grizzly999
-
Gesamte Inhalte
17.686 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von grizzly999
-
-
Wo steht die von dir oben zitierte Meldung Filterung Zugriff verweigert Sicherheit genau?
Was ist, wenn sich eine anderer Benutzer an genau diesem PC anmeldet?
grizzly999
-
Aber ein IE hast du trotzdem drauf. Da schon nachgeschaut?
grizzly999
-
Was ist den im Internet Explorer im Menü Internetoptionen unter Verbindungen eingestellt? Sieht so aus, als wollte der IE ins Internet und muss dazu die Verbindung erst hochziehen.
grizzly999
-
und einige GPO´s werden nicht auf die Domänen Admins angewandt.
Welche da wären.....?? :suspect:
Also, da bleiben wir mal bei den Tatsachen, die Standardberechtigungen für neue GPOs ist Authentifizierte Benutzer -> Lesen+GPO übernehmen. Und das gilt auch für Domänen-Admins. Immer.
Erster Ansatz der von Monarch.
Am besten aber mal mit der GPMC auf dem SBS den Gruppenrichtlinienergebnissatz für den User auf diesem PC genauer anschauen.
grizzly999
-
Nur jetzt gehen die zugriffe zu den andern servern nicht mehr und diese liegen in einem anderem Segment sprich auf 192.168.0.0
Was heißt denn jetzt wieder "gehen die Zugriffe nicht mehr"? Zugriff verweigert, nicht anpingbar?
Ich habe mir den ganzen Thread noch 2x komplett durchgelesen, weil du ständig ungenau schreibst. Kannst du dir bitte etwas mehr Mühe geben und präzise(!), genau formulierte Fehlersymptombeschreibungen abgeben?
grizzly999
-
Da fehlt aber der Anhang .....
-
Das geht IMHO nicht. Du könntest höchstens ein TS-Gateway dazwischen schalten und dann den Zugriff auf den TS nur für das TS-GW zulassen.
grizzly999
-
Hast du schon die folgende Gruppenrichtlinie für den Client(s) gesetzt?
Beschreibung des Features "Anmeldeoptimierung" in Windows XP Professional
grizzly999
-
Hast du keine separaten TS-Profile?
grizzly999
-
Hast du schon versucht, den lokalen Speicher neu erzeugen zu lassen?
Automatischen Update-Dienst beenden und dann den Ordner C:\Windows\SoftwareDistribution löschen.
Automatischen Update-Dienst wieder starten.
Danach am besten auf dem Client ein
wuauclt /resetauthorization /detectnow
ausführen...
grizzly999
-
Es gibt vorerst wieder 20% Vouchers bei mir - bis 30.06.2009. :jau:
Die sind auch für 2nd Shot gut :)
Bei Bedarf PN an mich.
Es sind einmalige Vouchers (incl. Second Shot) für eine einzige Microsoft(!!)-Prüfung, kein CISCO o.ä.
Wenn der Voucher nicht in Deutschland eingelöst werden soll, dann bitte noch das Land mit angeben.
grizzly999
-
Hast du schon versucht, dich z.B. mittels Netzlaufwerk verbinden (net use oder Windows Explorer) unter Angabe von Username und Kennwort zu verbinden?
Die Authentifizierung am netgear ist keine Authentifizierung an Windows Servern!
grizzly999
-
Wenn du im AD Users and Computers die Erweiterten Funktionen in der Ansicht an hast, wie sehen denn dann im Reiter Sicherheit die Berechtigungen auf so ein Konto aus?
grizzly999
-
Als Problem kommt hinzu, dass nach der damaligen Virtualisierung vom 2000er DC die GUIDs neu erstellt werden mussten, da das SYSVOL nicht repliziert wurde.
Wohin hätte er das replizieren sollen? Gibt es da noch mehr DCs in der Root?
Wie sieht denn die Sicherungstrategie aus, will heißen, welche ordentlichen Sicherungen sind denn von welchen DCs vorhanden?
Ansonsten schließe ich mich olc's obigen Ausführungen an. Da ist einiges am brodeln .....
Vorschlag: entnimmst du auch olc's Beitrag ;)
grizzly999
-
Starte mal den rechner neu ;)
Und: es wirklich eine weniger suboptimale Lösung, die die Welt eigentlich kaum braucht, weil der Client zum Abrufen der Richtlinien bereits einen gültigen DNS der Domäne braucht. Man kann sich also hiermit das Bein absägen, auf dem man steht.
Weiteres dazu auch unter New group policies for DNS in Windows Server 2003
-
hast du dir denn schon die Müher gemacht, Infos über den angeblichen Trojaner zu sameln, und manuell nachzuschauen?
F-Secure Virendefinition: Banker
grizzly999
-
ICMP Redireiect können MS-Clients wunderbar, aber welches Gateway gibt denn der CISCO Router in der Message den Clients mit? Könne die das GW überhaupt ansprechen?
grizzly999
-
Sysprep entfernt meines erachtens keine Treiber.
Du hast noch kein sysprep mit VISTA gemacht, gell?
Sysprep entfernt die Treiber, und auch die SID und auch die lokalen Benutzer.
Dafür ist ja sysprep da.
grizzly999
-
Ein NTFS-Deny auf die ausfuehrbaren Programme, per GPO verteilt, das ist easy ;)
Oder upgraden auf XP und Restriction Policies verwenden ....
grizzly999
-
Nun meine Fragen:
1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein.
Dringende Empfehlung von Microsoft (und mir ;) ), alle DCs haben den gleichen SP-Stand.
!2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werdenDer Key wird nicht repliziert. In dem Fall ist weg=weg.
Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist.
3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?Warum das denn :eek:
DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB).
DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines.
Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint).
4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten?Aber auf jeden Fall dcpromo, und DNS danach noch manuell aufraeumen.
grizzly999
-
Bei allen Clients?
Immer?
Bei jedem User?
Fehler in den Client-Logs?
Bitte etwas detaillierte Infos ;)
grizzly999
-
Warum gehst du nicht her, und malst dir einfach ein kleines Bildchen mit den Standorten und den aktuellen Verknuepfungen?
Bei Standortverknuepfungsbruecken ueber mehrere Standorte hinweg, werden die Kosten einfach aufaddiert. Das soltle bei einem Bild mit 5 Kringeln und ein paar Zahlen dazwischen im wahrsten Sinne des Wortes ein Kinderspiel sein ;)
Wobei man sagen muss: diese Aufgabe also solche ....:O
grizzly999
–
Berlin-8MBit/s-Frankfurt-6MBit/s-München
Berlin-1MBit/s-München
Also es gibt 2 Pfade zw. Berlin und München einer mit 6-MBit (langsamste Verb. der gestammten Strecke) und zwei Hops und eine mit 1 MBit und einem Hop.
Wenn zwischen Berlin-Frankfurt eine cost von 10 und zwischen Frankfurt München eine von 15 Konfiguriert ist, entstehen Gesamtkosten von 25.
Wird für die 1 MBit Route eine cost von 40 definiert, ist dies Route teurer.
Ergo es erfolgt die Replikation über die schnellere Route (sofern diese verfügbar ist).
Nur so zum Verstaendnis: wie erfolgt in deinem Beispiel die Replikation exakt? Wer hat mit wem welche Replikationsverknuepfungen?
grizzly999
-
Dann, bei Interesse PN .....
CLOSED
-
Erstens ist das der falsche Eintrag in der LMHOSTS (du musst in der Knowledge Base nach 0x1B suchen) und zum anderen ist der einfachste Weg, einen WINS auszusetzen, den ALLE verwenden, oder zwei WINS (in beiden Domaenen), die miteinander replizieren. Letzeres duerfte IMHO das MIttel der Wahl sein.
grizzly999
Terminalserver & RemoteApp, aber Anmeldung am Desktop verhindern
in Windows Server Forum
Geschrieben
Hier gibt es einige Ansätze: Download details: Windows Server 2003 Terminal Server Security
Aber eine komplette Anleitung mit allen Möglichkeiten gibt es wahrscheinlich nicht, weil die Anforderungen einfach zu individuell sind. Fange einfach mal an, deine Anforderungen an die Desktop-Sicherheit zu definieren.
Ein recht guter Ansatz für die Sicerheit, aber gut testen vorher, sind die im Whitepaper angesprochenen Software Restriction Policies, die sind dir ja nicht neu ;)
Auf jeden Fall sind die GPOs dazu das beste Tool.
grizzly999