grizzly999

Das ist doch das gleich ewie hier? http://www.mcseboard.de/windows-forum-lan-wan-32/ics-problem-icf-aktiviert-96770.html Wir wollten doch keine Overtakes machen und keine Doppelpostings :mad: grizzly999

Was kannst du nicht eintragen? Die MSI? Die MST? Wo nicht eintragen? Welche Fehlermeldung? Du siehst es gibt noch einiges zu arbeiten, nämlich hier erst einmal eine saubere Fehlerbeschreibung abliefern ;) grizzly999

Nein, Nixonian scheint hier Ahnung und Erfahrung zu haben, ein /24 Netz sollte nicht unbedingt überschritten werden. Und WINS schön und gut (ich bin BTW Verfechter von WINS ;) ), aber schon mal mit WINS einen Netzwerkmonitor in einem vollen /24er Netz laufen lassen :suspect: Wir zählen mal nur die ARP-Requests in einer Stunde, die Broadcast Namens Ankündigungen von NBT trotz WINS und Browser Broadcast und was sonst noch da rumflutscht .... grizzly999

Hier, wie man Slow Link Detection ganz abschaltet, also immer alle Richtliniien gezogen werden: How a Slow Link Is Detected for Processing User Profiles and Group Policy Man beachte: Den Schwellwert au 0 kBit/s setzen kann man sowohl beim Benutzer als auch in den Computereinstellungen ;) grizzly999

Der DHCP-Relay-Agent lässt sich schon seit NT 4.0 nur auf einem Serverbetriebssystem installieren. grizzly999

Das ist nicht des Pudels Kern, ob VSS oder nicht, s.u. Live State Recovery taugt soweit ich weiß als Imaging-Software für DCs. Ohne es genau angeschaut zu haben (habe keines :( ), aber ich denke es setzt beim Imagen - zu Beginn vermutlich - den Registry Key, den ich in am Ende meines Artikels zu dem Thema angesprochen habe: Image-Technik und das USN-Rollback-Problem Das könnte man auch von Hand vor dem Imagen machen, aber ein Systemstate würde ich immer vorziehen. grizzly999

Also ein DSL-Router oder ISDN-Router der VPN kann, oder was meinst du ?! Wenn ja, dann sind die Draytek Vigor eine gute Wahl für relativ wenig Geld grizzly999

Schön :) Ja, sollte auch beim Startvorgang des Computers als kleines Fenster zu sehen sein, á la "Software wird installiert - Shadow Copy Client" oder sowas in der Art. Wenn du damit dien Benutzeranmeldung menist, korrekt. Das Paket als Computer-GPO wird VOR dem Erscheinen des Anmeldebildschirms mit dem Systemkonto durchgeführt. grizzly999

Was steht im Ereignislog des Clients, da müsste ein Fehler drin sein? Wie sehen die Berechtigunen auf dem Ordner mit dem .msi aus (Freigabe UND NTFS)? grizzly999

Mehrere DCs in einer SBS-Domäne ware schon ohne R2 möglich, allerdings nur EIN SBS. Siehe auch Boardsuche grizzly999

Hallo und willkommen im Board Wie sind die Einstellungen den DNS-Update auf dem DHCP Server gesetzt? Machst du Gebrauch von der DNSUpdateProxy-Gruppe? grizzly999

Diese 2 Fehlermeldungen können X Ursachen haben, von daher sollten wir mal weiter vorne anfangen. -Die Fehler sind nur auf DC1, nicht auf DC2? -Die Fehler sind auch auf keinem Client, der den DC als Logonserver hat? Was sagen netdiag und dcdiag auf DC1? Sind da verscheidene Standorte im Spiel? Hat das mal ohne Fehlermeldung funktioniert? Wenn ja, was wurde geändert bevor die Fehlermeldungen das erste mal kamen? grizzly99

Habe mal eben alles durchgelesen, aber war etwas viel Info. Daher nochmals: Die Proxy-Settings und IE-StartseiteEinstellungen befinden sich in der GPO "GPO Domain Standort"? In dieser GPO gibt es noch weitere Einstellungen? Diese weiteren Einstellungen werden aber übernommen? So habe ich das soweit verstanden. Ein DNS-Problem dürfte ausscheiden, sonst gäbe es gar nix an GPOs. Weiter mit ein paar wenigen Fragen :D - Die Proxyeinstellung wurde unter Benutzerkonfiguration\Windows-Einstellungen\Internet Explorer-Wartung\Verbindung\Proxyeinstellungen vorgenommen? -Es wird nicht noch an anderer Stelle was mit den Proxy-Settings herumgemacht, Stichwort Firewall-Client vom ISA, Autodetect Proxy o.ä? - Die Startseite wird auch nicht übergeben, oder nur ein einziges mal? - Die Startseite kann geändert werden? - Welche anderen PolicySettings sind in dieser Policy drin? - Sind für den IE weitere Einstellungen in dieser Richtlinie unter Benutzer oder auch Computer drin? - Betrifft das Problem alle Benutzer am Remotestandort oder nur einzelne? - Das GPO auf dem DC02 ist identisch wie das auf DC01 (Versionsnummer, Dateien, etc.)? - Läuft auf den Clients besodnere Software, z.B. eine Novell-Client? Hänge doch mal bitte die in eine Textdatei umgeleitete Ausgabe von gpresult /v hier an deinen nächsten Beitrag an. grizzly999

Das würde über ein Shutdown Script in der lokalen Gruppenrichtlinie gehen. How to assign scripts in Windows 2000 grizzly999

Hast du nach dem Neueinrichten des DNS-Dienstes den Anmeldedienst neu gestartet (oder den Server gebootet). Der ist dafür zuständig, dass die "Subdoms" _msdcs _tcp _udp und _sites angelegt werden? Sind Fehlermeldungen im Ereignislog (System, Anwendung, DNS) nach der Neuinstallation des Dienstes? grizzly999

Hallo und willkommen im Board :) Da werden wohl Richtlinien fehlen, die den Verkehr zulassen. Genaueres lässt sich bei den angegebenen INformationen nicht sagen. Nur soviel: Ein DC auf einem ISA ist nicht die empfohlene ISA-Konfiguration. Hast du/habt ihr denn grundlegendes ISA KnowHow? Ansonsten mal ein wenig in die Thematik "ISA" einlesen. besipile und Konfigurationshilfen findet man hier einige: ISA Server FAQ, die Autoren der Seite haben auch ein Buch herausgebracht ;) grizzly999

[OT on] Kaum einer, der sich mit Gruppenrichtlinien und allem was damit zusammenhängt gut auskennt, rät zu so etwas, sondern genau zum Gegenteil, mich eingeschlossen. Ich kann in dem von dir angegebenen Link auch keine Aussage finden, die deine bevorzugte Vorgehensweise stützt. Aber ich lasse jetzt doch einfach mal den MVP-Kollegen für Gruppenrichtlinen, Mark Heitbrink, genau auf dem Link, den du angegeben hast selber sprechen: Quelle: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Und die Blumen hast du dir selber eingehandelt. Auf Millionen von Domänen in der Welt werden Kennwortrichtlinien gesetzt, und zwar in einer eigens dafür eingerichteten GPO, und die funktionieren. Es sind hier keinerlei generellen Probleme vorhanden, genau das wolltest du den Lesern dieses Threads mit deiner sehr absoluten Aussage erzählen. [OT off] grizzly999

Sorry, so ein unqualifizierter Quark :rolleyes: Password Policies funktionieren für Domänenbenutzer nur auf Domänenebene, das ist korrekt ! grizzly999

Richtig. Wie soll das gehen, irgendwas (ob Shell oder was anderes) mit einem anderen Benutzer aufzurufen ohne dessen Kennwort :suspect: Denk' mal scharf nach ..... dann könnte jeder ...... :wink2: Auch bei SU bruacht man das Kennwort. Bei runas kann man aus Sicherheitsgründen das Kennwort nicht mit übergeben, es gibt aber Drittanbieter, bei denen man das Kennwort mitgeben kann, meist Löhnware. Im Board hatte mal Mats-Computer (so hierßen die glaube ich) Werbung für Runas professional gemacht. grizzly999

dumpsec von SystemTools.com - Windows NT/2000/XP/2003 System Management Software wäre eine Möglichkeit grizzly999

Ja, es steht nirgendwo , dass da lokal eine CA laufen muss. Hast du dir schon die Mühe gemacht bei Microsoft nachzuschauen? How to configure a Windows Server 2003 terminal server to use TLS for server authentication grizzly999

Yep, korrekt. Da kommst du nicht umhin. Selbst wenn du denen eine Wunsch-SID vergeben könntest, zum Neugenerieren des Kennworts müssen die Computer raus nud neu rein. grizzly999

Ja, RIS und RIPRep macht es standardmäßig genauso d.o.of :suspect: Wenn man ein Problem mit dem Netzwerk auf der Maschine hat, dann kann sich kein Admin anmelden, um das zu richten oder wenigstens nachzuschauen (besonders bei RIPrep). Daher: lokaler Adin darf IMHO nicht deaktiviert werden. grizzly999

Nein, das Recht der lokalen Anmeldung ist ein Sicherheitseinstellung des COMPUTERS, nicht des Benutzers. grizzly999

Eine Gruppenrichtlinie wirkt nicht auf Gruppen, sondern nur auf Benutzer und Computer in der OU. Aber man kann die Gruppenrichtlinie über deren Sicherheitseinstellungen für Gruppen filtern, so dass sie nur von Benutzern, die Mitglied in der jeweiligen Gruppe sind, übernommen werden. grizzly999