grizzly999

Naja, es würde auch ohne die Errorlevel-Abfrage gehen. Einfach mal eine batch schreiben, in der steht:

Start <Firewallsofteware>

Start <Antivir>

Oder schau dir mal dieses programm an, JsAutostart Pro. Das soll das angeblich können (und noch mehr?):http://www.tiosoft.de/

grizzly999

Durch einen doppelten Computernamen.

Hat einer der Rechener zwei Netzwerkkarten drin? Laufen auf zwei oder mehr Rechner der ICS Dienst (Internetverbindungsfreigabe)?

grizzly999

Eine Möglichkeit wäre mit csvde.exe die User in eine csv-Datei zu exportieren und die dann in SQL zu importieren.

grizzly999

Was mir einfällt, wäre die programme in einer Batch-Datei zu starten, wobei man zuvor den zurückgegeben Errorlevel des FW-Programms ermittelt und diesen nachher einsetzt, um nach erfolgreichem Starten der FW das zweite Programm zu starten.

grizzly999

Meinst du jetzt unter Windows 2000 oder unter NT 4.0?

grizzly999

Ne, wart's mal ab, da kommen noch viele Ideen. Sind nur so wenige im Board heute.

grizzly999

Kenne das Tool s0kill nicht, aber probiere es doch auch mal mit dem killmbr hier:http://www.heise.de/ct/ftp/result.xhtml?url=/ct/ftp/ctsi.shtml&words=killmbr

grizzly999

hey, das ist eine äußerst kreative idee der fehlersuche

Kreative Fehlersuche gehört zu meinem Beruf... :)

Das wird ja immer mysteriöser. Wie gesagt, ich kenne dieses Problem selber nicht (und glaube mir, ich habe viele RDPs auf vieler unterschiedlicher Hardware mit unterschiedlichen Clients gehabt), in der KB ist auch nicht zu finden, Hardware ist komplett unterschiedlich, die RDP-Clients sind verschiedene und trotzdem hast du dieses Problem auf zwei verschiedenen Betriebssystemen.

Ich bin alles andere als ein Programmierer, aber der Beschreibung nach handelt es sich um ein Visual Basic Problem, denn soviel weiss ich, das Aufklappen eines Pulldown Menüs ruft im Hintergrund ein VB-Script auf. Und da scheint was bei dir verbogen zu sein. Da habe ich auch schon die nächste Idee (enttäusche mich nicht ): Läuft auf dem Rechner Software, die auf dem vorigen auch gelaufen ist, ist vielleicht keine Standardsoftware wie Office oder so? Möglicherweise hat eine Software an irgendwelchen RunTimeLibraries oder anderen VB-Routinen was geändert. Gewissheit würde wahrscheinlich eine saubere Installation des Servers bringen => wird mit Sicherheit nicht gelegen sein, mal eben den Server neu aufzusetzen, aber hast du vielleicht die Möglichkeit, auf einer zweiten Partition den Server parallel hochzuziehen und das Ganze dann ohne was nachzuinstallieren direkt Out of the Box zu testen?

Was anderes fällt mir im Augenblick nicht ein :(

grizzly999

Wenn du den Server resetted hast, und er wieder läuft, dann melde dich doch mal lokal am Server am, und starte dort eine RDP-Session auf sich selber. Hängt er sich dann auch weg?

grizzly999

Original geschrieben von da.styla

also hab jetzt die version 5.2.3790.0 von win2003 drauf und habe bitmapcaching aus gemacht, das problem besteht aber weiterhin... und nochwas: du meintest doch eben, dass es am client liegen müsste, ja gut, aber dann dürfte doch der server selbst (wenn ich runterlaufe und mich normal drauf einzuloggen versuche, geht auch das nicht mehr) nicht abschmieren... außerdem besteht das problem nicht, wenn ich wie gesagt, das menü per tastatur aufrufe.

Nun ja, dass etwas an der Serverconsole direkt abschmiert, gehörte vorhin nicht zu meinem Informationsstand :( . Lediglich, das du dieses Problem mit deinem Client früher auf einem 2000 Server und nun auf einem 2003 Server hattest. Die einzige Konstante bis dahin war der Client.

Erste Frage: Was ist der genaue Fehler an der Konsole?

Zweite Frage: Vorher hattest du das gleiche Problem. Hast du auf 2003 upgedated, war es ein neuer 2003 Server mit neuer Hardware? Wurde Hardware übernommen? Findet sich was im ereignislog des Servers?

Ich hatte bisher noch nie Probleme mit dem Remote Desktop, in keiner Version, und die von dir geschilderten sehen zunächst auch nicht nach einem bekannten Problem des 2000/2003 Servers aus.

grizzly999

Warum so umständlich? Zitat:"Proggi unter Admin-Konto installieren"

Warum nicht gleich das setup mit "ausführen als" im Admin-Kontext starten ;)

grizzly999

Ohja, grizzly999, war natürlich ein Typo, musste korrekterweise heissen: "Probiere mal die Version 5.2 von Windows 2003".

Hast ihn ja aber selber gefunden :)

grizzly999

Probiere mal die Version 5.2 von Windows 2000. liegt dort unter windows\system32\clients\tsclient.

Vielleicht hilfts. Hast du Bitmapcaching an? Wenn ja, lass es mal weg.

Wenn das alles nichts helfen sollte: hast du die Möglichkeit, testweise das Ganze einmal von einem anderen OS aus zu probieren. Wenn der Fehler bei zwei unterscheidlichen Servern auftritt, sieht nach einem Problem des Clients aus.

grizzly999

Normalerweise nicht. Ich meinte vor allem, welche Clientversion du nutzt?

grizzly999

Welchen RDP-Client benutzt du denn auf welchem OS?

grizzly999

Zum Teil verstehe ich dein Anliegen, z.T. nicht. So z.B. das hier:

Hierfür ist ein Script einfacher, als jedem zu erklären, wie er das im System macht

Wenn ich ein Startkennwort setze und das Häkchen "Benutzer muss bei der nächsten Anmeldung Kennwrot ändern" setze, muss ich niemanden, der nicht Analphabet ist, irgednwas erklären. Der Dialog beim Anmelden ist, denke ich, selbstredend (trotz Pisa-Studie sollte es jedem nicht PC-Freak möglich sein, sein neues Kennwort zweimal fehlerfrei einzugeben :D )

Der andere Punkt ist natürlich deine "Bequemlichkeit". Wenn einer sein Kennwort vergessen hat - sollte selbst bei 700 Schülern nicht täglich vorkommen, setze ich schnell das Kennwort zurück, mit oben besagtem Häkchen, das wars. Ich bin sogar der Meinung, das das schenller ist, als einer Liste zu rumzublättern.

Dann hast du noch den Punkt "Verantwortung" der Schüler, bzw. verantwortungsvoller Umgang mit Kennwörtern angesprochen. Ich persönlich denke, wenn die Schüler wissen, dass nur SIE und niemand anders das Kennwort kennt, nicht einmal der Admin, dann könnte das viel mehr Gewicht haben.

Das Ganze stellt meine bescheidene Meinung als Senior Consultant dar, erhebt nicht den Anspruch der designerischen oder technischen Richtigkeit ;)

grizzly999

Du sprichst mir aus dem Munde ;)

Ich denke, er möchte, dass nur er und der Benutzer das kennwort kennen. Aber da ich ihm ja sowieso ein Startkennwort mitgeben muss (hoffentlich nicht ein leeres), dann kenne ich das schon, und der Benutzer auch. Und wenn er das jetzt nicht ändern kann, habe ich doch genau das Ziel erreicht. Und sollte ich es ändern müssen, wie du es gesagt hast, dann kenne ich es wieder, und nachdem ich es dem Benutzer gesagt, dieser auch.

Warten wir, was Sigi dazu schreibt...

grizzly999

An dem meldet sich eigentlich nie jemand an.

Das wäre ja sehr merkwürzig, wenn jemand ein neues Board einbaut, oder auch einen Forest mit einem solchen Board neu aufsetzen würde, ohne sich anzumelden.

Die anderen DC synchronisieren sich sowieso nicht bei einer Zeitdifferenz von über 24 Stunden

Das kann ich leider nirgends finden. Meines Wissens nach wird ab einer Zeitdifferenz von 5 Minuten (Kerberos default Delta) nicht mehr repliziert. Oder meinstest du die Zeitsynchronisation? Die funktioniert aber bei jedem DC wie bei einer Workstation, d.h. der DC müsste beim Feststellen des Vorgehens der Uhr um mehr als 15 min. seine zeit auf die seines massgeblichen Zeitservers stellen.

Ich sehe hier immer noch kein gravierendes Problem bei dem konstruierten Fall. Wenn ich das falsche Datum feststelle, korrigiere ich das Datum auf dem PDC-Emulator und fahre im schlimmsten Fall alle Rechner neu hoch. Ich würde meinen, dann stimmen sie alle.

grizzly999

Alle haben heute immer so geheimnisvolle Sachen

Mir ist keine derartige Möglichkeit bekannt, aber ich bin gespannt, ob jemand hier im Board eine kennt...

grizly999

Damit ich später die Passwörter kenne, soll das Script beim Erstzugang das geänderte Erstpasswort entgegen nehmen und auf dem Server im Klartext ablegen. Dort frage ich diese Dateien ab und setze die neuen Passwörter mit Net User

Wenn du das Kennwort der User wissen willst, dann gib es doch einfach vor, und stelle es so ein, dass der Benutzer es nicht ändern kann.

Alles andere ist IMHO "unsicheres" Gepfriemel, das in scheinbarer Sicherheit wiegt.

Dass das Anmeldescript nicht sichtbar abläuft kann man per Gruppenrichtlinie einstellen Benutzereinstellungen/Administrative Vorlagen/System/Skripts.

grizzly999

Very confused

Was war denn da vorher drauf? LINUX?

Ich weiss nicht wieviele PCs ich schon auf diese Weise platt gemacht habe, aber es ging immer, ausser mit LILO.

Hast du eine popelige Dos oder W9x Bootdiskette, dann hole dir von c't den killmbr, mit dem geht es mit Sicherheit. Der macht alles nieder. Link:http://www.heise.de/ct/ftp/result.xhtml?url=/ct/ftp/ctsi.shtml&words=killmbr

grizzly999

Der Client hat breits eine SID vom alten Domänencotroller erhalten, die jetzt natürlich nicht mehr stimmt. Falls du keine Sicherung vom AD hast, musst du die Clients (in der Netzwerkindentifaktion am Client) zuerst in eine Arbeitsgruppe nehmen und dann wieder in die (neue) Domäne aufnehmen.

grizzly999

P.S: Darum: nie eine Domäne ohne zweiten DC ;)

Die Board-Regeln erlauben es nicht, Hilfen zum Knacken von Passworten zu geben, da man aus der Ferne nicht nachvollziehen kann, ob es auch wirklich dein PC ist, und nicht zufällig der von deinem Kollegen ;)

Aber formatieren ist wriklich kein Problem. Du bootest von der 2000 CD, wenn dann nach ein paar Klicks die Seite kommt, wo gefragt wird, auf welcher Platte und Partition du installieren möchtest, da kannst du mit "L" die partition oder auch alle Partitionen löschen und mit "E" eine neue erstellen.

grizzly999

Beim Anmelden auf den Arbeitsstation wird dort aber ausser dem Ausführen des Scriptes auch das Logon-Verzeichnis geöffnet und jeder kann den Quelltext lesen

Wie meinst du das mit dem "Logon-verzeichnis wird geöffnet"?

Auf jeden Fall ist es so, dass der/die Benutzer auf das Verzeichnis mit den Anmeldescripts Leseberechtigung brauchen und für das spezifische Script Lesen/Ausführen. Sonst läuft es nicht. Damit kann ein Benutzer, wenn der auf die Netlogon-Freigabe geht auch das Script lesen und anschauen. Lässt sich nicht verhindern. Was steht denn da geheimes drin, was der Benutzer nicht lesen darf

grizzly999

P.S:

Früher hatte ich das Verzeichnis einmal gesperrt, dann kam nur eine Fehlermeldung aber das Script lief, das bekomme ich jetzt aber auch nicht mehr hin.

Die beschriebene Berechtigungssache ist seit NT 4.0 so, darum habe ich meine Zweifel mit diesem Statement.

Wie schon gesagt, dass ist meine Intepretaion des Sachverhaltes, bisher kann ich sie weder schwarz auf weiss, noch mangels Equipment empirisch untermauern.

Wenn es so stimmt, wie es sagte, dann, hast du richtig erkannt, hilft nur VPN im Tunnelmodus, oder mehrere offizielle IPs am Router.

Aber kann man nicht alternativ die Clients so umkonfigurieren, dass der VPN-Server sieht das eine anderer VPN-Client sich einwählt? Auf der Server-Seite kann ich doch auch einen Adresspool zur VErfügung stelle

Kann ich so auch nicht sagen, da sich das ganze aber erst mal auf IP-Ebene abspielt, und der Cleint keinerlei Einfluss auf das Geschehen zwischen DSL-Router und VPN-Server hat, würde ich sagen: Nein.

grizzly999