grizzly999

Zunächst würde Windows beim Anmelden sofort eine Warnmeldung ausgeben, das Datum und Zeit nicht stimmen, und man diese Korrigieren solle, sofern man 1980 eingestellt hat. wo der BreakPoint liegt, dass er keinen Verdacht schöpft weiss ich nicht, vielleicht hat es mit dem Installationszeitpunkt zu tun, den er sich irgendow in die Registry geschrieben hat.

Nun, in einer größeren ADS mit mehrern DCs, vielleicht auch mehreren Domänen und Sites würde es natürlich zunächst Probleme mit der Replikation oder auch Clientanmeldungen an diesem DC geben. Wahrscheinlich am betsen, sobald man den Fehler feststellt, das Netzwerk an diesem DC unterbrechen, und dann richten, damit zwischenzeitlich nicht andere DC ihre Zeit mit ihm synchronisieren.

Es ist aber nichts, was nicht gerichtet weden kann. Ein sehr ausführliches Whitepaper zum Zeitdienst unter Windows 2000 und Tools zum Eingreifen findest du hier:

http://www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

grizzly999

Nein, ist sie nicht. Die angebene Übertragungsrate ist die maximal mögliche Übertragungsrate, und bedeutet in diesem Fall ganz praktisch, dass die Karte auch z.B. einem 100MBit Switch oder per Crossover an eine reine 100 MBit Karte angeschlossen werden und erfolgreich mit diesem die Übertragungsgeschwindigkeit aushandeln kann. Dass dann die tatsächliche Übertragungsgeschwindigkeit pysikalische bedingt niedriger ist, ist eine andere Sache.

grizzly999

Nur ob dann der Knotentyp noch geändert werden soll, da seit Ihr euch wenn ich das richtig verstanden habe uneinig oder?

Nö, da bin ich mit meiner einer völlig einig :D

Da der Knotentyp für die weitere Abfolge der NetBIOS-Namensauflösung nach einer negativen Abfrage des lokalen NetBIOS-Namenscache dient, ist er bei Deaktivierung von NetBT ohne jede Relevanz. Man könnte auch einfacher sagen: wurschtegal, wie du den Knotentyp einstellst, er wird sowieso nicht mehr "abgefragt".

Bei deaktiviertem Netbios over TCPIP klappt das Mappen von Netzlaufwerken auch einwandfrei!

Ist korrekt, dann nutzt Windows nicht mehr Port 139 sondern den CIFS-compliant Port 445.

Nochmals zur Erklärung des Knotentyps:

Ein Windows Computer löst folgendermassen einen NetBIOS-Namen auf, wobei jedesmal zum nächsten Punkt gegangen wird, wenn der vorige keine IP-Adresse für den Namen zurücklieferte:

1) lokaler Name, also ist er es selber (steht aber in keinem Buch oder Whitepaper)

2) lokaler NetBIOS-Namenscache

und jetzt kommt's: 3 und/oder 4 je nach Knotentyp. Was ich jetzt hinschreibe gilt für Knotentyp 0x8 =Hybrid

3) WINS-Abfrage

4) Broadcast im lokalen Subnetz

5) LMHOSTS (falls aktiviert)

Also: der Knotentyp bezieht sich nur auf Punkt 3) und 4)

Bei Knotentyp 0x1 = Broadcast

3) Broadcast im lokalen Subnetz

4) gibt's nicht, stattdessen weiter mit 5)

Bei Knotentyp 0x2 = Peer

3) WINS

4) gibt's nicht, stattdessen weiter mit 5)

Bei Knotentyp 0x4 = Mix

3) Broadcast im lokalen Subnetz

4) WINS

Bei Knotentyp 0x8 = Hybrid siehe oben

Und wenn kein NetBIOS over TCP/IP, dann keine NetBIOS-Namensauflösung nötig, dann auch kein Knotentyp

Darfst mir ruhig glauben, da bin ich fit drin ;) .

Hoffe, alle Klarheiten beseitigt :D

grizzly999

Schoen, hast du es unter NT auch schon probiert, davon rede ich naemlich. kannste ja nochmal nachlesen.

Probiers doch einfach mal auf ner NT-Domäne

Sodele, habe ich einfach mal schnell gemacht, nur für alle Zweifler dieser Welt. Alles was mit Netzwerk und Netzwerkumgebung zu tun hat, per Systemrichtlinie weggeblendet. War auch nichts mehr davon zu sehen auf meinem NT 4.0 Client in der NT 4.0 Domäne. Ich konnte mich aber hervorragend anmelden, ich bekam sogar automatisch mein Homeverzeichnis gemappt, und was soll ich sagen: mein servergespeichertes Benutzerprofil hat auch funktioniert. Was soll ich jetzt noch machen? Das ganze in einer W2k3 Domäne testen. Mitnichten!!

Aber mal mit Überlegung das Ganze ;) : was für ein Zweck sollte eine solche Systemrichtlinie in einer NT/W2k/W2k3 Domäne haben, wenn danach nicht mal mehr die Anmeldung in der Domäne funktionieren würde. Ich hätte dann las Admin ja nicht mal die Chance, per (revers eingestellter) Richtlinie das ganze wieder rückgängig zu machen und damit die vermeintliche "Nichtanmeldefähigkeit" aufzuheben. Das wäre ja ein Schuss ins Knie.

grizzly999

Also, NetBIOS over TCP/IP benötigt man in der Tat in einer reinen Windows 2000 Umgebung nicht mehr zwingend. Wenn du NetBIOS over TCP/IP deaktivierst, ist aber auch die Netzwerkumgebung leer, denn die wird über den Browserdienst aufgebaut, welcher ausschließlich mit NetBT funktioniert (nicht mit DNS). Damit wäre auch die Frage des Browserdienstes beantwortet. Den bräuchstest du dann nicht mehr, und anders herum, wenn du nur ihn abschalten würdest, dann würdest du halt nichts mehr in der Netzwerkumgebung sehen, aber NetBT ansonsten weiter nutzen können. Lediglich der Nachrichtendienst geht dann auch nicht mehr, denn der hängt meiner Erinnerung nach vom Browserdienst ab.

Der Knotentyp, das hast du richtig erkannt, hat direkt mit NetBIOS zu tun, nämlich damit, wie ein NetBIOS-Name unter anderem aufgelöst werden kann (es sind aber noch andere Mechanismen im Spiel). Nach Deaktivieren von NetBT kannst du den Knotentyp getrost vergessen, denn der macht ja dann auch keinen Sinn mehr für den Computer.

Hoffe, ein wenig geholfen zu haben

grizzly999

Bei Home gibt es gar keinen Remotedesktop, nur die Remoteunterstützung.

Das Problem dürfte daran leigen, dass der Benutzer ein leeres kennwort hat, und Remotedesktopsitzungen für Benutzer ohne Kennwort aus Sicherheitsgründen verboten sind.

grizzly999

inden Gruppen richtlinen habe ich den Netz zugriff gennerell verboten

Ich denke auch, er meinte "Die Netzwerkumgebung ausgeblendet", ansonsten wäre mir keine Richtlinie bekannt, die den generellen Netzwerkzugriff verbietet.

aber der Button hatte es wirklich in sich, weil auch der domänencontroller als bestandteil der netzwerkumgebung nicht mehr zugreifbar war bei clientanmeldungen

Jim di Griz, das bezweifle ich. Wie in meinem Posting von heute vormittag schon geschrieben - einfach nochmal nachlesen- wird mit der Richtlinie lediglich die Netzwerkumgebung weggeblendet, sonst nichts. Gar nichts weiter. Ich habe dieses Icon "Netzwerkumgebung" nicht mehr, nicht auf dem Dewsktop, nicht im Explorer; weg, das war's. Ich habe aber volle Netzwerkfunktionalität!!! Auch das stand in der Beschreibung (die übrigens mit Copy and Paste direkt aus der Erklärung der Richtlinie genommen war).

Ich kann nach wie vor unter Start/Suchen einen/den Computer suchen. Dann sehe ich dort ALLE Freigaben, auch die, für die ich keinerlei Zugriffsberechtigung habe. Ich kann sogar aus der Kommandozeile mit "net use" ein Laufwerk drauf mappen - obwohl ich gar keine Berechtigung drauf habe. Null Zugriff! Aber ich mappe ein Laufwerk drauf.

Und wer's mir nicht glaubt, der nehme seine Kiste her und probiere es aus.

So viel zum Verstecken von Ordnern, auf die jemand keinen Zugriff hat.

;)

grizzly999

Nein, aber es gibt diverse Programme, die ein IP-Netz scannen können. Nur um eines mal zu nennen: IP-Network Browser von http://www.solarwinds.net. Ein googlen nach IP-Scanner o.ä. fördert mit Sicherheit noch zig davon zu Tage.

grizzly999

NTFS Berechtigungen bei einer Datenbank? Waäre mir neu :suspect:

grizzly999

Du solltest zunächst auf deinem Rechner in der Datenträgerverwaltung im Menü Vorgang dern Punkt "Festplatten neu einlesen" ausführen.

Was steht denn danach rechts unten im grafischen Bereich bei der entsprechenden Platte vorne dran (Fesplatte X, Dynamisch, Online oder sowas).

Was steht dann rechts davon, wo grafisch gezeichnet die Partitionen sind ( (C:) 6,00GB, NTFS, Fehlerfrei oder sowas)?

grizzly999

Dann hast du was mit den Berechtigungen noch falsch. Microsoft sagt ausdrücklich, dass es sich bei der Testversion um eine voll lauffähige Version handelt (wie bei den anderen Trials von MS übrigens auch).

grizzly999

Systemwiederherstellung und wenig freier Plattenplatz kann zu Problemen und auch zum Löschen aller SW-Punkte führen. Wie das System es genau handelt, kannst du hier nachlesen:

http://support.microsoft.com/default.aspx?scid=kb;de;300044

Sollten SWPs vom System aus Platzmangel oder Veralterung (90 Tage ist glaube ich Standard) gelöscht worden sein, wird man die nicht mehr holen können.

riskiere ich Datenverlust bei so einer Systemwiederherrstellung

Ich habe noch keine Daten mit der Systemwiederherstellung verloren, wäre auch nicht logisch, da "normale" Daten von der Systemwiederherstellung nicht betroffen sind.

grizzly999

Es gibt meines Wissens nach keine Möglichkeit, etwas rauszufiltern, darum wird alles geloggt.

Bei mir steht es jedenfalls drin. Habe heute ein Update gemacht und habe jede Menge dieser Zeilen im Log:

192.xxx.x.x, anonym, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322), -, 8/9/2003, 10:03:03, -, *FW-Name*, -, v4.windowsupdate.microsoft.com, 65.54.249.254, 80, 410, 736, 7126, http, -, GET, http://v4.windowsupdate.microsoft.com/de/toc.asp?corporate=false&, -, Inet, 200, -, -, -

grizzly999

Das ist aber nur ein rudimentäres "Verhindern" des Zugriffs, wenn man von "Verhindern" überhaupt sprechen kann.

Die von dir angesprochene Richtlinie bewirkt nur das Ausblenden der Netzwerkumgebung, weiter nichts. Die Erlärung dieser GPO:

-----

Entfernt das Symbol "Netzwerkumgebung" vom Desktop.

Durch diese Einstellung wird nur das Symbol entfernt. Sie verhindert nicht, dass Benutzer anderweitig Netzwerkverbindungen herstellen oder nach freigegebenen Computern im Netzwerk suchen.

-----

grizzly999

Wenn da IDE-Platten drin sind, kommt es nach dem Umzug am häufigsten zum gefürchteten INACCESSIBLE_BOOT_DEVICE. In einer namhaften Computerzeitschrift war mal folgendes dazu zu finden:

---------------------------------------------------------------

Mit Windows 2000 umziehen

Nachdem ich ein neues Mainboard eingebaut habe, verweigert Windows 2000 den Start. Es erscheint die Fehlermeldung ‘INACCESIBLE_BOOT_DEVICE’. Auf derselben Platte habe ich noch Windows ME installiert, welches ohne große Probleme läuft. Wie kann ich Windows 2000 wieder starten, ohne es neu zu installieren?

Eigentlich empfiehlt Microsoft, Windows 2000 auf einem neuen Mainboard erneut zu installieren. In der Knowledge-Base gibt der Hersteller im Artikel Q271965 aber Hinweise zu dem beschriebenen Problem und zeigt, wie man den Umzug auch ohne Neuinstallation schafft.

Windows 2000 lädt beim Booten einen bestimmten Treiber für den IDE-Hostadapter des Mainboards. Diesen IDE-Adapter, der meist in der Chipsatz-Southbridge sitzt, erkennt das Betriebssystem anhand seiner PCI-Plug-and-Play-Identifikation (PnP-ID). Wenn man mit einer bestehenden Windows-2000-Installation auf ein neues Mainboard mit einer anderen Southbridge umzieht, so erkennt das Betriebssystem den IDE-Adapter nicht, lädt daher die passenden Treiber auch nicht und kann deshalb nicht auf die Systemfestplatte zugreifen. Die Folge ist die erwähnte Fehlermeldung.

Die Lösung besteht darin, schon vor dem Wechsel des Mainboards Windows 2000 die PnP-ID des neuen IDE-Hostadapters mitzuteilen und die passenden Treiber bereitzustellen.

Man kontrolliert also zunächst, ob die Treiber Atapi.sys, Intelide.sys, Pciide.sys und Pciidex.sys unter \WINNT\system32\drivers zu finden sind und kopiert sie nötigenfalls aus der Datei \WINNT\Driver Cache\i386\driver.cab dorthin. Dann kopiert man einen im Artikel Q271965 enthaltenen Textabschnitt mit Registry-Einträgen in eine per Texteditor erzeugte Datei namens ‘mergeide.reg’ und speichert sie ab. Anschließend lassen sich die Ergänzungen durch einen Doppelklick auf die Datei ‘mergeide.reg’ in die Registry importieren. Nach erfolgreichem Import beendet man Windows 2000 und kann dann die Festplatte am neuen IDE-Adapter in Betrieb nehmen

---------------------------------------

grizzly999

Ich denke das ist des Rätsels Lösung: http://support.microsoft.com/default.aspx?scid=kb;en-us;247592

grizzly999

Ich hab mit dem Besitz übernehmen bisher noch jeden Ordner gerichtet bekommen, ausser, die Daten sind mit EFS verschlüsselt worden. Ist das der Fall, oder wurden nur NTFS-Berechtigungen gesetzt?

Wenn du als Admin in die Sicherheitseinstellungen gehst, müsste er eine Meldung bringen, dass du keine Berechtigungen hast, die Berechtigungen anzuschauen, aber versuchen kannst, den Besitz zu übernehmen. Kommt denn wenigstens diese Meldung?

grizzly999

Wenn du als Admin angemeldet bist, solltest du den Besitz an den Ordnern (und Unterordnern) übernehmen, dann kannst du auch die Berechtigungen setzen.

grizzly999

Hast du den neuesten build (181). Könnte daran liegen. Suche doch mal bei denen im Forum, oder poste da direkt: http://www.lavasoftsupport.com/

ich mein, die Software ist ja schliesslich von denen, die sollten bei solchen Fehlern am ehesten helfen können.

grizzly999

Hallo Roi,

ich habe das gerade mal nachgebaut, ohne die FWs halt. Das Ergebnis wie erwartet => no chance. Ich bekomme keine VS zwischen DomA und DomB, nur jeweils zwischen der einen NT und der W2k Domäne. Auch keine dritte Domäne ausser denbeiden vetrauten beim Anmeldebildsschrim, auch keine dritte Domäne zur Auswahl bei Sicherheitseinstellungen. Es wäre mir auch nichts diesbezüglich bekannt (von wegen Bug oder ähnliches).

Ich bin ratlos. Irgendwie muss da eine VS zwischen den Domänen bestehen. Gibt oder gab es denn noch eine Verbindung hintenrum über eine andere Leitung. Sind die Domänen frisch aufgebaut?

grizzly999

Ja Moment mal. Da kam mir folgender Einfall: wenn du über den DSL-Router reinkommst, setzt der mit NAT deine externe IP auf eine interne um. Wenn ein zweiter Connect jetzt reinkommt, dann hat das Paket zum VPN-Server hin dieselbe IP wie die Pakete der ersten Vrebindung, d.h. für den VPN-Server sieht es so aus, als wolle der selbe Client eine zweite VPN-Verbindung aufbauen, was er natürlich ablehnt, eine VPN Session pro Client. So wird's sein. :rolleyes:

grizzly999

Das ist verständlich, denn dann wird ja die Startumgebung (ntldr etc) von XP wieder überschrieben. Deshalb, wenn du nach XP ein anderes Betriebssytem installierst, follow this article:

http://support.microsoft.com/default.aspx?scid=kb;en-us;315233

grizzly999

Das hättest du auch früher haben können, lies mal rainman's posting von 13:23...

grizzly999

Standardmässig lässt ein "normaler" RAS-Server 5 x L2TP und 5 x PPTP Verbindungen zu, ein VPN-Server je 128 Verbindungen. Schau doch mal im RRAS unter Ports nach, wieviele MiniPorts definiert sind? Dor kann man auch die Anzahl ändern.

grizzly999

Hast du etwa ein 2003 Server?

grizzly999