Hellmachine

Hallo zusammen, ich steh ein wenig auf dem Schlauch, wie ich mein Vorhaben umsetzen kann: Ich habe vor, eine Testumgebung für eine automatische Installation einer Produktivumgebung umzusetzen. Hierbei soll einmal ein tftp/ESXi per PXE installiert werden und weiterhin eine Windows-Maschine über OPSI auf dem neuen ESXi. Soweit so gut. Die Source-Server sollen hierbei in einem Subnetz stehen, die ESXi-Server in einem weiteren und letztlich die Windows-Server in einem dritten. Das Problem besteht in den unterschiedlichen Werten, die per DHCP mitgegeben werden müssen. Sowohl die ESX-Installation, als auch die Installation über OPSI bedienen sich PXE und benötigen entsprechende Einträge im DHCP, der sich aber damit leider in die Quere kommt (z.B. Tftp-Server und PXE-Datei). Windows-Server (für DHCP und TFTP-Server/ESXi-Installation): 1.1.0.100 255.255.192.0 Opsi-Server (für Winows-Installation auf dem ESXi) 1.1.0.101 255.255.192.0 Nun benötige ich zwei DHCP-Bereiche, die mit unterschiedlichen Bereichsoptionen konfiguriert werden können: Bereich1: ESXi-Server-Installation Bereich: 1.1.1.1-1.1.1.254 Subnetz: 255.255.192.0 Gateway: 1.1.0.1 Tftp-Server: 1.1.0.100 PXE-Datei: installesx Bereich2: Windows-Server-Installation 1.1.2.1-1.1.2.254 255.255.192.0 Gateway: 1.1.0.1 Tftp-Server: 1.1.0.101 PXE-Datei: installwin Die MAC-Adresse des ESXi-Server soll somit in Bereich 1 reserviert werden, so dass nach dem Einschalten die Installation über den Windows-Server erfolgt. Auf dem neu installierten ESXi wird nun eine virtuelle Maschine angelegt, deren MAC-Adresse wiederum in Bereich 2 reserviert wurde und die Maschine anschließend über den OPSI-Server installiert. Die Umsetzung der Installation ist nicht das Problem. Doch wenn ich versuche, zwei Bereiche im DHCP anzulegen, kommt die Meldung, dass der zweite Bereich in Konflikt mit einem bereits existierenden steht. Als Workaround habe ich meinen Servern derzeit jeweils 2 Adressen zugewiesen. Hierbei habe ich zwei /24er-Bereiche genommen und ihnen jeweils eine IP aus den beiden Bereichen zugewiesen. Anschließend habe ich auf dem Windows-Server zwei DHCP-Bereiche erzeugt und anschließend eine Bereichsgruppierung vorgenommen. Bei zwei IP-Adressen in separaten Netzen ist das kein Problem. Die Bereichsgruppierung ist notwendig, da der DHCP sonst nur dem ersten Bereich eine IP zuweist und den zweiten gänzlich ignoriert. Das geht soweit, ist aber "unschön", da ich nun zwei Class-C Netze habe, meine Server multiple IP-Adressen besitzen und zusätzlich auch noch direkt in den Netzen hängen. Ein separates Subnetz für Server, Netzwerkkomponenten u.s.w. wäre jedoch wünschenswert. Klar wäre die Sache über einen zweiten DHCP-Server schnell gelöst, aber extra dafür noch einen Server hochziehen halte ich für übertrieben. Für Lösungsvorschläge oder Gedankenanstößen zu Alternativlösungen bin ich dankbar. Grüße Patrick

Hallo zusammen, wir setzen in der Regel bislang Windows 2003-Server ein. Diese stehen in Single-Domains an verschiedenen Standorten (Schulen); Sprich: Jede Schule verwaltet ihr AD dezentral selbst. Nichtsdestotrotz wahren wir einen gewissen Standard zu dem auch einige Standard-GPOs zählen. Bislang 2K3=>2K3 ließen sich die GPOs ohne Bedenken exportieren und auch wieder importieren. So, nun meine Situation: 2K3 ist ja nun schon ein wenig her und 2K8 ist die Gegenwart. Jetzt wollen wir die erste Schule mit 2K8 ausliefern. Soweit so gut. Kann ich die GPOs des 2K3 einfach exportieren und in einen 2K8 importieren? Oder muss ich die ADMs irgendwie konvertieren? Es gibt ja wieder eine Vielzahl an neuen GPOs im 2K8. Mach ich mir da irgendwas im AD kaputt? Für eine Antwort bin ich sehr dankbar. Grüße Patrick

Hallo, danke für die Antwort, also...wenn Du herauskriegen könntest, wie Dein Vorgänger das gemacht hat wäre ich sehr dankbar. Das slbstkompilierte SC - darüber habe ich schon gelesen. Aber ich denke es ist für mich der falsche Ansatzpunkt. Es handelt sich bei den zu administrierenden Rechnern um Rechner in Schulen. Ich bin im zentralen Umfeld und muss ab und an mal Feuerwehr spielen...das geht dann allerdings erst nach dem Unterricht...somit ist niemand mehr da, der UVNCSC starten könnte. Darüber hinaus soll ab und an auch mal schnelles Eingreifen möglich sein.

Hallo zusammen, ich habe folgendes Problem: Ich bin Administrator in eines großen Netzwerkes. Bis vor kurzem habe ich die Rechner per VNC (RealVNC) administriert. Dann kam allerdings eine Software auf die Rechner, die standardmäßig den TightVNC installiert. Hintergrund ist, daß die Software eine Rechnerüberwachung samt Oberfläche (á la NetOP oder MasterEye) zur Verfügung stellt und hierzu dynamische Passworte generiert, die man nicht einsehen kann. Dummerweise ist das ganze so grotten langsam, dass die neue Software für die Administration völlig ungeeignet ist (ist halt ne Spielerei für z.B. lehrer um die Schülerrechner zu überwachen). Jeglicher Versuch RealVNC, TightVNC oder UltraVNC parallel zu installieren ging in die Hose. Entweder hat die neue Software den TightVNC-Server deinstalliert (und somit klappte die Software nicht mehr), oder es gab Konflikte anderer Art (z.B. Namensdoppelungen bei der installation als Dienst, gleiche REG-Schlüssel). Ebenfalls der Versuch, nur die BIN zu kopieren und dann mit "RunAsService" als Dienst mit beliebigem Namen zu installieren klappte nicht. So...inzwischen bin ich zu der Erkenntnis gekommen, dass ích gerne UltraVNC parallel betreiben möchte. Gibt es die Möglichkeit, die BIN-Variante von UltraVNC so als Dienst zum Laufen zu bringen (Setup-Variante deinstalliert alle anderen VNC-Versionen), dass der Dienst nicht "VNC Server" heisst und parallel (über andere Ports) neben TightVNC sein Dasein fristet? Grüße Patrick

Das wäre schon möglich...das klappt auch...allerdings hab ich keine Ahnung, wi man SSL einsetzt...und ein Passwort im Klartext zu übermitteln gleicht einem administrativen Selbstmord - vor allem weil gerade hier im Netz eine großzahl potientieller "Hacker" (es ist ein Schulnetz) rumgeistern.

Hallo zusammen... und mal wieder treibt es mich in meiner Verzweiflung hierhin. Folgendes Problem: Ich habe auf meinem Server eine Wikipedia installiert. Genutzt wird der W2K-eigene IIS 5. Nun habe ich - da auch Passworte enthalten sind - den anonymen Zugriff ausgeschaltet. Resultat: Ich komme mit meinem Rechner, der nicht in der Domäne hängt nicht mehr auf die Seiten. Nun erzählt mir der IIS irgendwas von Zugriffslisten, die steuern, wer drauf zugreifen kann. Gibt es eine Möglichkeit - ohne mich in die Domäne zu hängen - auf eine Seite des IIS zuzugreifen? Der Firefox fragt beispielsweise nach einem PW...leider nimmt er die Windows-Authentifizierungsdaten nicht an. Wäre für jede Hilfe dankbar. Gruß Patrick

danke für die Antworten...ich meine in der Tat Dos...das gute alte DOS. Mit dem Break-Befehl hab ich schon rumexperimentiert...aber ohne Erfolg... Es muß doch ein Tool geben, das ich als Device installieren kann und das einfach nur alle Eingaben abfängt...

Hallo zusammen... mal ne Frage...gibt es ein Tool, mit dem man unter DOS (also echtes DOS) die Tastatureingaben blocken kann? Ich möchte nicht, daß jemand die Batch-Datei, die beim Booten ausgeführt wird, unterbrechen kann. Dank im Voraus Patrick

Hallo zusammen... ...hab mal wieder eine kleine Frage. Ich möchte gerne ein DOS-Image über PXE verteilen - soweit so gut. Dieses DOS-Image soll eine Netzwerkverbindung aufbauen...jedoch dynamisch - sprich: zu einem dynamisch angegeben Server und einem dynamisch angegeben Freigabepfad mit einem dynamisch angegeben Benutzer und Passwort. In erster Linie hatte ich mir erhofft, die Parameter vom jeweiligen Server über DHCP mitzugeben...doch wie kann ich sie unter Dos dann abrufen? Oder gibt es einen TFTP-Server, der vielleicht solche Werte direkt mitverteilt? Ich würde gerne eine vollkommen unbeaufsichtigte Installation durchführen, die jedoch von einer Server-Struktur ohne großen Aufwand zur nächsten übertragen werden kann. Als Beispiel sei Bootix Administrator genannt. Irgendeine Idee, wie man unter DOS an die Werte kommt? Irgendwie lesen die bei Bootix bereits Parameter für Netshares aus, um auf ein Netshare zu mounten...da beißt sich der Hund in den Schwanz... Ich habe bereits in mühevoller, stundenlanger Arbeit folgendes "entwickelt": - Eine Free-DOS-Netzwerkdiskette, von der ich ein Image erstellt habe - Einen W2K3 Server mit TFTPD32 versehen - Den TFTP-Server mit pxelinux ausgestattet Im nächsten Schritt hab ich - das Image erfolgreich verteilt Parallel dazu habe ich -Antwortdateien für die gängigen MS-Produkte erstellt Das, was jetzt kommt ist erstmal puzzeln... Das Problem, das ich habe, ist, daß ich den Server und die Shares quasi in das Boot-Image reingebranded habe...somit ist das ganze System statisch und - wenn es denn dann mal läuft - nur durch Anpassung und Neugenerierung des Boot-Images auf andere Server übertragbar... ...und genau das will ich ja nicht, denn ich weiß, daß man eben jene Werte irgendwie übergeben kann, so daß das BootImage sich selbst dynamisch anpassen kann. Klar...es gibt bestimmt schon Lösungen (siehe Bootmanage Administrator, AutoSetup, DXUnion...und im entfernteren Sinne auch RIS)...aber das ist wieder auf eine Plattform beschränkt oder kostet immens Geld. Da ich später gerne einmal das ganze auch auf Linux zum Laufen bringen möchte (dafür habe ich Bekannte mit KnowHow :-) ) sollten die einzige Dinge, die ich hier verwenden will, ein DHCP-Server und ein TFTP-Server sein (im Moment halt unter W2K3 Server)... ...das Schlimme ist...ich weiß daß es geht...ich weiß nur nicht wie es geht.

Hallo, mal ne Frage...von welcher smartdrv.exe redest Du? Die Version 5.02 hat weder den Parameter "e", noch den Parameter /double_buffer Wäre Dir dankbar wenn Du mir da weiterhelfen könntest, da mich dieser Fehler in den Wahnsinn treibt. Gruß Hellmachine

Danke für die Antworten. Mit den Lokationen der $OEM$ weiß ich bescheid. Auf "root" bei einer MS-Setup-konformen-Installations-CD... ...und rein theoretisch direkt im I386-Ordner bei der DOS-Unattend-Installation. Aber das Setup ignoriert den Ordner $OEM$ ganz einfach. Egal was ich hineinkopiere, es wird nicht mitkopiert. Habe auch schon mit OemFilesPath versucht etwas zu bewirken...aber ohne erfolg. OemPreInstall ist = Yes.

Und weiter im Text :) Ich bin seit geraumer Zeit damit bschäftigt mir eine Unattend-Installations-CD zu kreieren. Leider mit einigen Rückschlägen...aber man wächst ja daran. Ich benutze nicht die MS-eigenen Boot-Dateien, da ich vor der Installation einige Abfragen mache (wie z.B. IPAdresse, DomänenName und und und). Zu diesem Zwecke habe ich mir ein kleines Tool programmiert, was auf DOS-Ebene diese Parameter abfragt. Anschließend passt es die Unattend.txt an und startet die Unattend Installation. Hierzu habe ich mir eine einfache DOS-Boot-Diskette angelegt, die die CD-ROM-Treiber initialisiert und anschließend handle ich das ganze über Batch-Dateien oder halt über mein Programm. Meine CD-Struktur sieht wie folgt aus: CD-ROOT (Boot) | |_C ||_Driver (OEMDriver in der Unattend.txt spezifiziert) ||_Postinst (Programme, Einstellungen) ||_System32 | |_W2KSRV ||_I386 | |_COMMAND (DOS-Commands) Im Moment lasse ich durch einen xcopy-Befehl den gesamten Inhalt des Verzeichnisses "C" auf C kopieren. Der Nachteil hier: Ich unterliege der 8.3-Restriktion...und das ist teilweise doch sehr nachteilig. Nun habe ich auch schon MS-Boot-CDs erstellt und weiß, daß der Ordner $OEM$ hier Wunder wirken kann. In diesem Falle auch kein Thema. Aber in meinem speziellen Fall ignoriert die Unattend-Installation diesen Ordner - egal ob er nun auf gleicher Ebene mit dem I386-Ordern oder im I386-Ordner steckt. Hat jemand einen Rat? Muß ich den Ordner in der DOSNET.INF irgendwie noch explizit angeben? Bin für Ratschläge dankbar.

Ups...da ist mir ein Fehler unterlaufen...es sollte natürlich Users heißen...habe ein "verwurschteltes"-Script gepostet. Aber inzwischen habe ich die Lösung gefunden. Habe nicht gewusst, wie ich die Gruppenzugehörigkeit verändere...aber jetzt klappt es. Danke

Hallo zusammen... ich hoffe, mir kann jemand in meiner Verzweiflung helfen. Ich bin auf dem Gebiet VBScripting absoluter Anfänger. Also bitte die Antworten leicht verständlich formulieren :) Ich "baue" mir gerade eine Unattend-Installation zusammen. Soweit klappt auch alles prima...Server, AD und einige Tools werden von Grund an hochgezogen. Nun kommt es aber zu meinem Problem. Ich brauche zu diversen Zwecken (Installation, Backup und und und) einige weitere User, die der Gruppe der Administratoren und Domain-Admins angehören... Doch ich schaffe es mit VBScrit nur, stinknormale Benutzer anzulegen. Kann mir jemand sagen, wie ich das folgende Script abändern muß, damit die Benutzer admiistraiven Gruppen angehören? Vielen Dank Hellmachine Hier das Script: Set Zielcontainer = GetObject("LDAP://cn=administrators,dc=MySubDomain,dc=MyDomain,dc=org") Set Benutzer = Zielcontainer.Create("User", "cn=TestUser1") Benutzer.Put "sAMAccountName", "TestUser1" Benutzer.Put "userPrincipalName", "TestUser1" Benutzer.Put "userAccountControl", 512 Benutzer.SetInfo Set Benutzer = nothing Set Attribute = GetObject("LDAP://cn=TestUser1,cn=Users,dc=MySubDomain,dc=MyDomain,dc=org") Attribute.SetPassword "1234567" Attribute.SetInfo Set Attribute = nothing Set Benutzer = Zielcontainer.Create("User", "cn=TestUser2") Benutzer.Put "sAMAccountName", "TestUser2" Benutzer.Put "userPrincipalName", "TestUser2" Benutzer.Put "userAccountControl", 512 Benutzer.SetInfo Set Benutzer = nothing Set Attribute = GetObject("LDAP://cn=TestUser2,cn=Users,dc=MySubDomain,dc=MyDomain,dc=org") Attribute.SetPassword "1234567" Attribute.SetInfo Set Attribute = nothing

Hallo ihr beiden. Natürlich gibt es hier Alternativen. PC-Wächter-Karten und HD-Sheriff-Karten sind in der Tat eine entsprechende Alternative... Natürlich sind die Rechner über die GPOs auch so weit wie möglich dicht gemacht. Aber sagen wir so - mir geht es halt darum, den oben angesprochenen Weg umzusetzen. Ein Nachteil der Wächterkarten (welcher Hersteller auch immer jetzt in Betracht kommt) ist ganz klar folgender: Wir haben einen Update-Server laufen. Sprich, bei neuen Updates starten die Clients automatisiert den Upgrade. Nach einem Neustart stellt die Wächterkarte das System wieder her. Windows erkennt, daß neue Updates erforderlich sind und installiert diese usw. Davon mal abgesehen, daß bspw. AntiViren Updates nicht möglich sind. Zwar kann es mir ja egal sein, weil der rechner an sich nicht anfällig ist, aber hat er einen Virus eingefangen, ist er (solange er nicht neustartet) potentioeller Infektionsherd anderer Rechner. Alles schon gehabt :-D Eingesetzt wird es in Schulen. Klassen 1 bis 13.