Sunny61

Unter Standardwerte sind doch aber keine Eisntellungen für das Zubehör Magazine und Finisher.

Gut, das kann ich natürlich nicht wissen, denn ich kenne deine Drucker ja auch nicht.

Kannst Du zum Test einen Drucker im Benutzerkontext mappen, funktioniert es dort?

 

 

• Viren sind laut Kaspersky keine vorhanden

 

 

Wie hast Du das festgestellt? Von der Rescue CD gebootet und dann scannen lassen oder hast Du den installierten Kaspersky einfach nur scannen lassen?

den Zusammenhang verstehe ich nicht?

Wenn Du auf dem sErver Einstellungen beim Drucker vornimmst, sollen die natürlich auch auf dem Client ankommen, richtig? Und damit die auch gezogen werden können, müssen sie auf dem Server im Reiter Erweitert > Standardwerte vorgenommen werden.

Gestern Abend ist mir noch aufgefallen das einige Benutzer sehr große Profile haben. Auch hier werde ich mich heute mal mit befassen.

Wenn es lokale abgelegte Profile sind, ist das kein Problem. Wird aber synchronisiert kann das natürlich ein Problem sein. In diesem Fall wäre die Ordnerumleitung vermutlich die bessere Variante.

Wenn eh nichts mehr geht, würde es mit Delete shadows und/oder delete shadowstorage versuchen. http://technet.microsoft.com/de-de/library/cc754968%28v=ws.10%29.aspx

 

Hier gibts das Tool "ICSweep". Eine simple Exe-Datei mit der man per Task auf den Servern die Temp-Dateien, Temp.-Internet-Dateien, usw. löschen kann.

Funktioniert!

Das kann auch gefährlich sein. Wenn der Task läuft kurz nach einer Installation, Du mußt rebooten und schon hast Du verloren. Da lobe ich mir dieses kleine VB-Script:

'Autor: Helmut Rohrbeck helrohr@gmx.net
'Diese Anwendung darf ungeändert frei weitergegeben werden.
'Es wird keine Garantie gegeben.
'Dieses Script prüft den Speicherort der temporären Dateien
'und löscht alle Dateien und Ordner, die nicht zu einem laufenden
'Prozess gehören. Funktioniert unter Windows 9x, ME, NT 4.0, 2000, Xp.

Set fso = CreateObject("Scripting.FileSystemObject")
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
RSOreg = "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations"
   RSO = WshShell.RegRead(RSOreg)
   If RSO <> "" Then WScript.Quit
   Set f = fso.GetSpecialFolder(0)
   Set wfld = fso.GetAbsolutePathName(f)
   If (fso.FileExists(wfld & "\wininit.ini")) Then WScript.Quit
   Set f = fso.GetSpecialFolder(2)
   If UCase(f.Name) <> "TEMP" Then WScript.Quit
   Set fc = f.Files
   For Each f1 in fc
    s = f1.DateCreated
    If s < Date Then fso.DeleteFile(f1), True
   Next
   Set sf = f.SubFolders
   For Each f2 in sf
    s = f2.DateCreated
    If s < Date Then fso.DeleteFolder(f2), True 
   Next

Wenn das beim anmelden des Benutzers läuft, wird alles gelöscht was älter heute ist. Zusätzlich wird auch noch überprüft ob eine Installation evtl. noch auf Dateien zugreifen will.

Wenn man dann noch per GPO die Temporären Internetdateien auf das %TEMP%-Verzeichnis des Benutzers umleitet, hat man gewonnen. Beispiel 1 kann man nehmen: http://www.gruppenrichtlinien.de/artikel/adm-templates-beispiele-von-gruppenrichtliniende/

Danke für deinen Hinweis eine strukturierte Fehleranalyse vorzunehmen. Mittlerweile habe ich herausgefunden, dass es kein Problem der Domäne ist sondern dass auch lokale Benutzer sich nicht korrekt anmelden können. Vermutlich liegt das an den von Dell vorinstallierten Security-Tools dich ich bereits entfernt habe. Nun muss ich mich auf die Suche welche Komponente bzw. welche Rückstände den Fehler zu verantworten haben.

Welche DELL Security Tools sind das? Sieh bei DELL nach einem Removal Tool, sogar Symantec und viele andere bieten das auch an, dann sollte DELL das auch schaffen. Ansonsten den DELL Support kontaktieren.

Vielen Dank für die Rückmeldung. ;)

Hast Du die Einstellungen im Reiter Erweitert > Standardwerte vorgenommen und dann erst die Drucker verteilt?

Entschuldigt bitte, dass war mir beim durchlesen der Beschreibung so nicht bewusst.

Ich habe mal einen netten Hinweis gelesen:

Wenn Du glaubst Du hast es verstanden, lies es nochmal, solange bis Du es verstanden hast.

Deshalb mein Hinweis, zweimal oder dreimal durchlesen, notfalls auch ausdrucken und nochmal lesen.

Bin erst bei weiterer Recherche im Internet darauf gestoßen das die Änderung an beiden Stellen erfolgen soll und wollte mich aber lieber nochmal absichern.

 

Inzwischen habe ich die Änderungen am DC vorgenommen und gpupdate ausgeführt.

In beiden GPOs eingetragen und den TS durchgestartet? Auch wenn mit GPUPDATE viel passiert, ein Neustart ist nur durch einen Neustart zu ersetzen. ;)

Hier müssten sicherlich Anpassungen vorgenommen werden. Welche genau?

Liest Du eigentlich die Postings, die man dir schreibt?

Anschl. mit gpupdate aktualisieren lassen?

Das ist wieder mangelendes Basiswissen. Out of the Box holt sich ein DC die Default Domain Controller Policy alle 5 Minuten. Alle anderen GPOs all ~90 Minuten, +-30 Minuten. Und wann übernimmt ein Client *sofort* die geänderten Einstellen? GPUPDATE oder Neustart.

Die Point und Print sind ja bereits eingestellt.

Auf Computerebene? Das hab ich aus deinem Posting nicht herausgelesen.

Das Eventlog ist leer von Fehlern bei den Clients?

Bzgl. der aktuellsten Treiber steht laut Hersteller nur für das im Board integrierte RAID System eine aktuelle Version zur Verfügung.

Alles andere befindet sich auf dem neuesten Stand!

Gut.

Mit unserem Virenscanner scheint es keinen Zusammenhang zu haben. Selbst bei komplett abgeschaltetem Scanner fährt die Netzwerklast am Terminalserver auf 100% wenn sich z.B. ein Benutzer abmeldet.

Beschreibe bitte genau wie Du den AV-Scanner 'abgeschaltet' hast.

Den Umzug auf den neuen Server habe ich leider nicht selbst vorgenommen das mir das nötige Fachwissen fehlt.

Vielleicht wäre es dann jetzt auch besser, einen Fachmann vor Ort hinzuziehen, was meinst Du?

Nach meinem Wissen wurde der neue 2008 Server als zweiter Domänen Controller konfiguriert und nach der vollständigen Synchronisation mit dem alten Domänen Controller wurde der 2003 Server herab gestuft und der neue 2008 hochgestuft.

Hoffe diese Erklärung hilft etwas. 

Wenn der 2008er als zweiter DC promoted wurde, spricht man von heraufstufen. Ansonsten hättest Du jetzt eine neue Domain. ;)

Unter dem von Sunny61 genannten Link zum Thema SMB habe ich nachgelesen.

Unter "Fazit zu diesem Artikel" steht "Eigentlich nur zwischen DCs aktivieren, für Fileservices nicht zu gebrauchen..."

Ich bin mir jetzt aber nicht sicher ob ich SMB Signing auf dem 2008 Terimalserver abschalten kann/soll oder nicht.

Du sollst es nicht abschalten, sondern gem. BestPractise konfigurieren. Und zwar in den beiden Default Policys. Anschließend kontrollieren ob die Beteiligten Server die Einstellungen übernommen haben.

Über OWA anmelden und ein Mail versenden. Wenn das klappt, das Outlook Profil auf dem Client neu erstellen.

kann es sein, daß Deine Webseite nicht erreichbar ist?

 

Es kommt auf der Webseite http://ww.faq-o-matic.net immer folgender Fehler: 

 

 

Fatal error: Call-time pass-by-reference has been removed in /www/htdocs/w0095bc8/wp-content/plugins/cforms/lib_aux.php on line 331

 

 

Ist wieder Online: http://www.faq-o-matic.net/2013/11/05/faq-o-matic-net-jetzt-wieder-erreichbar/

In den Computereinstellungen sind die Point- und Print Einstellungen zu finden. http://www.faq-o-matic.net/2009/10/08/drucken-unter-windows-7-in-der-domne/

Eigentlich müsste das Eventlog ein paar Fehler aufweisen.

Schau dir diese beiden Scripte an, damit solltest Du schon weiter kommen: http://www.faq-o-matic.net/2010/03/17/anmeldezeiten-fr-ad-benutzer-per-skript-ausgeben/

http://www.faq-o-matic.net/2005/03/17/ad-informationen-schnell-auslesen/

Hat es denn schon geklappt, mit dem neu aufsetzen dem zurück spielen der Sicherung?

Ich denke ich habe den Fehler gefunden. Die Internetverbindung am einem Standort ist komplett ausgefallen. Standort 1 und Standort 2 synchronisieren sich somit nicht und es können somit auch nicht alle Domaincontroller in der Domäne überprüft werden. Könnte das der Fehler sein ?

Natürlich kann das der Fehler sein.

Welche GPOs wirken auf die Clients/Benutzer? Übliche Vorgehensweise: Client neu installieren, am besten von einer W7 DVD, ohne Fremdsoftware, in OU verschieben auf der keine GPOs wirken, Testbenutzer erstellen, in die OU verschieben in der sich der Client befindet. Jetzt mit dem Testbenutzer anmelden, was passiert?

http://matthiaswolf.blogspot.de/2012/08/gpp-und-der-internet-explorer-9-das.html

 

Hatte nicht so die Lust an XML Dateien rumzuschrauben.

Achso, keine Lust, das ist ja mal eine richtig gute sinnvolle Begründung.

PLONK

Nein den Virenscanner habe ich bisher nicht mit in die Untersuchungen einbezogen.

Sollten hier bestimmte Verzeichnisse, Dateien, ... einmal außen vor gelassen werden?

Dazu finden sich bei MSFT genügend Artikel die Ausnahmen bezeichnen. Eines ist z.B. %windir%\SoftwareDistribution. Auf allen Clients und Servern vom scannen ausnehmen.

Nein, die anderen Treiber sowie BIOS habe ich noch nicht geprüft.

Hol das nach. Falls Du beim Support des Hardware Hersteller anrufst, wird das sein erste Frage sein. Bevor das System nicht aktuell ist, geht es dort nicht weiter. Und das gleiche schlage ich hier auch vor. Lass dir am besten vom Support eine Liste mailen, in der Du alle Treiber siehst die Du updaten mußt.

Was mich so wundert, ist die Tatsache das dieses Verhalten erst seit dem Umzug auf die 2008 Domäne existiert.

Zuvor unter der 2003er gab's hier keine Probleme.

Was soll man dazu schreiben, 2003 ist nicht 2008. Das war ein großer Sprung, viel hat sicher verändert.

Wir möchten nun eine Lösung anbieten, die dienstliche Post von privaten E-Mails zu trennen. Trotzdem soll verhindert werden, dass die Leute ihren privaten Webmailer benutzen, weil ja überhaupt keine Kontrolle gegeben ist, ob nicht evtl. Dateien rausgeschleust werden.

Datenklau kannst Du IMHO nicht verhindern, im schlimmsten Fall wird fotografiert oder ausgedruckt.

es handelt sich um einen Windows 2008 R2 Terminalserver mit SP1.

Es gibt nur diesen einen Terminalserver!

Für die Netzwerkkarte habe ich gerade den neuesten Treiber installiert und bzgl. des SMB Signing schaue ich noch nach.

Hast Du die anderen Treiber auch schon überprüft? BIOS aktuell? Ist das ein virtueller Server?

Wenn der abgesicherte Modus auch nicht funktioniert, hilft wohl nur Daten sichern und neu installieren.

Du kannst dir die Syntax bzw. das Script, welches es in diesem Artikel zum Download gibt, ansehen, evtl. kommst Du dann mit der Syntax weiter. http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/