gardsen

Auch das habe ich schon ausprobiert. Ergebnis bleibt hier gleich: BAD_ADDRESS...

Also: Subnetz beginnt bei 10.16.0.1 endet bei 10.16.3.254 - 22er Maske

Da der Konfigurationsaufwand (Drucker komplett aus 10.16.0.x in 10.16.1., 2 oder 3.x umkonfigurieren) gespart werden soll, wollen wir 10.16.1.1 bis 10.16.1.150 verteilen.

Genau so sieht auch der Scope aus. Ein Bereich, der eben nur diese Adressen verteilt.

Mache ich genau das mit Scope 10.16.0.1 bis 10.16.0.150 mit gleicher Subnetzmaske, bekommen die Clients alle eine Adresse.

Mache ich genau das mit Scope 10.16.1.1 bis 10.16.1.150 kommt nur BAD_ADDRESS.

Was genau führt hier zu den BAD_ADDRESS-Einträgen?

Hello,

mit 10.16.0 können wir nicht weitermachen - Netz erschöpft.

Zudem stehen in dem Netz alle Drucker - demnach ist es einfacher auf das 10.16.1.x auszuweichen.

Eingestellt ist ein DHCP-Pool 10.16.1.1 bis 10.16.1.150, so werden die Adressen verteilt.

Seltsam ist, dass auf dem Server die Verteilung von 10.16.0.x funktioniert - bei 10.16.1.x 2.x und 3.x kommt immer dieser BAD_ADDRESS - Fehler (also der DHCP-Bereich ist sehr schnell erschöpft und mit diesen "Mülladressen" voll).

Und da liegt eben der Hund begraben - warum funktioniert 0.x, 1-3.x aber nicht?

Hallo Gemeinde,

ich hab mal was Herausforderndes...

Eckdaten der Umgebung:

- Server 2008 R2 als DC mit DNS und DHCP

- IP: 10.16.0.206 Maske 22

- IP-Adressverteilung 10.16.0.x - alles wunderbar, Clients bekommen Adressen

Da uns da aber die Adressen ausgehen, haben unsere Netzies das Subnetz von vormals 24er Maske auf die 22er erweitert.

Ich möchte nun 10.16.1.x verteilen. Dabei gibt es aber ausschließlich "BAD_ADDRESS" Einträge.

Fehlererkennung ist auf 2 Versuche, hat nichts gebracht.

Server nicht multihomed, kein rouge-dhcp im Subnetz.

Ich hab sowas noch nie gesehen....was ist da los?

Hilfe! :)

Hallo zusammen,

wir haben einen von vier DCs in einer Site außer Betrieb genommen (dcpromo). Das hat alles sauber geklappt, ohne große Probleme.

Es bleiben: 2x DC2003R2, 1x 2008R2 (Schema-Master etc.), alles noch mit Domänenfunktionsebene 2003.

Dahinter: Citrix XenApp mit Server 2008 R2

Es gibt eine Richtlinie, in der für die Terminalserver-Benutzer die Ordnerumleitung konfiguriert wird.

In dieser Richtlinie stand ursprünglich (da unter 2003 R2 erstellt):

Umleitung von Eigenen Dateien nach \\server\home\%username%\Eigene Dateien

Nun kommt ja 2008 R2 ins Spiel: Die gleiche Richtlinie wird auf einmal so interpretiert: \\server\home\%username%\Documents

Folge: Gehe ich im Explorer mit einem Testuser auf mein Home-LW sehe ich zwei Mal "Eigene Dokumente" --> einmal aufgelöst nach \Documents, einmal aufgelöst nach \Eigene Dateien.

Im Eventlog der Server bekomme ich haufenweise Fehler 502 (0x1211) bei der Folder Redirection.

Frage: Kann ich, wenn ja wie, das Ganze beheben?

Moin moin,

gibt es eine Möglichkeit, entweder mit Boardmitteln oder mit Tools die integrierte Firewall ein / auszuschalten?

Szenario: Domänennetzwerk mit ASA im Vordergrund --> in der Domäne ist die FW aus, da schon durch Cisco vorhanden.

Zusätzlich haben wir Workgroup-Clients, die allerdings auch hinter der ASA stehen - ebenfalls FW aus.

Kann ich nun (beispielsweise anhand der IP-Adresse oder durch Benutzerinteraktion - keine lokalen Admins, keine Netzwerkoperatoren) die FW im öffentlichen / privaten Profil einzuschalten?

Ganz simpel gedacht: das IP-Subnetz im Hotel entspricht keinem internen Netz (ja, das kann auch gleich sein, sei jetzt aber erst einmal dahingestellt).

Alternativ und fast noch besser: Kann ich mittels eines Tools, dass an einem Notebook eine IP-Adressänderung feststellt, festlegen, "Befinden Sie sich an einem Firmenstandort?" Ja: FW aus; Nein: FW privat + öffentlich an.

Sicherlich etwas knifflig, aber viellicht hat ja jemand eine Idee in petto....

Gruß,

Gardsen

Hi,

alles klar - ich dachte schon ich suche an den falschen Stellen.

Dann bin ich dennoch einen riesigen Schritt weiter - vielen Dank für die Hilfe!

Grüße,

Gardsen

Hallo zusammen,

Über die Remotedomänen kann ich ja verwalten, dass z.B. automatische Weiterleitungen an Domäne xyz.de nicht erlaubt sind. Dies gilt für die regelbasierte Weiterleitung in Outlook und wird ja als Flag auf dem Server hinterlegt.

Um zu verhindern, dass Mails eines Benutzers automatisch in das private Postfach mail@xyz.de weitergeleitet werden, lässt sich diese Funktion prima nutzen.

Nun habe ich festgestellt, dass diese Deny-Regel anscheinend nicht greift, wenn man über die Out of Office ("Abwesenheitsassitent") - Einstellungen regelbasierte Weiterleitungen einstellt. Trage ich hier ein, dass alle eingehenden Mails während aktiver OOF-Konfiguration an mail@xyz.de geleitet werden, funktioniert das.

1. Warum?

2. Wie kann ich das verhindern?

3. Wie kann man sich Weiterleitungsregeln bestimmter / aller Benutzer anzeigen bzw. exportieren? (nicht OOF - das ist bei MSQFAQ gut beschrieben!)

Danke und viele Grüße,

Gardsen

Das tue ich ja auch wie schon erwähnt.

Weil man einem fahrenden Auto auch nicht die Reifen abschraubt. Ich kann keine GPO erstellen, die die Ausführung verbietet (u.a. weil viel Spezialsoftware - auch auf den Terminalservern - im Einsatz ist). Wenn da was nicht funktioniert und stillsteht oder die Leute nicht mehr rankommen, kann ich das Notebook zumachen und gehen.

Deshalb ja das intensive Gefrage nach Alternativen ;-)

Tadeln und verbieten ist schön und gut, Rundmail hilft mir aber auch nicht, solange das nicht von der Geschäftsführung abgesegnet ist. Bis das allerdings passiert, dauert es halt, daher wollte ich eigentlich - zugegebener Maßen - eine adhoc - Lösung.

User ziehen sich Portable Apps --> Sollen sie nicht, stellen wir bereit, klaut Speicherplatz und frisst Performance. Also alles zusammen.

Das würde ich gerne verbieten, geht ja aber nicht, wenn nur über GPO, die kann ich momentan nicht anfassen.

Das hatte ich auch nicht vor. Natürlich ist eine nachhaltige Lösung wichtig, momentan muss ich aber gewährleisten, dass die Benutzer vernünftig arbeiten können und müsste deshalb Symptome bekämpfen. Mir passt das auch nicht. Bald ist es zum Glück so weit, dass unsere alten TSe abgelöst werden, dann auch mit vernünftigen GPOs ;-)

Nein, keine Quotas. Ich kann jetzt nicht losrennen und alle Policies umschreiben, zudem wüsste ich nur gerne, ob das auch ohne GPOs möglich ist, da für uns momentan die einfachere Variante...

Das ist mir klar, das bringt hier aber nichts. Wir müssen leider das Speichern (bestimmter, nicht aller) Dateien verhindern, da die Applikationen zum Einen schon installiert sind (z.B. Firefox) und zum anderen Sachen wie z.B. Druckerinstallationspakete wiederholt in den Profilen auftauchen.

Die GPOs sind über kurz oder lang natürlich erste Wahl, wir müssen nur der Problematik begegnen, dass viele Benutzer halt solche Anwendungen in ihre Dateien packen.

Hab ich doch schon geschrieben. Es geht darum, dass keine Portablen Apps in der Terminalserver-Umgebung landen sollen. Da hilft mir dann die Ordnerumleitung nicht weiter. Es geht lediglich um eine Prüfung ob Datei(ausführung) XY erlaubt ist. Wenn ich da jetzt mein OpenOffice Portable finde, möchte ich, dass das entweder geblockt wird, oder besser, dass ich durch Filter bestimmen kann, dass Datei XY nicht zulässig ist und geblockt wird.

Hm, es geht ja (leider) nicht nur um die Desktops. Wir haben einige Leute hier, die das auch gerne im Eigenen Laufwerk speichern, das in einen gemeinsamen Share legen und und und... Dahingehend sind alle recht findig.

Mit der Orderumleitung kann ich doch aber auch keine Dateispeicherung verbieten oder?

Hallo an alle,

Gibt es irgendeine Möglichkeit, per HASH-Wert dateien zu überprüfen, die nicht heruntergeladen und / oder gespeichert werden dürfen? Die Problematik dürfte klar sein: User A legt sich auf Terminalserver 1 eine Datei ab (Desktop), meldet sich ab, wieder an, landet auf TS2 und die Anmeldung dauert ewig. Zudem haben wir alles an Software, was man zum Arbeiten braucht.

Über Policies Software zu erlauben und den Rest zu verbieten wäre eine Möglichkeit, jedoch bei neuer Software eine Menge Anpassung. Mit den Hash-Werten bräuchte ich "nur" eine Liste von Dateien die verboten sind (oder?).

Wie setzt man sowas um? Firewall, Software, doch eine Policy...?

Ich bin etwas ratlos...

Hallo zusammen,

Folgendes Konstrukt:

Ein einfacher Verzeichnisbaum mit 3 Ordnerleveln. Ordner 3 in 2 in 1. Auf Ordner 1 ist die Gruppe Domänen-Admins mit abwärts vererbtem Vollzugriff eingetragen. In der Gruppe Domänen-Admins sind 2 User, UserA und UserB. Wenn ich nun z.B. in Ordner 2 (auf dem zusätzlich noch separate Berechtigungen gesetzt sind, die allerdings nicht die geerbten egalisieren) mir entweder Dateien anzeigen lassen will (einfaches Browsen) oder die Sicherheit ändern muss, geschieht folgendes:

Ich werde zuerst aufgefordert den mir dauerhaft die Berechtigungen zu setzen, dann funktioniert auch alles. Jedoch werden zusätzlich meine Credentials UserA in die NTFS-Security übernommen - gleiche Berechtigungen wie für die Domänen-Admins, wo ich auch drin bin.

Warum passiert das so? Es stört ja soweit nicht, nur dann muss ich die Berechtigungen für die Domänen-Admins gar nicht setzen, das könnte ich dann auch manuell machen...

Update: Irgenwas muss hier schief gelaufen sein. Im DNS sehe ich jetzt mehrere Server mit _VLMCS-Einträgen. Wurden die dann _alle_ mit KMS-Host-Lizenzen betankt, ist das möglich? Normal müsste Microsoft doch da rummeckern oder nicht - da jede KMS-Hostlizenz doch auf 6 Aktivierungen / Rechner begrenzt ist?

Hi,

ja das Mgnt für SCOM hab ich schon gesehen. Letzteres setzen wir aber nicht ein. Mir geht es um Lizenzüberwachung.

Weißt du, welchen Port die Kommunikation benötigt? Ist das der 1688 der im DNS unter _VLMCS eingetragen wird oder braucht der KMS noch mehr?

Hallo zusammen,

ich habe mich mal daran gemacht und einen KMS-Host aufgesetzt. Die Installation macht ja überhaupt keine Probleme, das ganze Konstrukt darum allerdings schon.

Ich hab im whitepaper "Manage Activation Using VAMT 2.0" folgenden Abschnitt gefunden:

VAMT provides a point-in-time view of the computers and products that it manages. It cannot provide an ongoing view of your environment. You should refresh the status from time to time. You can easily get an update license status.

Wenn ich das richtig verstehe, bleibt mir keine andere Möglichkeit, als das Updaten der Clients zu verscripten. Relativ unkomfortabel. Andere Möglichkeiten sind hier nicht gegeben, oder?

Zudem fände ich es interessant, von den Clients auch ohne meinen Eingriff (Refresh per WMI) aktualisierte Informationen zu erhalten. Auch hier die Frage: Anders geht's nicht - sprich Clients melden sich und in der Konsole werden die aktualisieren Informationen angezeigt?

@Pat:

Ich weiß schon, wovon ich rede, ich beschäftige mich hauptsächlich mit anderen Dingen, WSUS ist da ein Beiläufer. Was ich manchmal halt etwas komisch finde ist eine Gegenfrage auf eine konkrete Frage, die ich hier nicht stellen würde, wenn ich nicht sowieso schon weiter wüsste.

Ich lass mir gerne helfen - sonst wäre ich auch kaum hier.

Wie gesagt, Problem ist gelöst, das haut alles hin mit den Updates.. ;-)

Die Updates sollen ja eben _nicht_ überall drauf sondern nur an Site 1, 3 und 7, nicht aber beim Rest, da die schon ein höheres Patchlevel haben...

Über die Gruppierungen und manuelle Freigaben lässt sich das realisieren, für alle die, die das gleiche Problem haben.

Tolle Antwort, danke.

Es kommt z.B. ein Standort dazu, der bei SP2 stehengeblieben ist und soll nun mit SP3 versorgt werden.

Hab die Antwort aber auch schon, es funktioniert.

Thema kann zu.

Hi an alle,

ich wüsste gerne, ob es möglich ist, einen WSUS-Slave mit zusätzlichen Updates zu versorgen, die nicht über den Master gepusht werden.

Als Beispiel: Master verteilt alles bis auf ServicePacks

Slave holt sich diese Einstellungen und Updates aber dazu noch die ServicePacks. (Natürlich grob vereinfacht...)

Ist das so möglich?

Grüße,

Gardsen