-= Brummbär =-

Hallo zusammen,

Vielen Dank für die Rückmeldung. Ich komme erst jetzt zum Antworten.

Schattenkopien waren leider nicht aktiv.

Sämtliche Daten waren noch im DfsrPrivate\PreExisting gespeichert.

Mit dem RestoreDFSR.VBS von Microsoft hätte ich somit alle Daten

automatisch zurück schieben können. Leider hat die dafür notwendige

PreExistingManifest.xml nur einen Bruchteil der Daten geloggt.

Wir haben es aus einer Kombination aus bestehenden Daten im DFS

(Änderungen von vorgestern waren ja noch da), dem Backup von Sonntag

und den Daten aus dem PreExisting Ordner (Handarbeit beim Zuordnen der

vorgestern geänderten Daten) alle Daten wieder zusammen bekommen, so

dass wir zum Glück kein Daten wiederherstellen mussten.

Generell werde ich mir mal ansehen, ob GetDataBack oder Ontrack auch auf

VMs was retten kann.

Viele Grüße

Hallo,

wir haben 2008 R2 Server. Beim einrichten der Replikation ist ein Fehler

passiert. Die Quelle wurde überschrieben. Gibt es eine Möglichkeit die

alten Daten wieder herzustellen. Aus dem Backup hätten wir einen Verlust

von einem Tag. Dies würde ich gerne verringern.

Der überschriebene Fileserver ist eine VMWare Maschine. Können wir die

virtuelle Festplatte klonen und mit Tools irgendetwas im nachhinein retten?

Ich brauche DRINGED eure Hilfe.

Besten Dank!

Guten Morgen,

habt ihr vielleicht noch einen Tipp für mich wie ich die TLS Geschichte abschließen kann.

Ich habe im Sendeconnector beim Smarthost die Standardauthentifizierung per TLS aktiviert.

Mehr habe ich ausgehend gar nicht gemacht. Oder verwechsel ich da was?

Dann kam im Eventlog erst der untrustet Root und nach dem importierten Zertifikat der CRL Fehler.

Wo kann ich denn genau sehen was er per TLS versucht?

Danke für die vielen Antworten. Ich war irgendwie noch im Glauben, dass ich bei einer

Antwort eine Mail bekomme. Daher erst jetzt meine Reaktion: Sorry.

Mein Problem ist wie folgt:

Wir verwenden einen extern Relaydienst. Auf dem Weg dorthin möchte ich gerne TLS einsetzen.

Sendeconnector => Smarthost => Standardauth über TLS

Nun hat unser Dienstleister ein selbst signiertes Zertifikat. Mittlerweile habe ich sein CA Zertifikat

was mich von der Fehlermeldung: untrustedroot zur NoRevocationCheck bringt. Die Zertifikate

haben nicht mal eine CRL und es wird auch keine betrieben. Wie kann ich dem Exchange beibringen,

dass er die Zertifikate nicht prüfen soll? Ich habe es schon über die IE Einstellungen versucht in der

Hoffnung, dass diese sich auch auswirken... leider nein.

Ich weiß: der einfachste Weg wär ein gekauftes Zertifikat. Aber das liegt nicht in meiner Hand.

Und ohne CRL dafür mit TLS finde ich besser als gar nichts.

Ich hoffe auf Tipps!

Hallo zusammen,

ich möchte gerne ausgehend zum SmartHost (nicht von mir betrieben) TLS aktivieren. Wenn ich dies im Connector einschalte, dann erhalte ich den Fehler 11005 untrustedroot. Auf meinem Exchange habe ich ein gekauftes SSL Zertifikat. Eingehend klappt auch TLS wunderbar.

Ich weiß, dass der SmartHost mit einem selbst signierten Zertifikat arbeitet. Gibt es eine Möglichkeit, dass ich die Überprüfung des RootZertifikats für den SmartHost ausschalte? Kann ich alternativ mir selber die komplette Zertifikatskette herunterladen und dann das Root Zertifikat im Zertifikatespeicher ablegen.

Viele Grüße

Etwas spät, aber vielleicht hilft das hier weiter:http://sbuck86.wordpress.com/2012/10/12/group-policy-registry-security-settings/

Bzw. http://support.microsoft.com/kb/2565916

http://support.microsoft.com/kb/2666508

Ich würde das Thema auch sehr gerne mal diskutieren. Der Artikel besagt ja, dass es

per Design so ist. TS Easy Print zu nutzen kann ja gut und schön sein, aber es soll ja

auch noch Umfelder geben, die Linux als ThinClients nutzen. Hat jemand einen guten

Workaround für dieses Problem? Die Drucker lokal zu installieren und mit Sicherheits-

gruppen einzuschränken ist zwar eine Möglichkeit, aber das würde in unserem Fall

nichts bringen, da wir pro Außenstelle die jeweiligen Drucker zuweisen müssen.

Hallo,

hast du die NTFS Berechtigungen und die des Shares auf der B Seite geprüft?

Hängt dazwischen evtl ein Router oder eine Firewall mit ACLs?

Freundliche Grüße

Hallo zusammen,

Ich habe auf einem meiner beiden RDS mit Citrix z.T. 20 Sekunden Timeouts bei den Anmeldungen. Das Debugging hat folgendes ergeben:

USERENV(1e4.1764) 16:05:16:354 ParseProfilePath: Entering, lpProfilePath = 
<\\domain.loc\tsprofile\profile\userX.DOMAIN>
USERENV(1e4.1764) 16:05:16:354 CheckXForestLogon: checking x-forest logon, 
user handle = 1648
USERENV(1e4.1764) 16:05:16:354 CheckXForestLogon: not XForest logon.
USERENV(1e4.1764) 16:05:44:261 AbleToBypassCSC: Try to bypass CSC
USERENV(1e4.1764) 16:05:44:261 AbleToBypassCSC: tried 
NPAddConnection3ForCSCAgent. Error 2109
USERENV(1e4.1764) 16:05:44:261 AbleToBypassCSC: Share \\domain.loc\tsprofile 
mapped to drive E. Returned Path E:\profile\userX.DOMAIN

Ich bin mir nur nicht sicher, ob die Lücke nun dem xForest oder dem AbleToBypassCSC zuzurechnen ist. Ich verstehe das Log so, dass der Check auf XForest negativ war. Dann kommt die Pause und erst dann kommt der Versuch des bypass CSC. Nur bei der Ursache komme ich noch nicht wirklich weiter.

Auf dem anderen Server (ursprünglich beide aus der selben Vorlage gecloned), tritt dieser Fehler nicht auf. Die anderen Parameter sind die gleichen (Subnetz, User, Client, ...)

Ich hoffe mir kann jemand einen Anstoss für die Lösung geben.

Hallo,

Ich habe folgendes merkwürdiges Verhalten auf meinem Server.

Es gibt ein DFS mit einem eigenständigen Namespace. Auf diesem Server

ist ABE aktiviert und entsprechende Verzeichnisse sind eingerichtet. Nun

möchte ich die Berechtigungen per dfsutil hinterlegen. Der Aufruf per

Komandozeile klappt.

dfsutil property acl grant "\\srv\dfs\Link" domain\group1:RX domain\group2:RX Protect Replace

Es werden per Komandozeile auch die korrekten Gruppen angezeigt.

dfsutil property acl "\\srv\dfs\Link"

Schaue ich mir nun das Ergebnis in der GUI an, dann sehe ich Group2 und eine SID bei der die letzten 3 Zahlen fehlen.

Dieses Phänomen tritt auf bei 2, 4, 6 Gruppen. Es wird jeweils die als erstes eingegebene Gruppe zerstückelt dargestellt.

Zunächst habe ich gedacht, dass es in der GUI nicht zu dem Problem kommt, aber bei der DFS-Verwaltung muss man ja für die aktuellsten Daten erst manuell auf aktualisieren drücken. Dann hat sich das Problem auch gezeigt.

Kennt jemand das Problem? Ist einfach die Anzeige der GUI defekt? Kann ich das einfach als Schönheitsfehler ignorieren?

Ich habe das Problem an zwei unterschiedlichen Servern nachstellen können.

Ich bin gespannt, ob jemand das Problem auch hat.

Hat sich erledigt.

Böser Layer 3 Switch! :-)

Hallo,

Ich habe eine W2K8R2 Domäne am Standort A. Dort funktioniert der Domänenbeitritt ohne Probleme. Am Standort B bekomme ich aber keinen Server in die Domäne (weder 2003 noch 2008). Die DCs stehen alle am Standort A.

Fehlermeldung: "Es konnte keine Verbindung mit einem DC für die Domäne "xyz.loc" hergestellt werden."

Die DCs sind im dcdiag.txt sauber aufgelöst. NSlookup funktioniert ordentlich. Ich kann auch vom Standort aus auf das Netlogon vom DC zugreifen. IPv6 ist überall abgeschaltet. Die Standorte sind sauber geroutet und an der Firewall dürfte es eigentlich auch nicht liegen (weder Appliance noch die Windows Firewall).

Wie kann ich das Problem weiter eingrenzen?

Ich bin etwas ratlos im Moment.

Hallo Otaku19,

Das habe ich bisher noch nicht versucht. Und ich glaube

dafür bräuchte ich auch ein anschauliches Beispiel, damit

ich das hinbekomme :-) So weit reicht mein Cisco Verständnis

dann leider nicht.

Hallo Blackbox,

Danke für das Feedback. Ich hab's mir fast gedacht, aber doch

etwas anderes als Info gewünscht :-)

Hallo,

Ich habe folgende Konstellation:

Router (mit DSL Einwahl) <=outside subnetz=> ASA 5505

Der Router leitet alle notwendigen Ports weiter, so dass die zur ASA 5505 ein EasyVPN Tunnel aufbaut wird. Nun soll vom Remotestandort auch auf eine IP im Transfernetz (outside subnetz) zugegriffen werden können. Kann die ASA diesen Verkehr routen?

Ich habe den Splittunnel schon erweitert. Leider klappt es bisher noch nicht. Daher tippe ich darauf, dass es gar nicht geht. Kann mir jemand sagen, ob es vielleicht doch geht?

Kann es sein, dass sich bei der PIX 501 als "Server" auf dem Client die XAUTH Daten nicht speichern lassen?

So langsam reift in mir die Ahnung, dass ich die PIX doch gegen eine ASA 5505 tauschen sollt.

Ich kann den link leider nicht öffnen. Selbst mit meiner Cisco Kennung

bekomme ich nicht weiter :-(

Hallo,

Ich habe eine Pix 501 mit fester IP. Auf der anderen Seite steht ein 876

mit einer quasi festen IP (UnityMedia). Da es aber nur eine quasi feste

IP ist, würde ich gerne einen flexibleren Tunnel aufbauen. Es wird immer

von der Seite des 876 auf die Seite von der 501 zugegriffen.

Ich kann natürlich beim Peer auf Seiten der 501 0.0.0.0 eingeben. Aber

das behagt mir nicht so recht. Kann ich mich mit dem 876 auch als

VPN Client bei der Pix einwählen?

Es wär super, wenn es dazu eine brauchbare lösung gibt, denn ich möchte

nicht jedes Mal wenn sich die IP ändert den Tunnel anpassen.

Herzlichen Dank für eure Tipps!

Ich habe mir das Ganze noch mal angesehen und festgestellt, dass doch nicht alle Rollen verchoben waren. Der Domänenbetriebsmaster und der Schemamaster lagen noch auf dem alten DC. Diese sind nun erfolgreich umgezogen.

Das Zertifikat für die Verschlüsselung liegt leider in keinem der beiden DCs so vor, dass ich es mit privatem Schlüssel exportieren könnte. Kann ich dies vernachlässigen, wenn kein EFS eingesetzt wird?

Wenn neben den 5 Masterrollen und dem GC nichts weiter zu berücksichtigen ist, kann ich doch per dcpromo den DC zum normalen Server zurückstufen, oder?

@ Nils. Wenn mir DCDiag keinen DNS Fehler meldet, dann müsste dies doch auch in Ordnung sein, oder?

Wir hatten mit dem zweiten alten Server schon Probleme mit der Namensauflösung. Aber nur lokal an dem Server. Daher möchte ich den auch so schnell wie möglich als DC ablösen und zwei saubere DCs im Netz stehen haben.

Das mit den IPs hätte ich gerne anders gelöst. Leider hab ich das Netz übernommen und nicht in allen Bereichen freien Spielraum. Punkt 1 sind die Außenstellen. Diese werden per MPLS angebunden. Die DHCP-Helperadressen sind... auf den beiden alten DC. Und um das Theater noch perfekter zu machen, sind viele Clients mit statischen TCP IP Konfigurationen unterwegs.

Im Moment haben alle drei Server eine eigene IP. Sind alle drei an (mit den neuen IP Konstellationen) funktioniert auch alles. Daher meine Verwirrung.

Guten Morgen,

Ich habe folgende Konstellation.

2 alte W2K3 DC.

1 neuer, frischer W2K3 R2 DC.

Ich habe den RID, PDC, Infrastrukur Betriebsmaster alle auf den neuen DC umziehen lassen. Alle DCs halten den GC. Dann hat der neue DC mit einem alten DC die IPs getauscht (ipconfig /registerdns & dcdiag /fix wie von MS angegeben durchgeführt).

Nun bin ich davon ausgegangen, dass ich den alten DC aus der Domäne nehmen kann. Zum Test habe ich ihn erstmal nur ausgeschaltet. Und siehe da es kommt zu Problemen.

Am deutlichsten werden die Probleme beim FTP, der mit mal die User nicht mehr auf die Basisverzeichnisse lässt, weil ein Berechtigungsproblem vorliegt. Sobald ich den alten DC wieder anschalte, läuft es wieder. Auch die Geschwindigkeit an den Terminalservern hat sich deutlich verschlechtert. Dies würde ich dann auf die Ordnerumleitungen zurückführen.

Liegt es daran, dass ich den DC nicht aus der Domäne genommen habe? Mein eigentliches DC Sorgenkind war / ist der andere alte Server, den ich als nächstes tauschen möchte.

Ich bräuchte mal ein paar Denkanstöße, wie ich das Problem angehen kann.

Hat niemand eine Idee :-(

Guten Tag,

Ich verzweifel gerade an der VPN Clienteinwahl. Ich bekomme bei der Einwahl mit dem VPN Client im Debug immer folgendes angezeigt:

ISAKMP:(0):Xauth authentication by pre-shared key offered but does not match policy!
ISAKMP:(0):atts are not acceptable. Next payload is 3
ISAKMP:(0):Checking ISAKMP transform 2 against priority 1 policy

Die Konfig sieht so aus:

aaa new-model
!
aaa authentication login default local-case
aaa authentication login CONSOLE local-case
aaa authorization exec default local 
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2  
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 4
encr 3des
authentication pre-share
group 2
!
crypto isakmp key xxx address w.x.y.z no-xauth
!
crypto isakmp client configuration group vpn-group
key xyz
dns 192.168.16.100
domain domain.loc
pool SDM_POOL_1
acl VPNClient
save-password
pfs
max-users 20
netmask 255.255.255.0
!
!
crypto ipsec transform-set esp-aes256 esp-aes 256 esp-sha-hmac 
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set esp-aes256 
match address VPNClient
reverse-route
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
set peer w.x.y.z
match address VPN_Tunnel
reverse-route
!
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
ip access-list extended VPNClient
permit ip 192.168.250.0 0.0.0.255 any
!
ip access-list extended VPN_Tunnel
permit ip 192.168.17.0 0.0.0.255 192.168.16.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.16.0 0.0.0.255

Ich hoffe es hat noch jemand einen Tipp für mich. Mir gehen langsam die Ideen aus.