung, wenn ein Ressourcenzugriff versucht wird? Was steht in der Security ACL der Zielressource, was im Ticket des Benutzers (ein "whoami /all" wäre hier intseressant). Viele Grüße olc

Hi, MSEXCHANGEIS sieht verdammt nach MS Exchange Information Store aus. Ist dieser auch nicht in der DCOM Konfiguration zu finden? Auf dem Registrierungsschlüssel, den Du mit der ID gefunden hast - was sind dort für Security ACLs definiert? Viele Grüße olc

Hi, überprüfe doch einmal die Prozessliste der Benutzer, unter Umständen läuft ja im Benutzerkontext / Autostart irgend eine Software, die die Probleme verursacht. Ansonsten gibt es reichlich Toolbars / ActiveX controls, die sich auch ohne administrative Rechte in den IE einbinden lassen. Schau doch einmal in die AddOn Liste des IE bei dem Benutzer, welche DLLs / ActiveX Komponenten geladen sind. Der Proxy ist bei allen Benutzern der gleiche? Viele Grüße olc

Hi Ralph, Ok, das bedeutet also, daß Du mit dem NetBIOS Namen das Zertifikat anfordern kannst. Wenn der FQDN bzw. der Platzhalter für die Domäne nach dem Prinzip *.domain.tld nicht in der Ausschlußliste für den Proxy bzw. in den Trusted Sites steht, dann sendet der IE meines Wissens standardmäßig keine Kerberos Anfragen. D.h. trage bitte einmal den DNS Namen (FQDN) der CA in die Trusted Sites des IE ein - ich würde vermuten, daß der Fehler dann nicht mehr erscheint. Zusätzlich würde ich den Credential Manager einmal abschalten bzw. die enthaltenen Credential löschen. Ersteres erreichst Du etwa über eine lokale / Domänen Policy: Network access: Do not allow storage of credentials or .NET Passports for network authentication Letzteres erreichst Du, indem Du die Credentials in "control keymgr.dll" löschst. Zusätzlich könntest Du die default Authentifizierungseinstellungen einmal zurücksetzen: How to troubleshoot Kerberos-related issues in IIS C:\> cscript adsutil.vbs set w3svc/1/NTAuthenticationProviders "Negotiate,NTLM" Aber mach das nur, wenn Du ein Backup des IIS hast und ggf. weißt, was Du da tust und warum. ;) Sind Fehler in den Eventlogs der CA / des IIS zu finden, insbesondere DCOM Fehler? Das kannst Du auf einem Client durchführen, bei dem ein entsprechender Benutzer angemeldet ist. Dann öffnest Du den "certmgr.msc" und wählst per Rechtsklick auf die Eigenen Zertifikate die Option, ein neues Zertifikat zu beantragen. Das kommt auf den Benutzer an, mit dem Du den Request absetzen möchtest. Je nachdem, welche sicherheitseinstellungen Du auf den Zertifikatvorlagen definiert hast, kann er mehr oder weniger Templates auswählen. Wichtig für das Webenrollment sind "Read" und "Enroll" Rechte auf dem Template für die entsprechenden Benutzer / die entsprechende Benutzergruppe. Viele Grüße olc

Hi, in den Komponentendiensten kannst Du Dir die Komponenten als "Detail"-Liste anzeigen lassen (einfach Ansicht --> Detailsauswählen). Dann solltest Du im Normalfall auch die angemerkte GUID finden, der die problematische Komponente zugeordnet ist. In den Eigenschaften der Komponente kannst Du dann entweder die Standard-Berechtigungen noch einmal anwenden oder den fehlenden Account einfügen. In jedem Fall solltest Du vorher ein Systemstate Backup ziehen. Falls es zu Problemen kommt, kannst Du dieses dann zurücksichern. Viele Grüße olc

Hi, Du hast es noch gut, wenn die Maschine wenigstens online bleibt, ich bekomme einen Bluescreen. :D Grundsätzlich scheint das Thema bekannt zu sein, bei mir handelt es sich auch um einen Intel Grafikchip(-satz), nämlich den G45: Windows Vista Service Pack 1 is not available for installation from Windows Update and is not offered by Automatic Updates Treiberaktualisierungen brachten nichts, ein "Support Chat" mit Intel brachte mich nicht weiter (zumindest wußte der gut Informierte Mitarbeiter nichts von dem MS KB und ihm waren natürlich auch keinerlei Probleme bekannt) und ich wurde zu Gigabyte, dem Mainboard Hersteller, verwiesen (weil laut seiner Aussage ja das BIOS Schuld haben könnte :suspect:). Ein Memory Dump wird trotz korrekter Konfiguration bei mir nicht geschrieben, fehlerhaftes Modul ist "idgkmd64.sys". Im Moment bleibt denke ich nur auf Treiberupdates zu warten oder Vista SP1 zu deinstallieren. Viele Grüße olc

Hi Stefan, wie immer gibt es auf diese Frage nicht "die" Antwort. Aber wenn es nun doch ausschließlich um "interne" Authentifizierung geht, warum nicht von vornherein auf Kerberos setzen? NTLM als Fallback ist möglich, von daher also alles kein Problem. Wenn Du etwas über die Vor- und Nachteile von Authentifizierungsmethoden wissen möchtest, mußt Du Dich im Prinzip mit den Protokollen bzw. Authentifizierungsmethoden auseinandersetzen. Ein erster Ansatz ist die Wikipedia oder Technet. Wie gerade schon angesprochen, macht es in "modernen" Netzen Sinn, Kerberos einzusetzen. Viele Grüße olc

Hi, wenn das Ordnerziel entfernt wurde, diese Konfigurationsänderung jedoch nicht innerhalb der AD repliziert wurde, dann könnte das Probleme geben. Läuft die AD-Replikation korrekt? Jedoch dürfte es dann nicht erst mehrere Tage auftreten, es sei denn, die DFSR Replikation wurde durch den Schedule eingeschränkt. Ist das der Fall gewesen? Die anderen oben genannten Fragen hast Du nicht beantwortet. ;) Viele Grüße olc

Hi, ok, das hättest Du vielleicht vorher erwähnen sollen. ;) Hat vielleicht das Programm selbst ein Problem mit dem Journal / den von Dir genannten Dateien? In diesem all wäre es ja sinnvoller, direkt beim Hersteller mal nachzufragen, anstatt zu versuchen, das USN Jounal abzuschalten. Es ist in den meisten Fällen nicht sinnvoll an kritischen Systemkomponenten "herumzuspielen", wenn man nicht genau weiß, was man tut. :wink2: Laß also am besten die Daten dort, wo sie sind, wenn Du eine Systemwiederherstellung verhindern möchtest. ;) Viele Grüße olc

Hi, der Performance-Gewinn ist nach einer Defragmentierung in den meisten Fällen nur minimal. Es ist sogar so, daß Du mit einer Defragmentierung einige Windows interne Mechanismen (ab XP) negativ beeinflußt, die das Startverhalten (also System Boot) und das Applikationsstartverhalten optimieren; das sogenannte Prefetching. Das normale Defrag Programm von Windows ist also nicht wirklich geeignet, Dein System "schneller" zu machen - und ich gehe einmal davon aus, daß Du das erreichen möchtest. Ob es andere Programme (wie etwa von O&O) besser machen weiß ich leider nicht. VIele Grüße olc

Hi, man könnte versuchen über das WMI Logging an Informationen zu kommen, warum WMI Probleme hat: Turn WMI error logging on or off: Windows Management Instrumentation (WMI) . Viele Grüße olc

Hi, was genau ist Deine konkrete Frage, das geht (zumindest für mich) nicht aus Deinem Thread hervor? Kerberos ist bei Internetzugriff keine Alternative (mal abgesehen von Protocol Transition von NTLM / Basic Authentication), von daher bleibt meines Erachtens nur: a) entweder eine Datenbank mit den Benutzerdaten; die Verarbeitung muß dann also SharePoint intern über die DB passieren b) oder SharePoint bietet die Möglichkeit, die Anmeldung zwar über das Webinterface zu ermöglichen, dazu jedoch im Backend auf die AD zuzugreifen (also etwa NTLM oder Basic Authentication). Punkt a) klingt für mich irgendwie charmanter als Punkt b). Aber das mag subjektiv sein. Viele Grüße olc

Hi STGO, alle 3 Wochen nachfragen bringt nichts ;), denn die Lösung muß sicher in Form eines Hotfixes von Microsoft bereitgestellt werden - zumindest sieht es derzeit so aus. Ich denke, daß sich ein Boardmitglied hier in dem Thread melden wird, sobald es etwas neues gibt. Viele Grüße olc

Hi, Daten werden im Normalfall von DFSR nicht einfach gelöscht. Es ist eher anzunehmen, daß entweder ein anderer Prozess die Daten gelöscht hat (und diese Löschung dann repliziert wurde) oder beispielsweise der Virenscanner Probleme macht etc. Andere Meldungen wurden im Eventlog nicht geloggt? Falls Du das Thema weiter nachvollziehen möchtest, solltest Du die Eventlogs (komplett) als auch die DFSR Debug Logdateien sichern. Hast Du zufällig manuell eine "One-Way Replication" mittels Deaktivierung von Verbindungen zwischen den DFSR Systemen erzwungen? Das ist derzeit (2003 R2 + 2008) nicht supported und kann heftige Fehler nach sich ziehen, so auch Datenverluste. Viele Grüße olc

hi Sven, Daumen hoch - Du hast es wirklich verdient. :) Dürfen wir Dich jetzt trotzdem noch mit Deinem Namen anreden oder möchtest Du jetzt generell nur noch in der dritten Person als "Eure Eminenz" angesprochen werden? ;) :D Viele Grüße olc

Hi, schau einmal hier hinein, das sollte einige zusätzliche Aktionen bei Dir auslösen: http://blogs.technet.com/deds/archive/2009/03/19/informationen-zum-thema-confic*er.aspx (Stern durch "k" ersetzen)... 3 ungültige Anmeldeversuche sind in den allermeisten Fällen nicht wirklich sinnvoll. Weniger als 10 würde ich in keinem Fall empfehlen, besser mindestens 20 oder 30. Es erhöht der Erfahrung nach nicht wirklich die Sicherheit, wenn die Account Lockouts schon bei so wenigen Anmeldeversuchen greifen. Dafür läßt sich eine Umgebung schneller außer Gefecht setzen oder die Administratoren in die irre führen. Viele Grüße olc

Hi, theoretisch könntest Du den Namespace direkt im AD löschen, also das Objekt selbst. Aber das solltest Du nur durchführen, wenn Du weißt, was Du da tust. ;) Schau einmal hier hinein: Windows Server How-To Guides: Teil 1 - Verteilung von Namespaces auf verschiedene Server - ServerHowTo.de Wenn Dir klar ist, daß es im schlimmsten Fall massive Probleme nach sich ziehen kann und Du ein valides Systemstate Backup hast, kannst Du versuchen, den entsprechenden Node z.B. mittels ADSIEdit oder LDP zu löschen. Viele Grüße olc

Hi sammy, schau einmal hier hinein: http://www.mcseboard.de/windows-forum-allgemein-28/certificate-authority-143198.html Viele Grüße olc

Hi, Was ich meinte ist, ob Du ein Zertifikat über den "certmgr.msc" beantragen kannst. :) Du schreibst, daß Du Zertifikatvorlagen bearbeiten kannst. D.h. unterhalb von "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=tld" sind die Vorlagen auch vorhanden? Ist dort unter Umständen etwas an den ACLs verändert worden? Vielleicht kannst Du die ACL einmal posten: C:\> dsacls "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=tld" Ggf. die "privaten" Informationen aus dem Export entfernen... Wenn Du anstatt des NetBIOS Namens der CA einmal den DNS Namen der CA angibst, wirst Du dann nach einem Benutzernamen und Kennwort gefragt? Falls ja, gib Deine administrativen Benutzerdaten einmal ein und versuche es erneut. Gleicher Fehler? [neunmalklug Modus] Doch, das geht schon. Nur sollte man dabei wissen, was man tut. :D [/neunmalklug Modus] Viele Grüße olc

Hi, der Benutzer, mit dem Du das Kommando ausführst, hat die erforderlichen Berechtigungen zum Setzen der Einstellungen? Wenn Du es über die GUI versuchst, kannst Du die Berechtigungen dann mit dem selben Account setzen? Sind verstärkte Sicherheitseinstellungen in den angewendeten GPOs vorhanden? Viele Grüße olc

Hi, ist es ein domänenbasierter oder stand-alone Namespace? Viele Grüße olc

Hi, hast Du es einmal mit dem "certmgr.msc" versucht? Bekommst Du eine ähnliche Fehlermeldung oder funktioniert es damit? Viele Grüße olc

Hi XTRA, vielleicht sind Firefox ADM-Dateien und damit GPO-Richtlinien eine Möglichkeit? FrontMotion's Firefox Community Edition SourceForge.net: FirefoxADM Viele Grüße olc