Peterzz

Wie ist das mit dem MS-Support, ginge das wirklich und was kostet so etwas etwa?

Hallo, ich bin heute den ersten Tag aus meinem wohlverdienten Urlaub zurück und sehe mit erschrecken :schreck: , dass ein Kollege, welcher ab heute im Urlaub ist, am Freitag die MS-Patche einspielen wollte. Nach dem Einspielen der Patche kam wohl einer unser DCs (der, der alle FSMO Rollen hat, erster DNS Server für unserer Client ist, DHCP bereitstellt) nicht mehr hoch und startete wohl nur noch im abgesicherten Modus. Der Kollege ist nun leider auf den Snapshot (VMWare) vor der Patchinstallation zurückgegangen und nun habe ich den Schlammassel - und das erfahre ich am ersten Arbeitstag mit einer E-Mail :( Auf dem DC zeigt mir das "AD Replication Status Tool" an, dass es mit dem zweiten DC nicht mehr Replizieren kann (Error Code 8457, der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen) Die DCs laufen unter 2012, wobei die Domänenfunktionsebene auf Windows Server 2008 steht, da wir noch 2008 DCs haben. Gibt es einen Weg die Replikation wieder an laufen zu bringen, ohne den DC und die Dienste neu aufzusetzen? PS So habe ich mir den Anfang am ersten Arbeitstag nicht vorgestellt.

Ok, vielen Dank an alle. Ich werde noch mal darüber nachdenken. :confused:

@Dukel Den Ausdruck CA-Server habe ich von dir übernommen ;-) Wenn ich eine CA auf einem DC installiere, dann ist meistens mindesten noch ein DNS Dienst mit drauf und für ein "saubere" Trennung von Service und Server haben wir leider nicht genug Ressourcen (jeglicher Art). @testperson Danke für den Link. Da es dort um allgemeine Netzwerksicherheit geht passt er nicht so ganz in meine Ausgangssituation. Ich benötige die CA für den zukünftigen EXCH2013 und für interne Webservices. Ob ich z.B. einen Netzwerkrichtlinienserver mal betreiben werden kann ich noch nicht sagen, möchte es aber auch nicht ausschließen. So kann sich die Anforderung an eine CA doch sehr schnell ändern und dies muss doch auch möglich sein (das Anpassen der CA an geänderter Anforderungen).

@Dukel Sollte er CA Server auch nicht auf einen DC laufen? @Blub Vielen dank für den Link, werde ich mir ansehen. Grundsätzlich sollte man doch so etwas selber konfigurieren können, mit etwas Hilfe ;-)

Hallo, wir beabsichtigen eine Unternehmenszertifizierungsstelle in unserem AD zu installieren, da wir demnächst auf Exchange 2013 migrieren wollen und eigene Webserver (nur im internen Netz) mit SSL-Zertifikaten ausstatten wollen – so der Plan. Wir wollen die CA auf einen 2012R2 DC (Domänenfunktionsebene ist 2008) installieren, der noch andere Dienste wie DNS, DHCP, Netzwerkrichtlinienserver inne hat. Dazu habe ich einige Fragen: Welche Rollendienste werden meine Anforderungen (erstmal Exchange 2013 und interne Webdienste über ssl) benötigt? Bei der Installation kann man unter Sicherheit z.B. „Authentifizierung über Clientzertifikatzuordnung“, „Standardauthentifizierung“ oder „Unterstützung zentraler SSL-Zertifikate“ und noch einiges mehr anhaken. Bei der Option Kryptografieoption kann man unter zig Kryptografieanbieter auswählen. Sollte man hier den Defaultwert „ RSA#Microsoft Softwaer Key Storage Provider“ mit einen Keylänge von 2048 lassen? Sollte der Haken bei „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen“ wegelassen werden? Sollte der Servername in dem Allgemeinen Namen der CA stehen oder nimmt man lieber etwas Allgemeingültiges wie FIRMA-CA? Die Gültigkeitsdauer beträgt laut Default 5 Jahre. Spricht was dagegen diesen Wert auf z.B. 10 Jahre zu erhöhen?

Danke, ich werde es testen.

Ok, ok mein Fehler. Es fehlt natürlich noch die Information (in meine Kopf hatte ich sie), dass ich stündlich eine Batch innerhalb von den 10 Stunden ausführen will. Ohne diese Info wirkt es tatsächlich komisch :schreck:

Hallo, ich möchte eine Aufgabe planen (Server 2008 R2), die aber nur in den Zeit von 8:00 - 18:00 Uhr laufen soll. Ist so etwa möglich und wenn ja wie? MfG Peter

Danke an alle für die Hilfestellung. Mit "Get-Credentials" habe ich es so hinbekommen, wie ich es mir gewünscht habe. Gruß Peter

Es geht um Ausleih-Präsentationsnotebooks welche viel unterwegs sind. Diese benötigen normalerweise keinen Domänenlogin. Das wurde mal so festgelegt ;-)

Hallo, @testperson Aufnahme in die Domäne ist keine Lösung, das Skript hinter dem Link schaue ich mir an. @lefg Ginge auch, aber dieser Workaround ist nicht gewünscht. @zahni Ich werde Google mal damit bestücken.

Hallo, bei uns können sich Benutzer mit Windows 7 Notebooks, die nicht in der Domäne sind, über ein VBS-Script bestimmte Laufwerke mappen. Beim Starten des Scripts erscheinen zwei InputBoxen, welche für die Eingabe des Benutzernamens und des Passwortes verwendet werden. Leider habe ich es nicht hinbekommen, dass die Passworteingabe nicht in Klars***rift angezeigt wird. Aus Sicherheitsgründen hätte ich aber gerne, dass bei der Eingabe des Kennwortes "*" oder ähnliches anzeigt werden. Kann mir jemand bei der Lösung des Problems, gerne auch mit einem Powershell Script, helfen? Gruß Peter

Lass die unnötigen Leerzeichen weg, dann geht es. runas /user:Domänenname\Administrator "mmc %windir%\system32\dsa.msc" Wenn du das Passwort speichern willst, dann ergänze es mit "/savecred" runas /user:Domänenname\Administrator /savecred "mmc %windir%\system32\dsa.msc" Gruß Peter

@zahni Sprichst du immer für alle oder benutzt du den Pluralis Majestatis? @Testperson Quick and dirty: Wenn ein Unternehmen z.B. den privaten Gebrauch der Internetnutzung oder der privaten Nutzung der geschäftlichen E-Mailadresse verbietet, muss es diese Verbot auch auf Einhaltung kontrollieren. Wird dieses Verbot nicht kontrolliert und sogar bei Missachtung bestraft ist es nicht wirksam (Duldung/betriebliche Übung). Ich weiß, hierzu gibt es verschieden Auffassungen/Rechtsprechungnen, die ich hier nicht besprechen will. Wir gehen nun mal nach diesen Regeln vor. Und für diese Regeln habe ich um eine technische, vielleicht auch organisatorische Hilfestellung gebeten - mehr nicht. Und nein, ich arbeite nicht bei einem Schuh- und Modeversandhandel und es hat nichts mit Undercover Recherchen zu tun, du schaust die falschen Sendungen.

Ich möchte ja auch keine Rechtsberatung, ich möchte eine technische Hilfestellung. Das bei einem Verbot dieses auch kontrolliert werden muss steht außer Frage und dass so ein Verbot auch nur mit der Geschäftsführung und ganz vielen anderen Beteiligten (DSB, Betriebsrat, ...) ist auch klar. Darum geht es nicht! Vielleicht kennt jemand eine theoretische Möglichkeit, die praktisch umsetzbar ist oder vielleicht hat jemand sich mit der Umsetzung von solchen Fragestellungen schon hinter sich und kann praktische Tipps geben.

Hallo, ich habe folgendes Problem und hoffe ihr könnt mir helfen. Bei uns in der Firma soll ein Verbot der privaten E-Mailnutzung des geschäftlichen Account eingeführt werden, welches dann natürlich auch kontrolliert werden muss. Dazu habe ich ein paar Fragen. Laut Exchange-Verwaltung hat der Domänenadministrator hat auf jedem Postfach Vollzugriff, trotzdem kann er nicht auf jedes Postfach Zugreifen (z.B. über OWA oder beim Postfacheinbinden mit Outlook). Woran kann das liegen? Ich möchte mir nur den Empfänger und den Betreff von Person X im Zeitraum Y ansehen. Hat vielleicht jemand eine weitere Lösung, außer Messagetracking, um mir eine Liste der derb gewählten Eigenschaften Anzeigen zulassen? Vielleicht hat jemand eine andere Idee ein Verbot von privaten E-Mails zu kontrollieren, wobei ich eine nicht so strenge Linie vertreten möchte.

Immer diese einfachen Lösungen :D

Ich habe mir meine MMC neu zusammengestellt, war schneller als nach dem Fehler zu suchen. Bis sie in ca. 6 Monaten wieder nicht zu öffnen geht und ich wieder darüber ärgere, dass es 1. überhaupt passiert und 2. dass ich damals wieder nicht nach der Ursache recherchiert habe - aber so ist es nun mal :-)

Ein neues Benutzerprofil anlegen wäre noch mehr Arbeit als eine neue MMC erstellen. Im Eventlog gibt es nur eine Verweis auf das "Windows Error Reporting" und in der Report.wer Datei steht in meine Augen nicht drinnen, was mir weiterhilft. Was für eine Datei wird hier erzeugt?

Hallo, ich habe folgendes Problem mit der Microsoft Management Console. Ich habe eine Windows 7 Client (aktueller Patchstand), auf dem ich mir eine MMC mit mehreren Snap-Ins zusammengebaut habe. U.a. sind dort mehrere Eventlogs von unterschiedlichen Servern zusammengetragen. Nach einer gewissen Zeit passiert es aber immer, dass sich die MMC mit dem Fehler meldet: „Microsoft Management Console funktioniert nicht mehr“ und sich nicht mehr öffnen lässt. Eine neue MMC kann ich wieder erstellen, was aber bedeutet, dass ich z.B. wieder jedes Ereignisprotokoll von den Servern und noch weiter MMCs einbinden muss. Hat vielleicht jemand eine Ahnung woran das liegen könnte? Ich habe das Phänomen schon öfter gehabt (ca. alle 3 Monate) und an der MMC und deren Snap-Ins wurde nichts geändert.

Das mit der Batch ist eine gute Idee, wird mal wieder Zeit mit "if errorlevel" zu arbeiten ;-)

Group Policy Preferences ginge auch, dann habe ich aber keinen Status wer die Änderung schon hat und wer nicht. So was Visuelles finde ich manchmal ganz gut :schreck: An den Autor habe ich noch gar nicht gedacht.

Hallo, ich habe den WPP in der aktuellen Version am Laufen und möchte über ihn einen Wert in der Registry ändern. Ich habe über den Custom Update Creator die Funktion "Allow to Add, Delete, Modify or read registry value." einen neuen Auftrag erstellt. Der Auftrag wird ausgeführt nur das Ergebnis entspricht nicht dem, was ich gerne hätte :-( Es gibt nämlich keine Änderung des Reg Keys. Als erstes fällt mir auf, dass ich keinen "Value Typ" einstellen kann. Bei mir ist dieses Feld ausgegraut und es steht REG_SZ drin. Ich möchte aber ein REG_DWORD ändern. Als zweites kann ich nicht genau sagen, was in dem Feld "Value" und in dem Feld "New Data" eingetragen werden muss. Unter Value habe ich schon den alten Wert (bei mir 0) eingetragen und unter New Data eine 1. Ohne Erfolg. Dann habe ich unter Value den "Value Name" und unter New Data den neuen Wert (bei mir eine 1) eingetragen. Ohne Erfolg. Kann mir jemand weiterhelfen oder geht es gar nicht mit einem DWORD? Danke schon mal vorab ;-)

Wie macht ihr das mit Daten, die gelöscht werden müssen, wie z.B. Bewerberdaten oder allgemein mit personenbezogenen Daten?