grizzly999

Ich vermute zunächst ein Problem der MTU Size. Suche mal im Board danach, da gibt's Hinweise und Tools, die MTU Size herunterzusetzen. grizzly999

con2prt.exe funktioniert auch bei 2003 wunderbar, und das ZAK kann man immer noch bei Microsoft herunterladen ..... ;) BTW: rundll32.exe kann das auch sehr gut http://support.microsoft.com/kb/314486/en-us Und VBS gibt's auch noch: http://support.microsoft.com/kb/263226/en-us grizzly999

Wenn ich an den "Was verdient ein MCSE" Thread denke, hier gibt es doch ständig fähige Leute, die Arbeit suchen. Deshalb hole ich den Thread nochmals hoch. Wer Ahnung, Lust und Zeit hat, bitte melden grizzly999

Ich sage jetzt mal ganz hart: Du musst die Regel nicht verstehen, nur akzeptieren, wie alle hier im Board. Thread geschlossen, da die hier "zulässigen" Methoden alle genannt wurden. grizzly999

Wie schon gesagt, das geht. Man öffne das verwaltungstool für die Zertifizeirungsstelle, wähle diese aus, rechte Maustaste -> Eigenschaften. Dann unter Reiter "Erweiterungen" bei Sperrliste-Verteilpunkt kann man Verteilpunkte hinzufügen oder auch entfernen. Möglich sind LDAP-Pfade (Active Directory), HTTP-URLs,FTP-URLs und File-Freigaben. Am ehesten würde ich eine HTTP-URL nehmen. Wie das dann aussehen muss, sieht man ja bei den schon drin stehenden Pfaden. Wichtig: man muss den Dateinamen der CRL mitangeben, also z.B. http:// www. meinedom. com/pki/meineca.crl Wenn die anderen Pfade nicht erreichbar sind, kann man sie entfernen, oder zumindest das Häkchen bei "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" entfernen. Repsektive muss für den neu hinzugefügten Pfad dieses Häkchen gesetzt werden. Natürlich wird der angebene Pfad nur in alle danach ausgestellten Zertifikate eingetragen, nicht in schon bestehende Zertifikate. Und: man muss die CRL manuell dorthin kopieren, und zwar immer, wenn eine neue erstellt wird (dazu die CA wieder Online nehmen). Das Standardintervall, wenn nicht geändert, beträgt 1 Woche. grizzly999

Die Aussage war allgemeiner Natur. Wenn natürlich der Pfad, der in ddem zertifikat angegeben ist, nicht verfügbar ist, kann er die Sperrliste nicht abrufen. Dann muss man entweder diesen punkt verfügbar machen, oder vor Ausstellen des Zertifikats in denEigenschaften der CA diesen Pfad auf einen Erreichbaren abändern und die CRL dann dorthin kopieren. grizzly999

Aber für einen Web-Proxy klar doch, da il_principe Recht. Wenn der Webzugriff ohne DG klappt, geht der Rechner erfolgreich über den Proxy. grizzly999

Danke für das Angebot. Bei Interesse bitte per Mail, (bestimmt auch Nicht MVPs erwünscht :D ) Ich schliesse mal den Thread grizzly999

Die Sperrliste wird vom ISA normalerweise selber heruntergeladen. Dazu prüft er im Zertifkat des Clients den Eintrag unter "Sperrlisten-Verteilpunkte". Allerdings: Die Prüfung ist nicht sehr streng, nach dem Motto Funktion vor Sicherheit. Kann er keine Sperrliste abrufen, gilt das Zertifikat als nicht gesperrt. Man kann dieses Verhalten über die Registry oder netsh ändern. Suche in folgendem Dokument nach der Überschrift IKE certificate acceptance process : http://technet2.microsoft.com/WindowsServer/en/Library/8fbd7659-ca23-4320-a350-6890049086bc1033.mspx Dort findest du den Hinweis auf den Key StrongCRLCheck Man beachte: hat der Rechner die CRL im Cache, ruft er eine neue erst NACH ABLAUF der im Cache vorhandenen erneut ab, egal wieviele Zertifikate zwischenzeitlich gesperrt wurden und wieviele CRLs ich zwischenzeitlich nue veröffentlicht habe ! grizzly999

Was willst du damit erreichen. Anm.: Im AD kann man nur bereits FREiGEGEBENE Drucker veröffentlichen, nicht Drucker freigeben. Aber nochmal, was soll NLB hier bringen? Willst du eine Ausfallsicherheit, dann gibt es dazu den Clusterdienst. Druckserver sind clustersensitiv, aber NLB für Druckerfreigaben?? grizzly999

Ok, gebe mich geschlagen. Aber funktionieren tut's trotzdem nicht :D

Kannst du beitte genauer, bzw. GANZ GENAU erläutern, WIE du die Standorte eingerichtet und damit diese Trennung erreicht hats, wie du damit erreicht hast, dass die Benutzer zuerst den 1. DC bekommen, usw. Also: Wie heißen deine Standorte, wie deine zuugehörigen Subnetze, welche Adressen haben die DCs, welche die Clients? grizzly999

Hat er, sonst gäbe es den Punkt "Zertifikatsvorlagen" schon nicht. Meine Erfahrung: ist manchmal nur ein Zeitproblem, bei mehreren DCs und gar Sites ein Replikationslatenzproblem. grizzly999

Jo, hatte ich vergessen zu sagen ..... :o grizzly999

Ja, er gibt nur den NetBIOS-Name raus. UNd er steht auch so im DFS, das stimmt. Muss ich mal checken, was man da machen kann. Oder weiss es jemand hier? grizzly999

Am besten im Off Topic grizzly999

Entweder mit UNC-Pfadangabe bzw. Laufwerksmapping, habe ich jedoch nicht getestet, weil bei mir läuft die Batch auch lokal. Psexec wäre eine Möglichkeit, aber das wäre dann schon unschön aus meiner Sicht. Wenn obiges nicht gehen sollte, empfehle ich, die Batch mit Forfiles dort lokal als Geplante Tasks laufen zu lassen, wo die Sicherungen liegen grizzly999

Wie stehen den die Links auf die eigentlichen Fileserver im DFS drin (also die Verknpfungen unter dem Stamm) , mit NetbIOS-Name (schlecht) oder mit FQDN (gut)? grizzly999

Benutzer Citrix, oder grade up auf 2003 :D Ja, ansonsten geht das nicht. grizzly999

Aus: http://technet2.microsoft.com/WindowsServer/en/Library/7636aede-a944-4765-8973-40dc1e1f2d561033.mspx

Hallo und Willkommen im Board :) Aber klar geht das. Im AD eine Richtlinie für die Domain Controllers OU machen und dort unter Comptereinstellungen/Windows Eintellungen /Sicherheitseinstellungen/Lokale Richtlinen/Überwachungsrichtlinen, dort Anmeldeversuche überwachen-> Fehlversuche einstellen grizzly999

Für 2000 und 2003 gibt es im jeweiligen ResourceKit das Tool forfiles.exe. Die Hilfe erklärt genaueres, aber damit mache ich es auch :) grizzly999

Ich vermute sehr stark, dass es mit diesem Patch (auf beiden Servern installieren) klappt ;) http://support.microsoft.com/kb/898060/en-us grizzly999

Hallo und willkommen im Board :) Menist du das Recht "Anmelden als Stapelverabeitungsauftrag"? Zu finden in der lokalen Computerrichtlinie mit Start->Ausführen->gpedit.msc Dann Computereinstellungen\Windows-Einstellungen\Lokale Einstellungen\Benutzerrechte grizzly999

Protokolliert werden standardmäßig alle Zugriff, Geblockte nud Zugelassen. Wenn man eine Regel macht, in welcher der Zugriff auf die gewünschten URLs nicht zugelassen wird, kann man in dieser Regel eine Umleitung auf eine beliebige Site einrichten. Dort kann man ja auf eine HTNL-Seite verweisen, auf welcher zu lesen ist, dass der Zugriff ...... grizzly999