daabm

Olaf, meine ISE hat gezickt - da tauchte Raw bei Get-Content nicht auf, dann kommt ASCII und es gibt ein String-Array Naja, ich werd halt alt...

Hallo Verena. 1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen. 2. Subdomains hat Zahni schon erwähnt. Ich formulier's mal drastischer: Die Firma, die das Design entwickelt hat, sollte sich umorientieren. Gebäudereinigung oder so wäre angebracht. Korrekt wäre ein Forest mit EINER Domain und geeignete OU-Strukturen. Wenn es irgend geht, versuch dieses Child Domain Chaos zu stoppen und alles in einer Domäne abzubilden. Single Domain, Single Forest - das ist das einzige mir bekannte Design, das dauerhaft tragfähig ist. Den Rest erledigt man ggf. mit Trusts. Ich weiß, daß Punkt 2 hart und sehr selbstbewußt klingt, aber ich hab schon viele AD-Umgebungen gesehen Und bei einigen wäre ich froh, sie nie gesehen zu haben

Andere Frage: Auf welchem Domain Level läuft das ganze? Wenn noch 2000, dann befolge den Tipp oben im Eventtext und geh auf das maximal mögliche. Ab 2003 gab es Attributreplikation, davor nur komplette Objekte... Das führt dann gern zu dem von Dir beschriebenen Replikationsproblem. Oder hast Du noch Domain Controller mit OS-Versionen vor 2008R2 am Laufen???

Der eigentliche Fehler muß weiter vorne stehen, das hier ist nur das Resultat... # for hex 0xc0000234 / decimal -1073741260 : STATUS_ACCOUNT_LOCKED_OUT ntstatus.h # The user account has been automatically locked because too # many invalid logon attempts or password change attempts # have been requested. # 1 matches found for "0xC0000234"

Ach die Rechner sind nicht Mitglied einer Domäne? Dann klappt das alles natürlich nicht - wie tesso sagt, wie sollen die Rechner denn an die Gruppe rankommen?

Naja, wir wissen halt zu wenig. Und der TO leider auch. So finden wir keine Lösung

Bin auch erst reingefallen - Get-Content macht ASCII und wirft Zeilenumbrüche rein. Der Trick ist, das File tatsächlich als Bytestream zu lesen... Noch ein Edit: Bei get-content müßte man dann halt mit foreach durch alle "Zeilen" durchrennen.

Wenn ich das richtig sehe, sind davor und danach Leerzeichen? Dann wäre das doch per regex einfach zu lösen... Edit: Nachdem Du den regex schon zusammegebaut hast, vergiß einfach findstr und mach das in Powershell... $bytes = [System.IO.File]::ReadAllBytes("C:\Users\martin\Downloads\hap_mobil.txt") $text = [System.Text.Encoding]::ASCII.GetString($bytes, 0, $bytes.Count) $text -match ".*(V[0-9]\.[0-9]\.[0-9]\.[0-9]).*" $matches.Count $matches[1] Credits: https://stackoverflow.com/questions/10672092/read-parse-binary-files-with-powershell

Macht dieses "Gateway"auch irgendeine Authentifizierung von mobilen Devices gegen das AD? Oder gibt es eine externe Webseite mit Anmeldung?

Ich hab oben was von Videos gelesen. Damit ist jede Art von Remote-Session raus, das geht nicht.

Warum sollte das nicht gehen? Das geht sogar prima... https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Notfalls kann man sogar mit seDenyInteractiveLogon arbeiten, dürfte aber seltenst erforderlich sein.

Wenn es sich um ein proprietäres Format handelt, wäre evtl. ein Anchor hilfreich - also das, was vor und hinter dem Versionsstring steht. Ansonsten wird es echt düster...

Ja, diese GPOs sind echt der Wahnsinn :-)) http://evilgpo.blogspot.com/2012/02/loopback-demystified.html http://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

"Im Nachhinein" heißt leider zu oft "muß der Nachfolger damit klarkommen"... Überleg Dir das noch mal, mach es lieber von Anfang an richtig.

Ist doch ganz einfach. Wenn dieses unbekannte Gateway, das unbekannte Aufgaben hat, den Lockout verursacht, dann meldet sich da ein User mit einem falschen Kennwort an. Warum, das kann nur auf diesem Gateway untersucht werden... (Das ist das, was Norbert und Squire mit anderen Worten auch schon sagen.)

Was ist genau die Frage? Die Probleme kennst Du ja offensichtlich schon

Sei froh, daß sie nicht gefunden wird - da hat wohl die Schlangenölsoftware ausnahmsweise mal was genutz

Für mehr Verständis - soweit ich das kapiere: Du hast einen Server, auf dem VMs laufen. Auf diesen VMs läuft ein Gameserver. Richtig? Und der Hostserver macht auch noch AD, DNS, DHCP und Certificate Services? (Die hätte ich dann jedenfalls auch in VMs gepackt und dem Server dafür etwas mehr RAM gegönnt, wäre langfristig besser.) Dann bräuchte es jetzt viel ipconfig und "netsh trace"... Aber das ganze Konzept ist IMHO - sorry - in der Form völlig unbrauchbar.

Saublöde Frage vielleicht, aber was spricht gegen csvde? Exportieren, modifizieren, importieren, fertig.

Shell Folders und die unsäglichen User Shell Folders Process Monitor mit Boot Logging mitlaufen lassen, Pfad auf lokal reinschreiben, Reboot und schauen, welcher Prozess da wieder den UNC-Pfad reinschreibt. Deine Infos sind halt etwas spärlich, da ist Forensupport immer schwierig.

Och, mit /mov löscht Robocopy auch an der Quelle Und ohne /xj rennt es allen Symlinks gnadenlos hinterher, das ist vor allem bei ProgramData interessant...

Obacht. Sicherheitseinstellungen sind rein lokal kein Teil von GPEdit, genauso wenig wie die Advanced Firewall - beides (und noch mehr) gibts nur in Domänen-Policies. secpol.msc ist das richtige Werkzeug. Ggf. kannst mit secedit /analyze oder secedit /configure noch was rausholen, aber die Frage wäre dann: Was ist eigentlich das Ziel?

Auf jeden Fall die erste. Die zweite hat viele viele Nachteile... - braucht NTLM/NetBios - ist auf 20 Rechner beschränkt - kennt keine Gruppen - Funktioniert "unerwartet" mit NLA und RDS/Citrix - ...

Ich hab so das Gefühl, daß der TO noch nicht den Unterschied kennt zwischen "Zugriffsweg" und "Anbindung". Zugriff macht man per Share. Anbindung per iSCSI oder sonstwas. iSCSI ist ein Netzwerk-Ersatz für SCSI oder (S)ATA, und genau wie das ist es originär dafür gemacht, mit genau EINEM Rechner verbunden zu werden. Shared Anbindungen gehen per Default nur bei einem Cluster, aber auch da hast dann nur die Anbindung an den Cluster, aber noch keinen Zugriffsweg.

Andere Idee... DFS einrichten, eine Seite aktiv, die andere passiv. Dann Replikation abwarten und umschalten. DFS ist eh besser für Fileservices, weil die Servernamen aus den UNC-Pfaden verschwinden. Ansonsten sollte das so passen. Kannst ja einen DataFolder.Test anlegen zum Ausprobieren, empfiehlt sich immer. Wenn Du ein Log schreibst, empfehle ich noch "/np /tee". Ohne /np sieht das Log ziemlich albern aus, und ohne /tee siehst Du nix, wenn Du gespannt zuschaust. Wegen der Parameter kannst auch mal nach "DFSR preseeding" suchen, die Jungs von MS machen das auch per robocopy.