Karli1969

Hallo zusammen, man kann bekanntlich relativ einfach den Datenverkehr in einem Netzwerk mithören. Im Datenstrom müssten sich auch Kerberos-Tickets erkennen lassen. Was hindert böse Buben daran, diese mitgehörten Tickets für eigene Zwecke zu missbrauchen? vlG Karli

Genau so ist es Olc. Der HDGuard setzt die Clients komplett zurueck bei jedem Neustart. Das mit dem Kennwortwechsel klingt interessant. Werde der Sache weiter nachgehen. Danke!

Innerhalb des Raumes, um den es geht, ist alles Windows 7-64 Pro. Es gibt in den Klassen noch einzelne Windows2000 Rechner, aber die sind nicht in der Domäne, sondern sollen einfach nur den Internetanschluss mitnutzen. Da der Server DHCP ist, nutzen die W2000-Maschinen auch diesen als DHCP-Server, aber abgesehen davon könnten sie darauf verzichten. Ich fürchte, jetzt stehe ich wieder auf dem Schlauch. So ein Profil enthält doch wesentlich mehr Informationen als nur die Ordner der eigenen Dateien. Am liebsten wäre es mir, wenn die Profile zentral gespeichert werden, die Ordner auf die Eigenen Dateien aber trotzdem umgeleitet werden, damit die beim An und Abmelden nicht immer hin- und hergeschoben bzw synchronisiert werden müssen. Aber darauf würden wir verzichten, wenn wieder Gefahr bestehen würde, dass es nicht stabil läuft. Die Lehrer, die dann im Computerraum stehen sind damit hoffnungslos überfordert, was die Autorität bei den Schülern untergräbt. Habe eben gerade was zu Hive clean up gelesen. Das wäre vielleicht genau das was wir brauchen. Liegt das Windows 7 nur bei (muss also manuell installiert oder aktiviert werden) oder wird das auch automatisch mitinstalliert? Muss aber gehen, weil die Schulen ein zu knappes Budget haben, dafür gibt es aber genügend viele und lange Phasen, in denen man das ganze System auch mal für sich alleine hat, sprich notfalls alles auf den Kopf stellen kann. Ich denke mir das so: Wenn es Probleme gibt, dann liegt es entweder am Server oder an den Clients. Wenn es am Server liegt, und man ein komplettes Image der Systemplatte hat, das man notfalls zurückspielen kann, dann wäre das Problem behoben In der Hoffnung, dass es kein Problem damit gibt, dass der Updatestatus des Servers älter ist, als der der Clients. Die Daten liegen auf einer separaten Partition und sind von der Rückspielung des Images nicht betroffen. Die clients sollten eigentlich keine Probleme machen können, denn die sind ja gegen Änderungen durch den HDGuard geschützt. Wenn dann kann es höchstens an den Profilen liegen, wobei: Wenn die Mandantory sind, können die sich ja eigentlich auch nicht ändern. Das ist zwar eine primitive Strategie, aber müsste eigentlich funktionieren.

Erst mal Danke für Eure Antworten! :) Sagen wir mal, ich bin besserer Laie. Was Server betrifft, weiß ich theoretisch, welche Rollen für was gut sind, aber wenn Fehler auftreten stehe ich oft auf dem Schlauch. Ja gut, aber nehmen wir an, die User können sich an unterschiedlichen Rechnern anmelden und wollen dann trotzdem immer ihr eigenes Profil haben, dann muss man doch zentral, also am besten auf einem Server gespeichert werden oder? Lefg hat meinen anderen Thread hier http://www.mcseboard.de/topic/193352-timing-beim-einloggen-w7-client-in-w2k8-dom%C3%A4ne/ anscheinend gelesen und hat Lunte gerochen. Damit ihr nicht dort nachlesen müsst zitiere ich mich kurz selbst: Hm. Von Hive Clean Up habe ich noch nichts gehört. Muss ich gleich mal nach googlen. Wir hatten in dem System ganz am Anfang schon mal das Problem, dass ein Profil defekt war. Ein Anruf bei der Hotline der Firma, die das Netz aufgebaut haben, hat das Problem gelöst. Weil es ziemlich am Anfang war, weiß ich die Details nicht mehr, aber soweit ich weiß, habe ich nur das Lokale Profil an dem Rechner mit dem Problem gelöscht.

Hallo zusammen, ich wollte mal kurz fragen, wie stabil Windows 2008 R2 Domänen im Allgemeinen so laufen. Sprich: Wie oft spinnen die Dienste und Rollen so rum, dass man den Server neustarten oder sogar auf einen älteren stabilen Status zurücksetzen muss? Solange sich am System nichts ändert. dürfte Stabilität ja kein großes Problem sein, aber es kommen ja immer mal wieder Updates sowohl für den Server, als auch für die Clients, wobei manche Clients auch unterschiedliche Update-Statusse (oder wie man das nennt) haben können, denn nicht jeder Rechner ist jeden Tag eingeschaltet, so dass es theoretisch zu Inkompatibilitäten kommen kann. Wie sieht es mit beschädigten (servergespeicherten) Benutzerprofilen in der Praxis aus? Man kann mit dem eingebauten Backup-Programm ja eine Art Systemabbild vom Server auf ein NAS speichern. Wie sicher klappt das mit dem Wiederherstellen? Kann es dann nicht zu Problemen kommen, weil nach der Wiederherstellung eines alten Systemabbildes der Server-Update-Status vielleicht ein halbes Jahr hintern dem Update-Status der Clients hinterher hinkt? Danke und viel Grüße Karl

Danke für Eure Antworten. Was sind das für Mechanismen? Vielleicht Synchronisation der Uhren? Hintergrund meiner Frage ist folgender: In einem PC-Raum in einer Schule, wo ich bisschen nach den Rechten schaue, gibt es 22 Schüler- und ein Lehrerrechner mit Win7 Pro64 und einen Server 2008R2 als Domänenserver, DNS und DHCP. Zur Verwaltung der Schüler gab es ein System namens INIS (siehe www.trinet.de, falls es jemand genauer interessiert) Damit die Schüler keine Dummheiten anstellen können, ist jeder Rechner mit einem sogenannten HD-Guard geschützt. Obwohl das ganze System eigentlich so ausgelegt ist, dass jeder User seinen eigenen Account hat, wurde anfangs nur ein Schülerkonto und ein Lehrerkonto angelegt, d.h. alle Schüler loggten sich unter dem gleichen Account ein. Anfangs funktionierte alles so weit ganz brauchbar. Im Laufe der Zeit konnten immer mehr Schüler-PC von INIS nicht mehr richtig verwaltet werden. Sprich, Drucken auf den Netzwerkdrucker ging mal hier und mal dort nicht, Internet ließ sich nicht mehr freischalten. Allerdings ohne Fehlermeldungen. Zum Schluss war es soweit, dass man sich an einigen Rechnern nicht mehr anmelden konnte. Angeblich Konto gesperrt oder Anmeldeinformationen falsch. Dafür konnte man sich plötzlich mit einem alten Passwort anmelden. Witzigerweise war das nicht immer bei den gleichen Rechnern, sondern das war mal dieser und mal jener. Nach einigen Telefonaten mit Trinet, die das Problem leider auch nicht wirklich eingrenzen konnten, haben wir die Rechner einfach platt gemacht und auf den Domänenlogon und INIS verzichtet. Dadurch verzichten wir zwar auf einige Komfortfunktionen, aber dafür läuft das 'System' wieder 100% stabil. Also Druckernutzung, gemeinsame Share auf einem NAS (das eigentlich nur als Backup dienen sollte), Internet für alle PCs... klappt, nur muss man Änderungen am Profil halt auf jedem Rechner einzeln durchführen. (was aber bei einem einzigen Profil nicht wirklich ein Problem ist) Beim Plattmachen ist mir aufgefallen, dass einige Rechner vollkommen unterschiedliche Uhrzeiten (teilweise noch Winterzeit) haben. Dabei hatte ich doch im Hinterkopf, dass Kerberostickets doch Zeitstempel haben und habe vermutet, dass die Logon-Probleme damit zu tun gehabt haben könnten. Aber wenn Windows ja Mechanismen hat, die das Problem lösen, so kann das ja leider auch nicht die Ursache sein. Danke nochmals für Eure Hilfe. und viele Grüße Karl

Hallo zusammen, ich habe gelesen, dass die Kennwortauswertung in W2K8 Domänen mit Kerberos funktioniert. Kerbereos-Tickets würden Timestamps enthalten. Was passiert, wenn auf einem W7-Client eine andere Systemzeit eingestellt ist, als auf dem Server? Sind die nagelneuen Tickets wegen nach gehender Uhr im Client dann vielleicht schon sofort abgelaufen ? Danke und viele Grüße Karl

Ich glaube, so langsam rutscht der Groschen. Muss mir das noch paar mal durchlesen und in Zusammenhang mit dem anderen gelesenen bringen. Danke auf jeden Fall für eure klasse Antworten! :jau:

Oh, das ging aber schnell. :) Danke ! Aber die GPOs werden doch mit OUs verknüpt, Und gerade die GPOs enthalten doch auch Berechtigungsinformationen. Oder sind mit den Berechtigungsvergaben die NTFS-Berechtigungen gemeint? Macht es Sinn, generell für jede OU auch eine Gruppe anzulegen?

Hallo zusammen, ich habe immer noch nicht so richtig verstanden, warum man OUs und Gruppen genau braucht, bzw wo der genaue Unterschied ist. Wie würde man das denn z.B. an einer Schule am besten machen? Sagen wir man nehme als Domainname schule.local . Innerhalb dieser Domäne legt man OUs an wie z.B. Lehrer, Schüler, Administratoren. Bei den Schülern könnte man Klassen und Kurse als Unter-OUs anlegen. Müsste man dann auch die gleichen Gruppen anlegen? Die entsprechenden Ordner werden dann vermutlich automatisch angelegt, wenn man für die Nutzer 'irgendwie' die Ordnerumleitung oder Servergespeicherte Profile anlegt. Oder müsste man noch manuell Ordner anlegen? Ich habe schon danach gegoogelt und auch einige Gute Treffer gefunden, aber so richtig ist der Groschen noch nicht gefallen. Wenn mir das jemand auseinanderklamüsern könnte, wäre ich heftig froh. Danke schon mal im Voraus und viele Grüße Karl

Danke für die Info, ich hatte mal spaßeshalber eine Nummer mit FD vorne eingestellt und die Meldung war zunächst mal weg. Blöderweise kamen dafür am nächsten Tag massenweise DNS-Fehler, die ich auch durch Löschen der Adresse nicht mehr weg bekam. Habe dann wieder ein Vollbackup, dass ich kurz vor dem IPv6-Experiment eingespielt und lebe jetzt erst mal mit dieser Fehlermeldung.

Hallo zusammen, in meinem Test- und Experimentiernetz bekomme ich beim DHCP-Serverdienst immer die Fehlermeldunge 10020, also dass mindestens eine Netzschnittstelle eine dynamische IPv6-Adresse hat. Ich würde ja gerne eine statische Adresse eingeben, aber ich kann ja nicht gut irgendeine eingeben, nicht dass ich dann zufällig eine bereits vergebene Adresse benutze. Gibt es bei IPv6 auch solche privaten Adressbereiche wie bei IPv4 (z. B. der 192er oder 10er Bereich)? viele Grüße Karl