olc

Hi, wenn nicht MOM oder ähnliche Produkte bei Euch eingesetzt werden, kannst Du das auf die "altmodische" Art und Weise erreichen, indem Du einen von Dir angesprochenen Export durchführst. Dafür gibt es sehr viele Möglichkeiten, drei Beispiele zum Export bzw. zur Auswertung sind PsExec der MS LogParser die PowerShell: Get-Eventlog -logName Application | Export-CSV -path C:\export.csv Viele Grüße olc

Hi, zusätzlich zu den Tipps von HPass würde ich noch prüfen, welche CSPs in dem entsprechenden Zertifikat Template hinterlegt sind. Testweise empfehlenswert ist in diesem Fall sicherlich der "Microsoft Base Smart Card Crypto Provider" (ich hoffe der Name ist korrekt). Vielleicht wirfst Du zusätzlich auch einen Blick in das folgende Dokument: Guidelines for enabling smart card logon with third-party certification authorities Viele Grüße olc

Hi, :suspect: Du hättest wahrscheinlich weniger Zeit gebraucht den Fehler zu beheben, als es Dich gekostet hat, diesen Thread auf zu machen, wenn Du einmal in die Fehlermeldung geschaut hättest, die Du gepostet hast: Ereignis: 16386 Der standardmäßige Verschlüsselungsschlüssel ist unsicher. Generieren Sie einen neuen Verschlüsselungsschlüssel. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url=http://go.microsoft.com/fwlink/events.asp]Events and Errors Message Center: Basic Search[/url]. Ereignis 5 Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler von Server "XP180$" empfangen. Dies deutet darauf hin, dass das Ticket, das für den Server verwendet wurde, noch nicht gültig ist (im Verhältnis zu der Serverzeit). [b][color="Red"]Wenden Sie sich an den Systemadministrator, und vergewissern Sie sich, dass die Client- mit der Serverzeit synchronisiert ist, und dass der KDC im Bereich "HAZ.DE" mit dem KDC im Clientbereich synchronisiert ist.[/color][/b] Sieht nach einer potentiellen Lösung aus. ;) Falls nicht, müßtest Du Dir vielleicht doch ein wenig mehr Zeit nehmen, das Problem etwas genauer zu schildern... Viele Grüße olc

Hi mazza, im Moment fällt mir nichts anderes ein, als daß Du mehrere Druckerobjekte für ein Gerät anlegen bzw. freigeben könntest. Diesen einzelnen Objekten weist Du dann unterschiedliche Eigenschaften zu, so etwa S/W Druck oder A4 / A3 Format etc. Eine Einstellmöglichkeit per Benutzer würde mir gerade nicht einfallen, vielleicht schaust Du ja einmal in die Group Policy Preferences. Mag sein, daß diese so etwas mitbringen - nur leider habe ich gerade kein Testsystem zur Hand. Viele Grüße olc

Hi Andreas, welcome to the board, I am not a SharePoint expert, but I think you should take a network trace to have a look on the Kerberos messages between client and SharePoint respectively SharePoint and DC. A network trace mostly gives you some hints regarding the underlaying issue. Since we can see the error maybe this is an authentication problem. Are you sure that the credentials you provided for the testuser are correct?If yes, check the time on the IIS / SharePoint and the DC. Is there a time difference? See http://support.microsoft.com/kb/321044/en-US: ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r (servicePrincipalName=HOST/mycomputer*)" -p subtree You know this is a forum and not a newsgroup, right? Or is this thread just a joke? ;) Regards, olc

Hi, Was definierst Du als "Hochverfügbarkeit"? Das Wort ist oftmals schnell in den Mund genommen, doch es gibt ganz klare Anforderungen bzw. Schwellwerte an Hochverfügbarkeit. Wenn Du "richtige" Hochverfügbarkeit erreichen willst, setzt Du beispielsweise auf Cluster. Diese Art der Nutzung und Verfügbarkeit ist kein Anspruch von DFS-R. Nicht in dem Sinne, in dem Du es mit DFS-N vermischt hast... Ich möchte einmal die Gegenfrage stellen, um nicht alle Gründe einzeln aufzählen zu müssen ;) : Was sollte es für einen Sinn machen, temporäre Dateien zu replizieren, die nur für die Dokumente auf der Seite relevant sind, auf der sie gerade bearbeitet werden? Viele Grüße olc

Hi, was meinst Du mit "nicht gefunden"? Hast Du Dir das HowTo überhaupt angeschaut? In "Teil 2" (Windows Server How-To Guides: Teil 2 - Einrichtung von Data Recovery Agents - ServerHowTo.de) wird genau auf Deine Frage eingegangen. Der private Schlüssel bzw. das Zertifikat wird immer auf dem ersten DC einer Domäne angelegt, egal ob Daten verschlüsselt werden oder nicht. Da dieser in der entsprechenden Policy eingetragen werden muß, pasisert dies beim DCPROMO, wenn ich mich nicht irre. Viele Grüße olc

Hi, Die englische Meldung dazu lautet "The distinguished name specified for this replication operation is invalid." Das könnte auf ein Problem mit dem GC hinweisen, siehe How to force the removal of read-only naming contexts from a domain controller Ich würde auch so wie von Daim vorgeschlagen vorgehen, sollte die Lösung im KB-Artikel keine Besserung bringen. :) Viele Grüße olc

Hi Langer, ich weiß nicht genau, ob ich Deine Frage richtig verstehe: Aber wenn Du damit meinst, daß Du auf einem gleichnamigen DC einer anderen Domäne das Zertifikat erzeugen und dann einfach als "ersetzendes" Zertifikat auf einem anderen DC Deiner Domäne importieren kannst, um die derzeit verschlüsselten Dateien entschüsseln zu können, dann ist die Antwort nein. (was für ein Satz...) Du kannst jedoch ein neues EFS Data Recovery Zertifikat erzeugen und dieses als DRA in die Default Domain Policy importieren. Danach müßtest Du EFS wieder aktivieren und auf allen Systemen, auf denen EFS läuft und die Benutzer auch noch Zugriff auf die verschlüsselten Daten haben, die verschlüsselten Dateien (automatisiert) "anfassen". So würde der neue DRA in die Dateien eingetragen werden. Das Prozedere wird in dem o.g. Artikel jedoch auch angesprochen. :) Viele Grüße olc

Hallo pep, Ja, da hast Du vollkommen Recht. Jedoch wird DFS-R ja auch nicht damit beworben, daß man damit "verteilt Arbeiten" kann oder soll. ;) Bei FRS war das meines Wissens noch nicht so deutlich, bei DFS-R denke ich schon. Es wird oft darauf hingewiesen, daß das Arbeiten auf gleichen Datenbeständen an zwei oder mehr Servern gleichzeitig nicht empfohlen ist. Das Szenario für DFS-R ist eher Datenverteilung oder zentrales Backup. Wenn Du also eine Lösung suchst, die Dir ein verteiltes Arbeiten (in Deinem Sinne) ermöglicht, dann solltest Du Dir einmal SharePoint, Lotus Notes o.ä. anschauen. Dateien mit einer "~" Litze werden standardmäßig nicht mittels DFS-R (und ich glaube auch nicht mit FRS) repliziert. Wenn diese Dateien doch repliziert werden, dann wurde dies manuell von einem DFS-R / FRS Administrator umgestellt, was eine schlechte Idee ist. ;) Außerdem werden Dateien mit dem "TEMPORARY" Flag / Attribut nicht repliziert - also würde es mich wundern, wenn die temporären Dateien tatsächlich repliziert werden und es sich nicht um einen anderen Fehler bzw. eine andere Ursache handelt. Doch, FRS als auch DFS-R lassen sich wunderbar zu Backup-Zwecken nutzen - wenn man vorher das Design gut geplant hat und nicht auf mehreren Seiten gleichzeitig arbeitet (siehe oben). Nicht so, wie Du es Dir wünscht. :wink2: Arbeiten die Benutzer nur auf einer Seite, hast Du das Problem eher nicht. Dann muß jedoch eine Seite je nach Topologie über das Netzwerk bzw. WAN arbeiten, was unter Umständen zu Problemen führen kann. Viele Grüße olc

Hi Langer, wenn es sich um den ersten Administrator einer Domäne handelt, dann wird dieser standardmäßig nicht gesperrt. Dies läßt sich jedoch theoretisch aktivieren - was natürlich je nach Konstellation Probleme machen kann... Schau einmal hier hinein: Aktives Verzeichnis Blog : Schutz vor Account Lockouts auch für andere Konten als ?Administrator?? Viele Grüße olc

Hi Sunny, schau einmal hier hinein, das sollte Dein Problem treffen: Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com" Viele Grüße olc

Hi Langer, schau einmal hier hinein: Windows Server How-To Guides: Teil 3 - Fazit und Empfehlungen - ServerHowTo.de Dort wird unter anderem auch auf das Deaktivieren von EFS und das Auffinden von EFS verschlüsselten Dateien eingegangen. Wenn auf den Clients (als auch auf den Servern, aber das ist bei Dir eher unwahrscheinlich, da es hätte manuell eingerichtet werden müssen) keine EFS verschlüsselten Dateien vorliegen, hast Du eher kein Problem. Viele Grüße olc

Off-Topic: Argh, entschuldige. Ich hatte nur auf Dein Zitat im Post oben geachtet und den Link nicht extra geöffnet, da ich dachte, daß er den Artikel "vollständig" zitiert. Sorry und Gruß olc

Hi squire, "coole Sache", danke für Deine Rückmeldung. Wenn das System gehackt wurde, macht denke ich eine komplette Neuinstallation Sinn. Die Anzeige würde ich in jedem Fall machen - wenn da irgendwelcher Mist gelaufen ist sollte das vorher bekannt sein, bevor die Firma selbst beschuldigt wird. Viele Grüße olc

Hi, wenn man die "Bridge all site links" Option deaktiviert, hat dies Einfluß auf DFS-N. Das sollte man im Hinterkopf behalten, bevor man die Option "einfach mal so" deaktiviert und DFS-N im Einsatz hat. :) Es gibt dazu jedoch einen Workaround, siehe The Storage Team at Microsoft - File Cabinet Blog : New for Windows Server 2003 SP1: the ability to turn off Bridge All Site Links without breaking DFS site costing . Das nur als kleine Ergänzung. :) Viele Grüße olc

...ergänzend hier vielleicht noch der Hinweis, daß Dir mit diesen Abfragen nicht die Primären Gruppen angezeigt werden. Das müßte man, sollte Dir obiges Beispiel nicht reichen, mit ADSI scripten oder umgehen, in dem man die Gruppe manuell ausliest und der Ergbnisliste hinzufügt. Viele Grüße olc

Hi, schau Dir einmal die Ergebnisse der folgenden Suche an: word +"Das System kann die angegebene Datei nicht finden" - Google-Suche Könnte an den Temp-Dateien liegen, die Word beim Öffnen anlegen will. Viele Grüße olc

Hi, füge den Servernamen einmal in die vertrauten Zonen / Intranet des Internet Explorers mit ein. Vielleicht hilft das. Viele Grüße olc

Hi, ...was etwas anderes ist als "nix". :) Also ich hätte jetzt getippt, daß das nicht so einfach ist. Aber gut, probieren geht über studieren. ;) Ich würde in jedem Fall mittels WIndows PE einmal in die Ereignisprotokolle des SBS hinein schauen - vielleicht bringt Dich das der Problemursache einen Schritt näher. Du findest Die *.evt Dateien unter "%SystemRoot%\System32\Config" - diese kannst Du unter Windows PE einfach in den Eventviewer laden. Klingt ja wie immer. :) Nichts geändert außer............ und .................... :D Nein, Spaß beiseite - da bist Du Dir in Bezug auf die Aussage des Besitzers sicher, ja? Das glaube ich auf's Wort, nachdem ich den anderen Thread gelesen hatte. :D Ok, das würde passen. Zumindest, wenn es die Registry wäre, die die Probleme verursacht. Ich würde in jedem Fall versuchen, an die Eventlogs zu kommen. Viele Grüße olc

...oder Du drückst einfach <Strg> + <C>, während die Fehlermeldung aktiv ist. Dann wird im Normalfall (bei fast allen Standard-Dialogfenstern) die Fehlermeldung in die Zwischenablage kopiert. Viele Grüße olc

Hi, das Problem ist dabei nur, daß man den Systemstate nicht wieder zurücksichern kann, wenn man sich weder über das Netzwerk noch am System selbst anmelden kann. Oder läßt sich der Systemstate mittels PE wieder zurücksichern? Habe ich noch nie versucht - ich würde aber vermuten, daß das nicht so einfach möglich ist. Oder habe ich gerade einen Denkfehler? Viele Grüße olc

Genau das meine ich: Wenn Du Dich beispielsweise an der Kiste selbst versuchst anzumelden, was passiert genau? "Nix" ist keine genaue Aussage. ;) Ok, also betrifft es nicht nur die interaktive Authentifizierung (oder Domänenanmeldung von Clients), sondern auch die Authentifizierung an RPC und SMB Ressourcen. Wie von Dir angemerkt könntest Du die Kiste mit Windows PE booten und einen Blick in die Ereignisprotokolle werfen. Vielleicht findest Du dort einen Hinweis. Ansonsten klingt der Tipp von ITHome ja ganz passend. Hat sich denn an dem System in letzter Zeit etwas geändert (besser gefragt: wurde etwas verändert)? Viele Grüße olc

Hi, kannst Du Dich remote ggf. noch über die Computerverwaltung am System anmelden? Oder geht das auch nicht mehr? Falls ja, Fehler in den Eventlogs? Alle Dienste korrekt gestartet (NETLOGON, Server- / Arbeitsstationsdienst, KDC etc.)? Was genau heißt "keine Anmeldungen mehr"? Viele Grüße olc

Hi, ja, das sollte beides über RPC und SMB laufen, also Port 135/TCP, 445/TCP + 1024++/TCP. Viele Grüße olc