Jump to content

frr

Members
  • Gesamte Inhalte

    223
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von frr

  1. frr

    PDC Server

    Hi Nils, das ist "ungefähr" richtig. W32Time hat eine Genauigkeit mit einer Abweichung von 1 - 2 Sekunden was für Kerberos und die meisten anderen Dienste mehr als ausreichend ist. Bye, Frank
  2. Hi, ich hatte hier letztens eine ähnliche Diskussion mit Nils hier. Allerdings ging es da rein um Windows und keinen Linuxkasten: 1.) Ich habe mit PBIS noch nicht gespielt. Allerdings hatte ich schon ähnliche freie Lösungen wie z.B. Centrify in der Hand. Vergiss das einfach alles und schaue Dir mal SSSD an. Das ist wesentlich flexibler und dort kannst Du dann auch noch gleich solche Sachen wie Sudo oder auch autofs und services mit abfackeln. Das macht die Sache etwas flexibler....... 2.) Füge den zusätzlichen DNS Suffix als erlaubten DNS Suffix im AD hinzu (msds-Allowed-DNS-Suffixes) 3.) Natürlich ist es möglich einen Rechner mit dem DNS Namen server1.linuxdns.internal in einer Ad-Domäne mit dem Namen ad-domaene.internal (linuxserver.ad-domaene.internal) zu betreiben. Das von daabm empfohlene tool zur Erstellung der keytab (msktutil) erlaubt es Dir hier entsprechende DNS Namen etc. anzugeben. Um die Erstellung eines Computeraccounts kümmert sich das Tool auch gleich. Wie dbaam schrieb ist es hier eine gute Idee für msktutil einen täglichen cronjob einzurichten der gegebenenfalls das Computerkennwort aktualisiert (msktutil --auto-update). That´s it. Dann rennt das. Denke bitte daran, das mit Kerberos die Kisten auch über reverse DNS auflösbar sein müssen. Wenn nicht, musst Du das in der krb5.conf deaktivieren. Bye, Frank
  3. Zu Thema Standortsuffix: Die Clients können auch ein abweichendes primäres DNS Suffix verwenden. Dann generieren die Clients sogar Ihre SPNs für dieses Suffix (Client FQDN "client1.foo.bar" ist Mitglied in der AD Domäne "ad.bar") . Ein andere Möglichkeit wäre natürlich das definieren von Suchsuffixen über eine GPO die man mit dem jeweiligen AD Standort verknüpft. Zum Thema Sinnfindung: Du hast z.B. ein Skript, was von dem Hostnamen "Fileserver" aus einem Share bestimmte Daten zieht. Damit Du das Skript nicht für jeden Standort anpassen musst, könnte so ein generischer Name schon Sinn machen. Ein Beispiel wären da auch ein Repository Server für automatische Setups etc.. Da fallen mir einige Anwendungsbeispiele ein. DFS-N ist zwar gut gedacht, leider gibt es noch andere Betriebssysteme, die das nicht können. Da muss man sich dann auf dem kleinsten Nenner treffen, um eine Lösung zu finden. Bye, Frank
  4. Hi Nils, die gleichen Hostnamen für das Computerkonto selbst geht nicht. Aber das muss auch nicht sein, um das was der OP will zu realisieren. 1.) Man konfiguriert die zusätzlichen DNS Suffixe im Attribut msds-AllowedDNSSuffixes am Domänenobjekt (z.b. standort1.dom.local,standort2.dom.local,standort3.dom.local) 2.) Man installiert drei Fileserver FS1,FS2,FS3 3.) Man erstellt einen CNAME "Fileserver" in jeder Subdomain, der jeweils auf FS1,FS2,FS3 zeigt. 4.) Man erstellt mit setspn den jeweiligen SPN der am Computerobjekt hängt 5.) Man konfiguriert DisableStrictNameChecking auf jedem Fileserver That´s it. Dann funktioniert die Sache und das auch mit Kerberos Authentifizierung. Bye, Frank
  5. Hi Nils, da kann ich Dir nicht zustimmen. Natürlich ist es möglich ein AD zu betreiben, wo die Hosts unterschiedliche DNS Suffixe benutzen. Das ist auch supported by MS und macht z.B. in dem vom OP geposteten Szenario Sinn. Bye, Frank
  6. Hallo, Es gibt schon einen Unterschied ob es über ein Anmeldeskript bzw. die GPPs gemappt wird. Schau Dir mal die Umgebungsvariablen "Homedrive","Homepath" und "Homeshare" von einem Benutzer an, der das Homelaufwerk über die Eigenschaften des Benutzerkontos gemappt bekommt und von einem Benutzer der es über ein Anmeldeskript bzw. die GPPs gemappt bekommt. Da stellst Du sicher Unterschiede fest......! Viele Grüße Frank Röder
  7. Hallo, läuft das Navision auf SQL oder mit der eigenen Datenbank? Wenn es mit SQL läuft, dann werden das wohl die Transaktionsprotokolle sein. Viele Grüße Frank
  8. Hallo André, machst Du das zufällig unter Windows 2008 oder auch R2? Da gibt es einen Hotfix dafür. Schau mal in diesem Artikel nach ungefährt in der Hälfte stehen die Links: http://blog.iteach-online.de/index.php/2012/06/wie-migriere-ich-einen-fileserver/ Viele Grüße Frank
  9. Hallo, das passt so. Allerdings schreibe ich da mal ein NICHT SUPPORTED dahinter. Viele Grüße Frank
  10. Hallo Alexander, machst Du das in einer Testumgebung oder in einer Produktivumgebung? Wenn es eine Testumgebung ist, dann hast Du bestimmt die Maschinen geclont und kein Sysprep ausgeführt. Deshalb kommen die wilden Fehlermeldungen. Viele Grüße Frank
  11. Hallo, wenn es Dir nur um einen einzelnen Benutzer geht, dann kannst Du in den Eigenschaften der entsprechenden Gruppe auch den Benutzer als Manager (Registerkarte "Verwaltet von") eintragen. Darunter kannst Du einen Haken setzen "Vorgesetzter kann Mitgliedsliste ändern". Jetzt noch fix eine MMC für den Benutzer bauen und fertig ist die Kiste. Viele Grüße Frank
  12. Hallo, wie Du richtig erkannt hast, wird bei einem Restore die InvocationID neu gesetzt. Verantwortlich dafür ist ein Registrykey unterhalb von HKLM:\System\CCS\Services\NTDS\Parameters der während des Restores gesetzt wird. Viele Grüße Frank
  13. frr

    NTFS - Zeitstempel-Flag

    Hallo, Du kansnt das Attribut entfernen. Bei einer größeren Datenmenge dauert das aber eine Weile und verursacht auch eine gewisse Last. Auf dieser Seite gibt es ein Skript, was Dir weiterhelfen sollte: DFSR Does Not Replicate Temporary Files - Ask the Directory Services Team - Site Home - TechNet Blogs Viele Grüße Frank
  14. Hallo, da Du bei keiner Eingabe von read-host einen leeren String zurückbekommst, kannst Du mit $eingabe -contains "" testen, ob nur Enter gedrückt wurde. Viele Grüße Frank
  15. Wenn Du die WAN Bandbreite beachten musst, dann würde ich das nicht über WMI realisieren. Ich würde das eher über einen Remotejob machen. $scriptblock = {get-eventlog -log security | ?{$_.message -match "Kontoname:*$Administrator" -and $_.eventid -eq 4771}} invoke-command $scriptblock -computer SRV1 -asjob Danach eine Warterunde im Skript mit start-sleep Jetzt benötigst Du eine Schleife, die prüft ob alle Jobs den Status "completed" haben. Wenn das so ist, kannst Du die Ergebnisse abholen und verarbeiten. Viele Grüße Frank
  16. Hallo, hast Du meine Ansatz überhaupt getestet? Lasse Dich nicht von meinem ersten Posting verwirren. Es ist genau das, was Du willst. Es wird nicht für jeden Wert ein neues Array erstellt, sondern wenn ein Wert zu dem Array kommt, wird das alte Array in ein neues kopiert. Das kostet Performance was aber in Deinem Fall nicht relevant ist. Viele Grüße Frank
  17. Hallo, das ist eigentlich rest einfach: while(1 -eq 1){ $eingabe += @(read-host "Ihre Eingabe") } Solange in dem Beispiel 1 gleich 1 ist, verlangt das Skript Eingaben. Diese Eingaben werden in einem Array gespeichert. Bei jeder Eingabe wird allerdings ein neues Array erstellt und das drückt hier die Performance. Da der User aber die Eingaben macht, ist dieser Aspekt zu vernachlässigen. Wenn es auf Performance ankommt, dann würde ich unter Umständen eine Arraylist nehmen. Viele Grüße Frank
  18. Hallo Wolfgang, schau Dir den Artikel an: Windows Server, AD, Exchange und mehr….. » WinPE bzw. WinRE mit statischer IP Im unteren Drittel wir der Einsatz der winpeshl.ini erläutert. Das sollte helfen. Viele Grüße Frank
  19. frr

    PassAlert Betaphase

    Hallo Leute, ich habe mir dieses Jahr ganz fest vorgenommen, die ganzen geforderten Features wie Multi-OU Fähigkeit, frei konfigurierbare Anzahl von Benachrichtigungen, Logging etc. einzupflegen. Meine Auftraggeber machen mir aber gerade einen Strich durch die Rechnung. Ich bin schon wieder bis April komplett ausgebucht:cry:. Das ist auf der einen Seite schön, auf der anderen Seite bedeuted es schon wieder Stress. Auf jeden Fall bin ich dran und steter Tropfen höhlt den Stein:D. Wenn wir das alles reinbekommen, dann kann man auch über eine eigene Seite nachdenken. Viele Grüße und einen schönen Abend noch, Frank
  20. frr

    PassAlert Betaphase

    Hallo Leute, bitte nicht hauen, dass ich so lange nichts von mir hören lassen habe. In den letzten 2 Jahren ging es bei mir ganz schön rund. Deshalb musste ich z.B. PassAlert nach hinten schieben. Geld verdienen geht halt vor und meine drei Kinder wollen auch etwas Zeit abhaben. Da es jetzt die nächsten drei Wochen etwas ruhiger wird, Gott sei dank, kann ich mich um die angenehmen Dinge kümmern. Ich habe jetzt eine neue Version von Passalert erstellt. Der Featureumfang ist geblieben. Für die ganzen Wünsche (Multi-OU Fähigkeit, besseres Logging etc.) werde ich eine komplette neue Version erstellen. Mal sehen ob ich da zwischen den Feiertagen dazu komme. Momentan bin ich noch mit meiner Einkommensteuer beschäftigt:suspect:. Der gemeldete Bug, dass PassAlert willkürlich Mails rausschickt, habe ich behoben. Das Ding sollte also rocken. Den HTML Editor für die Mails habe ich auch noch einmal umgestrickt. Der sollte jetzt auch auf allen Systemen laufen. Den Download habe ich jetzt auf meinen Blog geschoben. Dadurch sollte eine Benachrichtigung über RSS auch möglich sein, wenn ich eine neue Version erstellt habe. Viele Grüße und ein schönes Weihnachtsfest wünscht, Frank
  21. frr

    PassAlert Betaphase

    Hallo Brainstorm, ich hatte die letzten Monate etwas Stress und bin nicht dazu gekommen. Ich hatte zwar immer Anlauf genommen aber dann kam gleich das nächste Projekt. Das ging letztes Jahr wie das Bretzelbacken.......:D. Ich werde mich die nächsten Wochen mal wieder ransetzen und die letzten Bugs beheben. Viele Grüße Frank
  22. Hallo, am einfachsten wäre, wenn Du das über die Tools csvde oder auch ldifde erledigst. Viele Grüße Frank
  23. Hallo, also das Erste, was ich bei KB Artikeln mache, ist auf englisch umschalten. Da geht es meistens besser:-). Wieviel DCs habt ihr denn und welches BS? BTW: Die 200€ würde ich auch nehmen. Grüße Frank
  24. Hallo, ich habe Dir doch schon die Lösung gepostet. Du musst nur noch blind den Artikel abarbeiten. Grüße Frank
  25. Hallo, ihr sucht an der falschen Stelle! Da der Zugriff mit der IP Adresse funktioniert, liegt es am Kerberos. Wenn man auf einen Windows Share mit der IP Adresse zugreift, dann erfolgt die Authentifizierung über NTLM und nicht über Kerberos. In diesem Artikel wird Dir weitergeholfen: Error Message "Target Principal Name is Incorrect" When Manually Replicating Data Between Domain Controllers Grüße Frank
×
×
  • Neu erstellen...