nepomuk

die firewall-einstellung "datei- und drucker freigabe -->subnet" ist buggy.

umschalten auf manuell eingetragene ip-range oder (wer das will) "alle" bringt abhilfe.

keine regkeys, keine gpo von nöten.

Hello Board,

auch wenn das Thema schon so oft und unendlich breit im Internet behandelt wurde ...

Ich habe Probleme mit den administrativen Freigaben auf Windows XP.

 

\\hostname\admin$ ist erreichbar:

- immer am Rechner selbst,

- aus der Ferne, wenn die Firewall aus und wenn die Firewall inaktiv ist

 

Die Firewall ist eingestellt für ICMP-Echo-Ausnahme, für Datei- und Druckerfreigabe, für RDP, Windows-Remoteverwaltung und Netzwerkdiagnose.

In den Exploreroptionen ist die einfache Dateifreigabe nicht aktiv.

Der Rechner ist in einer Arbeitsgruppe, keine Domäne.

 

Nach meinem Verständnis sollte es also kein Problem geben?!

Was ist mit der Firewall verbunden, dass hier getriggert wird und die Zugriffe auf admin$ verweigert?

 

Danke für Eure Hilfe!

nepo

Da meine Tests an der Firewall scheitern (warum zum Geier will dieses Setup online gehen :( ) und bevor ich die Netzwerker um ein weiteres Loch bitte, hätte ich auch gern gewusst, ob wirklich ausschließlich Domänenrechner verwaltet werden können.

 

Zweite Frage zum Patchmanagement: kann ich anders als beim WSUS feingradig mit verschiedenen Teiladmins arbeiten?

 

Danke für Eure Informationen dazu!

nepomuk

so, der urlaub ist vorbei. :wink2:

danke für die antwort, sunny. ich hab's dann auch endlich verstanden gehabt. ;)

 

gruss, nepomuk

Wo ist jetzt dein Problem?

Vielleicht habe ich kein Problem mehr, wenn Du mir folgende Frage mit Ja beantworten kannst: Werden verbindungs-spezifischer Suffix und DNS-Serverliste über die Gruppenrichtlinie effektiv gesetzt, obwohl ich beides nicht am Client "sehe"?

Ich finde schon meine Skepsis berechtigt, da sich die ersichtlichen dialoge widersprechen.

 

edit: mittlerweile konnte ich mit die frage selbst beantworten. nslookup -->prüfen, gpupdate /force, erneutes nslookup -->neuer server als primary wird angezogen.

 

Kann ich etwas ähnliches auch für den Suffix durchführen?

 

Danke für Eure hilfe!

nepo

Danke Dir für die Antwort. Ich habe gerade gesehen, dass auf der Webseite auch zum verbindungsspezifischen DNS-Suffix (dies war mein eigentlicher Aufhänger und zuerst bemerkter "Fehler") ein Script existiert.

Vermutlich greift die GPO also auch hier nicht richtig? Oder greift sie doch? Während ich das schreibe, verwirre ich mich selbst?! ;)

 

Nochmal: wenn ich die Änderungen nicht sehen kann, dann sind sie auch nicht durchgeführt, oder?!? :eek:

 

rsop.msc ergibt im Übrigen schon die richtigen Werte, nur ... ich seh halt keine Änderung

 

gruss, nepo

ja, leider ist kein dhcp im unternehmen möglich. aber - ja, das wäre schön. ;)

Hello Sunny61,

ich sehe nicht, dass die Einstellung an der Netzwerkverbindung (ncpa.cpl) überschrieben wurde.

Ausserdem sollte ich die geänderten DNS-Server durchaus auch in der ausgabe von ipconfig /all sehen, oder?!

 

gruss, nepomuk

Hallo Board,

über Gruppenrichtlinie soll der DNs-client an XP-Maschinen (SP2 und SP3) konfiguriert werden. Die Such-suffixe werden auch übernommen, aber weder DNS-Server noch verbindungsspezifischer suffix werden geändert. Ich bin ratlos.

Anmerkung dazu: die Domäne war ursprünglich auf NT4, läuft mittlerweile aber nativ als 2003er AD, adprep ist ausgeführt.

 

Danke für Hilfestellung!

nepo

Hallo Board,

neue Woche, neues Glück ... nach Einstellungen in den Gruppenrichtlinien (Aktivierung von Firewallregeln eingehend - obwohl ich betonen möchte, dass die Firewall immer noch aus ist!) geht es für alle Domänenmitglieder bis auf einen einzigen - und an dem habe ich leider erst heute festgestellt, dass generell keine Freigaben funktionieren. Ich kann nicht mehr sagen, ob dem von Anfang an so war (also auch vor dem Domänenbeitritt). Frisch installierte Systeme erlauben Zugriff auf Freigaben (administrativ und mit benutzerauthentifiziertem Zugriff) - also kein generelles GPO-Problem im AD.

 

Auf diesem einen System ist auffällig, dass

• bei Ordnerfreigaben die Fehlermeldung 67 (Netzwerkname nicht gefunden) erscheint,
• während bei den administrativen Freigaben die Fehlermeldung 3743 (nicht für Remoteverwaltung konfiguriert) erscheint.

Der elementarste Unterschied, den ich zu den anderen Systemen sehe, besteht in folgendem:

• HP NIC-Teaming
• Installation über HP-CD wegen der enthaltenen Treiber

Das Teaming habe ich mittlerweile deaktiviert - keine Änderung ...

 

Vielen Dank weiterhin für Eure Vorschläge!

Gruß, nepomuk

Hhallo,

ja lokal auf die \\Freigabe zuzugreifen geht. Das wundert mich eben auch. Nur remote geht es nicht - ausser am DC, wie gesagt. ?!

 

(Nach dem reg key hab ich geschaut. Nochmal gelesen und drüber nachgedacht: das trifft imho nicht mein problem) vielen dank euch erstmal!

nepomuk

Hallo Board,

auf die Gefahr hin, dass das hier schon mehrfach behandelt wurde: ich hab's nicht gefunden und weiss nicht weiter.

Ich kann in einer Domäne auf \\dc\admin$ (oder andere $ shares) zugreifen, aber ich kann nicht auf admin shares der Domainenmitglieder (W2K8 R2 und W2K8 x86) zugreifen. Datei- und Druckerfreigabe sind aktiv, die Firewall ist aus, UAC ist per Default Domain Policy aus.

Was übersehe ich hier? Wo klemmt es denn da? :cry:

 

Vielen dank für Eure Hilfestellung!

nepomuk

mhhm ... ich mach mal den anfang. hostmonitor kann imho nicht alles, was du auf die liste gesetzt hast. besser sieht's da schon bei nagios oder der darauf basierenden lösung centreon aus. sehr viele module, nicht die leichteste konfiguration. beide linux.

 

gruss, nepo

ansonsten hilft auch sql reporting services, mit dem assistenten lassen sich aus der susdb aller wsusinstanzen die zeiten auch auslesen, dann reicht ein weblink auf den reportserver und du hast eine übersicht. mach so etwas ähnliches in der art:

SELECT e.FullDomainName as Computer, e.LastReportedStatusTime as "zuletzt gemeldet am", f.Failed as "Installation fehlgeschlagen", f.Unknown as "Status unbekannt"
FROM SUSDB.dbo.tbComputerTarget AS e CROSS JOIN
        SUSDB.dbo.tbComputerSummaryforMicrosoftUpdates AS f
WHERE (e.TargetID = f.TargetID) AND (f.Unknown <> 0 OR f.Failed <> 0) order by "Installation fehlgeschlagen" desc, "Status unbekannt" desc

statt der spalte LastReportedStatusTime musst du dir halt suchen, was du willst. hab die db nicht vor augen, sonst hätt ich nachgeschaut. ;)

 

gruss, nepo

da du die sitzung nur trennst, ist es nicht unbedingt normal, aber:

sicher, dass er bootet (eventvwr nach 600x-meldung durchsuchen)?

geprüft, dass getrennte sitzungen nicht per lokaler richtlinie (gpedit.msc) zurückgesetzt werden? das würde zum schliessen aller anwendungen führen.

 

gruss, nepo

da hier das wort domäne mehrfach auftaucht, tippe ich auf fehlende autorisierung in der default domain policy (gpmc.msc) dort in etwa unter windows\lokale richtlinien\benutzerrechte\anmelden an remotedesktopdiensten -->remotedesktopbenutzer-gruppe aufnehmen. das ganze im zweig computer.

 

gruss, nepomuk

warum nicht? Das ist die einzige Möglichkeit, die mir bekannt ist.

weil Du mir eine Antwort entlockst, die ich eigentlich nicht geben will ... :p

Im Ernst: die Baustellen, die sich hier angesammelt haben, sind immens und verteilen sich ohne Übertreibung auf die EDV von mindestens 40 Abteilungen, die eher im "kalten Krieg" als in Frieden leben. Der Fall wird mit hoher Wahrscheinlichkeit ein Präzedensfall werden. Ereignisse wie der NT-Domänenumzug und Kontenmigration von isolierten Abteilungsservern werden sicher wieder auftauchen und ich glaube, dass es nicht in allen Bereichen möglich sein wird, sich mit DCs zu helfen. Und sei es, dass es nur an Machtspielchen scheitert. Ich bin hier aber nicht der Manager und habe beim letzten Unternehmen genügend Windmühlen bekämpft, das werde ich nicht wiederholen. Ausserdem interessiert mich, ob es geht.

 

Deshalb bin ich an einer Lösung interessiert, die Konten direkt migrieren zu können.

 

Danke, nepomuk

Servus,

probiert hab ich jetzt einiges, aber ein Lösung noch nicht.

Fall also irgend jemand dieses Szenario bereits durchgespielt haben sollte -auch wenn die Lösung 7 Tage beansprucht, dann wäre ich wirklich dankbar, den Lösungsweg zu erfahren.

Die Benutzerkonten des alten Servers (2k8 32bit Standard) (Stand-alone) müssen immer noch:

1. entweder als lokale Konten auf den neuen Server (2k8 r2 enterprise)
2. oder auf einen neuen Domain Controller (2k8 r2 -->2k8 AD native ohne papierkorb ;) )

Vielen Dank!

nepomuk

 

PS: den alten Server einfach zum DC zu machen ist leider keine Option. ;)

Guten Abend,

die Lektüre zu WINS war höchst aufschlussreich! Kein Witz. Ich glaube, einige Baustellen aus unserem sehr stark segmentierten und heterogenen Netzwerk wieder erkannt zu haben, in dem trotz diverser ADs nur BIND wirklich regiert ...

Und als Hommage an den "Mario/Daniel-Diskurs" verabschiede ich mich mit

Jeder nur ein Kreuz

:p nepomuk

RAS Clients Receive 127.0.0.1 for DNS Server Address

aha, DAS ist ein begründeter ansatz. :wink2:

heisst aber für mich (lassen wir jetzt mal w2k aussen vor und reden nur von 2k3 und 2k8 sowie xp und w7), dass die lösung primärer dns = ein anderer dc secondary = loopback in ordnung wäre, oder?!

 

... ansonsten bin ich noch schwer am lesen der vielen infos von nils und norbert

hallo nils & natürlich auch alle anderen, :)

 

zum artikel (es war übrigens ein verwaltungskonflikt in der zonenkonfiguration) habe ich fragen.

1. warum immer noch wins? ich war bis eben fest überzeugt davon, dass aber auch gar keinen grund mehr für wins in einer ad-umgebung geben sollte?
2. der englische artikel sagt: 3.When referencing a DNS server on itself, a DNS client should always use a loopback address and not a real IP address. - in eurem eigenen artikel sagt ihr das gegenteil. ich persönlich bin der meinung, dass das irrelevant ist. aber ... wie begründet sich nun die präferenz von real ip oder loopback address???

danke für infos dazu & gruss

nepomuk

der alte rechner ist vsphere 4.0 server, aller vsphere-konten liegen auf der maschine.

es war natürlich eine "strategisch-politische entscheidung" kein ad zu verwenden ... kommentieren wir das nicht weiter. vsphere 4.0 liess sich nicht (in supporteter umgebung!) auf 64bit-System installieren.

nun ist aber vmware auch ne coole truppe: der aktuelle vsphere 4.1 server lässt sich nur noch auf 64bit installieren ... alles klar?! alter rechner kein upgrade möglich, da 32bit-Version; neuer rechner x64-Architektur und ich bekomm die user nicht migriert.

 

och mönno ... im moment macht's keinen spass.

gruss, nepo

hello board,

wahrscheinlich ist es so simpel wie luft holen, aber ich steh auf dem schlauch. ich muss - ohne verfügbare domäne! - benutzerkonten eines alten servers mit 2k8 32bit auf einen neuen server mit 2k8 r2 migrieren. dabei sind mir die profile egal, aber nicht die kennwörter.

 

usmt sagt mir, dass es nicht auf dem server mag, admt/pes schreit nach sql und domain controller ... winzero servermigrator zieht mir die konten um aber ohne kennwörter ... :cry:

das muss doch einfach gehen, ist doch sicher ein uralter hut, oder?! bin i oifach zu bleed dazu?

 

vielen dank!

nepomuk

hallo nils,

ja, eventid.net ist eigentlich immer meine erste anlaufstelle. die paar euro haben sich schon oft gelohnt. aber diesmal habe ich keine lösung gefunden. ich habe auch keine wirklich schlüssigen fehlermeldungen auf dem dc gefunden - ausser dass die synchronisation fehl schlug :wink2:

aber wenn eben kein fehler zu finden ist, muss man die dinge erneut von null angehen, die man geändert hat: habe den dns-server komplett neu aufgesetzt, habe den wins-server, neu konfiguriert (läuft ja nur wegen eventueller baustellen mit den nt4-servern). danach habe ich alle dcs neu gestartet. seither läuft es - schreibcache hatte ich noch entfernt ... aber der wird's wohl nicht gewesen sein?! scheinbar war der fehler ursächlich in der dns-konfiguratiion und/oder im immer noch angezogenen wins-dienst.

 

aber ehrlich - ich weiss es nicht, bin nur froh, dass es jetzt läuft!

 

gruss, nepo