olc

Hi Catal, wie schon von den Kollegen erwähnt, läßt sich das grundsätzlich mit einigem Aufwand mit Nagios realsieren. Einige Dinge (wie z.B. Dienstabfragen, Festplattenkapazität etc.) lassen sich beispielsweise mittels SNMP abfragen. Jedoch benötigst Du dafür ggf. Plugins, die dann auch "logische Abfragen" realisieren, um etwa nicht nur zu prüfen, ob unter Port 389 (LDAP) ein Dienst lauscht, sondern ob er auch korrekte Testwerte zurück gibt. Wenn hier die gewünschten Plugins noch nicht zur Verfügung stehen, müßtest Du diese selbst entwickeln. ;) Es gibt auch bei Nagios die Möglichkeit auf den Systemen selbst einen Nagios Dienst zu installieren, der dann noch einige zusätzliche Möglichkeiten bietet - ist halt die Frage, ob man einen zusätzlichen Dienst auf seinen DCs installieren möchte. Alles in allem kann das klappen und ist nach der Einrichtung sehr komfortabel - nur ist der (Einrichtungs-)Arbeitsaufwand ggf. sehr hoch. Viele Grüße olc

Hi, wenn die Policy auf allen Clients und Memberservern greift, nur auf den DCs nicht, dann würde ich folgende Dinge einmal überprüfen: Ich weiß, das wurde schon gesagt: Aber bitte schau noch einmal in einem GPMC RSOP HTML Report, ob die Default Domain Policy (oder welche Policy das auch immer auf Domänenebene regelt) auch mit den entsprechenden Einstellungen angewendet ist. Da sich die DCs (außer dem PDC) die Passwort Policy über den Domain NC Head ziehen, solltest Du einmal prüfen, ob dort die korrekten Werte drin stehen, siehe den unteren Teil von Ask the Directory Services Team : Fail to log Security Settings from Default Domain Policy . Sind die Werte im Domain NC Head korrekt, ändere einmal "beliebige" andere Einstellungen in den Sicherheitseinstellungen der Default Domain Policy (oder der Policy, in der die Passwort Policies definiert sind) testweise, etwa wer sich an den DCs anmelden darf --> füge testweise einen zusätzlichen Benutzer ein. Wird nach einem "gpupdate /force" diese Einstellung übernommen und sind weiterhin im Anwendungs-Ereignisprotokoll Einträge, daß "SCECLI" Sicherheitseinstellungen übernommen hat? Falls nicht würde ich die Sicherheitsdatenbank der DCs als auch die dazugehörigen Logfiles einmal löschen und die DCs nacheinander neu starten, siehe Punkt 5 in Scecli.dll errors occur when opening Account Policies or Local Policies: Group Policy . Bringt auch das nichts, kannst Du die Security CSE einmal neu initialisieren: regsvr32 /u scecli.dll regsvr32 scecli.dll + Server Neustart. Danach prüfe, ob nun die Einträge im Application Event Log stehen und ob die Policies angewendet werden. Vorher ein Backup der Systeme anfertigen! ;) Viele Grüße olc

Hi Minti, Du könntest Dir z.B. eine angepaßte MMC einrichten und Dir die gewünschten Domänen in diese MMC einbinden: How To Create Custom MMC Snap-in Tools Using Microsoft Management Console . Viele Grüße olc

Hi WhiteGloves, vielleicht zu dem Thema ein grundsätzlicher Einwurf: Wann genau (also in welchem Betriebssystemstatus) soll das Script ausgeführt werden? Wenn Dir die Start- / Stopkommandos des Ereignisprotokolls nicht ausreichen, dann sollen die Scripte offensichtlich davor oder danach ablaufen. Zu diesem Zeitpunkt stehen jedoch noch nicht alle Interpreter zur Verfügung, so daß es etwa mit einem VBScript schlecht aussehen kann. Grundsätzlich ist die ACPI-Geschichte sicherlich interessant - dort kommt man auch über WMI ran. Jedoch ist die Frage, ob zum von Dir gewünschten Zeitpunkt schon alle Betriebssystemteile zur Verfügung stehen, um Deine Scripte auszuführen (siehe oben). Auch wenn Du diese Diskussion hier abwürgen willst - ich habe nicht ohne Grund gefragt, was das Script macht. Mal abgesehen davon, daß es in annähernd 100% der Fälle mehr als einen Weg gibt ein Ziel zu erreichen, mutet es immer ein wenig merkwürdig an, wenn jemand nicht darstellen will, warum er etwas tut. Das kann meines Erachtens nur zwei Gründe haben: Entweder es ist etwas, was nicht legal ist, oder aber es geht um ein "Betriebsgeheimnis" und es soll etwa ein Produkt vermarktet werden, welches eine bestimmte Funktion bietet, welche nicht ausgeplaudert werden soll. In ersterem Fall wäre hier so oder so Schluß - in letzterem Fall wären wir hier lediglich kostenlose Erfüllungsgehilfen, womit sich die meisten hier sicherlich nicht gern identifizieren. Wenn man schon so frei ist zu einer Problemlösung beizutragen, dann möchte man doch meist auch gern wissen, wofür man das denn tut. Du hast einige Hinweise bekommen - vielleicht kommst Du so weiter. Falls nicht, kann ich nur noch einmal anregen zumindest den groben Zweck des Scripts zu nennen, damit man vielleicht Ideen entwickeln kann. Viele Grüße olc

Guten Abend, wie gesagt, es muß irgendwelche Variablen / Konstanten / Codes geben, die den aktuellen Status ausgeben. Aber bisher habe ich das noch nicht auslesen müssen, daher fehlt mir momentan die Idee. Einmal anders gefragt: Was genau tut das Script bzw. was ist der Hintergrund für dieses Vorgehen? Vielleicht gibt es ja noch andere Lösungsansätze. Viele Grüße olc

Hi, eine konkrete Abfrage kenne ich leider nicht, aber sicherlich läßt sich das beispielsweise über WMI auslesen. So gibt es etwa unter root\CIMV2 --> Win32_OperatingSystem die "LastBootUpTime". Vielleicht kannst Du einmal schauen, ob es auch so etwas wie einen Status gibt. Die Property "Status" scheint zumindest nicht das zu sein, was Du suchst. Ich konnte jedoch auf die Schnelle auch keine andere Klasse finden als die "LastBootUpTime". Dokumentiert sind die Klassen hier: WMI Classes (Windows) Alternativ könntest Du als Ausweichlösung das Ereignisprotokoll auslesen. Im System Event Log wird eingetragen, wann das Ereignisprotokoll gestartet wurde und wann es beendet wurde. Damit hast Du Indikatoren, ob es sich momentan um einen Neustart oder einen Shutdown handelt. Sicherlich gibt es auch irgend eine Konstante, die beim Start oder beim Shutdown geschrieben wird. Aber dazu fällt mir mometan leider nichts ein. Viele Grüße olc

Hi, das klingt doch optimal. :) In Bezug auf die ADSIEdit-Geschichte kann man nur schwer etwas sagen - außer, daß es hätte auch ohne diese Anpassung funktionieren müssen. Wer weiß, was vielleicht vorher nicht in Ordnung war. Viele Grüße olc

Hi, Du bist herzlich eingeladen, die Kerberos RFCs entsprechend zu kommentieren. :p Siehe zusätzlich How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication . Viele Grüße olc

Hi, das klingt ja soweit ganz gut. "Freut mich", daß es tatsächlich die Ursache war. :) Dann haben die genannten Punkte oben ja sogar zwei Treffer für ein Problem: 1. problematischer Virenscanner und 2. fehlende Hotfixes. ;) Es ist immer empfehlenswert das System in Bezug auf DFS-R (und natürlich auch den anderen Hotfixes) auf dem neuesten Stand zu halten. Da die meisten DFS-R Hotfixes nicht automatisch mit WSUS oder Windows Update ausgeliefert werden, muß das manuell erfolgen. Viele Grüße olc

Hi, Gruppenrichtlinien ziehen nicht auf Gruppen, sondern nur auf Benutzer- oder Computerobjekten; jedoch kannst Du Gruppen einsetzen, um mittels Sicherheitsfilterung den Mitgliedern dieser Gruppen Zugriff auf die GPO zu geben oder nicht. Was genau möchtest Du realisieren / erreichen? [EDIT] IThome war schneller. :) [/EDIT] Viele Grüße olc

Hi, wie lange hast Du nach der Änderung in der MMC gewartet, bis Du die Dateien neu abgelegt hast? Standardmäßg fragt der DFS-R Dienst nur alle 60 Minuten in der AD an, ob sich Konfigurationsänderungen ergeben haben. Dazu kommt das Replikationsdelay der DCs selbst, die diese Änderung erst einmal replizieren müssen. Warte einmal nach der Änderung einige Zeit ab (vielleicht auch über Nacht) und kopiere dann einige *.bak Testdateien in einen neu erstellten Ordner des entsprechenden Replikationsordners. Sollten diese dann immer noch nicht repliziert werden, schauen wir weiter. Viele Grüße olc

Hi Silver, es wäre interessant zu sehen, wer die Änderung verursacht. Ggf. also einmal ein Security Logging auf einer Datei laufen lassen, die Ihr danach umbenennt. Meiner persönlichen Erfahrung nach sind häufige Ursachen für solche Phänomene die folgenden - vor den Aktionen ein Backup der Daten nicht vergessen...: inkompatibler Virenscanner, im besten Fall also einmal auf beiden Seiten den AV Scanner von den Server deinstallieren (deaktivieren bringt oftmals nichts, da der Filtertreiber aktiv bleibt) erzwungene "One Way Replication", d.h. es wurden die Verbindungsobjekte der DFS-R Server von einer Seite zur anderen deaktiviert und es ist nur noch eine Richtung "aktiv" nicht aktueller Hotfix-Stand der DFS-R Server, also bestenfalls beide Systeme auf den aktuellen DFS-R Stand bringen. Bringen alle drei Hinweise keine Besserung melde Dich noch einmal. :) Viele Grüße olc

Hi WhiteGloves und willkommen im Board, schau einmal hier hinein, der Trigger bringt Dich vielleicht weiter: Boot Trigger Example (Scripting) (Windows) Viele Grüße olc

Hi, die Benutzer haben schon eigene Root CA / Intermediate CA Stores - nur werden diese nicht immer genutzt. Der Computer Root CA / Intermediate CA Store wird für die Benutzer standardmäßig immer "gemappt", jedoch können Benutzer auch eigene Zertifikate über GPOs oder die Registry speichern, ohne daß diese dann auch dem Computer und damit anderen Benutzern zur Verfügung stehen. Die eigenen Benutzer-Stores im Zusammenhang mit den transparent "gemappten" Zertifikaten des Computer Stores kann man sehr gut sehen, wenn man sich über die Optionen des certmgr.msc die "Phyikalischen Zertifikatspeicher" anzeigen läßt. Dann sieht man, woher die Zertifikate kommen (und daß auch für die Root CAs eigene Benutzerzertifikate möglich sind). Der TO hatte oben geschrieben, daß er den Import in den Computerstore schon getestet hatte - daher mein Hinweis, daß entweder mit den Rechten etwas nicht stimmt oder die Applikation nicht sonderlich gut programmiert ist (just my 2 Cents)... :) Viele Grüße olc

Hi, der Filter greift erst für neu abgelegte Dateien, nicht für die schon vorhandenen. Du müßtest also die *.bak Dateien nach dem Entfernen des Filters noch einmal neu ablegen, damit diese repliziert werden. Mit der ADSIEdit-Geschichte wäre ich vorsichtig - ggf. solltest Du prüfen, ob Du die Änderung nicht lieber wieder rückgängig machst. Viele Grüße olc

Hi Max, die Ausgabe ist an sich ja "korrekt", es werden keine Fehler oder ähnliches geloggt. Die Frage ist also, was Du genau erreichen willst. Vielleicht kannst Du ja kurz ein paar Sätze schreiben, was genau Du erreichen willst bzw. den Hintergrund ein wenig "ausleuchten". Unter Umständen findet sich hier dann eine Lösung. :) Achso: Willkommen im Board. ;) Viele Grüße olc

Hi Babbage, mir ist nicht bekannt, daß man die Logfiles standardmäßig "splitten" könnte. Es gibt am Markt eine Menge Software, die das (zum Teil auch revisionssicher) wegsichern kann. Die Frage ist, ob Ihr dafür Geld in die Hand nehmen wollt - und falls ja wieviel. Ansonsten gibt es eine Menge anderer Möglichkeiten, die zwar kostenlos sind, aber oftmals mit etwas initialem Aufwand verbunden sind. Zu nennen wäre beispielsweise PsLogList, die Powershell / VBScripts oder aber der MS LogParser. Letzterer ist diesbezüglich sehr mächtig, ohne daß Du selbst viel programmieren mußt. Viele Grüße olc

Hi Lord, entschuldige, ich hatte mir den ersten Post nicht mehr angeschaut, daher der Hinweis, den Du aber schon probiert hattest. :o Habe mir die Sache gerade noch einmal angeschaut - da Du mittels der Authenticode Einstellung die Intermediate CA Zertifikate nicht verteilen kannst, bleibt wahrscheinlich nur ein Logon-Script für die Benutzer, bei dem Du etwa über "certutil.exe -addstore" das gewünschte Zertifikat importierst. Aber trotz der Rückmeldung von Dir oben: Meiner Meinung nach muß es auch funktionieren, wenn das Zertifikat im Computerstore liegt. Darauf haben die Benutzer standardmäßg Leserechte und die entsprechenden APIs schauen auch dort nach. Wenn das nicht der Fall ist sind wahrscheinlich a) entweder die Dateisystemberechtigungen auf dem Computerstore unterhalb von "All Users\Application Data\Microsoft\Crypto\..." nicht korrekt oder b) der Cirtix Client ist "schlecht programmiert". In jedem Fall würde ich eher in dieser Richtung suchen anstatt das Zertifikat unbedingt in den Benutzerstore zu bekommen. Viele Grüße olc

Hi, schau einmal hier hinein, dort werden noch so einige mögliche andere Fehlerquellen neben der von Dir genannten Problematik genannt: Windows Event ID 1008 from Perflib Thema Leistungsindikatoren: HOW TO: Monitor ASP.NET Server Applications . Viele Grüße olc

Guten Abend, Das klingt aber anders als Dein Eingangspost. ;) Genaue Zahlen oder Näherungswerte zu nennen wäre hier meines Erachtens nach wenig seriös. Von daher wird man im konkreten Fall kaum um eine genauere Betrachtung auskommen. :wink2: Der Hinweis von Marka mit dem TCO ist in jedem Fall ein guter Einwurf. Viele Grüße olc

Hi, Du könntest versuchen, die Zertifikate über die User Configuration --> Windows Settings --> Internet Explorer Maintenance --> Security --> Authenticode Settings hineinzubekommen. Empfehlenswert ist es dabei, daß Du dafür eine eigene Policy benutzt. Viele Grüße olc

Hi, ich habe den Parameter bisher noch nicht genutzt und kann daher nicht sagen, wie die Ausgabe aussehen sollte - jedoch fehlt in Deiner Kommandozeile ein weiterer Parameter für den "object_type" und den "object_name", also C:\Programme\Windows Resource Kits\Tools>subinacl.exe /dumpcachedsids=c:\test.txt /file C:\test.txt Viele Grüße olc

Hi, ergänzend zu den Hinweisen der Kollegen noch ein guter Link von MS zu dem Thema, der einige Erwägungen zur Fragestellung zusammenfaßt: Achieving Autonomy and Isolation with Forests, Domains, and Organizational Units Viele Grüße olc

Hi, Gegenfrage ;) - warum rechnest Du Dir das nicht einfach selbst aus? Da bei Deiner Aufstellung schlichtweg zu viele Variablen existieren, wird Dir das hier sonst niemand konkret beantworten können. Thin-Clients, Fat-Clients, wie viel RAM, wie große Monitore, welcher Hersteller, welche Garantielaufzeit etc.? Interne Dienstleistung, externe Dienstleistung, Qualifikation der Mitarbeiter, größe des Unternehmens und der IT-Abteilung etc.? Kann Dir nur der Händler Deines Vertauens beantworten. Siehe Lizenz XP. Ist bei einem Forschungslabor während einer Studie sicherlich teurer als in einem Callcenter. Die Frage kannst also auch nur Du selbst beantworten. Allein die Differenz von 15 Cent pro KWh und 20 Cent pro KWh macht 1/4 des jährlichen Verbauchs aus. Wie hoch sind also die Kosten bei Eurem Stromanbieter? Wie viel Watt bzw. KWh verbauchen die PCs? Kommt darauf an, wie niedrig die Mitarbeiter in den Büros die Temperatur gern mögen und in welchem Breitengrad die Firma tätig ist. ;) Was ich mit all den "schlauen" Kommentaren sagen will: Eine zuverlässige Rechnung kannst Du nur selbst aufstellen... Viele Grüße olc

Jepp - genau deshalb wollte ich hier (wie mehrfach oben geschrieben ;) ) auch nur einige Gedanken und Erfahrungswerte erfragen, um ggf. dann konkrete Tests durchzuführen oder Punkte zu prüfen, die ich noch nicht auf dem Schirm hatte. Aber die bisherigen Antworten lassen auf stabiles Verhalten schließen. Ich werde mir das dementsprechend bei Gelegenheit einmal genauer anschauen. Wären hier viele negative Rückmeldungen gekommen, hätte ich mir das gleich gespart... ;) Also, danke nochmals und Gruß olc