Bodenklappe

Nein, leider nichts Neues, ich habe keine Ideen, wonach ich suchen soll. Deiner Beschreibung nach hast Du ein anderes Problem als ich, außer daß beides mit Synchronisation zu tun hat. Über geööfnete Dateien geben dir Ressourcenmonitore Auskunft, aber es wäre mir sehr lieb, wenn du für Deine Frage einen neuen Thread aufmachen würdest. Das ist übersichtlicher für alle. Kannst ja trotzdem hierauf verlinken.

Der Rechner muß nicht in der Domäne sein, damit Du ihn per UNC-Pfad erreichen kannst. Einfach \\COMPUTER\Freigabe in Dein Anmeldeskript schreiben, dann kannst Du in der Shell nach Benutzernamen und Kennwort fragen. Um ungültige Daten kümmert sich Windows mit einer passenden Fehlermeldung. Grafischer Login per Popup fertig zum Download irgendwo ist mir nix bekannt, kann man aber sicher mit VBS, KiXtart und Co. basteln.

Kannst Du Rechner 1 zum "Server" machen, oder muß da ein Mitarbeiter dran arbeiten? Es muß ja keine Serverlizenz sein. Du kannst im Prinzip auch einen ollen W95-Rechner irgendwo hinstellen und seine Platten freigeben. Die Clients synchronisieren dann mit seinen Freigaben. Dann kannst du an jedem Client einstellen, ob es nur ein Ordner sein muß oder ggf. mehrere. Rechner 1 kann Daten herunterladen und in einen bestimmten Ordner legen. Rechner 2 - X greifen darauf als Netzlaufwerk zu. Alle Dokumente landen in einer anderen Freigabe, die wird von allen anderen Rechnern synchronisiert, um die Daten auch offline zu haben. Müssen auch die Daten aus Fall1 offline verfügbar sein?

Aber: [PS] C:\Windows\system32>set-mailpublicfolder -identity "\Alter Name" -alias "NeuerName" Set-MailPublicFolder : Fehler bei Active Directory-Vorgang mit SBS2008.abcd.loc al. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Inform ationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF _ACCESS_RIGHTS), data 0 . Bei Zeile:1 Zeichen:21 + set-mailpublicfolder <<<< -identity "\Alter Name" -alias "NeuerName" + CategoryInfo : NotSpecified: (0:Int32) [set-MailPublicFolder], ADOperationException + FullyQualifiedErrorId : 9718229,Microsoft.Exchange.Management.MapiTasks. SetMailPublicFolder Gebe ich zweimal AllExtendedRights interaktiv in der Shell ein und danach Return, bringt er mir, daß das Argument "AllExtendedRights" nicht gültig ist sondern "AllExtendedRight" (ohne "s") heißt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Identity: "Alter Name" User: karl AccessRights[0]: AllExtendedRights AccessRights[1]: AllExtendedRights AccessRights[2]: Das angegebene Zugriffsrechte ''AllExtendedRights', 'AllExtendedRights'' sind u ngültig. Gültige Zugriffsrechte sind unter anderem 'AllStoreRights', 'AllExtend edRight' und die Kombination aus acht spezifischen Administratorrechten für Öff entliche Ordner ohne Eintragsduplikate. Parametername: AccessRights Bei Zeile:1 Zeichen:1 + <<<< add-publicfolderadministrativepermission + CategoryInfo : InvalidArgument: (:) [], ArgumentException + FullyQualifiedErrorId : 77B44613 Gebe ich dann aber "AllExtendedRight" an, erzählt er mir, daß das Argument "AllExtendedRights" (mit "s"!) heißt! Allmählich komme ich mir verar***t vor! [PS] C:\Windows\system32>add-publicfolderadministrativepermission Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Identity: "Alter Name" User: karl AccessRights[0]: AllExtendedRight AccessRights[1]: Add-PublicFolderAdministrativePermission : Der Parameter "AccessRights" kann ni cht gebunden werden. Der Wert "AllExtendedRight" kann aufgrund von ungültigen E numerationswerten nicht in den Typ "Microsoft.Exchange.Management.MapiTasks.Pub licFolderAdministrativePermission" konvertiert werden. Geben Sie einen der folg enden Enumerationswerte an, und versuchen Sie es erneut. Mögliche Enumerationsw erte sind "None, ModifyPublicFolderACL, ModifyPublicFolderAdminACL, ModifyPubli cFolderDeletedItemRetention, ModifyPublicFolderExpiry, ModifyPublicFolderQuotas , ModifyPublicFolderReplicaList, AdministerInformationStore, ViewInformationSto re, AllStoreRights, AllExtendedRights". Bei Zeile:1 Zeichen:41 + add-publicfolderadministrativepermission <<<< + CategoryInfo : InvalidArgument: (:) [Add-PublicFolderAdministra tivePermission], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.Exchang e.Management.MapiTasks.AddPublicFolderAdministrativePermission Welcher Benutzer muß welche Rechte haben und welche nicht? Mit welcher Kommandozeile gewähre ich ihm die Rechte, damit ich den Alias korrigieren und die Mailbox nach Ex2007 konvertieren darf? Das kann doch alles nicht so kompliziert sein.

Ich habe noch einmal alle Links durchgelesen. Bei http://groups.google.com/group/microsoft.public.exchange.setup/browse_thread/thread/ec9a8f11a0e5f15/dce38bcaf103c986?lnk=st wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist? Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen. Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung. Nochmal zur Reihenfolge: Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit http://technet.microsoft.com/de-de/library/aa997986(EXCHG.80).aspx das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt? Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al ter Name" -user karl -accessrights AllExtendedRights Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- \Alter Name ABCD\karl {AllExtendedRights} False False

Ich habe noch einmal alle Links durchgelesen. Bei EX2K7 OWA - microsoft.public.exchange.setup | Google Groups wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist? Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen. Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung. Nochmal zur Reihenfolge: Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit Add-PublicFolderAdministrativePermission: Exchange 2007-Hilfe das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt? Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al ter Name" -user karl -accessrights AllExtendedRights Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- \Alter Name ABCD\karl {AllExtendedRights} False False

Danke für die schnellen Antworten. Zu den ersten beiden Links muß ich folgendes sagen: es handelt sich um einen öffentlichen Ordner, also liegt kein Benutzer dahinter. Demzufolge kann ich keine Berechtigungen für ihn einsehen oder setzen, wie im ersten Link gedacht. Außerdem wurde die Mailbox ja bereits verschoben, es scheitert also nicht am Verschieben selbst sondern am anschließenden Zustellen einer Mail an diesen Ordner. Seine Mailadresse ist sehr wohl gültig, nur der Alias dummerweise nicht mehr unter dem neuen Exchange, und der wird offensichtlich zum Auflösen gebraucht. Zum dritten Link: ich hatte bisher den hier gefunden: Set-AddressList: Exchange 2007 Help . Es geht meines Wissens um das ForceUpgrade. Allerdings habe ich das noch nicht kapiert, wie das genau gehen soll. Ich denke, daß ich über die AddressList nicht an den Alias herankomme, jedenfalls habe ich das bisher nicht gefunden. Dazu hatte ich auch schon diesen alten Thread gefunden: http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html . Das hat mich bisher aber auch nicht weitergebracht. Gibt es vielleicht noch weitere Ideen?

Hallo allerseits, Seit der Migration vom SBS2003 zum SBS2008R2 ist einer meiner öffentlichen Ordner nicht mehr per Mail erreichbar. Nun habe ich herausgefunden, daß es am Leerzeichen im Alias liegt. Was dem SBS2003 nichts ausmachte, darüber stolpert der SBS2008 nun, doch wurde dieser Fehler (aus Exchange 2007-Sicht) bei der Migration nicht korrigiert. Will ich das Problem nun selbst beheben, bekomme ich die Meldung, daß für diesen Vorgang kein Wiederholungsversuch möglich ist und die Benutzerrechte nicht ausreichen. Ich habe es wahlweise als Benutzer der Domänenadministratoren probiert und auch mit dem Administrator selbst. Bei beiden erhalte ich dieselbe Fehlermeldung: set-mailpublicfolder Fehler bei Active Directory-Vorgang mit SBS2008.eict.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Testweise habe ich dem Domänenadministrator die Berechtigungen "Exchange Organization Administrators" und "Exchange Public Folder Administrators" hinzugefügt, weil ich dahinter die nötige Berechtigung vermutete. Das war jedoch nicht ausreichend. Kann mir jemand einen Hinweis darauf geben, woran es scheitert?

Ich bin ein Stück weitergekommen, wenn man so will. Habe mit einem parallel neu aufgesetzten SBS2008 und W7-Client nachgestellt, und dort funktioniert die Synchronisation wie erwartet. D.h. sobald ich am Client, der gerade offline ist, das Kabel einstecke, merkt windows das und beginnt die Synchronisation im Hintergrund. Zusätzlich - und das ist der entscheidende Unterschied, wie ich vermute - ist im Synchronisierungscenter bie den Partnerschaften die Offlinedateien eingetragen. Der Client ist der gleiche, mit dem es in der echten Domäne nicht funktioniert, in der Testdomäne aber schon. Ich habe ihn nur aus der einen herausgenommen und in die andere eingetragen. Jetzt suche ich nach Hinweisen, wonach ich schauen könnte, warum es in der echten Domäne nicht läuft. DEr Client scheidet als Fehlerquelle nun erwiesenermaßen aus, also muß es irgendwas mit den Servereinstellungen der echten Domäne zu tun haben. Hat da jemand eine Idee für mich?

Guten Tag allerseits, ich kämpfe seit einiger Zeit mit den Offlinedateien unter windows 7, wenn der Benutzer Dateien offline bearbeitet und danach wieder online geht. Kann gut sein, daß ich noch nicht alles kapiert habe, was Microsoft sich neu ausgedacht hat, aber ich habe weder in den Einstellungen nach intensiver Suche konkrete Abhilfe gefunden noch in diversen Foren und MS Press-Büchern. Zur Umgebung: Ein SBS2008 stellt eine Domäne bereit. Es gibt Windows XP- und Windows 7-Clients. Die eigenen Dateien bzw. My Documents und der Desktop werden auf den SBS umgeleitet (RedirectedFolders). Kommt man aus dem Offlinemodus, tritt nun ein Problem auf. Windows XP: Bei XP gibt es das schöne Fenster zum Synchronisieren, so daß man sofort sieht, ob die Synchronisation läuft und wie weit sie ist. Bei Windows 7 wurde das abgeschafft. Dadurch wird der Benutzer getäuscht, er sei immer online und seine Dateien synchronisiert. Nur: bin ich im Windows Explorer in der Bibliothek "Dokumente", sehe ich beim Anklicken einzelner Dokumente, daß diese offline sind. Windows 7: Was passiert? ein Benutzer bearbeitet offline Dateien, legt neue Ordner und Dateien an etc. Dann kommt er ins Büro, steckt das LAN-Kabel ein und arbeitet weiter. Für ihn sind die Dateien die ganze Zeit über alle sichtbar, doch fatalerweise werden sie nicht auf den SBS synchronisiert, weil das Synchronisierungscenter von Windows 7 nicht bemerkt, daß der Client wieder online ist. Kein Benutzer schaut für jede einzelne Datei unten in der Statuszeile nach, ob diese jetzt online oder offline ist und synchronisiert sie von Hand. Und ganz ehrlich: das kann man ihm auch nicht zumuten. Bei XP lief die Synchronisation immer von selbst an, wenn der Benutzer das Netzwerkkabel einsteckte. Windows 7 dagegen bleibt offline, und der Benutzer muß sich selbst darum kümmern, daß seine Offlinedateien synchronisiert werden. Jedenfalls ist es das, was ich bisher nur herausfinden konnte. LAN-Kabel drin oder draußen beim Rechnerstart: Ist beim Start eines Windows 7-Rechners im Büro das Netzwerkkabel eingesteckt, dann bietet der Windows Explorer die Knöpfe "Offlinebetrieb", "Synchronisieren" pro Folder an. Also hat man zumindest die Möglichkeit, die Dateien von Hand zu synchronisieren. Steckt man dagegen das Kabel erst im laufenden Betrieb an (z.B. weil der Kollege gerade aus einem Meeting im Besprechungsraum kommt und von offline oder WLAN nach LAN wechselt), dann gibt es diese Knöpfe nicht! Windows merkt zwar, daß der Rechner wieder online ist, doch gilt das nicht für "My Documents" und den Desktop. Hat er allerdings zusätzlich offlineordner vom Server verfügbar gemacht, die im Synchronisierungscenter auftauchen, dann werden diese sehr wohl synchronisiert. Ich weiß bisher noch nicht einmal, ob das in irgendeiner Weise Absicht von Microsoft sein soll und man es an versteckter Stelle ändern kann (warum auch immer), oder ob es sich um einen Bug handelt, mit dem aber scheinbar jeder klaglos leben kann, weil ich nirgends Hinweise darauf finden konnte, daß andere damit auch ein Problem haben. Wäre echt hilfreich, wenn jemanden was dazu einfallen würde, wie ich dafür sorge, daß die Dateien in My Documents und Desktop wieder auf den SBS geschoben werden, sobald die Kabelverbindung im Büro besteht.

So, ich habe mir mit einigem Aufwand wieder Zugang zur Firewall verschafft, indem ich NAT/Basisfirewall komplett ausgeschaltet habe. Dadurch kann ich jetzt aber kein VPN mehr anbieten. Andere Lösungen wie OpenVPN waren bisher längst nicht so zuverlässig und störungsfrei wie der von Windows Server angebotene VPN-Tunnel. Kann mir jemand einen Tip geben, wie ich auch bei eingeschalteter Firewall auf dem Server das Microsoft-VPN anbieten kann oder zumindest sagen, ob es definitiv nicht geht? Das konnte ich bisher nämlich noch nicht herausfinden.

Kannst Du mir sagen, wie ich VPN-Tunnel ohne RRAS anbieten kann? Bisher kenne ich nur diese eine Variante. Wasm einst Du mit "das wars dann schon fast"? Was fehlt mir dann? Die Einstellmöglichkeiten unter NAT sind sehr gering: Protokollierung, Adresszuweisung, Namensauflösung - nichts groß zum ein- oder ausschalten von wirklichen Funktionen.

Der RRAS-Dienst läuft noch und muß das wohl auch, weil ich den Leuten Zugang per VPN erlaube. Das fällt mir jetzt gerade ein. Das ist ja doof! Kann ich irgendwie beides unter einen Hut bringen: VPN mit Windows-Bordmitteln zum Server UND die Server-Firewall konfigurieren können? Ich muß ja immer wieder daran. Dafür kann ich schlecht jedesmal RAS ausschalten. Das sollte auch von Microsoft wohl nicht so gewollt sein.

Hallo und guten Tag. Ich bekomme meine Windows-Firewall unter Windows Server/SBS 2003 nicht zurück unter meine Kontrolle. Beim Einrichten des Systems hat der Verwalter vermutlich RAS mit installiert, jedenfalls war dort der Eintrag NAT/Basisfirewall enthalten. Ich habe schon einige Foren abgeklapptert und als Lösungsansatz immer gefunden, daß ich NAT/Basisfirewall entfernen soll, wenn ich an die Firewalleinstellungen unter SBS 2003 nicht herankomme, so wie auch hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/w2k3-ipnat-sys-60875.html. Es erscheint nämlich immer die Nachricht, daß ipnat.sys bereits verwendet wird. Nach dem Entfgernen von NAT/Basisifrewall und einigen Serverneustarts komme ich aber immer noch nicht an die Firewall heran. Die Meldung bleibt die gleiche. Der Dienst Windows-Firewall/GEmeinsame Nutzung der Internetverbindung ist ausgeschlatet und ich kann ihn sogar gar nicht starten. Dann kommt immer die Meldung "Konnte nicht gestartet werden. Fehler 170: Die angeforderrte Ressource wird bereits verwendet" Wie kann ich herausfinden, wovon die verwendet wird, damit ich endlich normal an die Firewall herankomme? Keine Sorge, vor dem SBS steht noch eine Hardwarefirewall, die kümmert sich um alles. Ich stelle den SBS also nicht ungeschützt ins Netz. Für hilfreiche Hinweise wäre ich echt dankbar.

Was mir mißfällt ist, daß ich trotz der Gruppenrichtlinie für jeden Client die Registry ändern muß. Nach meinem Verständnis soltle doch gerade Sinn der Gruppenrichtlinie sein, daß ich domänenweit allen Clients melde "hier ist euer neue Windows-Update-Server, holt die Updates ab jetzt von dort". Ist das falsch gedacht oder fehlt noch irgendwas in meinen Einstellungen, damit das klappt? Laut gpresult wird die Gruppenrichtlinie gar nicht angewendet.

Die Seite kannte ich, fand sie aber nicht hilfreich. Dort stehen auch nur die selben Standaradangaben wie überall, hauptsähclih Installationsanleitung. Alles Wesentliche, nämlich welche präzisen Einstellungen (GPO, Reg ...) erforderlich sind, damit man Clients hinzufügen kann, fehlt dort. Ich wundere mich etwas. Genau das habe ich in meinen beiden ersten Beiträgen nun wirklich haarklein beschrieben, woran es hapert.

Geht also nicht pro Produkt, z.B. "wirf alle Updates heraus, die nur von W2k bentigt werden". Dann manuell. Okay, das schaue ich mir mal nach meinem Urlaub an. Danke, z.B. diesen Hinweis habe ich nirgends gelesen. Habe ich gemacht ... dauert aber fuuuuuurchtbar lange. Nach 6 Stunden taucht der Client erst auf, obwohl ich ihn sofort mit wuauclt /detectnow und /reportnow zum Anmelden geschickt habe. Der Server selbst tauchte auch erst nach dem Wochenende auf, obwohl er ja selbst schnell sein sollte. Ob es fr den SBS auch ohne diese Portangabe ging, kann ich nicht sagen, weil ich erst danach in die Konsole schaute. Trotzdem habe ich auf dem Client noch einen Fehler wie hier WSUS clients , das schaue ich mir auch nach dem Urlaub an. Ja. Wenn das angeboten wird, will ich es mir aber zumindest mal kurz anschauen. Neugier eben.

Bitte noch ein paar Fragen zusätzlich: Ich habe einige Progrdukte ausgewählt, die ich jetzt nicht mehr haben will. Deshalb habe ich sie ohne Haken wieder abgewählt (z.B. Windows 2000 hat bei uns keiner). Werden die beim Synchronisieren wieder entfernt? Ich brauche die ja nicht. Oder muß ich die von Hand entfernen? Macht es Sinn, kategorisch alle Updates zu genehmigen? Ich weiß, das müßte ich selbst entscheiden, wann gibt es schon mal Updates, die man wirklich nicht haben will? Das sind doch sehr wenige. Dieses ganze Windows-Live-Zeug, das neuerdings reinkommt, aber sonst? Bei vielen Updates steht, daß sie von einem neueren ersetzt wurden. Kann man die global dann gleich deaktivieren? Ich frage mich, weshalb die überhaupt in der Liste auftauchen. Es wäre doch sinniger von MS, diese beim Ersetzen durch ein neueres Updates gleich herauszunehmen. Wozu soll sich jeder Betreiber eines WSUS die immer erst mit herunerladen um dann zu sagen "ich will die ja garn icht"? Wenn man diese Updates mit genehmigt, werden die doch vermutlich eh nicht installiert, weil sie zu alt sind, richtig? Oder bekomtm der Benutzer dann jedesmal eine Meldung über dieses nicht installierbare Update? Das wäre etwas lästig. An einer Stelle las ich, daß jemand die Windows Updates für Clients auf Stufe 4, für Server auf Stufe 3 gesetzt hat. `Das möchte ich auch so machen. Ich konnte aber nicht finden, wie ich das einzeln für Server oder Clientcomputer einrichte. Wo bitte finde ich das? Das Webinterface hatte ich bei der Installation auf den Port 8530 legen lassen. Wenn ich dorthin verbinde, werde ich nach Username und Paswswort gefragt . Als Administrator des Domänencontrollers kann ich mich da komischerweise nicht anmelden, der Anmeldedialog wiederholt sich einfach ohne weitere Rückm,eldung (kann Absicht sein, habe dazu keine Angaben gefunden). Nur als Benutzer mit Dom-Admin-Rechten kann ich mich anmelden. Doch kommt dann die Meldung " Auflistung in Verzeichnis verweigert. In diesem virtuellen Verzeichnis können keine Inhalte aufgelistet werden". Allerdings klappt der Download der Testdatei http://sbs:8530/selfupdate/wuident.cab anstandslos. Er wird nur von der Meldung "Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen" begleitet. Da der Download klappt, denke ich, daß der Kontakt seitens des Clients zum WSUS auch funktioniert. Hilft das bei der Diagnose des Problems oben? Danke fürs Lesen, ist leider sehr lang geworden, aber es sollte möglichst genau schildern, was das Problem ist.

Guten Tag! Ich habe Ende letzter Woche WSUS 3.0 mit SP1 auf unserem SBS 2003 installiert und konfiguriert. Was mir fehlt ist da Hinzufügen von Computern, auf die die Updates angewendet werden. Leider finde ich in keinem HowTo, wie ich das genau zu machen mache. Überall geht das immer von selbst oder beiläufig mit irgendwas von wegen "Gruppenrichtlinie auf OU anwenden". Wie gerade diese geht, weiß ich aber nicht. Deshalb hoffe ich, daß mir das hier jemand genau sagen kann. Mein Problem ist so ähnlich wie das auf http://www.mcseboard.de/windows-forum-ms-backoffice-31/wsus-clientcomputer-hinzufuegen-142277.html , aber so richtig hilft mir die Anleitung dort nicht. Zur besseren Übersicht mache ich deshalb ein neues thema auf. Vor allem kann ich mit dem Screenshot von Sunny61 nicht so recht etwas anfangen. Muß ich dafür eine extra Gruppenrichtlinie anlegen, und wenn ja: wo und genau welche? Auf dem Bild heißt sie einfach XP_SUS, aner ich sehe den Ort nicht. Was ich bisher gemacht habe: WSUS installiert und konfiguriert, die gewünschten Updates heruntergeladen, ein paar davon testweise freigegeben, ein paar Computergruppen angelegt. Nur sind die alle leer, vor allem die Gruppe "Nicht zugewiesene Computer", und auch nach ein paar Tagen inzwischen erscheint dort kein einziger Computer. Deshalb bin ich mir sicher, daß ich noch nicht alles richtig gemacht habe. Als erstes habe ich natürlich Installing Windows Server Update Services 3.0 on Windows Small Business Server 2003 gelesen. Im Gruppenrichtlinienobjekt-Editor habe ich unter "Windows Update" die automatischen Updates aktiviert und auf Stufe 3 gesetzt. Dann habe ich den internen Pfad aktiviert und auf meinen Serverpfad gesetzt: http://sbs , dazu noch "keinen automatischen Neustart" und das Updateintervall auf alle 24h gesetzt. Laut allen HowTos soll das soweit okay sein, fehlen mir die Clients in der Liste. In bisher keiner Anleitung oder Hilfe bei ähnlichen Problemen konnte ich entdekcne, wie ich nun weiter vorgehen muß. Auch hier HOWTO Installation und Konfiguration eines Windows Update Servers mittels WSUS - Teil 2 - administrator sehe ich nicht, wie ich die Computer tatsächlich in der Gruppe "Nicht zugewiesene Computer" sichtbar mache. Ich habe herausgefunden, daß ich im AD mit der rechten Maustaste auf meine interne Domäne ein vorhandenes Gruppenrichtlinienobjekt verknüpfen kann. Nur kann ich dort die vom Windows Update gar nicht auswählen. Um sicher zu gehen, daß ich das richtige meine, habe ich einen Screenshot angehängt. Auf dem Client habe ich einmal gpresult laufen lassen, konnte aber nichts entdecken, was mir sagt, daß die entsprechende Update-Richtlinie greift. Wenn ich rsop.msc ausführe, bekomme ich den Richtlinienergebnissatz angezeigt, in dem aber unter Computerkonfiguration/Administrative vorlagen kein passender Eintrag ist. Meine Einstellungen im IIs stimmen mit diesen hier File-Upload.net - WSUS_IIS.png überein, doch im Clientdiag.exe bekomme ich als letztes die Mledung "UseWuServer is disabled - fail". Schaue ich in das WindowsUpdate.log auf einem Client, steht dort bei alten Einträgen (vor WSUS) immer " DnldMgr Regulation server path: http://update.microsoft.com/v6/UpdateRegulationService/UpdateRegulation.asmx.". Seitdem ich das auf WSUS umstellen will, meldet der Client das im Log so wie im Anhang. WindowsUpdate.txt

Unklar, was da passiert ist. Heute habe ich mich wieder angemeldet, es kam erneut zur Fehlermeldung. Dann habe ich in den Berechtigungen für C:\tmp die Gruppe JEDER mit Vollzugriff hinzugefügt, den REchner neu gestartet und beim Anmelden keine Fehlermeldung mehr erhalten. Dafür hat er zweimal mit etwa 3 Sekunden Pause die Eigenen Dateien synchronisiert. Ich habe JEDER wieder entfernt, den Rechner neu gestartet, mich neu angemeldet, und die Fehlermeldung erschien nicht. Andere Änderungen habe ich nicht vorgenommen. Was asgt mir das? Mit der Berechtigung auf C:\tmp (nicht C:\Temp) hat es wohl doch nichts zu tun, sonst müßte die Meldung ja wieder erscheinen, wenn ich JEDER entferne.

Einen schönen sonnigen Tag! Ich bekomme seit 3 Tagen die gleiche Meldung bei der Anmeldung in meiner Domäne, bin aber Domänenadmin (SBS 2003) und habe als einzige Änderung zuletzt ein paar MS-Updates auf dem SBS installiert (für IE8 und Co.). Auf meinem Client, an dem sonst niemand anderes sich anmelden kann, habe ich nichts neues installiert, und das Netz läuft einwandfrei. Nach dem Wegklicken der Meldung gibt es keine Einschränkung, davor auch nicht. Andere Benutzer haben diese Meldung nicht gemeldet, was sie sicherlich tun würden, wenn sie sie bekämen. Der Verweis auf den anderen Thread von GuentherH hat mit meiner Ursache vermutlich nichts zu tun, denn Domänen-Adminrechte habe ich ja und ändere sie auch nicht. An temporären Dateien oder Verzeichnissen habe ich auch keine Änderungen vorgenommen, auch nicht an anderen Verzeichnisberechtigungen oder Outlook. Hat jemand noch andere Tips, was die Ursache sein kann?