Gerry1420

Ahh..ja klar. Da ist jetzt nur die IP der Karte im alten Netz hinterlegt. Nicht die der zweiten im neuen Netz.

Ich hatte kurzzeitig dort beide hinterlegt, um zu testen ob sich dadurch die Clients des neuen Netzes am DNS-Server registerieren. Habe die zweite IP aber wieder entfernt, da es nicht zur Registrierung kam. - Kann es sein das da diese zweite IP noch gecacht ist?

Hi!

Die Clients im neuen Netz haben den DNS-Server im xxx.xxx.1.xxx-Netz (also im alten bestehenden Netz) als DNS-Server eingetragen. Keine Alternativen.

Was meinst Du mit Bindung des DNS?

Hallo.

Ich habe hier ein Problem mit der Anbindung eines neuen logischen Netzes (xxx.xxx.7.xxx) an unser bestehendes Netz (xxx.xxx.1.xxx). Wir haben einen DNS-Server (Win 2003 R2) im Netz xxx.xxx.1.xxx, auf dem ich Routing & Ras aktiviert habe. Zusätzlich habe ich eine zweite Netzwerkkarte mit einer IP des neuen Netzes konfiguriert und angeschlossen. - Erste Frage...ist das generell der Weg so ein Routing einzurichten, oder habe ich da jetzt irgendwie um die Ecke gedacht?

Clients (XP) können sich nun vom neuen Netz (xxx.xxx.7.xxx) an der bestehenden Domäne (Active Directory Win2003) anmelden, ich kann pingen, nur werden keine DNS-Einträge vorgenommen. Ich kann aus dem neuen Netz Adressen im alten Netz auflösen, andersrum nicht. -Klar, weil kein DNS-Eintrag. Woran kann es liegen das die Clients im neuen Netz nicht am DNS registriert werden?

Ausserdem übernimmt nun scheinbar die zweite Netzwerkarte im DNS-Server (IP neues Netz) die DNS anfragen nach extern. Da macht unsere Firewall natürlich Probleme. Warum ist das so? Ich habe in den erweiterten Eigenschaften der Netzwerkverbindungen bereits die erste Karte (altes Netz) nach oben sortiert. - Keine Änderung.

Hat jemand einen Tipp für mich?

Grúß,

Gerry

Nein, alle Clients sind am gleichen Standort und sind mit einem W2K Domaincontroller verbunden.

Hallo.

Ich möchte per GPO festlegen das inaktive Arbeitsstationen (2K & XP Prof.) nach 10 Minuten automatisch gesperrt werden. Realisiert habe ich das Ganze in der GPO als Bildschirmschoner. ( Benutzerkonfig.--> Admin.Vorlagen --> Systemsteuerung --> Anzeige )

Als Programmname des Bildschirmschoners gebe ich an: rundll32.exe user32.dll,LockWorkStation

Auf einigen Arbeitsstationen wird dies nun korrekt verarbeitet, auf anderen nicht. Ich kann keine Gemeinsamkeiten bei funktionierden bzw. nicht funktionierenden Clients finden. Es betrifft sowohl XP als auch 2K Rechner. Die GPO wird aktuell verarbeitet. Alle Clients haben die selber GPO.

Hat jemand einen Tipp?

Gruß,

Gerry

Hallo.

Ich hab da ein "kleines" Problem...

Ich muß einige Anwendungsserver (W2K & W2000) aus einem LAN in eine DMZ (eigenständiges Netz)umziehen. Dabei wird es notwendig die IPs der Server zu ändern. DHCP wird in diesem Netz nicht eingesetzt. Alle Server und Clients haben fest IPs. DNS Server ist vorhanden.

Nun sind in diesem Netz auf vielen Clients die serverspezifischen Verbindungen (zu CRM oder Mail) nicht mit den Servernamen sonden mit deren IP-Adressen konfiguriert. Das bedeutet, ändere ich die Server-IPs kann keine Verbindung von den Clients mehr hergestellt werden.

Könnt Ihr mir nen Tipp geben was ich tun kann ohne nun auf jedem Client die Softwarekonfiguration anpassen zu müssen?

Verwirrten Gruß,

Gerry

Hallo Tom.

Danke für die Info!

Gruß,

Gerry

Hallo Edgar.

Ja, es betrifft nur XP-Clients auf denen die Richtlinie nichht übernommen wirde.

Leider komm ich heute nicht dazu an dem Problem weiter zu arbeiten. Ich melde mich wieder sobald ich was neues weiß. - Denke irgendwann Anfang der kommenden Woche.

Schönes Wochenende.

Gerry

Hallo.

Ist zwar keine MS-Frage, aber vielleicht könnt Ihr mir ja trotzdem ´nen Tipp geben...

Ich bin dabei eine DMZ einzurichten und frage mich ob sich dafür eher ein managebarer oder besser ein nicht managebarer Switch anbietet. Die Überlegenung ist ob ein managebarer Switch eventuell durch einen Angriff irgendwie "missbraucht" oder "zerkonfiguriert" werden könnte....?

Gruß,

Gerry

Mal wieder ein Nachtrag:

DNS-Problem beseitigt.Alle Clients tragen sich nun in den DNS-Zonen ein.

Das Problem lag an der einfachen DNS-Bezeichnung unserer Domäne. --> Siehe MS-Knowledgebase http://support.microsoft.com/?kbid=300684

Bleibt das Problem der nicht aktualisierten Benutzerrichtlinien auf WindowsXP-Clients.

Gruß,

Gerry

Hallo Edgar.

Die Frage hatte ich wegen des gelösten NSLookup-Problems nicht beantwortet. Ich kann Dir da aber gerne noch ein paar Infos geben.

Da hast eine Domäne, auf dem DC läuft ein DHCP und ein DNS-Server?[/Quote]

Wir haben hier eine 2K3 Domäne. Ein DC der auch DNS-Server ist. Kein DHCP. IPs werden manuell vergeben.

 

Der bevorzugende DNS-Eintrag am Server zeigt auf (sich) den Server selbst?

Was ist das Ergebnis von nslookup am Server?

[/Quote]

Ja. Der bevorzugte Eintrag zeigt auf 127.0.0.1.

NSLookup am Server bringt:

Standardserver: localhost -- Adress: 127.0.0.1

 

Der bevorzugende DNS-Eintrag an den Clients zeigen auf den Server?

Was ist das Ergebnis von nslookup an den Clients?[/Quote]

Ja, zeigen auf den lokalen DNS-Server. Als Ergebins von NSLookup auf den Clients bekommen ich den vollqualifizierten Servernamen und Adresse angezeigt.

 

--> Dies funktioniert nachdem ich auf dem DNS-Server IPCONFIG /REGISTERDNS ausgeführt habe.

 

 

Was ist unter alle zu verstehen? Domänengehörige Rechner oder auch nicht domänengehörige Rechner? Die betroffenen Clients, sind es 2k oderv XP? [/Quote]

 

Alle Rechner, betroffene und nicht betroffene, gehören der selben Domäne an. Betriebssystemmix aus 2K und XP. Nur die 2K-Clients und Server tragen sich im DNS ein. Bei ihnen funktioniert auch die Aktualisierung der Benutzerrichtlinie. Die XP-Clients tragen sich nicht im DNS-Server ein. Hier funktioniert auch die Benutzerrichtlinienaktualsierung nicht.

 

Das es nur die 2K-Clients sind die sich im DNS eintragen und bei denen die Aktualisierung klappt, ist mir tatsächlich eben gerade erst aufgefallen.... :rolleyes:

 

Danke für Deine Ausdauer.... :)

 

Gerry

Hier ist noch ein Nachtrag...

Melde ich mich als Domänen-Admin an einem der betroffenen Clients an, zeigt mir GPResult das die Computer- & Benutzerrichtinie aktuell verarbeitet wurde. Meldet sich der User wieder normal an, zeigt GPUpdate nur die Aktualisierung der Computerrichtlinie. Benutzerrichtlinie ist nach wie vor uralt. --- So langsam iss hier BAHNHOF!

Gerry

Guten Morgen.

Ok...die Reverselookupzone scheint nun zu funktionieren! Dynamische Updates waren für die Zone deaktiviert. Nachdem ich diese aktiviert hatte, haben sich zumindest einige Server automatisch eingetragen. Als NSlookup nach wie vor kein Ergebnis gezeigt hat, habe ich IPCONGIG /REGISTERDNS ausgeführt und siehe da..... NSLookup liefert von allen Clients eine korrekte Auflösung. :D

Frage hierzu noch... Müssten in den beiden Lookupzonen nicht ALLE Clients und Server eingetragen sein?

Zurück zu meinem Ursprungsproblem...die Benutzerrichtlinie aktualisiert sich nach wie vor auf manchen Clients nicht. Ein manuelles Update wird zwar angeblich erfolgreich durchgeführt, GPResult zeigt aber trotzdem ein Uralt-Datum als letztes Aktualisierungsdatum. -- Was kann ich tun? :(

Besten Gruß,

Gerry

Hallo Egar, hallo Kohn.

Der Lookbackverarbeitungsmodus hat auch keine Änderung bewirkt.

Beim überfliegen des "Monsterthreats" ist mir der Hinweis auf NSLOOKUP aufgefallen.

Funktioniert hier natürlich nicht...vielleicht liegt das Problem schon daran?

Mein PrimärerDNS-Server kann nicht gefunden werden. Als Standard-DNS-Server bekomme ich nun den sekundären DNS-Server angezeigt. Das ist ein externer bei unserem Internetprovider.... Auch auf meinem DNS-Server bekomme ich den exteren Server als Standardserver angezeigt.

Generell funktioniert die Namensauflösung hier im Netz aber. Ich kann Rechnernamen pingen und bekomme die aufgelöste IP zurück.

Wo fang ich nun am besten an? :(

Gerry

Ok...ich habe die Funktion mal aktiviert und auf "Ersetzen" gestellt.

Ich teste morgen was passiert und ob ich im GPResult eine entsprechende Veränderug sehe.

DANKE!

Gerry

Hallo Edgar.

Da mußte ich grad erstmal suchen was das überhaupt ist... :D

Die Einstellung ist nicht konfiguriert und, so wie ich das verstanden habe, somit nicht aktiv.

Gerry

Hallo.

Wir haben in unserem ActiveDirectory in einer OU Benutzerkonfiguration einige Änderungen zur automatischen Sperrung der Arbeitsstationen eingerichtet. Alle betreffenden Clients befinden sich in der selben OU.

Nun wird die Änderung auf einigen Clients automatisch übernommen, und funktioniert, auf anderen nicht. Auch ein gpupdate /force oder /user bringt nichts.

Gpresult zeit nach einem GPUpdate, das die Computerkonfiguration heute aktualisiert wurde, die Benutzerkonfiguration aber zuletzt irgendwann vor zwei Monaten. Auch unter "Angewendet von" ist kein Eintrag zu finden.

Hat da jemand einen Tipp für mich?

Danke & Gruß,

Gerry

Hi.

Tja, genau darum geht´s. Um die "Kosmetik der Netzwerkumgebung".

Irgendwie hat die Geschichte, wie ich sie oben geschildert hab dann doch nicht funktioniert. Sobald ich den Rechner der Domäne hinzufüge, steht er im "Domänenstammpfad".

Kann man da was machen? Oder müssen wir in Zukunft damit leben, das alle XP-Clients im "Domänenstamm" auftauchen?

Gerry

Hi.

Ich hab da mal eine generelle Frage zur Clientkonfig.

Um XP bzw. Win2K-Clients bestehenden Arbeitsgruppen einer NT4-Domäne hinzuzufügen und von dort aus auch Zugriff auf die Domäne und deren anderen Arbeitsgruppen zu haben, muß ich die Clients erst zum Mitglied einer Arbeitsgruppe machen und dann mittels Assistenten zur Domäne hinzufügen.

Irgendwie kommt mir der Weg zu umständlich vor.

Gibt´s da eine andere, bessere Lösung?

Gruß,

Gerry

Hi.

Danke für die Info.

Das ist echt unbefriedigend. Denke das es sicherlich auch irgendwie anders gegangen wäre...aber per Ferndiagnose immer etwas b***d zu machen. ;)

Wichtig ist, daß es jetzt läuft!

Vielleicht kann ich dir ja irgendwann mal richtig helfen. :)

Gruß,

Gerry

Hi.

Hmm...das ist echt seltsam.

Hast Du mal die Dienstabhängigkeiten des Routing- und RAS-Dienstes bei Dir überprüft (Eigenschaften des Dienstes)? Kann sein das da irgendwas nicht stimmt. Vielleicht fehlt da eine der Benötigten Instanzen.

Sorry-ansonsten bin ich da mit meinen Ideen leider am Ende.

Gerry

Hi.

Wir haben das CT-Script, das hier ein paar Postings weiter erwähnt wird, bei uns auf ca. 70 Notebooks im Aussendienst im Einsatz.

Das Script checkt mittels einer Konfigurationsdatei, in der die Schlüssel der Geräte stehen die per USB angeschlossen sein dürfen, die Registryeinträge der USB-Ports. Stößt es auf Einträge die nicht in der Konfigurationsdatei stehen, etwa von USB-Sticks oder Sonstigem, meldet das System den User sofort ab. So ist kein weiteres Arbeiten für den Benutzer möglich und er muß den Support anrufen. Wir entfernen dann via Fernwartung den "verbotenen" Eintrag in der Registry. Das funktioniert leider nicht automatisch, wenn das "verbotene" Gerät wieder von der Schnittstelle entfernt wurde. Der Registryeintrag bleibt bestehen, bis er manuell gelöscht wird.

Alles in Allem eine recht drastische Maßnahme, die uns allerdings vor einer Menge Ärger durch irgendwelche Spielereien schützt. Ausserdem haben wir die Kontrolle darüber, was die User versuchen mit Ihren Dienstrechnern noch so anzustellen. :cool:

Das Script werden wir in Zukunft auch in unserem LAN einsetzen.

Gruß,

Gerry

Na-da bin ich gespannt. :wink2:

Vielleicht hat ja auch irgendwer anders noch ne´ Idee.

Bis dahin,

Gerry

Hi.

Bist Du mittlerweile auf die Lösung gestossen?

Die Liste der installierten Komponenten sieht eigentlich recht komplett aus.

Leider fällt mir dazu auch ehrlich gesagt nicht mehr viel ein.

Ich hab hier mal alles Mögliche versucht, um die Fehlermeldung zu reproduziern...aber der Dienst läßt sich hier so ziemlich immer starten.

Hast Du mal die Sicherheitstools deinstalliert und es dann versucht?

Gerry

Hi Auer!

DANKE! Der Rechner läuft wieder einwandfrei.

Ich habe erstmal alle überflüssigen Benutzerprofile gelöscht und die Favoriten ausgemistet und überprüft. Hat erstmal nichts gebracht.

Dann habe ich das "Problemprofil" umbenannt und den User neu angemeldet....und siehe da - nichts "klemmt" mehr! Erstaunlich! :)

Die Favoriten habe ich aus dem alten Profil kopiert, genauso wie die Einstellungen für Desktop usw.

Würd jetzt zwar gerne wissen woran es tatsächlich im Detail genau gelegen hat, aber die Hauptsache ist das der Rechner wieder läuft.

Nochmals - DANKE!

Gruß,

Gerry