Darksun777

Hi,

also es geht jetzt, das Problem war zweigeteilt:

- Der interne NTP-Server im LAN (irgendein alter Unix-Server) sendet ein mit Windows 2008 / Windows 7 inkompatibles Flag. Das war im Logfile ersichtlich, der Server & die Clients haben die Pakete immer gedropt.

Danach habe ich den Server auf eine externe NTP-Quelle (internet) konfiguriert, aber auch das ging nicht, weil -->

- Die Netzwerkjungs hatten in der Route von der Server-IP zum Internet kein Natting aktiviert, sodaß der Rückweg der NTP-Pakete versperrt war

--> Netzwerkjungs haben NAT für die Route aktiviert, DC2008 auf pool.ntp.org konfiguriert --> geht :)

Danke nochmal für eure Mithilfe.

Hab ich gemacht, leider immer noch keinen Erfolg...

EDIT: Hier mal das Logfile vom Client, folgender Fehler ist zu sehen:

149628 14:33:26.6875000s - Response received from domain controller xxxDC01.xxx.LOCAL authenticated successfully.

149628 14:33:26.6875000s - Packet test 7 failed (bad stratum: system - 0, sample - 15).

149628 14:33:26.6875000s - Ignoring packet that failed tests from xxxDC01.xxx.LOCAL (ntp.d|0.0.0.0:123->10.xxx.xx.xx:123).

149628 14:33:41.2031250s - W32TmServiceMain: timeout

149628 14:33:41.7500000s - Rejecting packet w/ bad mode

149628 14:33:41.7500000s - Ignoring garbage packet.

Kann jemand damit was anfangen?

EDIT2: Anscheinend habe ich die Ursache des Problems im Logfile gefunden:

Poll Interval: 6 - 64s; Precision: 0 - out of valid range

Hier gibt es einen Artikel von Microsoft, der bezieht sich allerdings auf Windows 2003: http://support.microsoft.com/kb/940742/en-us

Da steht drin, ein zulässiger Precision Wert ist von -30 bis -3

Ich hab noch keine Ahnung was das genau ist und warum der bei mir 0 ist, aber ich forsche da morgen mal weiter. Ich vermute den Zusammenhang mit der externen NTP Quelle.

Falls es jemanden intressiert poste ich dann hier die weiteren Ergebnisse.

Ich hab jetzt alles rückgängig gemacht, aber immer noch dasselbe Problem.

Folgende Config ist jetzt aktiv:

DC1 (PDC): Synct mit externer NTP-Quelle, das funktioniert (w32tm /resync).

AnnounceFlag ist auf 5

Client (Win7): Alles zurück auf Standard gestellt (GPO weg, w32tm /unregister + /register, Typ = NT5DS)

Ein w32tm /resync auf dem Client bringt aber immer noch den Fehler, dass keine Zeitdaten verfügbar sind.

Firewall ist überall aus.

EDIT: Der DC scheint aber ok zu sein. Hier mal die Meldungen vom Eventlog nach dem starten und stoppen des Zeitdienstes:

- The Windows Time service entered the stopped state.

- The time service has started advertising as a time source.

- The time service has started advertising as a good time source.

- The Windows Time service entered the running state.

- The time provider NtpClient is currently receiving valid time data from 10.xxx.xx.xxx (ntp.m|0x0|0.0.0.0:123->10.xxx.xx.xxx:123).

Habt ihr noch Ideen?

Wenn Du einen bestimmten Server zum Zeitabgleich via NTP benutzen möchtest, dann benutze NTP. Wenn Du die Domänenhierarchie benutzen möchtest, dann trage NT5DS ein und keinen speziellen Server (da dieser Eintrag sowieso für die Katze ist).

Du solltest Deinen Forest-Root-DC zum Synchronisieren der Zeit mit einer externen Quelle konfigurieren und Deine Clients auf NT5DS einstellen ...

How to configure an authoritative time server in Windows Server

Ok danke, mir war nicht bewusst das der Servereintrag bei NT5DS obsolet ist.

Aber ein w32tm /resync sollte dann doch trotzdem zu einem positiven Ergebnis führen, oder nicht?

Warum willst du das tun?

 

 

 

Machs wieder rückgängig.

 

 

 

Na und? Die werden ignoriert, weil die Einstellungen unter \Policies Vorrang haben.

 

 

 

 

Erklär doch mal, warum du die Client anfäßt, die per Default die Zeit vom DC erhalten. Das was du jetzt tust, führt üblicherweise genau dazu, dass nichts mehr sinnvoll funktioniert.

Wenn du schon was konfigurieren willst, dann machs richtig.

 

Bye

Norbert

Die Einstellungen unter HKLM\System\CurrentControLSet\..... werden anscheinend nicht ignoriert, sonst würde es ja funktionieren.

Wenn ich unter diesem Registry-Key den 1. DC manuell eintrage, funktioniert es problemlos.

Der Windows Zeitdienst scheint die Einstellungen der GPO nicht anzuwenden, ich wollte nur wissen, warum nicht.

In deinem Artikel beschreibst Du, die Clients auf "time.windows.com" zu konfigurieren - genau das will ich nicht..

Ich habe es übrigens genau so wie in deinem Artikel gemacht, nur eben als zeitserver mit meinem 1.DC

Aber wie gesagt, die Einstellungen ziehen nicht..

Hallo zusammen,

ich möchte unsere Windows Clients per Gruppenrichtlinie auf einen bestimmten Zeitserver festlegen.

Dazu habe ich alle Einstellungen hier gemacht:

Computer Configuration -> Administrative Templates -> System -> Windows Time Service

Als Zeitserver wurde der 1.DC eingetragen, Typ NTD5.

Jedoch ist es nicht möglich einen Client per "w32tm /resync" zu synchronisieren, es kommt der Fehler das keine Zeitdaten verfügbar waren.

Schaue ich in der Registry nach, finde ich folgendes vor:

HKLM\Software\policies\microsoft\Windows\W32Time

^^^Hier finde ich alle per GPO gesetzten Einstellungen

HKLM\SYSTEM\CurrentControLSet\Services\W32Time

^^^hier sind immer noch die Windows Standardeinstellungen (time.windows.com) --> dieser Server kann nicht erreicht werden, da der Client keinen Zugriff aufs Internet hat

Die Gruppenrichtlinie wird korrekt gezogen und angwendet (Gpresult ist ok und man sieht es ja daran, dass die Settings in der Registry landen unter HKLM\Software\Policies)

Jedoch sieht es wohl so aus, dass der Windows-Zeit-Dienst die Einstellungen von der anderen Stelle in der Registry verwendet?!

Warum das? Müsste nicht die Einstellung der GPo gelten?

Würde mich über Tips freuen, stehe da grade echt auf dem Schlauch ..

Danke!

Hallo zusammen,

hat jemand Erfahrungen mit SCCM + SCUP?

Mich würde intressieren wie aufwändig es tatsächlich ist, verschiedene Dritthersteller Produkte (Adobe Flash, Java, Shockwave etc. etc.) zum Patchen einzubinden.

Danke & Grüße

Hallo,

"encodete" VBS-Scripte sind genauso sicher wie ein Fahrradschloss für 3 Euro :D .. der Decoder dafür ist ja öffentlich verfügbar.

Vielen Dank für die Hilfe! Jetzt ist Licht am Ende des Tunnels zu sehen :)

Moin,

die telefonisch Aussage ist okay, deine (vermutliche) Schlussfolgerung daraus nicht. Dass du die VMs auf einer anderen Plattform laufen lassen kannst, meint nicht, dass sie auf separater Hardware laufen dürfen. Und so passt es dann.

Gruß, Nils

Erstmal vielen Dank an alle für eure Antworten.

Diese Aussage verstehe ich allerdings noch nicht ganz - wie soll ich denn dann die VMs auf einer anderen Plattform laufen lassen? Eine andere Plattform (z.B. ESX) setzt ja voraus, dass ESX auch als Host-System installiert ist. Somit würde auf dem "Blech" ja auch keine "physikalische" Windows-Lizenz laufen und ich dürfte die VMs darauf nicht laufen lassen?

Oder würde das bedeuten, ich muss eine Lizenz kaufen, diese dem "Blech" zuordnen - ob ich das OS dann installiere oder nicht bleibt mir überlassen, aber die VMs darf ich dann auf diesem "Blech" betreiben (mit welchem Host-OS auch immer) ?

Ein kurzes Beispiel:

Ich kaufe eine Windows 2008 Enterprise Lizenz und ordne diese einem "Blech" zu.

Auf diesem Blech installiere ich allerdings ESXi und kann darauf nun 4 virtuelle Windows 2008 Instanzen laufen lassen.

Korrekt?

Danke und Grüße

Hm das verwundert mich jetzt. Ich hatte zwischenzeitlich noch bei Microsoft Deutschland angerufen und dort hat man mir folgendes gesagt:

- Ich kann die Win 2008 Enterprise Lizenz auf einen physikalischen Sever installieren (logisch)

- Auf diesem Server kann ich dann mit Hyper-V bis zu 4 virtuelle Instanzen mit Win2008 ausführen, solange der physikalische Server nur die Hyper-V Rolle hat

- Ich kann stattdessen aber auch die physiaklische Installation mit zusätzlichen Diensten versehen (Fileserver etc.) und dann nur 3 virtuelle Instanzen in Hyper-V laufen lassen

- Ich kann die 3 virtuellen Instanzen auch auf einer anderen Virtualisierungsplattform laufen lassen (ESX, Xen, whatever...)

So die (telefonische) Aussage von Microsoft... was stimmt nun :confused:

Hi,

also pauschal ist das natürlich sehr schwierig zu beantworten, aber das Phänomen an sich kenne ich auch.

Bei uns war es Storage bedingt - beim Failover hatte das SAN kurzzeitig die Verbindung zu beiden Nodes verloren und das Quorum war im Eimer ..

Das Quorum an sich ist meiner Meinung nach sowieso ziemlich empfindlich und kann immer wieder mal crashen .. da freut man sich doch über die Möglichkeit des File-Share-Witness ;)

Hi!

Schwer zu sagen wenn man nicht davor sitzt ;)

- Ist die Kiste für DHCP konfiguriert? Eher nicht oder?

- Lösche das Suffix mal manuell aus der Registry (einfach danach suchen) - wenn es nicht wieder kommt wurde wohl mal manuell konfiguriert.. evt. durch ein Logonscript oder ähnliches?

Super, dankeschön!

Ich habe bei Microsoft noch diesen Passus gefunden:

Die Lizenzbestimmungen für die unterschiedlichen Editionen von Windows Server 2008 R2 gelten für jede Art der Virtualisierung, egal ob Microsoft Windows Hyper-V Server oder eine andere Technologie eingesetzt wird.

Ich würde das so deuten, dass ich die gekaufte Enterprise-Lizenz auf einem physikalischen Server installieren muss und die virtuellen Instanzen entweder auf diesem oder auch auf jedem anderen Server (auch ESX) nutzen darf.

Kann jemand eine definitive Aussage dazu treffen?

Hallo zusammen,

wenn ich richtig informiert bin kann ich doch mit einer Windows 2008 Enterprise Lizenz zusätzlich vier virtuelle Instanzen auf dem gleichen Server betreiben.

Ist es auch möglich diese vier virtuellen Instanzen auf einem anderen Server (z.B. ESX) zu betreiben? Oder müssen diese zwingend auf dem gleichen Server laufen der die "physikalische" Lizenz hält?

Danke!

Ja, die Idee die reinen Daten per DFS-R zu replizieren kam auch schon auf.

Leider bleibt noch das Problem die vmdk-Dateien der virtuellen Maschinen in die Hauptstelle zu bringen.

Es sollen zumindest die OS-Partitionen 1x wöchentlich gesichert werden, je nach Server sind das pro vmdk ca. 10-20GB ... über 4Mbit nicht wirklich prickelnd ;)

Falls jemand ne tolle Idee hat... immer her damit ;) ..Danke euch!

Hallo zusammen,

hat hier jemand Erfahrung mit folgender Situation:

Ein ESX-Server (ESXi 4 oder ESX 4) in einer Aussenstelle, verbunden über eine 4Mbit WAN-Leitung.

Ausser dem ESX-Server steht dort nichts.

In der Hauptstelle läuft Infrastructure 3 (ESX 3.5 / vCenter)

Wie kann man von dem Aussenstellen-ESX die darauf befindlichen VMDK's der virtuellen Maschinen am sinnvollsten über's WAN in die Hauptstelle sichern?

Die einzig halbwegs sinnvolle Lösung die ich bisher gefunden habe wäre ein Backuptool á lá Veeam Backup & Replication in Verbindung mit einem WAN-Scaler.

Hat jemand weitere Ideen ?

Ja, poste doch mal einen aussagekräftigen Screenshot von deinem AD.

Auf diesem sollte man sehen WO sich WAS befindet und Du solltest evt. darin markieren, wo GPOs mit Loopback wirken etc.

Grundsätzlich würde ich bei deiner Aufgabenstellung mit Security Filtering auf GPO-Ebene arbeiten.

Ok, dann versuche mal mit dem Group Policy Result Wizard (in der GPMC)

Dort bekommst Du eine grafische Auflistung alleer angewendeten GPOs inklusive aller aktiven Settings- dort kannst Du auch sehen welches Setting durch welche GPO effektiv wurde.

Hi,

mach doch mal ein gpresult und schau, ob die GPO auch wirklich wirkt oder eben nicht. Da kannst Du dann evt. auch sehen warum sie nicht wirkt (Access denied oder sonstiges)

Solange der Server nur Memberserver sein soll hast Du ausser bei den Gruppenrichtlinien keine Einschränkungen.

Du kannst halt für den Server ohne weiteres zutun keine Windows 2008 GPO-Features nutzen.

Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit?

 

Bye

Norbert

Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.

Das ist doch imho der einfachste und übersichtlichste Weg.

Deine Frage nach Poledit ignoriere ich mal :rolleyes:

Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen.

Die Standard-Gruppen drinzulassen ist einfach grausam ;)

und Deny's sind mindestens genauso furchtbar!

Stichwort: nonpaged Pool

32bit OS? Monitore mal den nonpaged pool mit poolmon.exe

Es gibt auch nen KB-Artikel zu dem Problem, finde ich jetzt leider grade nicht. Aber einem gewissen Wert hört der IIS auf zu arbeiten, das hatten wir auch ..