Purecut

@morphium

bist zu bei deinem Problem weitergekommen?

Ich habe auf einem 2008 R2 genau die selben Fehler. 4672, 4624, 4634. Über 2500 Einträge pro Tag.

Ich setze auch SEP ein. Eine Deaktivierung von Netzwerkscannen brachte leider auch nicht den Erfolg.

Für jeden Hinweis, Tip - Danke.

Danke für deine Erklärung.

Danke OLC für deinen Kommentar.

Ich störe mich nur etwas daran, das Microsoft in seiner "Best practice" sagt, dass in dem RootCA keine CRL Pfade enthalten sein sollen.

A root CA certificate should have an empty CRL distribution point because the CRL distribution point is defined by the certificate issuer. Since the roots certificate issuer is the root CA, there is no value in including a CRL distribution point for the root CA. In addition, some applications may detect an invalid certificate chain if the root certificate has a CRL distribution point extension set.

Die hab ich aber jetzt in der Nr. 1 jetzt drinstehen. Das ist der Grund für das warum und ich hab auf den Clients 2 RootCAs liegen.

Hallo,

ich habe ein Zertifikatsproblem der Zertifizierungsstelle. Bis dato hatte ich nur das Zertifikat mit der Nr. 0 in der Zertifizierungsstelle, welches zum Ausstellen von Zertifikaten im Unternehmen genutzt wird. Da jetzt aber Mitarbeiter via RDP sich verbinden, musste die Zertifikatssperrliste veröffentlicht werden. Das Zertifikat 0 beinhaltete die Info, wo die Sperrliste von außen zugänglich und gezogen werden konnte leider nicht.

Aus diesem Grund habe ich in den Eigenschaften des Zertifikates 0 die Infos eingetragen. Danach wurde die Zertifizierungsstelle neu gestartet und nun habe ich zwei Zertifikate in dem Liste der zu verwendeten Root CAs stehen.

0 mit den alten Infos, 1 mit den aktuellen und der Sperrliste.

Wie bekomme ich das Zertifikat 0 aus dieser Liste und aus dem AD raus, so dass ich nur noch das Zertifikat 1 mit den entsprechenden Infos habe und dies auch benutzt wird. Alle Clients haben bereits neue Zertifikate basierend auf Root CA 1.

Ich suche mir im Netz ein Wölchen wie ich das 0er Zertifikat aus der Zertifizierungsstelle löschen kann. Vielleicht hat von euch jemand eine Anleitung wie ich dies anstelle ohne mir die Zertifizierungsstelle zu zerschießen.

Off-Topic:

 

 

Oft ist der als erester installierter, promoteter DC als Träger der FSMO-Rollen und GC gemeint, der dann auch noch den DHCP spielt.

 

Ziel der Anfrage soll wohl eine Vorbereitung (sauberes Heruntrerfahren) für eine Sicherung per Image sein.

Das war von mir eine allgemeine Frage zur Vorgehensweise. Es kann ja auch einmal vorkommen, das man das ganze Netz runterfahren muss, weil man z.B. am Wochenende eine neue USV installieren muss oder es steht ein neues Rack an.

Die ERRORS im Log habe ich nun weg. Diese stammten noch von vor dem Aufsetzen des neuen DC-02. Ich habe die Logs gelöscht und die neu erstellten Logs sind sauber. Auch Sonar zeigt mir keine Fehler bei der Replikation an. Es bleiben halt nur noch die 2. Fehler der Junction Links.

Servus,

 

 

 

Off-Topic:

aber selbstverständlich spricht etwas dagegen. Das kann ja jeder. Solche Situationen kann man auch für zum Know How Aufbau nutzen. Neu machen kann man hinterher immer noch. :p Aber in der Praxis würde ich auch das DCPROMO erneut ausführen. :cool:

Und wie soll ich nun das Problem deinerseits am besten anpacken, um die Fehler zu beseitigen?

Hi,

 

ganz pragmatisch: Spricht irgend etwas gegen ein erneutes DCPROMO des neuen DCs?

Virenscanner ist mit im Boot? Wenn ja, welcher? Welche Ausschlußverzeichnisse, mit Firewall?

 

Viele Grüße

olc

Kein Virenscanner auf dem DC-02. Keine Firewall

Was soll ein erneutes DCPROMO auf dem DC-02 bringen? Dazu müsste ich den doch erst einmal wieder runterstufen - oder?

Hallo zusammen,

ich habe letzte Woche einen 2. DC neu aufsetzen müssen. Nach dem dieser nun neu aufgesetzt, zum DC hochgestuft und DNS ebenfalls auf diesem DC installiert wurde scheint wohl alles wieder zu laufen. Was mir aber aufgefallen ist, das auf dem DC-01 (hat alle FSMO Rollen) das im Dateireplikationsdienst nichts drin steht.

Auf dem DC-02 (ist GC) jedoch die normalen Informationseinträge:

13501

Der Dateireplikationsdienst wird gestartet.

und

13516

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "DC-02" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Ist das normal das auf dem DC-01 im Protokoll keine Einträge drin stehen? Das ganze beunruhigt mich ein wenig und habe daraufhin die FRSDiag Tools installiert.

Das Protokoll zeigt mir dann folgendes:

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...

ERROR: Junction Point missing on "c:\windows\sysvol\sysvol"

ERROR: Junction Point missing on "c:\windows\sysvol\staging areas"

Daraufhin habe ich dann LINKD %windir%\sysvol\sysvol aufgerufen und es wurde mir angezeigt: C:\WINDOWS\sysvol\sysvol is not linked to another directory

Das verstehe ich nicht. Wenn ich Junction Link Magic aufrufe werden mir nach dem Scan die oben fehlenden Junction Links angezeigt.

Weiterhin sehe ich im FRSDiag log noch diese Fehler:

ERROR on NtFrs_0002.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 6088: 904: S0: 20:18:23> :SR: Cmd 0ade98f0, CxtG 45a1f103, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (494) [sndFail - Send Penalty]

ERROR on NtFrs_0002.log: "ERROR_ACCESS_DENIED": <SndCsMain: 4664: 877: S0: 20:18:23> :SR: Cmd 0adea770, CxtG 7f995d20, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (360) [sndFail - rpc call]

ERROR on NtFrs_0002.log: "ERROR_ACCESS_DENIED": <SndCsMain: 4664: 904: S0: 20:18:23>:SR: Cmd 0adea770, CxtG 7f995d20, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (360) [sndFail - Send Penalty]

ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain:788: 883: S0: 08:42:18> ++ ERROR - EXCEPTION (000006d9) : WStatus: EPT_S_NOT_REGISTERED

ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 788: 884: S0: 08:42:18> :SR: Cmd 00325ff0, CxtG 45a1f103, WS EPT_S_NOT_REGISTERED, To dc-02.Worldmedia.local Len: (360) [sndFail - rpc exception]

ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 788: 904: S0: 08:42:18> :SR: Cmd 00325ff0, CxtG 45a1f103, WS EPT_S_NOT_REGISTERED, To dc-02.Worldmedia.local Len: (360) [sndFail - Send Penalty]

ERROR on NtFrs_0004.log : "RPC_S_CALL_FAILED_DNE(Indicates RPC Session was established to target, but there was a failure to send RPC call package. Check for Networking problems!)" : <FrsDsGetName: 3176: 4580: S0: 23:06:41> :DS: ERROR - DsCrackNames(cn=dc-02,ou=domain controllers,dc=worldmedia,dc=local, 00000002); WStatus: RPC_S_CALL_FAILED_DNE

Auf beiden DCs ergibt DCDIAG keine Fehler

Hi.

 

Schon klar, du hast in deinem Fall schon das Richtige gemacht, aber trotzdem ist dieses Verfahren einfach nicht das Best Practice Verfahren. Schau dazu einfach einmal bei Nils nach - faq-o-matic.net » Warum Images nicht als Datensicherung taugen

 

LG Günther

Danke, und wie sähe eine von Nils befürwortete Best Practice für Windows 2003 R2 Server aus.

Und wie fahre ich denn nun ein System komplett sauber runter: erst DC-02 und dann DC-01?

Hallo.

 

 

 

Gar nicht, da Images nicht zur Sicherung von DCs geeignet sind. Schau dir die vielen Beiträge zu diesem Thema hier an.

 

Und zwar alle Beiträge, die

a) immer wieder vor der Sicherung auf Image Basis warnen

b) und die, die darauf nicht hören und dann ihre Probleme hier posten.

 

LG Günther

Verstehe ich nicht. Ich habe doch die Sysetmplatte auch mit einem Image zurück gespielt und dann vom Backup den System State vom Vortag zurückgeschrieben. Wo soll den da das Problem bestehen. Der Server läuft wieder wunderbar und Replikationen laufen auch ohne Probleme. Dateninkonsistenz habe ich auch keine.

Hallo Gemeinde,

in der letzten Woche hatte ich den Ausfall des Haupt DC, bei dem die Systemfestplatte ab rauchte. Daraufhin habe ich ein Image zurück gesichert und den System State von der letzten Datensicherung zurück gespielt. Nun läuft das System wieder. Dabei stellten sich mir aber ein paar Fragen, die mir bis dato nicht ganz klar sind.

In unserem System befinden sich zwei DCs. Beiden DCs sind zunächst einmal GC DCs. Der erste DC hat zudem die FSMO Rollen. Bei beiden DCs ist ein DNS Server installiert und die Zonen AD integriert. Auf dem ersten DC läuft auch der DHCP.

Hier zur Konfiguration:

DC-01:

FSMO Rollen

GC

DNS

DHCP

Zertifizierungsstelle

IP: 10.0.0.1

Konfiguration Netzwerkkarte für den DNS

1. DNS Server: 10.0.0.3

2. DNS Server: 10.0.0.1

DC-02:

GC

DNS

IP: 10.0.0.3

Konfiguration Netzwerkkarte für den DNS

1. DNS Server: 10.0.0.1

2. DNS Server: 10.0.0.3

Wie sollte ich nun das System am besten herunterfahren, um von allen Servern Images anzufertigen?

Fahren ich den DC-01 mit FSMO Rollen runter, um diesen zu sichern, dann fehlen mir ja für eine gewisse Zeit die FSMO Rollen und Replikationen können mit DC-02 nicht durchgeführt werden.

Fahren ich den DC-02 herunter, dann fehlt mir ja der DNS Server für den DC-01.

Oder soll ich zunächst den DC-02 herunterfahren und im Anschluss den DC-01 und später beim Hochfahren mit DC-01 anfangen?

Hört sich zwar alles sehr banal an, aber mich beschäftigen diese Dinge seit dem letzten Crash.

Danke NorbertFe

Du warst aber schnell. Ich war gerade dabei meinen Beitrag etwas zu ändern, was du vielleicht nicht mehr mitbekommen hast. Dazu hier nochmals:

Dann könnte ich ja auch 2008er User Cals erwerben und mein Downgrade Recht nutzen. Denn sollte später einmal ein Update auf 2008 erfolgen kann ich ja mit den 2003 User Cals nix mehr anfangen - Richtig?

Danke euch beiden.

Dann lag ich ja mit meiner Berechnung so ziemlich richtig.

@Dr.Melzer

Den Artikel kannte ich bereits. Wie gesagt, ich habe im Vorfeld viel gelesen auch diesen Artikel, da der Hinweis ja in fast all deinen Antworten drin steht .-), aber für mich blieben/bleiben da immer noch Fragen offen, die ich doch verstanden wissen möchte.

@lizendoc

Nein es sind nur 7 TS User. Die haben ihre festen PC's/Laptops. Andere User im Netzwerk haben auf den TS keinen Zugriff und kann auch nicht angesprochen werden, um sich einzuloggen. Das ist in den GPO's fest hinterlegt und andere User sind gesperrt.

Was ich aber noch nicht richtig verstanden habe ist der Zugriff der TS User auf das Netzwerk bzw. die anderen Server. Deckt das die TS Lizenz ab, oder muss ich zu den 7 TS Lizenzen dann auch noch zusätzlich 7 User Cals erwerben?

Und als zweites fällt mir noch unsere Backup Exe ein. Die sichert vom Haupt DC alle 3 Server. Für den zusätzlichen Zugriff auf die anderen Server haben wir die Backup Lizenz, benötige ich für die Backup Exec dann auch noch 2 User Cals oder ist für reine Software so etwas nicht nötig?

Dann könnte ich ja auch 2008er User Cals erwerben und mein Downgrade Recht nutzen. Denn sollte später einmal ein Update auf 2008 erfolgen kann ich ja mit den 2003 User Cals nix mehr anfangen - Richtig?

Danke schön

Hallo Zusammen,

auch nach vielem Lesen bin ich nicht recht weitergekommen in den Lizenzfragen. Die Hardware sieht wie folgt aus:

2 x Windows 2003 R2 Server als DC

1 x Windows 2003 R2 Server als Memberserver auf dem ein TS installiert ist.

Auf dem TS greifen nur max. 7 User zu. TC Cals etc. ist kein Problem

Im gesamten Netzwerk haben wir 17 Windows XP und 3 Win 7 Pro Client = 20 Clients. In dieser Anzahl sind dann Notebooks etc. enthalten. Benutzer haben wir aber mehr als 20 nämlich 24. Das liegt daran, dass sich ein Benutzer an mehreren Clients gleichzeitig anmelden kann.

Wenn ich nun die Server als ProServer lizenziere, dann würde ich 3 x 27 Device Calls benötigen - 20 normale Geräte plus 7 TS Geräte - sehe ich das richtig? Also müsste ich dann 81 Device Cals erwerben.

Wenn ich aber das ganze auf Pro User / Gerät umstelle, würde ich dann nur 27 User Cals benötigen und diese dann im Lizenz Manager alle als Pro User zuweisen? Denn wenn ich das richtig verstanden habe, dann kann ein Pro User Cal auf alle Geräte / Server zugreifen und benötigt nur 1. Cal.

Die erworbenen Lizenzen würde ich dann auf dem Haupt DC im Lizenzmanager eintragen. Was trage ich dann auf dem zweiten DC und auf dem Memberserver im Lizenzmanager ein. Beachte ich diese dann gar nicht - abgesehen von den TC Cals, die laufen ja über den TS Lizenzserver.

Liege ich da mit meinen 27 User Cals richtig oder müssten es mehr z.B. 31 User Cals sein (plus 4 für die Admins / Server und einen für den TS selbst)?

Ich bin jetzt so verunsichert, dass ich gar nicht mehr durchblicke was ich kaufen muss. Danke für die Aufklärung.

als Hinweis: Auf dem TS läuft keine Microsoft eigene Anwendung für die 7 User, sondern eine WaWi, die auf den 2. DC zugreift.

Hast du das msi direkt von Adobe gezogen? Wenn die Software drauf ist, ist es doch wurscht. ;) Der Fehler taucht demzufolge ja nur einmalig bei der Installation auf, oder?

 

Bye

Norbert

Ja, die Datei stammt direkt von Adobe und nochmals ja, der ID-Eintrag tritt nur bei der Neuerstellung des GPO Paketes am Server auf.

Event-ID 119

Software Installation encountered an unexpected error while reading from the MSI file \\dc-01\Software Deplayment\Flash Player\Flash_player_10.0.45.2_plugin.msi. The error was not serious enough to justify halting the operation. The following error was encountered: The operation completed successfully.

Event-ID sagt dazu aus, dass man den Haken im Paket unter "Bereitstellen der Software -> Erweitert -> Sprache beim Bereitstellen der Sprache" setzen sollte, wenn die Sprache des Pakets abweichend von der Sprache des OS ist.

Das habe ich wie bereits geschrieben gemacht. Trotzdem erscheint dann der Eintrag im Ereignisprotokoll

Jetzt hab gleich noch zwei Fragen bezgl. der Verteilung.

Wenn ich ein neues Packet in einer GPO erstellt habe erscheint im Ereignisprotokoll ein Eintrag mit der Event-ID 119.

Ich habe bereits im Paket bei der Erstellung angehakt, dass es trotz einer anderen Sprachversion installiert werden soll, aber trotzdem erscheint der Event Eintrag 119 im Protokoll. Es handelt sich hierbei um den Flash Player und den gibt es in keiner speziellen Sprachversion.

Weiterhin sehe ich, obwohl das Paket nun an 3 Rechner verteilt und installiert wurde die Bereitstellungszahl noch auf 0 steht. Wann ändert die sich? Müsste die nicht jetzt auf 3 stehen?

Danke für eventuelle Aufklärung.

Igitt auf Domänenebene Softwareverteilung. Was machst du, wenn du mal nicht alle deine DCs mit FF/Adobe usw. versorgen willst? Security Filterung?

Bei uns kriegen aber alle den FF. Von daher passt das schon.

Werden Fragen nicht normalerweise hinten mit ? abgeschlossen, anstatt vorne Frage dranzuschreiben?

Ansichtssache - es sollte aber auch dann "davorzuschreiben" lauten.

Danke euch beiden für die Erklärungen und mir weiter geholfen zu haben.

Hallo

zur Zeit verteilen wir den FF über msi via GPO an alle Rechner. Dazu habe ich an oberster Stelle (gleich unter der Default Domain Policy) eine neue GPO mit dem Namen Softwareverteilung erstellt.

Das klappt auch alles wunderbar. Die Clients bekommen beim Bootvorgang die neue Software aufgespielt.

Nun stellt sich aber die Frage wie ich andere Software zum Beispiel den Acrobat Reader, Flash Player etc. verteile. Wenn ich diese Software auch in der bereits erstellten GPO mit aufführe, dann erhalten auch wieder alle Rechner diese Software, was aber nicht gewünscht ist.

Frage: Erstelle ich für jedes Paket eine eigene GPO und weise diese dann den OU's zu oder kann ich das alles in einer GPO machen. Aber wie unterscheide ich dann wo was installiert werden soll. In der bestehenden GPO steht im Bereich "Sicherheitsfilterung" nur "Authentifizierte Benutzer".

Wie mache ich es richtig :-) bevor ich was falsch mache :-(

Wie jetzt? 3 DC's oder nur 2? Wieso sind nicht beide GC?

uups, da hab ich mich verschrieben. Beide DC's haben die GC

Was haben die Rollen mit DNS zu tun?

Nichts, das sollte nur zur Erklärung dienen.

Ist DNS auf beiden DC's installiert?

steht oben - ja

Ist ...1.1 = DC1 und ...1.3 = DC2?

ja

Hallo Community

Ich habe eine Verständigungsproblem mit mehreren DNS Servern in einer Domäne.

Zur Zeit sind 3 DC's in der Domäne(alle W3K R2 x64). Einer DC hat alle Rollen ein anderer nur GC und der 3. ist ein Memberserver. Auf dem 1. und 2. DC läuft ein DNS Server.

In den Netzwerkeinstellungen sind bei den DC als erster DNS immer seine eigene IP und als 2. DNS Adresse des anderen eingetragen.

z.B. beim DC der alle Rollen hat:

1. DNS 10.10.1.1 (sich selbst)

2. DNS 10.10.1.3

Ebenso ist auf dem Haupt DNS Server eine Weiterleitung eingetragen. Die DNS Replizieren sich zwar aber beim 2. DNS fehlen die Weiterleitungen.

Müssen denn auf allen DNS Servern in der Domäne die Weiterleitungen eingetragen sein, oder nur beim ersten.

Wenn dies bei allen der Fall sein sollte, kann man diese Einstellungen auch Replizieren lassen?

Danke für eure Aufklärung

Hallo,

seit geraumen Versionen von BackupExec 10, 11, 12 gibt es immer wieder den tollen Fehler im Ereignisprotokoll mit dem Event-ID 3:

"The configuration of the AdminConnection\TCP protocol in the SQL instance XXXXXXX is not valid."

Symantec weisst darauf hin, das es sich um einen Fehler des Installers vom SQL Express 2005 SP1/SP2 handelt, findet es aber seit Jahren nicht nötig endlich einmal eine Lösung online zu stellen.

Ebenso kann dieser Fehler bei der SQL 2005 Express Instanz von Microsoft##SSEE auftreten. Auch Microsoft schweigt sich dazu mal wieder aus. Diese Fehler nerven aber gewaltig. Hier die Lösung für diese Fehler:

Für BackupExec 11, 12 folge reg Datei ausführen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.1\MSSQLServer\SuperSocketNetLib\AdminConnection\Tcp]

"TcpDynamicPorts"="1"

"DisplayName"="TCP/IP"

Für den eventuell gleichen Fehler in der Microsoft##SSEE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.2005\MSSQLServer\SuperSocketNetLib\AdminConnection\Tcp]

"TcpDynamicPorts"="1"

"DisplayName"="TCP/IP"

Das ganze liegt wohl daran, dass man diese Werte im SQL Manager nicht einstellen kann und schlicht und ergreifend fehlen (scheint wohl der besagte Fehler des Installers zu sein). Nach dem Hinzufügen der geänderten Werte (diese stehen in den default Einstellungen auf 0) sind die Fehler endlich weg.

Purecut

Hallo!

In unserer Firma (35 Arbeitsplätze) soll ein neuen Windows 2003 Server angeschafft werden. Leider bin ich mir über die CPU Leistung nicht so recht im Klaren, ob nun ein Single- oer Dualboard angeschafft werden soll.

Die Leistung, die vom Server abgefragt werden soll ist zunächst die Dateiverwaltung (es wird viel im Print und Internetbereich gearbeitet) und zudem wird Programmiert, wobei die User nicht lokal mit den Dateien arbeiten sondern diese vom Server laden. Zudem läuft auf dem alten Server Mdaemon als Mailserver mit Outlook Connector. Das soll auch auf dem neuen Server so sein. Ein Apache Server wird auch eingesetzt, der einer starken Benutzung unterliegt. Dies wird ebenso auf dem neuen Server auch so sein. Tobit David läuft auf dem alten Server ebenso und wird auch auf dem neuen Server wieder eingesetzt.

Es stellt sich für mich die Frage ob der neue Server ein Single oder Dualboard Server sein sollte und ob ich anstatt Xeon Prozessoren auch 1 oder 2 Core 2 Duo Prozessoren einsetzen sollte. Der Speicher ist zunächst nicht wichtig, da ASUS Boards da genügend Bänke bereitstellen und Speicher heute nicht mehr die Welt kostet.

Wäre schön wenn ich von euch mal ein paar Vorschläge bezüglich des Prozessors (welchen und Single oder Dual CPU's bekommen könnte).

Wenn ich mir ein Dualboard zulege und dies zunächst mit einem Prozessor bestücke und später einen 2. Prozessor hinzufüge, verkraftet das Windows 2003 ohne Probleme oder gibt es da immer noch Probleme, dass die neue CPU nicht erkannt oder das ganze System nicht mehr bootet.

Zunächst einmal vielen Dank für eure Vorschläge.

Das ist ausgeschlossen. Alle 4 Module haben die gleichen Werte und kommen vom gleichen Hersteller (G.Skill). Auch CPU-Z zeigt 4 x identische Werte. Kann das vielleicht damit zusammenhängen das bei 4 Modulen diese im Dualchannel arbeiten. Bei 3 Modulen habe ich ja Single Mod.