Kossner

Hast du schonmal die DB mit dbbak.exe gesichert und einen Restore durchgeführt?

Hab jetzt nach der Neuinstallation ein Backup der DB gemacht, die auch ordnungsgemäß erstellt worden ist. Der Restore funktioniert aber auch mit dieser Sicherung nicht.

Also der erste Eindruck vom McAfee-Service ist schonmal mangelhaft. Der Case ist dort immer noch offen und anscheinend will sich auch kein Techniker mehr melden. :suspect: Dann eben halt über Remotedesktop..... :p Allerdings sind mir ein paar Sachen negativ aufgefallen: 1. Eine Änderung des Hostnamens verkraftet der EPO nicht (von McAfee bestätigt), d.h. wenn wir die Domäne einführen und sich der FQDN ändert, muß das Teil neu aufgesetzt werden 2. Eine Änderung des Passwortes vom lokalen Administrator verkraftet das Teil auch nicht (oder die MSDE-DB?) 3. Die Sicherungsfunktion (dbbak.exe) zur Sicherung der EPO-DB funktioniert hier auch nicht. Ein Restore ist nicht möglich, der EPO Server Dienst wurde wie lt. der Doku angehalten. 4. Nach einer Neuinstallation des EPO wird die Seite in der MMC nicht mehr angezeigt, da die verstärkte Sicherheitskonfiguration vom IE dies verhindert. Die Frage ist sowieso, ob diese verstärkte Sicherheitskonfiguration sinnvoll ist, da man von einem Server aus sowieso nicht surft. 5. Die einzige Möglichkeit besteht also, das ich die bestehenden Richtlinien exportiere und das ganze Teil nochmal neukonfigurieren muss, da die DB-Sicherung überhaupt nicht funktioniert? :mad: Also eigentlich sind wir von Symantec weggegangen, weil wir viel positives von McAfee gehört haben. Aber bisher können wir das nicht bestätigen....

Siehe hier.....! :D Der Port 81 kann gar nicht von einem anderen Dienst belegt sein, weil ich ansonsten mich auch lokal nicht am EPO anmelden könnte!

Per default ist der Port 8081 der Port für die Agenten-Reaktivierung. Der Port 81 der Konsole-zu-Server-Port!

Ja, die Firewall am Server 2003 ist nicht aktiviert, ein TCP/IP-Filter ist auch nicht eingerichtet und mit netstat steht der Port 81 auf ABHÖREN.

Ich kann mich mit der Remote-Console von einer XPSP2-Station nicht auf dem McAfee EPO (2003 SP1) anmelden! Der Port 81 ist auf der SP2-Firewall freigegeben. Beim McAfee-Support hab ich schon ein Case geöffnet. Die haben mir empfohlen den Patch 3 einzuspielen. Das Problem besteht allerdings weiterhin.... Beim Aufruf der Remote-Console kommt die Fehlermeldung: "Das Konto des Datenbankadministrators konnte nicht erstellt werden. Stellen Sie sicher das sie als lokaler Administrator angemeldet sind." An der lokalen Console kann ich mich normal anmelden.

Hi, hat hier jemand Erfahrungen im Einsatz von McAfee ePolicyOrchestrator?

Hi, ich habe hier in meiner Testumgebung ein seltsames Phänomen: Anwender in einer bestimmten OU können keine Verknüpfungen in die Quick Launch Bar ziehen. Es ist zwar ein GPO mit dieser OU verknüpft, aber ich habe sämtliche Einstellungen unter Benutzerkonfiguration -> Administrative Vorlagen -> Startmenü und Taskleiste nicht konfiguriert. Oberhalb dieser OU gibt es keine GPO´s (ausser ein paar zur SW-Verteilung). Ziehe ich die entsprechenden Benutzer in die untergeordnete OU (Richtlinienvererbung ist nicht deaktiviert, aber eine anderes GPO mit verknüpft), können die Benutzer auf einmal Verknüpfungen in die Quick Launch Bar ziehen. In dem GPO der untergeordneten OU sind nur 3 Einstellungen für "Startmenü und Taskleiste" konfiguriert. Aber nichts was die Taskleiste angeht...

Wir haben zwar bei uns weder Macs noch Pinguine im Netz, aber vorsorglich können wir ja den DNS-Namespace dann "firma.lan" nennen. Den Zusammenhang mit den Zertifikatsdiensten hat mir aber immer noch keiner erklärt! ;) Ich vermute mal, dass es nur für Firmen relevant ist, die die Zertifikate für Kunden (externe) ausstellen?

Wir haben unsere Webseite extern gehostet und einen Lotus Notes-Server. Dann spricht nichts gegen .local? In welchem Zusammenhang stehen die Zertifikatsdienste? Ein Zertifikatsserver kommt bei uns nur in Verbindung mit VPN (zur Remote-Einwahl) zum Einsatz.

Eine gute Nachricht: jetzt funktioniert es! :) Ich habe am Wochenende in meiner Test-Domäne die ganze Situation nochmal 1:1 durchgespielt und es hat funktioniert. Bei gesetztem Haken "Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereiches liegt" und ich den Computer aus der Domänen-Gruppe wieder entferne, die mit dem GPO gefiltert wird, wird nach einem Neustart des Clients diese Software auch wieder entfernt! So sollte es auch sein.... :) Foglich muß in der Test-Domäne in der Firma irgendwo der Wurm drin sein, da es ja so nicht funktioniert hatte. Aber lieber tauchen die Fehler in der Test-, als in der Produktivumgebung auf. :D

@ grizzly999: Eine zusätzliche GPO zur vorhandenen erstellen? Die vorhande will ich ja nicht bearbeiten, weil dann ja die Software von allen Clients entfernt wird! Vielleicht stehe ich nur auf dem Schlauch....sorry! :suspect:

@ Grizzly999, natürlich ist der Haken gesetzt gewesen. Daran habe ich auch schon gedacht... ;) @ mcse_killer76 Ja, das hast du richtig verstanden! Ich erstelle also eine OU "Softwaredeinstallation", verschiebe den/die betreffenden Clients hinein und blockiere auf Domänenebene die GPO für diese? Wird dadurch die Software wieder deinstalliert? Mir geht es um die Deinstallation der Software. Wenn ein neue Version der Software erscheint, will ich nicht bei allen Clients in einem Rutsch die alte deinstallieren, sondern eben gruppenweise.

Sorry...hab mich etwas missverständlich ausgedrückt! ;) Die GPO ist mit der Domäne verknüpft und wird über eine Filterung durch eine Sicherheitsgruppe angewendet. Mitglied dieser Gruppe ist eben der Client. Wenn ich diesen Client aus der Gruppe nehme, passiert gar nichts. Die Software muß aber von diesem Client wieder deinstalliert werden, ohne das die anderen Clients davon betroffen sind!

Ich bin gerade dabei mich mit dem Thema Softwareverteilung per GPO auch etwas zu beschäftigen. Das die ganze Sache natürlich nicht so flexibel wie ein Softwareverteilungssystem ist, ist mir schon klar. Aber so etwas kostet eben auch..... :rolleyes: Nun ist mir aber eine Sache eingefallen: Was mache ich, wenn ein einzelner Client ein Problem mit der Softwareinstallation hat und ich diese wieder von ihm entfernen möchte? Klar kann ich das MSI-Paket aus der GPO löschen, aber dann wird ja bei allen Clients (die mit dem GPO verknüpft sind) die Software wieder deinstalliert! Wenn ich den besagten Client aus der Gruppe (die mit der GPO verlinkt ist) entferne, passiert gar nichts! Wenn ich am Client die Software manuell deinstalliere und einen Neustart durchführe, ist sie wieder drauf! Und das obwohl zu diesem Zeitpunkt der Client gar nicht mehr Mitglied der GPO (bzw. Gruppe) ist!

Ok, jetzt habe ich es verstanden! :wink2: Habt ihr wohl auch einen LTO2 Wechsler? Wenn ja welchen mit wievielen Slots und welcher Backup-SW? Was ist zu dem Thema Redundanz zu sagen? Szenario 1 oder 2? Bei Szenario 2 könnte man anstatt Robocopy auch DFS in Erwägung ziehen?

Die Daten müssten also mit Kompression auf ein Tape passen. Wobei natürlich damit zu rechnen ist, dass die Datenmenge im Laufe der Zeit steigt! :D Ein LTO3-Wechsler war zu dem Zeitpunkt der Anschaffung leider noch nicht verfügbar.... :( Wenn ich dich richtig verstanden habe, dann lässt du nur am Freitag die Sicherung überprüfen? Beansprucht die Konstistenzprüfung der Daten nochmal das gleiche Zeitfenster (also insg. 9 h)? Du hebst also deine täglichen Vollsicherungs-Bänder vier Wochen auf, bevor sie wieder überschrieben werden? Oder habe ich da etwas missverstanden?

Hi Gerry, es ist mit ungefähr 50 GB für die Betriebssysteminstallationen und zw. 200 - 300 GB an Benutzerdaten (Fileserver) zu rechnen.

Hi, ich bin gerade dabei mir eine Backupstrategie für die zukünftige Domäne zu überlegen. Wir haben 2 IBM xSeries-Blechkisten, auf denen der GSX von VMware (ich denke das ist den meisten ein Begriff? ;) ) und der/die DCs laufen sollen. Ein dedizierter Backup-Server mit einem LTO2-Wechsler und Veritas BackupExec 10 ist auch vorhanden. Folgende Virtuelle Maschinen sollen (erstmal) auf dem/den Host(s) laufen: - DC - Fileserver - WSUS - VPN - Zeiterfassungsserver Zum Thema Redundanz/Sicherung habe ich mir zwei Szenarien überlegt: Szenario 1: 1 Server Produktiv und 1 Standby. Bei einem (HW)-Problem des Produktiv-Servers wird der Standby-Server hochgefahren und die vdmk-files (virtuelle VMware-Systemplatten) vom Band zurückgesichert. Praktisch wie ein Image... Szenario 2: Beide Server Produktiv. Bei einem (HW)-Problem übernimmt der andere Server die Arbeit. Ist natürlich von der Konfiguration etwas mehr. Für die Benutzerdokumente auf dem FileServer dachte ich an Robocopy, dass die Daten jede Nacht auf den anderen Server schiebt. So muß bei einem Ausfall nicht erst das Backup zurückgesichert werden. Den Sicherungsplan habe ich mir so vorgestellt: - Mo bis Do eine tägliche Differential-Sicherung der Benutzerdokumente Abends - Fr Abends eine Vollsicherung der Benutzerdokumente - Fr o. Sa (je nach Zeitfenster) eine Vollsicherung der vdmk-files der Systempartitionen und Systemstate Auf den Servern läuft kein Dienst, der rund um die Uhr laufen muß. Eine Downtime über mehrere Stunden Nachts / am WE ist somit möglich. Vorschläge und konstruktive Kritik an dem Konzept sind erlaubt und auch gewünscht! :D

Ich bin mal wieder von den zahlreichen Antworten überwältigt... :p Hat denn keiner Wininstall LE im Einsatz?

Hi, wer von Euch hat Wininstall LE im Einsatz, auf wievielen Clients? Mich würde interessieren, wie Ihr Eure Applikationen aktualisiert, wenn es ein Update/Patch für sie gibt! Deinstalliert Ihr Eure alten MSI-Pakte, packetiert mit Wininstall LE ein neues und verteilt es anschließend über GPO? Mich interessieren nur Lösungen über Wininstall LE. Kommerziele Softwarepackager kommen derzeit aus wirtschaftlichen Gründen nicht in Frage....

:jau: Demnächst kostet der Buchverleih 5,- € / Tag! :D

Hi, im zweiten Anlauf heute die Prüfung mit 956 Punkten bestanden. Gut das ich mich bei der 2nd-Shot Promo angemeldet habe... ;) Kann allerdings nicht verstehen, warum einige Probleme beim Ablauf der Registierung gehabt haben. War doch alles ganz einfach... Wie schon meistens genannt, kamen die üblichen Themen vor. Auch bei mir (VUE) keine Simulationen!

@ deadcandance: Unser Unternehmen beschäftigt ca. 140 Arbeitnehmer. Wir haben etwa genausoviele Clients, für die auch ich alleine verantwortlich bin. @ lefg: Ich bin der einzige Systemadministrator in unserem Unternehmen und habe als direkten Vorgesetzten unseren IT-Bereichsleiter. Er ist also das Bindeglied zwischen der Abteilung und der GF. Auch hier sei erwähnt das er eigentlich ein Kaufmann ist und ich so ziemlich der einzige bin, der sich in der IT mit Technik auskennt (was oft zum Nachteil bei Diskussionen ist). Es ist klar das es eine schriftliche Regelung geben muß, dass von der GF abgesegnet und abgezeichnet ist. Ich habe diesen Punkt erstmal innerhalb der Abteilung angesprochen. Eingangs habe ich schon erwähnt das es bisher nicht möglich war eine PC-Richtlinie mangels Unterstützung durchzusetzen. Also wird es in dem Punkt auch sehr schwer werden... @cloney: :suspect: Keine privaten Mails ist gut....mittlerweilen habe ich etwas Humor und kann über so etwas nur noch lachen. Derartige Regelungen sind bei uns unmöglich durchzusetzen, da anscheinend sich keiner traut so ein "heißes Eisen" anzupacken. Übrigens ist das ganze sehr widersprüchlich, weil auf der anderen Seite seit kurzem wg. zu langen Raucherpausen (bin Nichtraucher) wieder die Zeitstempelung eingeführt wurde. Ich bekomme so einiges mit und es wird sicherlich mehr Zeit mit privatem Internetsurfen verschwendet. Was ich sagen will: selbst wenn es eine schriftliche Regelung gibt, hat sie nur Sinn, wenn sie auch "gelebt" wird und nicht nur ein Schriftstück ist. @Verräter: damit habe ich überhaupt keine Probleme, solange sie nur ihren eigenen Rechner schrotten. :D :D Aber auf der anderen Seite ist es mir nicht ganz so egal, weil ich als einziger Admin die Kisten wieder zum laufen bringen darf. @ overlord: Danke für die Tipps, wenn es soweit ist, werde ich sie beherzigen. :) @FLOST: Auch dir danke für den Link, kenne schon die Seite. :) @alle: Ich bin immer wieder über die schnelle und kompetente Reaktion der Boardmitglieder begeistert. Hier muß man sich einfach wohlfühlen... :cool: Wenn ich mir dagegen so anderen Foren, wie das von Heise anschaue... :D