s1lversurv

Wir haben komische Kerberosmeldungen, die Authentifizierungsfehler melden zwischen einzelnen Servern. Typischerweise müssen sich Benutzer des VPNs immer zweimal authentifizieren, einmal bei Windows und einmal beim Exchange-Server, wenn Outlook gestartet wird.

Hallo Comunity, Situation: --------- Wir haben die Domänencontroller ausgetauscht und AD soweit gezügelt. Im EventLog der neuen Domänencontroller haben wir immer wieder den "KERBEROS ID 11: Doubled SPN for ...". Den doppelten SPN hab ich inzwischen gelöscht (exitierte auf einem Computer- und einem Benutzerkonto?! - however ...). Nun ist mir aber aufgefallen, dass die alten Domänencontroller noch DNS-, NtFrs- und Domaincontroller-SPNs registriert haben. Frage: ------ Bringt es irgendetwas, verwaiste SPNs zu löschen oder kann man diese als "Unique-Carbage" im Netz stehen lassen ohne Performanceverluste einzugehen? Mit Gruss, s1lversurv

Mit certreq.exe hat du die command line version. Du kannst aber auch über das Webinterface des Cert-Servers gehen. Gruess, Daniel

Salut Christian, Einer der Hauptvorteile, die du mit der CA Enterprise hat, ist, dass diese Art CA mit dem Active Directory zusammenarbeitet. D.h. du hast immer die automatische Brücke zwischen den Objekten im AD und den Zertifikaten, die Ausgestellt werden. - Im Falle von VOIP-Geräten, die nicht ans AD gebunden sind würde evtl. Die Standalone CA Sinn machen. Dabei müssen aber die Zertifikate selber erstellt werden. Gruss, daniel

Danke für eure schnellen Antworten. Muss vielleicht noch einiges hinzufügen: * ich weiss weder wo das Gerät steht, noch welche Passwörter für das http interface gesetzt sind. (Kann also keine Netzwerkkonfiguration vornehmen) * Mit der DHCP Reservation, wollte ich die IP an eine andere MAC-Adresse binden, um das Gerät "abzuschiessen" * Ich möchte etwas möglichst einfaches machen, ohne Richtlinien zu ändern. Darf auch ein wenig Hacky sein (vergl. LMHOST einträge) - das Ziel ist nur, dass sich der Besitzer eines Tages bei uns meldet und von uns Hilfe verlangt, resp. das Gerät mit nach Hause nimmt, wo es hingehört ... :-) Hoffe diese Nachträge regen an ;-)

Hallo Zusammen, Situation: In unserem Netzwerk steht ein Gerät mit einer fixen IP. Wir von der Informatik haben das nicht installiert. Das Gerät (Eine Lacie NAS Lösung) dürfte gar nicht hier sein ... Frage: Gibt es eine Möglichkeit in unserer Windows 2003 Domäne dieses Gerät vom Netzwerkzugriff zu hindern? Habe mal an eine Reservation im DHCP Server gedacht. Das Gerät hat aber bereits die IP bezogen ... Gibt es andere Möglichkeiten? PS: Wir wollen dieses Gerät vom Netz ausschliessen.

Situation: Virenscanner deaktiviert, NVidia Display Service deaktiviert (nach KB897101), immer noch der gleiche Effekt. Typischerweise bei allen SolidWorks Clients der Konstruktion ... aber auch die haben haufenweise USERENV(2b4.2b8) 11:13:50:937 CUserProfile::CleanupUserProfile: Ref Count is not 0 Zeilen in ihrem UserMode log. Nur ein paar Einträge sind alternativ dazu, zum Beispiel: USERENV(2b8.5fc) 06:08:25:057 ReadMembershipList: Group S-1-5-21-3859484557-2789962846-1517525058-5626 not in current list of token groups Aber die Typischen Einträge für NVidia Karten Probleme fehlen Den gibts noch: USERENV(2b8.270) 06:08:52:611 PolicyChangedThread: UpdateUser failed with 6. - Leider aber nur spärliche Informationen aus allen Ecken von Google. Werde aus diesen diversen Dingen noch eine Auswahl picken.

Es sieht so aus, als ob der ERSTELLER-BESITZER immer automatisch die Rechte zugesprochen bekommt, änderungen an der ACL durchzuführen. Auch wenn ich dem Benutzer oder dem ERSTELLER BENUTZER explizit verweigere, dies zu tun ... Oder weiss noch jemand was? – Ja salutti, guten Morgen - :-D jetzt schau ich zwar no blloeder drein, aber das ist Hinweis, der mir gefehlt hat! Danke Nils

Nein das is es nicht. Ich habe den Besitzern nur die Ändern Rechte gegeben, ohne Vollzugriff und die Berechtigung Berechtigung ändern unter Speziell deaktiviert ... Dennoch können die Besitzer die Berechtigungen auf ihrem Homelaufwerk ändern!. What's this?

Hallo Comunity - Ich schau mal wieder ****e aus Wäsche ... Situation: Für die Homedirectories wird eine dedizierte Partition auf dem Server verwendet, welche mit der Kontingentverwaltung versehen ist. Diese addiert bekanntlich alle Bits and Bytes auf, welche im Besitz eines Benutzers sind. So weit so gut. Ich habe dem jeweiligen Benutzer also den Besitz erteilt, UND ihm verboten Berechtigungen zu ändern und zu lesen. Problem: Trotz den jetzt eingesetzten Settings kann der Benutzer ALLE Berechtigungen ändern, wie er will. Admin rausschmeissen, neue Benutzer einfügen, sich selber Vollzugriff geben ... Frage: Gibt es einen Kompromiss, wo ich die gewünschten Berechtigungen setzen kann, ohne dass ich auf die Kontingentverwaltung verzichten muss? Froh um Antwort und Hilf, s1lversurv

Hy Norbert, Sorry die späte Antwort - es ist Etrust AntiVirus der Computer Assosiate

Durchaus möglich, dass es soetwas war. Nachdem wir ActiveDirectory verschoben haben, alle FSMO Rollen auf einen neuen Server gelegt haben und das ganze jetzt ein bisschen warm synchronisiert ist :-) - jetzt hat er immer noch die Zertifikate, die er am 18. September geholt hat. Danke ohnehin für den hinweis, Gruss, s1lversurv

Du kannst einen einfachen Managebaren Switch (beispiel NetGear) zuziehen. Einige davon können einen WLAN-Port definieren und übernehmen dann für den AccessPoint die Authentifizierung. !) Habe es zwar noch nicht selber eingerichtet, weiss nur das bei NetGear den Namen "Wireless Auth Service" oder sowas nennt ...

@DocBrown: Ja richtig das mit dem Artikel, so hats bei uns vorm Aufräumen auch ausgesehen :-D @PAT: Wir haben da diese Tragebügel gleich vor den Switches, im Rack selber. Patchkabel sind bei uns vorne gezogen. Alle BB-Kabel (LWL) sind durch die Rückwand der Schränke gezogen und im Doppelboden verlegt.

Hi. Bei uns im Hause gibts dutzende von verschiedenen Notebook-Typen von ca. 3 verschiedenen Herstellern (Doh!). Ich kann dir nur Raten, dich für einen Treiber und möglichst ein Notebook-Typ zu einigen, wenn du das Sauber durchziehen willst ... Zum Post @erixns bez. Joybook: Bei uns gibts für jeden Treiber einen etwas anderen Effekt. Am besten gefällt mir das Handling bei den neuen Toshibas: dort wird das WLAN deaktiviert, wenn das Kabel eingesteckt ist. Das wird vom Treiber gehandelt und funktioniert ohne Benutzeraktion. Gruss, S1lversurv

Hallo Zusammen, Situation: Wir haben auf dem ersten DC die Enterprise-CA installiert. Autoenroll funktioniert, vielleicht fast zu gut? Frage: Da sich die Domänencontroller in den letzten 5 Tagen 10 mal ein Zertifikat mit Template DC ausstellen lassen, frage ich mich wozu? Gibt es einen konfigurierbaren interwall? Oder holen sich die DC nach bestimmten Netzwerkumstellungen ein Neues? (wir hatten noch DHCP, bzw. DNS Services verlegt.) PS: Zertifikat wäre jeweils ein Jahr gültig und hat den Typ DC-Cert ... Danke & Gruss, S1lversurv

Habe das mit dem UHCP probiert, nun lassen sich zwar wieder Dateien löschen, nur merke ich, da ich das Serverprofil nun gelöscht habe, dass die vorhanden Daten auch nicht mehr auf den Server zurückgeladen werden. Das Profil hat aber nur eine Grösse von etwa 70 MB. Habt ihr noch weitere Vorschläge? Gruess, S1lversurv

Hallo Zusammen - Situation: Im Hause wird die Profilsynchronisation mit Servergespeicherten Profiles durchgeführt. Ich habe von meinem Desktop etliche Dateien und Ordner gelöscht. Frage: Wieso ist alles, was ich lösche beim nächsten Login wieder da? PS: Auch gelöschte Favoriten oder QuickLaunch Verknüpfungen sind alle wieder da ... Für jede Antwort dankbar, s1lversurv

Hallo Zusammen - Situation: Haben letztens einen WINS-Server auf "DC1" & "DC2" (Die Domänencontroller mit W2K3 R2 SP2) aufgesetzt. Funktioniert soweit gut und hat die Performance im LAN merklich gesteigert. Frage: Was für eine Rolle spielt es, wie die Clients nun ge-DHCP-t werden? Den einen DC als Primary WINS und der andere als Primary DNS? Oder soll für beide Protokolle besser der gleiche DC als Primär funktionieren? PS: DC01 ist DHCP, DNS*, WINS, AD, NTP, FSMO (Alle 5) DC02 ist DNS*, WINS, AD, GC *DNS-Zonen sind alle AD-integriert Danke & Gruss, s1lversurv

Ja Ja, Windows 2003 Domäne Nein, die ist aktiviert Auf dem Client nicht zu sehen ... Nein, weder auf dem Server, noch auf dem Client – Alles klar ;-) - ich glaubs und werd's testen ...

@Zahni Danke für den Tipp, aber das Problem scheint nicht Maschinenspezifisch zu sein, zumahl es schneller läuft, wenn ich nicht über den UNC darauf zugreife (vergl. Laufwerk-Mapping):suspect:

Ist denn der Explorer selber an WINS gebunden? - Ich meine gibt es noch einen deutlichen Performance Zuwachs durch WINS oder ist's einfach nur ein Protokoll mehr im Netzwerk?

WINS Server haben wir bewusst keinen mehr im Einsatz, da ziehmlich alle Maschinen mindestens Windows XP verwenden. Reverse Lookup-Zonen sind auf beiden Server definiert ... gibt auch keine doppelten Einträge oder sowas. Evenlog gibt 3 Meldungen aus (regelmässige Abstände): Ereignistyp: Fehler Ereignisquelle: KDC Ereigniskategorie: Keine Ereigniskennung: 11 Datum: 14.08.2008 Zeit: 14:05:07 Benutzer: Nicht zutreffend Computer: <computer> Beschreibung: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen MSSQLSvc/<computer>.<domain>:1433 vorhanden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. _____________________________________________________________________ Ereignistyp: Fehler Ereignisquelle: NETLOGON Ereigniskategorie: Keine Ereigniskennung: 5805 Datum: 14.08.2008 Zeit: 13:58:53 Benutzer: Nicht zutreffend Computer: <computer> Beschreibung: Die Sitzungseinrichtung von Computer <computer> konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Zugriff verweigert Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Daten: 0000: 22 00 00 c0 "..À _____________________________________________________________________ Ereignistyp: Warnung Ereignisquelle: LSASRV Ereigniskategorie: SPNEGO (Vermittlung) Ereigniskennung: 40960 Datum: 14.08.2008 Zeit: 05:49:06 Benutzer: Nicht zutreffend Computer: <computer> Beschreibung: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server cifs/<server> festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "{Vorgang fehlgeschlagen} Der Vorgang konnte nicht durchgeführt werden. (0xc0000001)". Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Daten: 0000: 01 00 00 c0 ...À

Ja allerdings ... Sobald NetBios Namen oder DNS verwendet wird geht's los. Wo ist hier der Flaschenhals?! - Sind überigens Alles Windows 2003/R2 Server.

:cry: ... Hallo Zusammen! Wir haben im Moment ein Netzwerkproblem im Haus. Ich kann's mir aber nicht erklären: Sobald im Windows Explorer unserer XP Clients ein UNC-Pfad gebrowsed wird, hängt das ganze Betriebssystem bis zu einer Minute durch! :confused: Wenn ich aber dann hingehe und dem UNC-Pfad einen Laufwerksbuchstaben mit einem Mapping gebe, fliegen die Fetzen nur so. Hat jemand eine Idee, wie das Browsen mit UNC-Pfaden verschnellert werden kann?