Nasi_be

Hmm, warum muss einem das Leben immer so schwer gemacht werden...

Es wäre doch viel leichter den Wert einfach im Klartext in einem Feld abzuspeichern...

Das Script kannte ich schon in ähnlicher Weise, aber ich dachte es gäbe eine einfache und schöne Lösung über die MMC

 

Trotzdem vielen Dank für die Hilfe.

 

Thomas de Lange

Hallo zusammen!

 

Ich würde gerne über eine Oberfläche in der ADS suchen (ohne VBS-Scripte)

Es gibt ja unter "Active-Directory Benutzer und Computer" die Möglichkeit von benutzerdefinierten erweiterten Abfragen, wo ich auch einfache Sachen hin bekomme weil ich Beispiele im Netz gefunden habe.

 

Jetzt geht es aber richtig los:

Ich muss die Benutzer finden, die kein TS-Profil eingetragen haben.

Gibt es eine Möglichkeit, dass über diesen Weg zu finden?

 

Scripte helfen mir nicht viel, weil ich anderen Personen die Übersicht als Tabelle zur Verfügung stellen wollte.

 

Oder gibt es andere Tools, mit denen man vernünftig und ohne große Scripting-Erfahrung in der ADS suchen kann?

(Am liebsten Freeware, aber wenn es so etwas nur kostenpflichtig gibt, müsste ich da mal meinen Chef bequatschen...)

 

Oder bin ich der einzigste, der sich ein einfach zu bedienendes Tool für solche Aufgaben wünscht?

 

Gruß

Thomas de Lange

Erstmal vielen Dank für die Hilfe.

 

Ich werde dann wohl mal eine Neuaktivierung versuchen...

 

Gruß

Thomas

Erstmal vielen Dank für die ausführliche Antwort.

Wir hatten immer die Anmeldung ausgeführt, damit der Client ne Lizenz hat, aber die Überlegungen mit den temporären Lizenzen ist sehr gut.

Das werden wir auf jeden Fall mal ausprobieren.

 

Allerdings haben wir dann jetzt immer noch das Problem, dass wir einige Lizenzen zu viel vergeben haben und deswegen jetzt keine neuen mehr vergeben können.

Außerdem hängen da auch noch PCs unabhängig vom Schulungsraum drin, die so nicht mehr existieren.

Was mache ich denn, wenn es keine Möglichkeit gibt die Lizenzen wieder zu entfernen...?

 

An dem HDGuard kommen wir leider nicht vorbei, da der PC im Schulungsraum auch noch für andere Aufgaben gebraucht wird, die dann nur lokal laufen.

 

Gruß

Thomas

Eigentlich haben wir den HDGuard erst aktiviert, nachdem wir einmal mit den PCs auf den Terminalserver zugegriffen haben.

Allerdings haben wir auch an anderen Stellen das Problem, dass noch Lizenzen im Lizenz-Server eingetragen sind, zu denen die PCs so gar nicht mehr existieren.

Die muss ich doch auch irgendwie entfernen können, oder?

 

Gruß

Thomas

Hallo!

 

Vielleicht kann mir ja jemand bei folgendem Problem helfen:

Wir haben eine Terminal-Server-Farm mit mehreren W2K3-Standard-SP1 Terminal-Servern.

Auf dem Lizenzserver sind Terminalserver-CALs eingetragen und eigentlich war alles gut.

 

Jetzt aber zu dem Problem:

Wir haben Schulungs-PCs die mit der Software HDGuard ausgestattet sind.

Die Software sorgt dafür, dass nach einem Neustart des Rechners der Originalzustand wieder hergestellt wird.

Das hat jetzt allerdings zur Folge, dass sich diese PCs immer wieder neue Lizenzen holen und jetzt tauchen in der Terminalserver-Lizenzierung ganz oft die Schulungs-PCs auf und ich habe keine freien Lizenzen mehr um neue PCs anzumelden.

 

Im Internet habe ich bis jetzt nur ne Anleitung gefunden, wie ich die Lizenz auf dem Client wieder entfernen kann, aber da ja nach einem Neustart die Einstellung eh wieder weg ist bringt mich das nicht wirklich weiter.

 

Ich bräuchte eine Möglichkeit die Lizenzen auf dem Lizenz-Server zu widerrufen.

Hat da jemand eine Idee, wie bzw. ob so etwas geht?

Was kann ich sonst machen?

 

Gruß

Thomas

Hallo alle zusammen!

 

Ich habe ein merkwürdiges Problem festgestellt:

 

Wir betreiben eine Terminalserver-Farm mit Windows Server 2003 und Citrix Presentation Server 4.0.

Ich habe jetzt in der RootDrv2.cmd einen Laufwerksbuchstaben eingetragen um jedem User ein RootDrive zu mappen.

 

Wenn ich jetzt einen neuen Benutzer anlege und eine veröffentlichte Anwendung starte (Zum Testen habe ich einfach cmd.exe veröffentlicht) bekomme ich kein RootDrive zugeordnet.

 

Wenn ich mich allerdings einmal mit dem User direkt über die Konsole anmelde wird das RootDrive gemappt.

Danach funktioniert dann auch das Mapping beim Aufruf von veröffentlichten Anwendungen.

 

Da aber demnächste einige User angelegt werden müssen, habe ich keine große Lust erst einmal jeden User per Hand an der Konsole anzumelden.

Außerdem kann ich mir nur schwer vorstellen, dass das so gewollt ist.

 

Wo liegt also mein Problem?

Hat vielleicht jemand eine Idee?

 

Mit freundlichen Grüßen

Thomas de Lange

Hi!

 

Es scheint mir so, dass die Clients versuchen den Netbios-Names aufzulösen, das aber nicht schaffen. WINS wäre der erste Schritt für die Lösung, da ich momentan glaube, das die Clients (aus welchen Gründen auch immer) die OpenVPN-Verbindung zur Namensauflösung mitnutzen. Das leite ich aus der Aussage ab, dass bei abgeschaltetem openVPN die Sache funzt. Ist auch klar, denn dann erreicht ein Broadcast auf den Servernamen auch den Server.

 

Das war auch mein erster Gedanke.

Wir benutzen zusätzlich noch ein Produkt zur automatisierten Installation der Clients.

D.h. bei einer Neuinstallation werden die Clients über PXE gebootet und holen sich dann vom Server die XP-Installationsdateien.

Dabei wird dann per Dos eine Netzwerkverbindung zum Server aufgebaut.

Nach der Einrichtung der VPN-Verbindung funktionierte das nicht mehr.

(Der Servername konnte nicht aufgelöst werden)

Daraufhin haben wir in der TCP/IP-Konfiguration der VPN-Verbindung "NetBIOS über TCP/IP" deaktiviert und danach lief es wieder.

 

Deswegen war ich eigentlich der Meinung, daß könnte es jetzt nicht mehr sein, aber ich bin auch der Meinung, daß irgendetwas durch den Tunnel geschickt wird, was da nichts zu suchen hat.

Ich wette, ein Netzlaufwerk, welches nicht via net use \\servername\freigabename sondern via net use \\ip.des.servers\freigabename sofort und schnell funktioniert.

 

Das werde ich dann auch nächste Woche testen...

 

Das die Server automatisch beim Start einen VPN-Tunnel aufbauen der nur gelegentlich zu Wartungszwecken genutzt wird, halte ich für wenig sinnvoll. Dazu musst Du immer wieder bei euch die Routingtabellen anpassen, neues VPN konfigurieren usw., wenn wieder einer dazu kommt.

 

Da wir mittlerweile hier alle Schulen "unter unserer Kontrolle" haben, ist es relativ unwahrscheinlich, daß da schnell eine dazu kommt.

Die dauerhafte Verbindung hat den Vorteil, daß wir relativ schnell mitbekommen, wenn es Probleme mit den Servern gibt.

 

Hätte auch den Vorteil, dass Du bestimmst, welcher VPN-Tunnel geöffnet wird und welcher nicht. Dann kommt so ein Server (oder Virus/Wurm oder User etc.) auch nicht auf die Idee, vom Server aus durch den (heute noch) bestehenden Tunnel Daten zu euch zu schieben oder sich von dort zu holen.

 

Auf den Server haben nur wir Zugriff und kein Lehrer und es werden nur Programme installiert, die vorher auf einem isolierten Testsystem getestet wurden...

 

Dann würde ich auf den Server vielleicht via RDP zugreifen, was den Vorteil hätte, dass Du z.B. Laufwerke deines PCs auch auf dem Server verfügbar machen kannst (Stichwort Datenaustausch und Zwischenablage). Auch könntest Du Dokumente des Servers bei Dir ausdrucken.

 

Mit dem richtigen VNC ist Datenaustausch auch möglich und außerdem haben wir ja immer noch FTP.

 

Auf den XP-Clients kann man die Remotedesktopfreigabe auch einschalten, damit Du wiederum via RDP auf eine Maschine kommst. Wenn Du dich dann auf dem Server via VPN einwählst, wirst Du Teil des vor-ort-netzes und kannst von Deinem PC eine RDP-Verbindung auf den XP-Rechner direkt machen. Alternativ machst Du es von Server aus auf den PC (sozusagen "Bild in Bild").

 

Mittlerweile habe ich es auch so eingestellt, daß ich vom Server aus mittels Remotedesktopfreigabe auf die Clients zugreifen kann.

 

Versteh mich nicht falsch.

Ich finde die Umsetzung über RDP wie du sie geschildert hast nicht schlecht, aber um das bei uns umzusetzen, müßten 2 Firewalls, 6 Server, 6 Router, das OpenVPN-Gateway und etliche Clients umkonfiguriert werden.

Und da uns die Lösung meiner Ansicht nach nicht wirkliche Vorteile bringt ist mir das glaube ich zu viel Arbeit.

 

Gruß

 

Thomas

Stimmt.

 

6 unterschiedliche Netze, aber auch 6 unterschiedliche IP-Kreise, aber im Prinzip alle ähnlich.

 

Jedes Netz hat einen eigenen Server und alle Netze sind unabhängig.

 

Auf dem Server ist OpenVPN als Dienst installiert, so daß beim Start des Servers die Verbindung zu uns aufgebaut wird und eigentlich auch dauerhaft steht.

 

Allerdings muß ich an dem Punkt die ganze Geschichte erstmal auf Eis legen...

 

Für die Installation von Wins brauche ich ne Windows-CD und die liegt neben mir und nicht am Server, mal ganz davon abgesehen, daß ich an den Clients von meinem Büro aus gar nichts eintragen kann.

(Kann ich Wins-Einstellungen per Gruppenrichtlinie setzen?)

 

Ich bin hoffentlich Anfang nächster Woche wieder in einer Schule und werde das dann testen...

 

Muß ich nach der Installation von WINS irgendetwas beachten oder konfigurieren?

 

Auf jeden Fall schonmal vielen Dank für die Unterstützung

 

Gruß

Thomas

Hallo,

 

hier noch ein paar Hintergrund-informationen.

Bei den Netzwerken handelt es sich um Schulen. Die Netzwerke sind eigentlich komplett eigenständig und gehen über einen normalen DSL-Anschluß ins Internet.

Da ich aber auch von meinem Büro aus Zugriff auf den Server benötige, damit ich bei kleinen Änderungen nicht immer in die entsprechende Schule fahren muß haben wir uns überlegt eine VPN-Verbindung zu nutzen.

 

Dabei baut der Server in der Schule über OpenVPN eine Verbindung zu einem OpenVPN-Gateway bei uns im Firmennetz auf.

Auf dieser VPN-Verbindung ist von unserer Seite aus nur FTP und VNC erlaubt, damit ich in der Lage bin, den Server von hier aus zu kontrollieren.

Wenn man so will, ist also eigentlich der Server ein OpenVPN-Client.

Das ist der Sinn des OpenVPN.

 

Die "ipconfig /all"-Ausgaben stammen von dem Server und einem Schul-Client.

 

Wofür ist denn überhaupt WINS?

Ich habe es bis jetzt noch nie vermisst und bin immer davon ausgegangen, daß man WINS nicht braucht, wenn man nen DNS-Server hat.

 

Gruß

Thomas

Hallo dippas,

 

vielen Dank für die Antwort.

An die genannten Angaben hätte ich eigentlich auch selber denken können, aber irgendwie war ich zu sehr mit der Fehlerbeschreibung beschäftigt...

 

Hier also jetzt mal die Antworten auf die Fragen:

 

Zu Frage 1:

#########################################

 

Alle Maschinen hängen im Netz: 10.201.4.0/23

 

ipconfig /all vom Server

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : w2ksrv03

Primres DNS-Suffix . . . . . . . : xxxx.yyyyyy

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : xxxx.yyyyyy

 

Ethernet-Adapter LAN-Verbindung 4:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : TAP-Win32 Adapter V8

Physikalische Adresse . . . . . . : 00-FF-7D-CF-64-55

DHCP aktiviert . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 172.18.26.10

Subnetzmaske . . . . . . . . . . : 255.255.255.252

Standardgateway . . . . . . . . . :

DHCP-Server . . . . . . . . . . . : 172.18.26.9

NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Lease erhalten . . . . . . . . . : Donnerstag, 26. Oktober 2006 05:04:02

Lease luft ab . . . . . . . . . : Freitag, 26. Oktober 2007 05:04:02

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: xxxx.yyyyyy

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-30-05-75-87-8D

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.201.4.1

Subnetzmaske . . . . . . . . . . : 255.255.254.0

Standardgateway . . . . . . . . . : 10.201.4.10

DNS-Server . . . . . . . . . . . : 10.201.4.1

 

#############

 

ipconfig /all vom Client

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : 10_201_4_51

Primres DNS-Suffix . . . . . . . : xxxx.yyyyyy

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : xxxx.yyyyyy

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® PRO/100 VM Network Connection

Physikalische Adresse . . . . . . : 00-20-ED-9A-DE-DB

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.201.4.51

Subnetzmaske . . . . . . . . . . : 255.255.254.0

Standardgateway . . . . . . . . . : 10.201.4.10

DNS-Server . . . . . . . . . . . : 10.201.4.1

 

zu Frage 2:

#########################################

 

Ein WINS-Server ist nicht installiert.

 

zu Frage 3:

#########################################

 

Der Server baut eine VPN-Verbindung über OpenVPN zu einem Rechner hier im Netz auf.

Es ist aber so eingerichtet, daß nur der Server die Verbindung nutzen kann und nicht auch noch alle Clients.

 

zu Frage 4:

#########################################

 

Da ich mir die Angaben im Moment per Fernwartung vom Server hole, kann ich das leider nicht testen,

denn dann würde ich mir selbst die Verbindung kappen.

 

Wenn ich die Netzwerkverbindung für das VPN auf dem Server deaktiviere, dann geht es schnell,

also sollten bei "ipconfig /all" eigentlich nur die Eintragungen für die VPN-Verbindung fehlen.

 

 

Ich habe jetzt mal bei der Zusammenstellung der Angaben "ipconfig /all" bei verschiedenen Standorten verglichen.

Dabei ist mir aufgefallen, daß die Einträge

- IP-Routing aktiviert

- WINS-Proxy aktiviert

sich bei einigen unterscheiden.

 

Bei dem Auszug oben ist beides aktiviert.

Ich habe aber auch einen, bei dem beides deaktiviert ist und auch einen,

bei dem nur der WINS-Proxy aktivert ist.

 

Ich hoffe die Angaben helfen ein bischen weiter...

 

Gruß

Thomas

Hallo zusammen,

 

ich habe ein paar merkwürdige Perforance-Probleme und finde keinen Ansatz zur Fehlersuche.

 

Die Umgebung ist ein Windows 2003 Standard-Server, der als Domänen-Controller, DNS-Server und File-Server läuft (es gibt nur 1 Server).

An dem Server hängen ca. 30-40 Clients unter Windows XP Pro SP1.

 

Zusätzlich ist auf dem Server noch OpenVPN installiert, damit ich von dem Firmennetzwerk auf den Server, der an einem entfernten Standort steht, zugreifen kann.

 

Jetzt habe ich folgendes Verhalten:

 

1.

Der erste Zugriff auf Server-Ressourcen (gemeinsames Netzlaufwerk) dauert sehr lange. Wenn ich dann einmal drauf bin, kann ich mich eigentlich mit einem normalen Tempo durch die Unterverzeichnisse klicken.

 

2.

Ich habe 2 verschiedene Gruppenrichtlinien, die das Startverhalten des PCs verändern.

Bei der einen wird automatisch ein Benutzer angemeldet, damit ich in der Lage bin remote neue Software zu installieren und bei der anderen nicht.

Eigentlich habe ich es so eigestellt, daß der Client am Anfang auf jeden Fall die Richtlinien aktualisieren soll, aber es sieht so aus, als rennt er da auch irgendwann in ein Timeout.

Wenn ich mich dann selber anmelde und per "gpudpate /force" die Richtlinien aktualisiere kann es sein, daß ich das 2-3 mal machen muß, bevor er wirklich die aktuellen Einstellungen zieht.

 

Und jetzt kommt das kuriose an der Sache:

Wenn ich die OpenVPN-Netzwerkverbindung deaktiviere läuft alles ganz normal...

An der Firewall hier im Firmennetz am OpenVPN-Gateway, wo die Verbindung ankommt läßt sich aber nichts erkennen.

Da sind eh nur Ports für FTP und VNC geöffnet und alles andere wird geblockt.

 

Ich weiß einfach nicht, wie ich dem Fehler auf die Schliche kommen kann.

Mittlerweile ist der Fehler in allen 6 Aussenstellen aufgetreten...

 

Hat da irgendwer eine Idee?

 

Gruß

Thomas

Perfekt!

 

Das ist genau das, was ich gesucht habe.

Ich weiß zwar noch nicht genau, welcher der vorgeschlagenen Lösungsansätze der beste ist, (Mitgliedschaften zu ändern, kommt leider nicht in Frage.) aber ich weiß jetzt auf jeden Fall wonach ich suchen kann.

 

Vielen Dank und Gruß

Thomas de Lange

Hallo zusammen,

 

es hat lange gedauert, aber jetzt bin ich folgendem Problem auf die Schliche gekommen:

Ich verwalte eine Windows-Domäne mit einem W2k3-DC in einer Schule.

In der Domäne gibt es eine Gruppe Lehrer, die Mitglied in den Gruppen Konten-Operatoren und Server-Operatoren ist.

Jetzt soll es möglich sein, daß ein Lehrer weitere Lehrer anlegen kann.

D.h. er braucht das Recht zusätzliche Personen in die Gruppe Lehrer aufzunehmen.

Deswegen habe ich zwei Dinge probiert:

1.

Ich habe unter Sicherheit der Gruppe Lehrer dem Eintrag SELBST Vollzugriff gegeben

2.

Ich habe unter Sicherheit der Gruppe Lehrer den Eintrag Lehrer mit Vollzugriff hinzugefügt

 

Aber egal, welchen Weg ich gehe, nach spätestens 60 Minuten ist der Eintrag wieder zurückgesetzt.

 

Mittlerweile habe ich herausgefunden, daß dabei ein Eintrag im EventLog angelegt wird:

 

Quelle: Security

Kategorie: Kontenverwaltung

Ereigniskennung: 684

Benutzer: ANONYMOUS-ANMELDUNG

Beschreibung:

ACLs von Mitgliedern in Administratorgruppen festlegen:

Zielkontoname: <Lehrergruppe>

Zieldomäne: <Domäne>

Zielkontokennung: <Domäne>\<Lehrergruppe>

Aufruferbenutzername: <Server>$

Aufruferdomäne: <Domäne>

Aufruferanmeldekennung: (0x0,0x3E7)

Berechtigungen: -

 

Nach einer Internetrecherche habe ich dann folgendes zur EvendID 684 gefunden:

EventSentry Help v2.71

 

Unter EventID 684 finde ich da folgende Meldung:

 

Event ID: 684

The security descriptor of administrative group members was set.

Note: Every 60 minutes on a domain controller, a background thread searches all members of administrative groups (such as domain, enterprise, and schema administrators) and applies a fixed security descriptor on them. This event is logged.

 

Ist ja nett, daß Windows einem Administrator so sehr vertraut, dass die gemachten Einstellungen wieder zurückgesetzt werden.

Jetzt habe ich das Problem zwar lokalisiert, aber ich habe noch keine Möglichkeit gefunden das ganze zu beheben.

Kennt jemand eine Möglichkeit entweder diesen Mechanismus abzuschalten, oder aber die Standard-Einstellungen so zu ändern, daß er diese Berechtigung drin läßt?

 

Vielen Dank und Gruß

Thomas de Lange