d.pabst

Hallo Nilsk und Daim, Danke für Eure Antworten. Wir haben den Replikationsintervall für Inter-Site-Transport auf 15 Minuten angepasst. Die DCs wollen wir nicht an einem AD-Standort legen, da wir bedenken haben, wenn sich die Clients am anderen Standort aktualisieren wollen. Den Punkt "Änderungsbenachrichtigung für die Inter-Site Replikation aktivieren", im Yusufs.Directory.Blog, finden wir sehr interessant. Den entsprechenden Punkt konnte ich bereits mit adsiedit finden. Er ist aber vorerst nicht aktiv. Die von mir aufgeführten Befehle scheinen wohl nur innerhalb des eigenen Standortes zu funktionieren. Vielleicht werden diese dann funktionieren, wenn wird den Punkt "Änderungsbenachrichtigung für die Inter-Site Replikation aktivieren" vollzogen haben. Eine sofortige Synchronisation bei entsprechenden Änderungen ist für uns zum Teil sehr interessant, da die Mitarbeiter an mehreren Standorten und in Schichten arbeiten. Der tatsächliche Einsatzort des Mitarbeiters ist uns nicht immer bekannt. Besten Dank. :) d.pabst

Hallo, wir haben eine Domäne mit drei DCs an insgesamt zwei Standorten. Es sind: DC01 - DC am Standort 1 DC02 - DC am Standort 1 DC03 - DC am Standort 2 Die Standorte sind mittels 300 MBit gegenseitig angebunden. Werden Änderungen am AD vorgenommen und GPOs editiert und verändert, werden die entsprechenden Veränderungen auch immer repliziert. Unser Problem ist die Zeit der Synchronisierung zwischen den Standorten. Dies ist vor allem wichtig, wenn Fehler gemacht werden und Skripte fehlerhaft sind. Die Korrekturen sollen dann sofort synchronisiert werden. Die Synchronisierung am eigenen Standort ist immer sehr schnell, nur nicht zum zweiten (geschätzt max. 3h). Mit welchen Befehlen ist es möglich, die Replizierung über den eigenen Standort hinweg zu erzwingen, sodass die AD-Veränderungen, geänderten GPOs und das SYSVOL-Verzeichnis sofort synchronisiert werden? Die Befehle sollen dann bei Bedarf über eine bat-Datei ausgeführt werden. Bei Anpassung am DC01 wurden schon die Befehle: repadmin /syncall /force repadmin -showrepl * ntfrsutl forcerepl dc03 /r "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" /p dc01 ntfrsutl forcerepl dc01 /r "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" /p dc03 ausgeführt. Es erfolgt aber keine sofortige Synchronisation mit dem zweiten Standort. Es werden keine Fehler ausgegeben. In der Ereignisanzeige gibt es auch keine Einträge. Änderungsort und Ausführungsort der Befehle sind der gleiche Server! Bereits Danke für die Unterstützung. Schöne Tage d.pabst PS: Die Support-Tools sind auf allen DCs installiert.

Hallo Tott, ich habe/hatte auch dieses Problem. Bei mir kam, in der WindowsUpdate.log (unter %windir% auf dem Client), die Meldung: WARNING: DownloadFileInternal failed for http://<der_Server>/selfupdate/wuident.cab: error 0x80190194 Die Lösung war ein fehlendes virtuelles Verzeichnis. Schau doch mal unter deinem Internetinformationsdienste-Manager, ob der Eintrag Selfupdate unter der Standardwebseite aufgeführt ist (ebenso ReportingWebService, ...). Ich hatte einfach ein neues virtuelles Verzeichnis "Selfupdate", mit dem Pfad "C:\Programme\Update Services\Selfupdate" und Leserecht, erstellt. 8 PCs sind in den letzten 10 Minuten mit Statusbericht aufgeführt. Davor war es keiner. Bei uns sieht es jetzt gut aus. d.pabst PS: Der Errorcode besteht aus 0x80190 und 194, wobei die 194 hex für 404 - file not found ist.

Hallo Phoenixcp, Danke für Deinen Tipp. Die meisten Vorschläge haben wir bereits vorab umgesetzt. Nebenbei muss ich erwähnen, dass viele WLAN-USB-Adapter kein Roaming unterstützen und wenn doch, dann immer zunächst bis zur untersten Verbindungsgeschwindigkeit gehen, bevor ein Wechsel zu einem anderen AP durchgeführt wird (zum Bsp. auch von AVM). Dies konnten wir auch über perfmon.msc auf anderen System testen. Daher finde ich folgenden Vorschlag sehr interessant: Diesen Vorschlag werden wir auf alle Fälle ausprobieren, da wir früher oder später auch diverse Notebooks im Einsatz haben werden (und wir können vorab nicht wissen, wie deren Roaming-Verhalten ist). Nebenbei muss ich bemerken, dass bei einer ICA-Sitzung kaum mehr als 2MBit zur Verbindung benötigt werden. Jedoch bei Streaming (z.Bsp von der ZDF Mediathek) sind es deutlich mehr als 2MBit. Wir haben zwischenzeitlich auch ein paar weitere Hintergrundinfos gefunden, die wir ausprobieren wollen. Schnelleres Background-Scanning sorgt zwar dafür, daß der Client schneller Informationen über andere Clients in der Umgebung sammeln kann, kostet aber auch Bandbreite/Latenzen für den Vordergrund-Traffic. Speziell bei 5 GHz kostet der dort erforderliche passive Scan auf einem Kanal fast eine halbe Sekunde. In der Kanalliste die Kanäle auf die einschränken, die von APs benutzt werden. Ist bei 5 GHz wegen DFS allerdings schwierig... Nebenbei haben wir auch folgenden Artikel gefunden, der ein paar Hintergrundinfos parat hat (eng): http://www.scipub.org/fulltext/jcs/jcs36390-398.pdf d.pabst

Hallo Raplay, zur ersten Möglichkeit kann ich leider nichts sagen. Bei deinem zweiten Ansatz bin ich der Meinung, wenn PSEXEC Startparameter mit übergeben kann, dass wscript.exe das Zeil nicht finden wird. Oder befindet sich regSchluesselAnpassen.vbs in einem Verzeichnis, welches in der Systemvariable PATH hinterlegt ist? Schöne Grüße d.pabst

Hallo! Wir verwenden in unserem Unternehmen mobile ThinClients mit Windows XP Embedded und SP2, die eine Verbindung via ICA-Client auf unseren Citrix-Server haben. Das WLAN basiert auf einer 3Com-WLAN-Management-Lösung mit einem zentralen Server, mit denen die APs konfiguriert werden. Die Authentifizierung ist MAC-basierend und die SSID ist sichtbar. Es wird lediglich 802.11g verwendet. WPA2 wird eingesetzt. Zur Clientausstattung und Konfiguration: Die ThinClients verfügen intern über einen LANCOM Airlancer 54 Pro USB-Stick. Der Treiber ist entsprechend eingerichtet, jedoch mit nur noch 20 Sekunden Suchintervall für APs (Standard ist 60 Sekunden). Zur Konfiguration wird die Original-Software verwendet und nicht Windows Zero Configuration. Das WLAN verfügt über eine feste IP (IPv4) und feste Einstellungen für Standard-Gateway und DNS. WPA2-Patch ist installiert. Zum Problem :confused:: Das Roaming funktioniert. Der ThinCLient wechselt zwischen den APs. perfmon.msc zeigt keine Verschlechterung der Bandbreite unter 54MBit. Ebenso zeigt der USB-Stick sehr gute Werte an. Jedoch ist beim Arbeiten innerhalb der ICA-Sitzung ein deutlicher "Stillstand" erkennbar, wenn zwischen den APs gewechselt wird. Das System reagiert scheinbar nicht. Oft werden ca. 1-5 Sekunden später alle Aktionen erfolgreich durchgeführt. (Wir hatten aber auch schon teilweise den Wechsel zwischen den APs nicht bemerken können.) Bei Tests ohne ICA-Sitzung wurde festgestellt, dass teilweise kurzzeitig die Verbindungsanzeige (die zwei PCs in der Taskleiste) mit dem kleinen X versehen waren (Embedded verfügt nicht über ping). Wir sind daher auf der Suche nach Möglichkeiten das System zu optimieren, um die Latenzzeiten deutlich (unter 1 Sekunde) zu reduzieren. Hat jemand entsprechende Erfahrungen zur weiteren Optimierung des Client? Danke! d.pabst

Hallo Koten, Du kannst in den GPO festlegen, das alle Skripte mit Admin-Rechte ausgeführt werden sollen. Wir haben das einmal für alle User mit einer sep. GPO definiert. Bei einer Abteilung mit 30 Druckern muss es doch ein Kriterium geben, mit dem Du PCs zu einer Organisationseinheit zusammenschliesen kannst. Es wird doch immer so sein, das Mitarbeiter im Sektor A der Abteilung 1 einen gemeinsamen Drucker verwenden. Jetzt erstellst Du im AD eine Organisationseinheit "Abteilung 1". Unterhalb dieser Organisationseinheit "Abteilung 1" erstellst Du wieder eine Organisationseinheit "Sektor A". In die Organisationseinheit verschiebst Du die PCs und User und aktivierst das entsprechende Skript. Wenn jedoch Anwender nicht immer im gleichen Sektor arbeiten, musst Du eine andere Lösung zum Beispiel über die Zuordnung durch die Computer finden. Wir haben bei uns nicht so große Abteilungen aber auch unsere kleinen Problemen mit den Druckern. Wir installieren unsere Netzwerk-Drucker immer lokal, da diese immer dieselbe IP von unserem DHCP-Server erhalten. Wir nennen immer den Standarddrucker, der sich in unmittelbaren Umgebung befindet "Drucker". Vorteil ist, das sich jeder Anwender an jedem Platz anmelden kann und einen Drucker in seiner Umgebung erhält und dieser immer als Standard von Windows gesetzt wird (bei arbeiten mit Servergespeicherten und lokalen Profilen mit ntuser.dat und nicht ntuser.man). Beschreib mal das reguläre Arbeitsumfeld! Feste Abteilungen mit festen Mitarbeitern oder ist alles dynamisch? Sind es immer Standarddrucker oder Drucker mit getrennten Ausgabefächern? Sind es Netzwerkdrucker mit festen oder dynamischen IPs. In welcher Form wird ein Druckserver benötigt? Wird vielleicht sogar ein Terminalserver verwendet? d.pabst

Hallo xcode-tobi, die Lösung ist natürlich auch möglich. Wichtig ist natürlich für jedes Unternehmen, das sein "Logo" :D korrekt hinterlegt ist. Wenn man einen eigenen Server hat, so bietet sich auch ApacheFOP an. Hier kann man pdf-Dokumente dynamisch nach Dateneingabe genieren, die sich der User abspeichern und ausdrucken kann. Der einzigste Aspekt bei Online ist: Verfügen die meisten User über eine Flatrate? Wenn es ein sehr großes Dokument ist, möchte natürlich jeder User das Offline erledigen können. d.pabst

Hallo Gott des Traumes 2004, auf der ersten Platte würde ich das Betriebssystem, die Programme und Spiele installieren. Auf der zweiten Platte würde ich die Auslagerungsdatei hinterlegen und auf einem festen Wert in den Systemeinstellungen definieren. Erst danach würde ich auf der zweiten Platte anfangen allgemeine Daten, wie Texte, Bilder etc. zu hinterlegen. Wenn Du ein Spiel startest, werden alle Daten in den Arbeitsspeicher und in die Auslagerungsdatei geschrieben. Früher mußte die zweite Platte am anderen Controller angeschlossen sein. Um wirklich eine Leistungssteigerung zu erhalten. Partitionen würde ich nciht unbedingt erstellen. Höchstens, wenn Du die Auslagerungsdatei dynamisch lassen willst, dann sollte eine Partition vielleicht mit 2GB (abhängig vom installierten und zukünftigen RAM {Faktor x 1,5}) erstellt werden. Wichtig ist, das die Auslagerungsdatei immer zusammenhängend ist, sodass der Schreib-Lese-Kopf nicht ständig auf Deiner Platte die Daten zusammensuchen muss. Eine Variante, wo Auslagerungsdatei mit Programmdateien, die viel gelesen werden müssen, auf einer Platte sich befinden, rate ich definitiv ab. Es macht kein Sinn, wenn die Daten die gerade gelesen werden zur gleichen Zeit in die Auslagerungsdatei auf dem gleichen Datenträger geschrieben werden. Die größte und schnellste Platte sollte daher C sein. D nur Auslagerungsdatei (an einem Stück) und allgemeine Daten. Schöne Grüße d.pabst

Hallo xcode-tobi, die Frage die sich bei einem normalen Formular immer stellt, ist: Mit welchem Programm kann der User dieses öffnen? Adobe Reader wird auf jeder PC-Zeitschriften-CD mit veröffentlicht und erwartet von einem einfachen User nicht viel Wissen ab. Bei Word-Dateien sieht das schon anders aus. Welcher User verfügt schon über Word? OpenOffice steht zwar auch kostenlos zur Verfügung, aber es gibt immer noch Formatierungsprobleme zwischen den Anwendungen. Die pdf-Variante ist wirklich die bessere Lösung. Auf Word-Dokumente würde ich heute nicht mehr setzen, da Microsoft seine Standards immer wieder verändert. Ich habe alle Word-Dokumente (über 180.000 Stk.) unsere Firma überarbeiten müssen, da bereits einige Dokumente (mit Word 2.0 und Word 6.0) nicht mehr mit Word 2003 zu öffnen waren. Unter Windows XP mit SP2 muss heute sogar ein Registrierungswert geschrieben werden, damit einige Word 6.0 Dokumente wieder geöffnet werden können. Schöne Grüße d.pabst

Hallo sgrimm, Adobe Acrobat ist das einzigste Programm, das ich kenne, mit dem ich solche Dokumente erstellen kann. Man braucht aber etwas Zeit, um perfekt damit umgehen zu können. Es empfiehlt sich hierbei sich mit JavaScript zu beschäftigen, da einige Funktionen am besten über JavaScript gelöst werden können. Adobe hat extra (bei Version 7) eine eigene Dokumentation für JavaScript beigefügt. Aber die Ergebnisse lassen sich sehen. Kleiner Tipp: video2brain - Das effiziente Videotraining - Adobe Acrobat 8 inklusive LiveCycle Designer und Acrobat Connect - ISBN 10: 3-8273-6071-4; ISBN 13: 978-3-8273-6071-7 => Video2Brain hat wirklich gute Tutorials. Das Geld lohnt sich auf alle Fälle. Adobe - Adobe Acrobat Professional – Werkzeug für die Online-Zusammenarbeit, Software für Web-basierte Zusammenarbeit, Zusammenarbeit an Projekten, Zusammenarbeit im Team => hier kannst Du die aktuelle Pro-Version herunterladen, achte aber darauf, das Deine Lösung auh von älteren Adobe Readern gelesen werden kann. Ich persönlich hatte vor längerer Zeit mich mit Adobe Acrobat 7 beschäfigt. Schöne Grüße d.pabst

Hallo Koten, nach Deiner Aussage prüft Dein Skript nicht die Sicherheitsgruppe, die der Benutzer angehört, sondern führt einfach das Skript aus. Wenn also der Benutzer nicht der entsprechenden Sicherheitsgruppe angehört, schlägt sozusagen das Verbinden mit dem Drucker fehl. Ich vermute einfach, das hin und wieder Deine Skripte mit zu vielen Rechten ausgeführt werden. Wir lassen standardmäßig alle Skripte bei der Anmeldung mit Admin-Rechten ausführen, damit alle Befehle korrekt ausgeführt werden, jedoch schränken wir die Skript-Ausführung in der GPOs bereits ein. Wenn Du jetzt im AD für jede Abteilung eine eigene GPO, mit dem jeweiligen Skript hinterlegst und hier die Sicherheitsgruppe und nicht authentifiziert Benutzer hinterlegst, kann Dein Problem nicht mehr auftreten. Hast Du diese Variante schon einmal ausprobiert? Schöne Grüße d.pabst

Hallo IThome, danke für den Tipp! :) Ich werde es ausprobieren und das Ergebnis posten. Es wird aber ein paar Tage dauern, da ich ein paar Test-Rechner vorbereiten werde. Oder hast Du eine solche Konfiguration bereits aktiviert? Ich habe mich natürlich etwas schlauer gemacht (Windows 2000 Server - Handbuch für die sichere Konfiguration: Anhang D - Benutzer- und Gruppenkonten ): Interaktiv: Enthält das Benutzerkonto des Benutzers, der lokal am Computer angemeldet ist. Die Mitglieder der Gruppe INTERAKTIV erhalten Zugriff auf die Ressourcen des Computers, an dem sie physisch arbeiten. Mit (S-1-5-4) sollte es mir daher möglich sein, den Benutzer interaktiv in der GPO zu integrieren. Vielen Dank d.pabst

Hallo Koten, wie steuerst Du den Programmaufruf von con2prt.exe? Läuft alles über Gruppenrichtlinien? Oder lässt Du ein Skript für alle User ausführen, wo versucht wird, eine Verbindung zu allen Druckern zu erstellen und erst dann die Sicherheitsgruppe aktiv wird? Hast Du eine GPO für jeden Drucker mit einem eigenen Anmeldeskript aktiviert und nur hier die jeweilige Gruppe hinterlegt? Schöne Grüße d.pabst

Hallo alle zusammen! Ich arbeite in einem Unternehmen, bei dem wir das Problem haben, das wir über 100 User haben, die immer an unterschiedlichen PCs arbeiten müssen. Das zweite und größere Problem ist, das unsere Hauptsoftware lokale Administratorrechte verlangt, damit diese korrekt funktioniert. Wir haben sogar Software, bei der ich früher per Hand (wo die Benutzer noch nicht lokale Admins waren), einige Registrierungszweige für den User auf Vollzugriff stellen musste. Einer meiner Kollegen hat vor längerer Zeit per Gruppenrichtlinie (GPO) jeden "Domänen-Benutzer" zum lokalen Admin aufgewertet, indem er unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen eine Gruppe "Administratoren" erstellt hat und hier die "Domänen-Benutzer" hinterlegt hat. (siehe Eingeschränkte Gruppen). Alle PCs und User befinden sich unterhalb dieser einen Organisationseinheit. Alle Anwender können nun ohne Probleme mit unserer Hauptsoftware arbeiten. Natürlich werden auch Programme installiert, die die Anwender nicht dürfen, aber da haben wir kleine Kontrollmechanismen integriert. Mein Hauptproblem ist nun, das ein User, wenn er einen anderen PC im Netzwerk kennt, auf desen administrative Freigabe (\\PCName\C$) ohne Probleme zugreifen kann. Somit kann die Reinigungsfrau mit entsprechenden Kenntnissen auf dem Desktop vom Einkaufsleiter die Daten öffnen und lesen. (Kleine Anmerkung: wir haben eine Weiterleitung der Eigene Dateien auf Server aktiviert, somit sind diese Daten nicht auf dem lokalen Rechner verfügbar). Natürlich können auch die temp. Internetdateien etc. gelesen werden. Wie kann ich nun jedem Benutzer die lokalen Admin-Rechte geben, ohne das er auf jeden anderen PC über administrativen Freigaben in der Domäne zugreifen kann. Was wäre wenn ich alle Benutzer über GPO als Hauptbenutzer auf den PC hinterlegen würde? Gegebenenfalls würde ich alle Bnutzer aus der Gruppe Administratoren entfernen (zuvor aber Domänen-Admins in diese Gruppe als einzigste eintragen) und jedem Benutzer über GPO Zugriff auf %programfiles% und auf die Registrierung geben. Aber ich möchte nicht an einer Domäne mit 300 PCs Experimente betreiben. Hat jemand schon Erfahrung mit solchen Einstellungen in den Gruppenrichtlinien? Ansonsten: feiert schön den Nikolaus-Abend d.pabst