olc

Hi s1lversurv, auch wenn die Ursache ungeklärt ist - danke für Deine Rückmeldung. :) Viele Grüße olc

Hi Norbert, Ok, dann läge das Problem jedoch anders und sollte an dieser Stelle behoben werden. Ich vermute anhand der Problembeschreibung, daß es sich eher um eine generelle Frage handelt und nicht einen konkreten Client. Wahrscheinlich sollten mehere Clients mit SP3 installiert werden und daher wäre es eine grundsätzliche Vorgehensweise. Aber das ist sicherlich mit dem derzeitigen Informationsstand Vermutung meinerseits. Vielleicht kann das der TO ein wenig genauer ausführen. ACK. Viele Grüße olc

Hi Norbert, Was genau meinst Du damit? Viele Grüße olc

Hi, wenn sich die Clients über das VPN an der Domäne anmelden, dann kannst Du die Firewall per GPO ausschalten. Viele Grüße olc

Hi Sunny, Da gibt es eine Menge Möglichkeiten. ;) Beispielsweise könntest Du unter Windows Server 2003 den "Replmon" verwenden oder aber repadmin: - repadmin /replsum /bysrc /bydest /sort:delta - repadmin /showrepl DCDIAG kann ggf. auch Hinweise auf Replikationsprobleme geben. Grundsätzlich lohnt ein Blick in folgendes Dokument: Download details: Active Directory Operations Schau einmal in die folgenden KB-Artikel: Virus scanning recommendations for computers that are running Windows Server 2003, Windows 2000, Windows XP, or Windows Vista Antivirus programs may modify security descriptors and cause excessive replication of FRS data in SYSVOL and DFS Managing Antivirus Software on Active Directory Domain Controllers [EDIT] ...zu spät. Daim war schneller. :) [/EDIT] Viele Grüße olc

Hi, ok, sorry - dann habe ich das in der "Textwüste" übersehen. Wie angesprochen könntest Du: das UserEnv Logging aktivieren einmal hier hinein schauen: You experience a delay when you use your Windows XP computer to log on to a domain or to connect to a network resource Zusätzlich: Wie alt sind die Netzwerkkartentreiber? Sind die Karten schon "online", wenn die Meldung angezeigt wird? Könnte man testen, wenn man den Client mittels "ping" versucht zu erreichen, wenn die Meldung angezeigt wird und die Verzögerung auftritt. Viele Grüße olc

Hi, ich persönlich glaube nicht, daß es etwas mit dem Dienst zu tun hat. Hast Du denn einmal manuell die Daten für das Exchange Konto im Credential Manager hinterlegt? Outlook sollte dann darauf zugreifen. Den Benutzernamen mußt Du dann in der Form DOMAIN\Benutzer für das Ziel des Exchange Servers angeben. Es gibt meines Wissens auch noch Optionen in Outlook, wie die Benutzerdaten gesendet werden sollen (ob überhaupt - und falls ja, ob mittels NTLM, Kerberos etc.). Vielleicht kann man dies ja ebenfalls noch einmal gegenprüfen. Viele Grüße olc

Hi lefg, nein, das ist normal. In bestimmten Konstellationen werden auch Computereinstellungen nach der Benutzeranmeldung übernommen, daher wird dies auch angezeigt (etwa Softwareverteilung, Loopback etc.). Soweit ich den Thread hier gelesen habe, ist immer noch nicht beantwortet, ob es Fehler im Event Log gibt oder? Das sollte erst einmal beantwortet werden. Ich wiederhole mich nur ungern ;) - aber ich denke außerdem, daß ein UserEnv Log sicherlich sinnvoll wäre. Alles andere ist meines Erachtens "im Trüben fischen". Viele Grüße olc

Viele Grüße olc

Hallo edocom, Du vermischt hier einige Dinge, die nichts miteinander zu tun haben. :wink2: DFS-N(amespaces). DFS-R(eplication) ist die Replikation ab Windows Server 2003 R2. Dann mußt Du ein anderes Produkt wählen, so z.B. SharePoint. Aufgabe von DFS-N / DFS-R ist es nicht, ein "check-in" oder "check-out" wie es SharePoint, Lotus Notes oder ähnliches bietet, ebenfalls abzubilden. Das sind verschiedene Ansätze. Du könntest beispielsweise auf dem Client "dfsutil /pktinfo" aufrufen. Dann siehst Du, auf welchen Server der Client gerade verbunden ist. Wenn die Server als auch die Clients in unterschiedlichen Sites liegen, könntest Du Site-Prioritäten einsetzen. Es gibt außerdem die Möglichkeit, einen Server als höchte Priorität anzugeben - entweder nur innerhalb einer Site oder auch über alle Sites hinweg. Damit könntest Du sicherstellen, daß (solange dieses System online ist) die Clients sich zuerst mit diesem System verbinden werden. Die Einstellungesmöglichkeiten findest Du in den Eigenschaften des Servers aufgerufen im DFS-Namespace Knoten der DFS MMC. Was meinst Du damit? Egal ob Du den Namespace auf einem DC oder einem anderen Server einrichtest, hat das nichts mit der Verteilung des Naespaces zu tun. Wenn Du mehrere Namespaceserver zur Ausfallsicherheit nutzen möchtest, mußt Du jeden hinzufügen, siehe auch Windows Server How-To Guides: Teil 1 - Verteilung von Namespaces auf verschiedene Server - ServerHowTo.de . [EDIT] Lukas war schneller. :) [/EDIT] Viele Grüße olc

Hi Norbert, das Problem bei "generischen Aussagen" ist, daß unter Umständen andere Leser auf diese Seite verschlagen werden (z.B. Suchmaschine oder Boardsuche) und das "keine Probleme" oder "lösche einfach alle Einträge" dann zu wörtlich nehmen. Natürlich muß eine Betrachtung immer im Einzelfall erfolgen - jedoch richtet sich leider nicht jeder danach. Daher ist es ab und an sinnvoll sich die Arbeit zu machen und auch die Seiteneffekte darzustellen. Sicherlich nicht immer - in diesem Fall jedoch m.E. nach schon. Daher mein Einwand. :wink2: Viele Grüße olc

Hi, Na ja, zumindest aller Wahscheinlichkeit nach - da nicht alle DNS Clients dynamische Updates unterstützen (etwa einige Linux Clients), können auch nicht-manuell erstellte Clients ein Problem sein, die nur einmal registriert wurden. Auch läßt sich ein Windows Client theoretisch so konfigurieren, daß er keine dynamischen Updates mehr durchführt (oder DHCP als Stellvertreter). Aber nachdem was der TO schreibt, wird es wohl klappen. Wenn die Umgebung kleiner ist (bei einem SBS ist davon auszugehen), kannst Du das in der MMC machen, ansonsten wie oben geschrieben über DNSCMD. Viele Grüße olc

Hi, grundsätzlich legt die Datei selbst fest, ob es ein "Locking" beim Zugriff gibt, so etwa bei Excel oder Access Dateien. Textdateien, geöffnet mit Notepad o.ä. sperren den gleichzeitigen Zugriff nicht. Davon unabhängig ist der Zugriff über DFS-N. Vorausgesetzt, daß beide Benutzer auf dem gleichen Ziel (also gleichem Server) arbeiten, gelten diese oben genannten Sperrmechanismen. Arbeiten die beiden Benutzer auf unterschiedlichen Zielen, ändert DFS-N nichts, denn es gibt kein "distributed locking" (verteiltes Sperren) bei DFS-N. Viele Grüße olc

Hi, wenn ich mich recht entsinne wäre dabei zu beachten, daß ein nachträgliches Aktivieren der "Alterung" / des Scavengings nicht diejenigen Einträge löscht, die schon vorhanden sind - es sei denn diese werden per dynamischer Aktualisierung derzeit noch erneuert. Das wird bei alten, nicht mehr vorhandenen Clients schwierig. ;) Erst bei aktiviertem Scavenging wird der entsprechende Zeitstempel auf den Einträgen / Objekten geschrieben. So wie es aussieht, ist bei Dir das Scavenging derzeit noch nicht aktiviert. D..h. für nicht mehr vorhandene Clients müßtest Du Dir eine andere Variante ausdenken, etwa mit DNSCMD alte Einträge zu löschen. Das ist jedoch recht fehleranfällig, da Du damit unter Umständen manuell erstellte Einträge löschst, die nicht gelöscht werden sollen. Viele Grüße olc

...ergänzend könnte man einmal ins UserEnv Log schauen, siehe How to enable user environment debug logging in retail builds of Windows . Viele Grüße olc

Hallo, "Trick 17" - ein Share auf unterer Ebene zu mappen oder "subst" einzusetzen reicht nicht aus? Oder kannst Du das so nicht einsetzen? Viele Grüße olc

Hast Du im Zertifikatrequest für certreq.exe eine Zertifikatvorlage angegeben? Falls nicht, versuche das einmal. Ggf. poste einmal Deinen Certreq Request bzw. die INF Datei. Andernfalls ist der Hinweis von zahni in jedem Fall korrekt (Thema Standard CAs und Templates). Ok, testweise würde ich es einmal ohne die Leerzeichen versuchen. Auch der X.500 Pfad erscheint mir zumindest fragwürdig. Versuche es doch einmal mit einem anderen Subject Name wie zum Beispiel: "CN=HOSTNAME.DOMAIN.TLD". Es sieht im Moment für mich jedoch eher so aus, als ob es nicht daran liegt, weil die Fehlermeldung in eine andere Richtung zu gehen scheint und ein grundsätzliches CA Problem anzeigen könnte. Ich hatte gefragt, ob sich andere Zertifikate über das Webenrollment ausstellen lassen. ;) Ich vermute, daß hier ein Problem liegen könnte (z.B. sind die DNS Einstellungen auf der CA korrekt gesetzt etc.) und sich schlichtweg gar keine Zertifikate ausstellen lassen. Das gilt in diesem Zusammenhang bzw. der Fehlermeldung natürlich nur, wenn die CA eine Enterprise und keine Stand-Alone CA ist. Ansonsten müßte man an anderer Stelle suchen. Viele Grüße olc

Hi, Du hast Recht - das ist nicht normal. :) Da Du die Gültigkeitsdauer schon ausgeschlossen hast - Scripts oder ähnliches, die neue Zertifikate beantragen, sind ebenfalls ausgeschlossen? Die alten Zertifikate sind nicht archiviert, sondern ganz normal - sagen wir "aktiv", ja? Unter Umständen werden Änderungen an dem "Domain Controller Authentication" Template vorgenommen? Wenn die entsprechende Group Policy aktiviert ist, ziehen sich die Systeme bei Änderungen am Template neue Zertifikate, siehe die letzten Punkte unter Configure Certificate Autoenrollment . Viele Grüße olc

Hi, als Gedankenspiel - Du könntest dem Benutzer die lokale Anmeldung über eine GPO verweigern: Microsoft Corporation Viele Grüße olc

Hi, autsch - entschuldige. Hatte nicht darauf geachtet, ob es XP oder CE im Link war. :) Aber genau das meinte ich - "control keymgr.dll" oder "control userpasswords2". Man kann den Credential Manager via GPO oder direkt über die Registry deaktivieren. Schau einmal, ob Du in dieser Richtung fündig wirst. Viele Grüße olc

Hi, ist unter Umständen der Credential Manager deaktiviert? Credential Manager Viele Grüße olc

Hi, versuche es einfach mit dsquery user "ou=users,ou=site,ou=coutry,dc=domain,dc=com" | dsget user -samid -disabled Damit würdest Du eine Liste bekommen, in der Du nach "disabled --> "no" filtern kannst. Ansonsten kannst Du die PowerShell nutzen - mit installierten PowerShell Commands for Active Directory by Quest Software ist es recht einfach: Get-QADUser -enabled Viele Grüße olc

Hi, ich weiß nicht, ob Du die maschinelle Übersetzung genutzt hast ;) - aber es ist egal, ob es sich um Child-Domänen handelt oder um Deine "Stammdomäne". Wie oben geschrieben liegt das Problem an den Zonen. Gehe wie oben oder im KB-Artikel angesprochen vor und das Problem wird sich aller Wahrscheinlichkeit nach lösen. :) Viele Grüße olc

Hi Damian, danke für den Tipp. :thumb1: Ganz fetzig ist auch \\live.sysinternals.com\tools . Das läßt sich beispielsweise entweder direkt als Explorer Laufwerk (über WebDAV) mappen oder man kopiert sich die Tools einfach als Batch-Job von Zeit zu Zeit über den UNC Pfad auf die lokalen Systeme. Auf der Freigabe werden immer die aktuellen Versionen der einzelnen Tools veröffentlicht. :) Viele Grüße olc

Hallo und willkommen hier im Board, Lassen sich andere Zertifikate / Zertifikatanforderungen problemlos ausstellen (über Webenrollment)? Was passiert, wenn Du als Antragsteller den Hostnamen bzw. FQDN der Maschine angibst? Sind die Leerzeichen im Subject Name auch in Deinem Request so oder war dies nur ein Fehler beim Schreiben hier? Ist es möglich mittels certreq.exe ein entsprechendes Zertifikat zu beantragen? Viele Grüße olc