ericmichael

Ich nutze dazu immer das Tool lockoutstatus. Mit dem Tool siehst du schön welcher DC zu welchem Zeitpunkt die falsche Anmeldung erhalten hat und wann das Konto gesperrt wurde. Du musst danach lediglich im Log des DC nach diesem Zeitpunkt suchen und du wirst sehen von welcher Maschine die Fehlversuche kamen. Dann hast du die Suche zumindest schon mal eingeschränkt.

Bei uns sind auch relativ häufig vergessen RDP Sessions der Grund für gesperrte Konten.

Gruß

Eric

Hallo olc,

nein ein certutil -pulse hatte ich auch schon versucht. Wobei das ja eigentlich auch darauf aufbaut, dass bereits die Zertifikate der Zertifizierungsstellen erfolgreich geladen wurden.

Ich gebe aber nicht so schnell auf. ;-)

Sobald ich was habe melde ich mich zurück.

Gruß

Eric

Hi,

tja, die Ldap Abfragen sehen fast identisch wie auf meinem Rechner aus.

Der einzige Unterschied ist, dass mein Rechner nach den Policies noch eine Suche auf den CN NTDS Settings, Public Key Services und NTAuthCertificates.

Auch nach dem dritten Versuch sehen die Abfragen identisch aus.

Da der Problemrechner dies nicht macht lädt er logischerweise auch die Zertifikate nicht.

Allerdings weiss ich noch nicht wie ich den Rechner dazu bringen dort zu Suchen und vor allem was ihn dazu bewegt hat die CNs zu ignorieren.

Gruß

Eric

Hallo olc,

ich meinte mit "im AD veröffentlicht", dass die Zertifizierungsstellenzertifikate im CN AIA und die Sperrlisten im CN CDP veröffentlicht sind. Des weiteren befindet sich im CN Certificate Authorities das Rootzertifikat und im CN Enrollment Services das Zertifikat der Unternhemenszertifizierungsstelle. Die Vorlagen sind auch installiert aber sind ja hierfür nicht relevant.

Auf dem Client ist Autoenrollment per GPO aktiviert. Allerdings schlägt es fehl da dem Client keine Zertifizierungsstelle bekannt ist. Dies ist zumindest meine Vermutung, ich sehe aber keinen Einträge im Eventlog.

Neuinstallation wäre natürlich eine Alternative. Aber um ehrlich zu sein möchte ich verstehen wo das Problem liegt. Ich kann derzeit nicht ausschließen, dass es noch weitere Rechner mit dem selben Problem gibt.

In den MS Dokumentation wird zumindest erklärt, dass die Verbreitung der veröffentlichten Zertifikate im Zuge der Aktualisierung der Gruppenrichtlinien erfolgt. Aber auch ein gpupdate /target:computer /force brachte wie rebooten keinen Erfolg - aber auch leider keinen Fehler.

Gruß

Eric

Hallo Zusammen,

ich habe hier einen XP Rechner, der leider so tut als hätte ich keine PKI.

Ich betreibe eine dreistufige PKI und habe die Zertifikate und Sperrlisten in der AD veröffentlicht. Die dritte CA ist des weiteren als Enterprise CA installiert.

Mittels ADSI-Editor habe ich die Einträge der PKI überprüft und konnte keine Fehler feststellen.

Es gab vor ein paar Jahren zwar bereits eine CA in der Domäne welche ich vor Installation der neuen PKI aber entfernt habe.

Auf dem betroffenen Client war allerdings noch das Zertifikat der alten PKI vorhanden obwohl dies vollständig aus der AD genommen wurde.

Nach längerem verzweifeltem Suchen habe ich den Client neu in die Domäne aufgenommen. Danach hat er zumindest das alte Zertifikat entfernt.

Leider lädt der Client die neuen veröffentlichten Zertifikate noch immer nicht.

Hat jemand eine Idee ich dem Client beibringen kann, dass er sich die Informationen erneut besorgt?

Es hat bisher schließlich auf fast 1000 Rechner funktioniert.

Viele Grüße

Eric

Moin,

es kann natürlich durchaus sein, dass der User noch an einem anderen Rechner/Server angemeldet ist und in der Zwischenzeit sein Kennwort geändert hat. Bei uns passiert soetwas leider regelmäßig.

Allerdings wirst du auch immer die passenden Einträge im Eventlog des Domänenkontrollers finden.

Ich würde dir empfehlem für solche Fälle die kostenlosen Account Lockout Tools zu verwenden.

Hiermit sieht du genau zu welcher Zeit das Konto gesperrt wurde und kannst somit direkt im Securitylog des DC nachsehen von welchem Rechner oder Server die Sperrung erfolgt ist.

Viel Glück bei der Suche.

Eric

Also bei 2Mbit würde ich auf jeden Fall eine Full-Mesch Replikation bevorzugen. Die Datenmenge und vorallem die benötigte Bandbreite für die AD Replikation ist doch sehr gering mit Ausnahme einer Schemareplikation. Wir hatten vor dem upgrade auf 10Mbit auch nur 2Mbit verfügbar und die einzigen Engpässe die auftraten waren durch Datentransfers auf den entfernten Fielserver zurückzuführen.

Dieser Beitrag ist Teil des Gewinnspiels "Rette Julia" zur Monatsaufgabe November.

Der Beitrag ist geschlossen, da die Monatsaufgabe November erfüllt wurde.

Mehr dazu: http://www.mcseboard.de/rettejulia.php

__

Im Gegensatz zu den alten Software Restriction Policies von XP und Vista lässt sich nun mit Hilfe von Applocker das Ausführen von Software im Unternehmensumfeld einfach und komfortabel steuern.

Da dieses neue coole Sicherheitsfeature leider nur unter Windows 7 Enterprise und Ultimate läuft ist das ein klarer Vorteil für Julias falsch bestellte Windows Ultimate Versionen. ;-)

Hey Joe,

danke für dein Feedback.

Der Hersteller konnte den Fehler selbst leider nicht reproduzieren. Er hat aber das Problem auf unserem System selbst gesehen, kann es sich aber nicht erklären.

Den RegKey habe bereits vor längerem mal geprüft. Wie du aber selbst schon vermutet hast liegt es nicht daran. Es sind auch wirklich nur die Ordner die von dieser Software angelegt werden betroffen. Zu allem Übel sind es aber auch nicht alle. Ich war schon am überlegen ob es ein Problem mit der Kommunikation ist. Bin aber noch am überlegen wie ich das nachvollziehen kann.

Hallo zusammen,

ich beobachte schon seit längerem ein Phänomen bei dem ich leider nicht weiter komme.

Zur Infrastruktur kann ich vorab sagen dass es sich um ein MS Cluster mit einem dahinter stehen HP SAN handelt.

Wir nutzen ein Elektronenmikroskop welches über einen dedizierten Rechner/Server Bilder erstellt und gemäß den Einstellungen in eine Ordnerstruktur auf dem Dateiserver abspeichert.

Leider kommt es des öfteren vor, dass Ordner welche von diesem Mikroskop angelegt werden über keine Registerkarte Sicherheit verfügen. Aufgefallen ist dies durch die Sicherungsfehler in ARCserve.

Wenn ich den Ordner öffne sehe ich auch die abgespeicherten Fotos darin lediglich ein Ändern des Ordners ist nicht möglich.

Das einzige wie ich mir bisher helfen konnte ist einen zusätzlichen Ordner anlegen der den gleichen Namen trägt. Somit ist auch die Registerkarte Sicherheit wieder verfügbar und die Datensicherung bringt keinen Fehler mehr.

Hat jemand eine Idee wie man das abstellen kann? Nach wochenlangen Supportversuchen des Mikroskopherstellers dachte ich, dass ich mich mal besser an die richtigen Profis wenden sollte. ;-)

Im Anhang habe ich die Darstellung eines betroffenen Ordners.

Grüße

Eric

Danke,

ich hab mich hauptsächlich mit dem Buch von Nicole Laue vorbereitet. Mit dem Second Shot im Hinterkopf bin ich auch dementsprechend entspannt an die Prüfung gegangen.

Alles in allem war es doch eine der leichtesten Prüfungen auf dem Weg zum MCSE.

Man muss sich auch nicht das ganze Szenario durchlesen. Ich schätze, dass man doch fast 50% nur mit dem nötigen Wissen beantworten kann da die Fragen sehr eindeutig gestellt sind.

Gruß

Eric

Hallo zusammen,

ich komme gerade von der 70-298 und habe mit stolzen 973 Punkten bestanden.

Wenn ich es noch richtig in Erinnerung habe müsste ich nun sogar endlich MCSE sein ;-)

Die Prüfung hat sich im Vergleich zu den letzten Beschreibungen nicht verändert. Ich hatte 5 Szenarien und 35 Fragen.

Grüße

Eric

wer macht mit? ;)

Ich bin dabei. ;-) Hab mich gestern Nacht noch schnell angemeldet.

Wie wirst du Dich denn darauf vorbereiten?

Gruß Eric

Hallo Genom,

ich bin erst MCSA und habe auch schon die 649 gemacht.

Die 3 Credentials bekommst du allerdings erst wenn du auch MCSE bist. Davor gibt's nichts.

Solange steht einfach "nur" die bestandene Prüfung in deinem Transcript.

Gruß Eric

Hallo Grizzly999,

ich möchte gerne am Freitag nach langer Zeit die 294 machen.

Kannst du mir bitte einen Voucher zusenden? Ich würde die Prüfung allerdings in der Schweiz machen da die Prüfungscenter dort für mich sehr viel näher sind.

Hättest du daher auch einen für mich der in der Schweiz gültig ist?

Gruß Eric

Habe ein Problem

 

ich muss ganz dringend eine Mail versenden habe aber keinen Internet Anschluss bzw. Zugang. Nun habe ich mir überlegt ob man die mail nicht per Telnet irgendwie senden könnte ohne einen Internetanschluss zu besitzen. Oder kann man das versenden irgendwie erzwingen??

 

 

Ich wäre euch für Tipps sehr dankbar

Wie willst du denn ohne Internetanschluß eine Mail versenden?

Wie wär es denn über dein Handy?

Gruß Eric

Hi,

 

also, ich habe gerda mal ein anders Prüungscenter angerufen:

• 
  Betroffen sind wirklich nur die Upgrade Prüfungen von 2003 auf 2008.
  MCSE heißt demnächst MCDST, o.ä. - die wussten es selber nicht ganz genau.

 

Der erste Anruf war wohl so was wie eine Panikmacherei.

 

Grüsse

Hajoe

Hi,

Bitte nicht schon wieder alles durcheinander bringen:

Es geht um die Prüfungen von 2000 auf 2003 und NICHT um 2003 auf 2008! ;-)

Und der MCSE wird auch NICHT MCDST heissen!

Wenn schon etwas vergleichbares dann MCITP:Enterprise Administrator.

Gruß Eric

Dann schau doch mal zwei posts unter deinem:

http://www.mcseboard.de/windows-vista-forum-55/windows-vista-xp-bootmanager-124434.html

Das sollte dir auf alle Fälle weiterhelfen. Die Suche wäre auch eine Idee

Mein ScoreReport ist heute auch angekommen, leider nur 604 Punkte aber das war ja nichts neues. Ist allerdings interessant zu sehen, dass meine Schwachstelle nicht in der Network Infrastructure liegt sondern im Active Directory.

Werde wohl noch ein wenig lernen und testen damit ich den Voucher nicht verschwende. ;-)

Hallo Herbert,

ich habe bisher leider auch nur herausgefunden, dass es sich um Probleme mit der Kommunikation des Samba-Servers handelt.

Ich betreibe selbst auch ein Linuxbasiertes NAS und bin was das angeht leider nicht so zufrieden.

Die einzigste Möglichkeit die ich bisher entdeckt habe ist ein Backupprogramm names Syncback. Das ist auch als Freeware erhältlich und es lässt sich dort eine Zeit in Sekunden und ein Datum in Tagen einstellen, welches von der Synchronisierung nicht beachtet werden soll.

Ist zwar nicht optimal aber vielleicht hilft es dir ja weiter.

Gruß Eric

Du könntest dir eine statische Route anlegen in welcher du angibst dass alles was ins Netz 10.31.1.0 über ein bestimmtes Gaeway laufen soll. Ich bin mir aber gerade nicht sicher ob das die Lösung ist.

Edit: Hast du mal geschaut ob in deiner LAN Verbindung auch ein Gateway eingetragen ist? Falls ja versuch es doch mal bitte ohne

Guß Eric

Ja das ist möglich. Gib der Gruppe einfach nur das Recht schreiben aber achte darauf, dass die Mitglieder nicht über Gruppen wie z.B. "Benutzer" das Recht Lesen bekommen.

Gruß Eric

Hallo,

 

ich habe das Problem, dass im Outlook 2003 die Ordnerliste abgeschnitten ist.

Die Ordner Namen werden nicht vollständig angezeigt und sind abgeschnitten.

 

Kennt jemand dieses Problem?

 

Gruß

 

Kevin

Wie muss ich mir denn das vorstellen? Kannst du vielleicht einen Screenshot anhängen?

Gruß Eric

Ich benutze zwar VMware Server aber laufen denn alle NICs der VMs im bridged mode?

Nur mal als ganz ****e Frage: Die anderen IP-Adressen liegen aber auch noch im selben Subnetz?

Gruß Eric

weiß nur net, wie man den befehl schreibt in der Eingabeaufforderun...

Nur zur Info, es handelt sich hierbei nicht um einen Befehl sondern um eine Art der Übertragung.

Gruß Eric