olc

Hi pari und willkommen in Forum, ich kenne ebenfalls keine "Builtin" Möglichkeit. Geht es Dir denn um konkrete Problemordner oder warum möchtest Du nur eine "Whitelist" angeben? Das kann im Grunde ja zu Problemen mit dem Profil führen, wenn Du die falschen Ordner wegläßt. Was genau meinst Du damit? Vielleicht kannst Du ja zu den Hintergründen noch ein paar mehr Informationen schicken, unter Umständen gibt es ja eine andere Lösung. Viele Grüße olc

Hi Carsten, was spricht gegen Deine "Muttersprache"? Ist doch um einiges "gradliniger" und läßt sich nicht "schönreden", falls es mal einer nicht versteht. ;) Soll heißen: Wenn Du (oder wer auch immer ;) ) der Sache wirklich Nachdruck verleihen möchtest, ist doch der klare Weg der beste oder? Oder gleich ein Portrait Eures größten Glückes, Eurer Liebe und des Lebens - Eures Kindes. :) Viele Grüße olc

Hi, mach Dir keinen Kopf - manchmal übersieht man halt Dinge. Beim nächsten Mal hast Du es auf dem Schirm. :) Schön, daß es geklappt hat, und vielen Dank für die Rückmeldung. Viele Grüße olc

Hi, nobex hat Recht, das läßt sich sicherlich recht einfach und flexibel über dsquery / dsget erledigen, Beispiel: dsquery user | dsget user -samid -fn -ln -hmdrv Dsget user Viele Grüße olc

Hi, klasse, vielen Dank. Dann mal gute Besserung! Viele Grüße olc

Hi Carsten, ok - ist ja nicht mein Tattoo und Du wirst Dir das sicherlich gut überlegt haben, aber trotzdem mal die Frage warum Du den Schriftzug in japanisch oder chinesisch machen möchtest? Verstehe mich nicht falsch, ich will jetzt hier nicht Deine Gründe irgendwie in Frage stellen - aber ich kann mir bei solchen Dingen eigentlich recht wenige Gründe vorstellen...? :) Bei dem Thema: PR-Missgeschick: Max-Planck-Gesellschaft wirbt für heiße Mädchen - SPIEGEL ONLINE - Nachrichten - Wissenschaft :D :D :D Habe das Heft hier herumliegen - nicht, daß man mir da Pornografie unterstellt, wenn das mal jemand sieht. :D Viele Grüße olc

Hi, der Screenshot oben ist nun freigeschaltet. Ich habe das einmal nachgestellt - ohne Probleme. Ist es korrekt, daß Du zuerst für den den Server W2K3_1 einen neuen Stamm über Rechtsklick auf "Verteiltes Dateisystem" erstellst? Dies klappt, korrekt? Danach klickst Du auf den neu eingerichteten Stamm "\\home.local\dfs" und wählst "Neues Ziel". Dort wählst Du nun den Server W2K3_2 (über den "Durchsuchen" Dialog) und willst hier einen neuen Order als Ziel hinzufügen. Bis hierhin richtig? Dann kommt es zu der Fehlermeldung, ja? Wie lange ist die Wartezeit, bis es zu dem Fehler kommt? Ist auf dem Ziel-System W2K3_2 ebenfalls der DFS-Server Dienst "Verteiltes Dateisystem" (Dfs) aktiv? Ich weiß nicht, ob es vielleicht mit den Unterstrichen im Namen Probleme geben könnte. Denke zwar nicht, würde es aber auch nicht ausschließen, da meines Wissens nicht DNS-konform. Du sagtest, daß Du von dem jeweils anderen System auf die Freigaben des "Gegenübers" zugreifen kannst? Zusätzlich hast Du auf dem System die VMWare Tools installiert - sind dabei auch die "Shared Folders" aktiv? Falls ja, deinstalliere diese bitte einmal von beiden Systemen - nur die Funktion "Shared Folders", nicht die gesamten VMWare Tools. [EDIT] Ich konnte den Fehler gerade nachstellen, indem ich auf dem Zielsystem den Dfs-Dienst deaktiviert habe. Schaue einmal auf dem W2K3_2, ob der Dienst "Verteiltes Dateisystem" (Dfs) aktiviert ist. Wahrscheinlich nicht. [/EDIT] Viele Grüße olc

Hi, :) Ok soweit, Umgebung verstanden. Mir ist aber noch nicht ganz klar, ob Du tatsächlich ein Orderziel, also eine zweite Freigabe (ggf. mit Replikation) hinzuführen möchtest, oder ob Du den Namespace auf mehrere Server verteilen möchtest, um so Ausfallsicherheit des Namespaces zu gewährleisten. Vielleicht sieht man das im Screenshot besser. Den Screenshots postest Du am besten auf einem externen Server, so z.B. hier: ImageShack® - Image Hosting. Poste dort auch bitte die Fehlermeldung noch einmal. Viele Grüße olc

Hi, das ist jetzt nicht böse gemeint - aber wie sollen wir Dir helfen, wenn Du wieder nicht die Fragen beantwortest, die man Dir stellt? :) Beispiel: Ist der Stamm ein domänen-integrierter Stamm, d.h. ist der Stamm "domain.tld" oder ist es ein eigenständiger Stamm? Falls nicht, kannst Du meines Wissens keine Replikation zwischen den Systemen einrichten. Das geht nur bei einem domänen-integrierten Stamm. Geht es ohne Replikation einzurichten, also nur ein normales Ziel anzugeben, ohne die Daten zu replizieren? Ansonsten kannst Du den Ziel-Server mit dem NetBIOS Namen als auch DNS Namen anpingen? RPC-Ping ist ggf. ebenfalls möglich? Was sagt ein NSLOOKUP für das System? Die von Dir gepostete Fehlermeldung enthält Rechtschreibfehler - ich gehe also davon aus, daß Du diese nicht per Control + C kopiert hast. Kannst Du das vielleicht noch einmal nachholen? Dann kann man versuchen, die Original-Meldung auf den Support Seiten von MS zu suchen. ;) Viele Grüße olc

Hi bit, denkst Du noch an den Trace? :) Danke und Gruß olc

Hi, die Fragen, um Deine Fragen zu beantworten, sind genau die selben wie oben. ;) Zusätzlich vielleicht noch die Frage, ob es sich um "normale" Windows Server 2003 Systeme handelt oder um Windows Server 2003 R2". Ich vermute ersteres. Zu den Namespaces und deren Einrichtung findest Du zum Beispiel hier einige Hinweise: Windows Server How-To Guides: Teil 1 - Grundsätzliche Informationen rund um Microsofts DFS - ServerHowTo.de Die Wizards sind ohne R2 ein wenig anders, aber die grundsätzlichen Informationen sind erst einmal gleich. Schau doch einmal dort hinein, schreibe ein, zwei Zeilen als Antwort auf die Fragen oben und dann schauen wir weiter. :) Viele Grüße olc

Hi, Ist der Stamm domänenintegriert oder stand-alone? Hier schreibst Du "Ziel" und in der Fehlermeldung ist vom Stamm die Rede, das haut irgendwie nicht hin: Beschreibe doch noch einmal ein wenig genauer Deine Umgebung bzw. was Du genau anklickst. Zusätzlich wäre die genaue Fehlermeldung gut - diese kannst Du im Normalfall mittels Control + C einfach kopieren und mußt diese nicht abtippen. Viele Grüße olc

Hi MaPi und willkommen im MCSEboard, Ihr habt also eine (oder mehrere) AD-integrierte Zonen, in denen jeweils unterschiedliche Einträge zu finden sind? Wie alt sind die Einträge, die sich unterscheiden? Kann einfach nur die Replikationslatenz dazwischen liegen oder habt Ihr unter Umständen Replikationsprobleme? Welchen Scope haben die AD-integrierten DNS Zonen? Werden diese auf alle DCs, alle DNS Server, Forest-weit oder Domänen-weit repliziert? Vielleicht kannst Du ja ein oder zwei Zeilen zu Eurer Umgebung schreiben. Solange das Scavenging auf einer Zone noch nicht aktiviert wurde, werden die Timestamps auch nicht repliziert. Daher ist das in dem aktuellen Status normal, siehe: Viele Grüße olc

Hi, also in 2 Stunden 2x nachfragen ist nicht wirklich höflich. ;) Wenn Du die alte Struktur der CA nutzen möchtest (inkl. Datenbank, ausgestellter Zertifikate) und sollen die ausgestellten Zertifikate auch nach dem Umzug der CA noch gültig sein, dann bleibt Dir schlichtweg nichts anderes übrig als den selben Namen zu verwenden. Ich habe zwar einmal "gehört", daß man das ganze auch irgendwie mit DNS CNAMEs hinbekommen kann - jedoch halt ich das persönlich, selbst wenn es _irgendwie_ funktioniert, nicht für stabil und sinnvoll (Stand Windows Server 2003, ich meine mich zu erinnern, daß sich da bei 2008 etwas getan hat). Das ist übrigens auch der Grund, warum man solche Dienste nicht auf einem Server installiert, der auch andere Dienste anbietet. Man läuft fast zwangsläufig in solche Probleme. Was spricht dagegen, den neuen DC nach dem Abschalten des alten DCs wieder auf den alten Namen umzubenennen? Ist sicherlich mit einigen möglichen Fallstricken versehen (AD Replikation / DNS, Replikationslatenz beachten etc.), jedoch kann das je nach Größenordnung eine Alternative sein. Viele Grüße olc

Hi bit, also war die Lösung das fehlende "AuthLDAPGroupAttribute member". Vielen Dank für Deine Rückmeldung und die Lösung. P.S.: Trace per privater Nachricht war in diesem konkreten Fall richtig (wegen Datenschutz). Ich habe gerade einmal hinein geschaut - in dem Trace wurde direkt nach dem Benutzer "test" gesucht, nicht die Gruppe angegeben. Klingt nachvollziehbar, daß Du die oben genannte Option setzen mußt, damit er die Mitglieder ausliest. Interessant wäre jetzt ein Trace mit dem Gut-Fall. Also wenn Du noch einmal einen Netzwerktrace auf dem gleichen Weg wie den letzten bereitstellen würdest, der eine erfolgreiche Anmeldung zeigt, wäre das klasse. :) Viele Grüße olc

Hi, mit zwei Frames aus einem Netzwerktrace läßt sich nicht viel anfangen. ;) Bitte - schau Dir alle meine Beiträge oben noch einmal an und prüfe jeden Punkt (etwa Gruppen Typ etc.). Erst dann brauchen wir uns hier die Arbeit zu machen, weiter nach dem Problem zu suchen. Ohne strukturierte Arbeitsweise kommen wir hier nicht weiter. Bitte teste zusätzlich einmal die folgende zusätzliche Option in der .htaccess Datei: AuthLDAPGroupAttributeIsDN on Setze die Zeile am besten eine Zeile vor dem "require ldap-group". Wenn das nicht funktioniert entferne die Zeile wieder und setze den Gruppennamen auf das folgende: require ldap-group CN=nagios-web-acc Geht auch das nicht, versuche noch einmal das folgende: require ldap-group nagios-web-acc Viele Grüße olc

Hi, eine Anleitung für ADInSight habe ich leider nicht - war bisher auch nicht nötig. ;) Aber ich muß mich wiederholen ;) - bitte prüfe auch die anderen oben genannten Punkte. Dann schauen wir ggf. weiter. Viele Grüße olc

Hi, wenn es nun mit erhöhten Rechten läuft wundert es mich, daß es bei Dir manuell in einer elevated CMD wie oben vorgeschlagen nicht gelaufen ist. Genau das war ja der Punkt, den ich oben angesprochen hatte - in einer elevated CMD lief es bei mir auf einem Vista System ohne Problem, in einer normalen CMD nicht. Bist Du sicher, daß Du es korrekt in der elevated CMD getestet hattest? Aber gut - wie auch immer. Hauptsache es klappt nun. :) Viele Grüße olc

Hi bitwicht, schau Dir bitte einmal Schritt für Schritt alle Punkte an, die ich oben geschrieben habe und poste hier ggf. die Ergebnisse bzw. Antworten. :) ADInSight als auch ein Netzwerktrace sollte definitiv Daten liefern - wenn nicht, ist etwas am Testaufbau nicht korrekt. Ggf. müßtest Du das noch einmal prüfen. Viele Grüße olc

Hi, Du schneidest einen Netzwerktrace direkt am DC, da Du diesen ja in der ".htaccess" Datei "fest verdrahtet" hast ist das kein Problem. ADInSight läßt Du ebenfalls auf diesem DC laufen. Ist zumindest von der Bedienung recht selbsterklärend. Testweise paß auch einmal den LDAP String an: AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub? --> ich würde daraus testweise einmal AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?(objectClass=*) machen. Bei allen Schritten, die Du jetzt durchführst, solltest Du einen Test nach dem anderen machen und nichts vermengt. Ich habe kein Apache Testsystem hier, daher kann ich es selbst nicht nachstellen. Ist wahrscheinlich nur ein "klitzekleiner" Fehler, da Du ja einen Benutzer selbst authentifizieren kannst, nur nicht die Gruppenmitglieder. Der DN der Gruppe ist definitiv korrekt - oder hat sich hier vielleicht ein Fehler im Pfad eingeschlichen? Viele Grüße olc

Hi, ja - so meinte ich es. Schau am besten einmal in einen Netzwerktrace, was genau auf dem Netz passiert. Oder schau auf dem Domänencontroller mittels ADInSight, was dort genau abgefragt wird. Die Gruppe ist eine "Security Group" im AD und keine "Distribution Group", korrekt? Die AuthzLDAPAuthoritative Option kannst Du meines Erachtens übrigens wieder aktivieren. Was genau meinst Du mit "Anmeldescript"? Du sagtest, es handelt sich um eine ".htaccess" Datei / Authentifizierung. Inwiefern spielt hier ein Anmeldescript eine Rolle? Viele Grüße olc

Hi eismanhobbit, Dein Problem ist, daß Du in einer Gruppenrichtlinie die "Administratoren" eingetragen hast, anstatt den "Browse" Dialog zu nutzen, um den Account auflösen zu lassen. Daher wurde anstatt der SID der "Administratoren" der Benutzername eingetragen. Auf englischen Systemen gibt es die "Administratoren" jedoch nicht, sondern die "Administrators", daher werden Deine englischen Systeme, die unter diese Policy fallen, diesen Fehler melden. Im Winlogon.log solltest Du auch die GUID der Policy sehen, in der diese Einstellung durchgeführt wurde. Hier schaust Du Dir dann einfach die Security Settings an und änderst "Administratoren" in dem entsprechenden Punkt (bitte nicht auf allen ;) ) in die SID, indem Du "Browse" in den Optionen des Settings nutzt und die Gruppe auflösen läßt. Hierbei wird dann die SID in die Policy eingetragen. Alternativ kannst Du auch direkt die GptTmpl.inf anfassen und die korrekte SID der Gruppe eintragen. Ich würde Dir jedoch die erstere Variante empfehlen, wenn Du nicht genau weißt, was Du da tust. :) BTW: Erster Treffer bei einer beliebten Suchmaschine ;) : Troubleshooting SCECLI 1202 Events Viele Grüße olc

Hi, grundsätzlich kannst du die alten Einträge auf den (nun) Memberservern löschen, solange Du nur die "richtigen" anfaßt. Die Frage ist, warum Du das tun solltest - es bringt Dir keine "Performance-Nachteile", wenn die Einträge bestehen bleiben. Oder wohin führt Dein Gedanke - ich kann das nicht zu 100% nachvollziehen? :) Viele Grüße olc

Hi, Du hättest das Volume nicht formatieren müssen, sondern "nur" die Datenbank unterhalb von "\System Volume Information\DFSR" löschen brauchen. Danach wird die Datenbank wieder aufgebaut und eine autorative Replikation durchgeführt, bei der der Server, auf dem die Datenbank gelöscht wurde, "Verlierer" ist. Hier muß man dann vorsichtig sein, um nicht ggf. in einen Datenverlust zu laufen. Die interessante Frage ist doch aber, warum die Datenbank beschädigt wurde. Im Normalfall sollte der "Löschvorgang" der Datenbank direkt durch DFSR erfolgen. Wenn das nicht der Fall war, dann ist etwas schief gelaufen. Ggf. war das Volume voll, ein Quota falsch gesetzt oder ein Virenscanner ohne Ausschlußverzeichnisse konfiguriert? Viele Grüße olc

Hi, mit der richtigen Syntax sieht alles schon ganz anders aus. ;) Die Gruppenmitgliedschaften sollten schon ausgelesen werden können - ist ja Sinn der Sache. Wenn Du Dich mittels LDP.exe und dem "AuthLDAPBindDN" Benutzer auf dem Server anmeldest, kannst Du dann die "member" (Attribut) auslesen? Ggf. einmal in einen Netzwerktrace schauen - ist ja ein Simple Bind, das sollte Klartext sein. Viele Grüße olc