AL-Bundy

Hallo, leider brachte die Suchfunktion kein Ergebnisse, auch bin ich mir nicht sicher ob ich im richtigen Foruim poste, falls nicht, bitte verschieben... So, nun zum Problem: Ich habe die Anwendung openvpn welche auf mehreren Notebooks auf denen die User nur Benutzerrechte haben ausgeführt werden soll. Die Anwendung benötigt zwingend lokale Adminrechte da sonst die "Route.exe" bei Flash und neusetzen der routen in ein "Zugriff verweigert" hineinläuft. Nun haben wir einen lokalen VPN Administor erstellt und ein Kollege der .NETter eine Anwendung geschrieben welche die Exe im Kontext des Users startet (Username (Klartext), Passwort (natürlich Verschlüsselt)). Diese Anwendung, dachten wir, funktioniert, hat sich dann aber leider rausgestellt doch nicht :(... So nun denke ich, ich bin doch nicht der einzigste der ein Problem hat unter normalen Userrechten eine Anwendung starten lassen zu müssen die höhere Rechte erfordert, Tante google liefert diverse Antworten aber diese sind entweder Versionen im 0.x Status oder kostenpflichtig... Also, weitergesucht und auf das Application Compatibility Toolkit Version 5.6 gestossen. Hier kann ich zumindesst die Benutzerkontensteuerung unterdrücken und dachte, bis ich auf die Popups der einzelnen Menüpunkte gestossen bin, ich kann die Anwendung über "erhöhte Adminrechte" laufen lassen, dies funktioniert auch während des Einrichten und im "Testlauf" jedoch nach speicher und installieren des soeben erstellen DB Eintrages leider wieder nicht. RunAS ist übrigens auch keine Lösung, da der RunAs EIntrag meinen Quellen zufolge dann durch umbenennen der "exe" und ersetzen durch eine andere mit gleichem Namen ausgehebelt werden kann. Sollte ich mich in der RunAS Funktion täuschen wäre dies natürlich auch eine Lösung, ich denke aber eher nicht... Kann mir jemand bitte helfen, wie kann ich einer Anwendung unter einem Useraccount dazu verhelfen als Administrator ausgeführt zu werden ? Kann doch nicht sein das niemand der mit normalen Useraccounts in der AD jongliert nie dieses Problem hatte bzw. MS hierfür keine Lösung anbietet. Danke erstmal fürs durchlesen und bin für alle Antworten offen Gruß

@Necron: Jo, Punkt 3 ist somit falsch und wird von mir durchgestrichen um keine Fehlinformationen im Netz stehen zu haben. @Necron und Dr Melzer Vielen dank für eure Hilfe und die Informationen, Thread kann geschlossen werden.

Jo, da gebe ich Dir Recht. Eigentlich hat es mit dem Lizenzkey selber nichts zu tun, ich wollte mit diesem Zusatz eigentlich nur Unterstreichen ob man dies sozusagen mit dem Kauf einer (1) Lizenz sounsdsoviel zusätzliche Virtuelle Maschinen auf demselben phys. Server installieren darf. ...das Du auch gleich jedes Wort so auf die Goldwaage legst ;). Nee, im Ernst ist schon richtig das es mit dem Lizenzkey eigentlich wenig zu tun hat. Beim Partnerprogramm bekommt man ja auch nur den einen Lizenzkey und verwendet diesen auf mehreren Maschinen. Beim Partnerprogramm wird doch auch so gehandhabt, sprich Goldpartner bekommt mind. 3 x W2K8 R2, diese verhalten sich aber in Sachen HyperV wie gekaufte Lizenzen , oder nicht ? @Necron : Bei Punkt 3 meine ich mit "unabhängig": Man kauft 1 Lizenz, darf im genannten Fall 3 bzw. 4 maschninen Virtuell laufen lassen, muß aber diese 3 bzw. 4 Maschinen extra Lizenztechnisch abdecken (Sprich: weitere Lizenzen dazukaufen)

Hallo @LL, ich habe im MCSEBoardforum das Thema HyperV bereits durch die Threads mir zu Gemüte geführt und auch gesehen das es hier in der Vergangenheit SEHR VIEL Diskussionen darüber gab , sowohl positive als auch sehr negative Threads . Grundsätzlich habe ich das Lizenzierungsmodell von MS begriffen möchte aber noch einmal "gegenchecken" ob es den bei mir richtig angekommen ist. MS schreibt ja in dem Lizenzmodell für sagen wir z.B. W2k8 R2 Enterprise folgendes vor: 1 physisch + 4 VMs**, --> ** ist mit jede zusätzliche GastVM benötigt eine Lizenz BEDEUTET DAS IM KLARTEXT: 1. 1x Lizenz W2k8 R2 Enterprise resultiert zu: 1x HostVM OHNE weitere Dienste + 4 VMs mit derselben Lizenz/Lizenzkey wie der Host 2. 1x Lizenz W2k8 R2 Enterprise resultiert zu: 1 x HOST VM mit Diensten z.B Exchange Server 2007 + bis zu 3 weiteren W2k8 Standard (Um nicht die 4 vollzumachen und somit den Host nicht mehr als "Zusatzserver" nutzen zu dürfen ), wobei die bis zu 3 weiteren W2k8 Standard mit der 1 Lizenz/Lizenzkey des Hosts "aktiviert" werden 3.EDIT:PUNKT 3 ist falsch, bitte nicht beachten 1x Lizenz W2k8 R2 Enterprise resultiert zu: 1x Lizenz W2k8 R2 Enterprise + überhaupt das Recht weitere 3 bzw. 4 VMs (bei 4 fällt der Host als "Zusatzserver" weg), Maschinen die vollkommen unabhängig vom Hostlizenzkey lizenziert werden Um doch noch einmal ein bissele klarer zu werden: Darf ich mit ein und denselben Lizenzkey 1 x Host + 3 mal VM auf ein und denselben physikalischen Server aktivieren ? (abgesehen davon das bei der 4ten VM der Host nur noch als HyperVServer im Netz seine Dienste ausführt) Ich muss dazu sagen, ich schreibe nicht um mit einem erneuten "Wie lizenziere ich Hyper-V"-Thread zu nerven, ich weiss auch das bereits viel Informationen in den Threads stecken die ich auch wirklich alle durchgelesen habe, habe aber das Problem das bevor ich die Threads gelesen hatte, etwas klarere Gedanken zum Thema HyperVlizenz hatte und nun gerade nicht genau unterscheiden kann wo den die Ganze Wahrheit liegt. Danke und Gruß AL

Ich hätte Dir hier mal eine Syntax mit der ich vor einigen Wochen auf einem Testserver diverse Wiederherstellungs und Reparaturchecks erfolgreich durchgeführt habe: Syntax: eseutil /p „Pfadangabe der MailboxEDB“ /g /p - steht für Reparatur /g – steht für Integritycheck Damit sollte Deine *.edb nach Abarbeitung der Prozesse für den Exchange wieder lesbar sein. Gruß AL edit: es handelte sich bei mir um das Produkt Exch2007, aus Deinen Angaben kann man leider nicht sehen was für nen Exchange Du einsetzt. Dies gilt nur mal als Info bzw. Ansatz für Deine weitere Vorghensweise.

LOL @ FAQ-Alarm--> ääääähm , da war doch was .... :suspect::o Hi Norbert, danke für den Tip und den/die Link(s). Ich werde das nächste Mal die Faqs und Suche genauer unter die Lupe nehmen. Nun denn, vielen Dank nochmal für den HInweis und den Link und Grüße Thread kann geschlossen werden. Grüße AL edit/nachtrag: Was fürn super Forum, keine 1/2 Stunde nach Threaderstellung schon eine extremst brauchbare Rückantwort. Einsame Spitze :jau::thumb1:

Hi, ich hätte da ein Problem und weiß nicht ob ich vergesse einen Schalter umzulegen oder sonstigen Trick anwenden soll. Wir habe auf unserem Exchange 2007 folgendes Problem: Mehrere Partitionen auf denen unterschiedlich viel freier HDD Platz vorhanden ist. Da eine der Partitionen mit der bei der Installation angelegten Mailbox.edb langsam aber sicher volläuft habe ich mich entschieden unter ExchangeVerwaltungskonsole-->Serverkonfiguration->Postfach-->Datenbankverwaltung eine neue "EDB" auf einer partition anzulegen auf der noch Platz im Überfluss vorhanden ist. Dies hat auch problemlos funktioniert und ich habe nun 2 *.edb Fächer auf dem gleichen Server aber auf unterschiedlichen Partitionen. Nun habe ich mehrere Postfächer genommen und diese per "Postfach verschieben" auf die neue edbDB geschoben. Alles soweit wunderbar, keine Fehler im Logfile. Die neue edbDB füllt sich auch langsam was ich im DateiExplorer anhand der Grössenänderung sehen kann. Das Problem ist nur , die "alte" edb verändert Ihre Grösse nicht. Das Postfach ist, wie ich in den Eigenschaften des Accounts sehen kann uf der neuen edb verwaltet und somit verschoben. Warum wird der Plattenplatz von der alten edb nicht freigegeben ?:confused: Hoffe Ihr könnt mir da weiterhelfen... Danke und Gruß

Soooooooo, dann möchte ich mal über die Bereinigung der AD berichten.... Habe nun die Bereingung der CA'S und deren Reste in der AD erfolgreich durchgeführt. Hatte gestern Abend (Freitag) ein Zeitfenster bekommen um die Fallback-Lösung mit der System State AD wiederherstellung evtl. über mehrere Stunden erfolgeich hinzubekommen-> Zum Glück habe ich diesen Vorgang nicht gebraucht :D:D;) Keine Probleme wärend der Ausführung gehabt. Die Sache ist absolut Reibungslos über die Bühne gegangen und die DC's haben nun eine FM weniger (Sind noch ein paar übrig zu denen ich vielleicht noch den ein oder anderen Thread öffnen werde) ;) Ein rieesengrosses Dankeschön an "OLC" der mir hier sehr geholfen hat, das Forum ist spitze, die Lösungen sind toll. Selbst wenn mal doch das ein oder andere nicht auf alle Netzwerkle pauschal anwenden lässt wird man immerhin auf "eine Spur" gebracht. Danke allen , insbesondere OLC. Gruß AL

Hey again, alles klar, vielen vielen vielen Dank erstmal. Ich werde diese Vorgänge im Laufe der nächsten Woche durcharbeiten und über deren Erfolg berichten. Vielen Dank im voraus und Gruss :D:) AL

Hi OLC, Hi @LL, vielen Dank fürs Willkommenheissen, schön hier zu sein .Tolles Forum.... Vielen Dank für die schnelle Antwort. Ich werde nach diesem Dokument vorgehen, dann sollte zumidest diese FM unter den DC's verschwunden sein. Sehe ich es richtig das ich im Prinzip die Schritte 1-5 komplett überspringen kann, da die CA ja nicht mehr vorhanden ? Die PKI's kann ich ja nicht mehr entfernen, da der Server der Sie herausgab ja nicht mehr vorhanden... Im Punkt 6 der Doku wird beschrieben wie man unter Active Directory Standort und Dienste die CA'S entfernt hier nun ein paar Fragen dazu. Ich möchte noch einmal betonen, es gibt derzeit keine CA im Netz / AD 1) IM AIA stehen 2 CA's drin, diese beide löschen. 2) Im CDP stehen 3 Server drin, von denen 2 nicht mehr existieren und der dritte 100%ig kein CA mehr ist, also die 3 so wie sie sind, Löschen ! 3) So, nun zu Certification Authorities, hier stehen 2 drin, auch löschen 4) Enrollment Services, den INhalt löschen So, jetzt wird es sportlich, und ich denke auch kritisch... 5)Certificate Template Ordner--> Es stehen 31 Certificate Templates drin, diese tatsächlich wie in Punkt i der Doku ALLE Löschen ??? HIer stehen unter anderem auch Templates wie z.B. ClientAuth, EmailReplication, Workstation,... drin. diese werden tatsächlich nicht mehr benötigt ???? Hier kommt ja noch der Hinweis von MS welcher lautet: ZITAT: Important If the templates are accidentally deleted, make sure that you are logged on to a server that is running Certificate Services as Enterprise administrator. At a command prompt, type cd %windir%\system32, press ENTER, type regsvr32 /i:i /n /s certcli.dll, and then press ENTER. This will re-create the certificate templates in Active Directory. /ZITAT Da ich keine CA am laufen habe, werde ich diese templates auch nicht mehr herstellen können... Sehe ich es richtig das diese Templates bei Bedarf einer CA mit deren Installation automatisch wieder angelegt werden ? Oder muss ich auf jeden Fall, nachdem ich diese gelöscht habe, wieder durch "frische" mittel des Befehl ersetzen/wiederherstellen ? 6) So und nun noch als letztes das NTAuthCertificates direkt in der Root der PublicKeyServices löschen 7) Jetzt noch den "certutil -dcinfo deleteBad" 8) Abschliessen "gpupdate /force" Und natürlich, vielen Dank für den TIP, vorher SYSTEMSTATE sichern, man weiss ja nie :shock: Mann mann mann , habe da ja nen halben Roman geschrieben, hoffe es ist nicht zuviel... Wenn Du/Ihr mir einfach kurz bestätigen könntet das die Schritte so wie aufgeführt OK sind ?! Danke erneut im voraus für die Antworten Gruss AL p.S. Die Clients haben in Ihrem Schlüsselspeicher ein automatisch bei Domainaufnamhe mitgeliefertes Zertifikat eines CA's der wie eben aufgeführt nicht mehr vorhanden, aber das Zertifikat besitzt noch en paar Jahre gültigkeit. Werden diese weiterhin arbeiten können oder muss dieses vor reinigen der AD mittels GPO oder Script von allen entfernen ?

Hi, ich habe mal folgende Frage: Ich habe neu in einem Unternehmen begonnen und bin gerade dabei die Weiten der AD zu entwirren. Eines der Probleme ist das die DC's folgende Fehler untereinander initiieren:Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar. Nach tagelangem suchen und recherchieren bin ich nun der Meinung das die Problematik darin liegt das von einem/mehreren meiner Vorgänger immer wieder auf unterschiedlichen Servern (Sowohl auf einem DC als auch auf Applikationservern) CAs installiert und irgendwann mal wieder deinstalliert wurden (Fragt mich nicht warum...:confused:) Suche ich per SNAP-In "Zertifizierungsstelle" in der AD nach einem CA wird mir automatisch ein Server angezeigt den es nicht mehr gibt. Derzeit gibt es gar keine CA in der AD. So nun zu meinen Fragen: - Sehe ich es richtig das ich per "certutil -dcinfo deleteBad" nicht mehr benötigte/überflüssige Zertifikate von den DC's wegbekomme ? Werden bei diesem Befehl wirklich nur die "Bad" deregistriert oder kann da mehr schiefgehen ? - Wie bekomme ich den in der AD registrierten falschen / nicht mehr bestehenden CA aus der AD ? - Gibt es von eurer Seite aus Hinweise zur oben genannten Fehlermeldung ? (Evtl. DNS,...) ? Danke im voraus für eure Mühe Gruss

Hallo, ich habe mich soeben erfolgreich für das Board registriert und wollte mich kurz mal vorstellen. Bin 33 Jahre alt und seit 1999 MCP+I und MCSE NT4.0 Ich arbeite als Sysadmin, leider wurden wir nach und nach immer weiter zentralisiert und wir Eierlegende Wollmilchsäue wurden immer mehr nur zu "Hilfsadmins", so das ich heute zwar ADS Kentnisse sowohl theoretischer als auch praktischer Art habe , diese jedoch nicht nachweisen kann. Wegen unglücklicher Umstände wird mir nun im Unternehmen die Pistole an die Brust gesetzt und mir bleibt die Auswahl gekündigt zu werden, eine Abfindung zu Unterschreiben oder mich intern nach einem anderen Job umzusehen. Leider habe ich damals die Gelegenheit dazu versäumt mit der Updateprüfung den MCSE W2K zu erlangen :nene: und aus dem Grund drücke ich nun wieder die Selbstudiumsbank um den W2K3 MCSE zu erlangen, um mich auf dem Arbeitsmarkt etwas attraktiver zu machen. Des weiteren möchte ich betonen das ich KEIN "Braindumper" bin sondern die erworbenen Kenntinsse und Qualifikationen durch Wissen erworben habe. Das werde ich auch diesmal durchziehen. Nun zu meinen Zielen: Ich habe mir zu Weihnachten das MCSE W2K3 Core Pack gegönnt und werde nun die 70-290,70-291,70-293 und 70-294 durcharbeiten. Das reicht fürs erste, die weiterführenden Qualifizierungen/Spezialisierungen werden sich denke ich mal die nächsten Monate ergeben. Als Zeitplan habe ich mir gesetzt jede 1- 1/2 Monat(e) eine dieser Prüfungen abzulegen, ob dies tatsächlich machbar ist oder nicht, Ihr werdet es erfahren ;) Ich hoffe dies durchziehen zu können, rechne aber auch mit der ein oder anderen Verschiebung um ein paar Wochen, ehrlich gesagt, ich weiss nicht ob ich meinen pers. Zeitplan einhalten kann aber man muss sich ja Ziele setzen... Vom Board erhoffe ich mir Hilfe zu bekommen als auch gerne, soweit meine Kenntnisse es zulassen, Hilfe zu geben. So, das wars dann erst mal Grüsse AL Bundy