Zum Inhalt springen

pepper

Mitglieder
  • Gesamte Inhalte

    700
  • Benutzer seit

  • Letzter Besuch

Beiträge von pepper

  1. Hi,

    das ist bei jedem Winxp der Fall; sobald Du per Remotedesktop darauf verbindest, wird der aktuelle Benutzer abgemeldet. Dafür gibt es auch keine Einstellungsmöglichkeit, was Du für Deinen Zweck brauchst ist ein Terminalserver.

    Gruß,

    pepper

  2. Hi nochmal,

    @wicked:

    wie gesagt, zusätzliche Hardware steht nicht zur Verfügung.

    @janlutmeh:

    Klingt gut, die Möglichkeit mit dem /adv hatte ich gar nicht in Betracht gezogen, thx. Könnte mir vorstellen, dass ich auf dem 2000er zunächst forestprep und domainprep laufen lasse, danach den SystemState sichere und nach der Neuinstallation per /adv die Sachen zurückhole....

    Warum solls denn eigentlich kein In-Place Upgrade sein? An der Hardware kanns ja nicht liegen? Alternative wäre doch nach einer Sicherung des W2K Server:

    In-Place Upgrade auf W2K3, Sicherung der Daten (Anwendungen, User, etc) und des AD wie auch Registry und anschliessende Neuinstallation und einplflöege der AD.

    Das In-Place-update fällt aus, da es sich um den Server eines Kunden handelt, der bei uns gereinigt und neu installiert wird. Hinzu kommt, dass es (wie "kleineren" Kunden üblich) noch viele bunte Datenbanken gibt, die es sauber zu portieren gilt, heisst, da kommt quasi zwischenzeitlich ein Übergangsserver (nicht-DC) hin.

    Is alles bissel kompliziert, aber schon richtig so.

    thx @ all.

    Gruß,

    pepper

  3. Hi,

    folgendes Szenario:

    ein Windows 2000 DC soll neu installiert (nicht aktualisiert) werden auf Windows Server 2003. Es gibt nur diesen einen DC.

    Wie kriege ich das Active Directory auf den neu installierten W2k3-DC?

    Beachte: die Möglichkeit, einen zweiten DC in die derzeitige Domäne zu hängen und Active Directory darauf zu replizieren besteht mangels Hardware nicht.

    Mir ist bekannt das ntbackup beim SystemState AD mit sichert, allerdings geht es um die Frage, ob beim Wiederherstellen des SystemState (neu installierter 2k3-DC im Verzeichnisdienste-wiederherstellen-Modus gestartet) sich "nur" das AD auswählen lässt oder ob die gesamte Registry und was sonst noch im SystemState drinsteht, zurückgesichert wird...

    Jemand weiß was?

    Gruß,

    pepper

  4. Servus,

    eine allgemeingültige Antwort auf diese Frage zu geben, wird schwierig, wenn nicht gar unmöglich sein. Wie die Verbindung mehrerer Standorte realisiert werden soll, hängt im Wesentlichen von den Anforderung des Kunden ab, und da gibt es viele mögliche Faktoren:

    - standortübergreifender Zugriff?

    - Struktur und Design des/der Verzeichnisdienste(s)?

    - Positionierung der Ressourcen

    - [...]

    Um rein auf nennen wir es mal "Layer 1" Standorte zu verbinden, eignet sich von der 56 Kb-Wählverbindung bis zur gemieteten T3-Strecke alles. Wenn es den Kundenanforderungen gerecht werden, in einen gewissen finanziellen Rahmen bleiben und technisch auch noch machbar sein soll, dann müsste man zunächst die obigen und sicherlich auch noch ein paar weitere Fragen beantworten....

    Gruß,

    pepper

  5. So, ich hab nochmal nachgeschaut: ich bin nicht sicher, ob ldifde csv-Dateien als Eingabedateien akzeptiert. Müsstma mal ausprobieren.

    Speichere nach Bearbeiten der Eingabedatei in einem Editor die Datei mit der Endung *.LDF; danach an der Kommandozeile gleiche Syntax wie oben, optional mit dem Schalter -k, damit Fehler beim Importvorgang ignoriert werden:

    C:\>ldifde -i -k -f Dateiname.ldf

    Gruß,

    pepper

  6. Hallo allerseits,

    eine etwas seltsame Kundenanforderung:

    die Online-Zeit der einzelnen Benutzer soll mitprotokolliert werden, so dass am Ende des Monats etwa gesagt werden kann, wer wie lange gesurft hat.

    Wie gesagt, der Kunde will das so, datenschutzrechtlich ist er informiert und sich auch dessen bewusst, dass jemand, der 8 Stunden täglich Webradio hört, nicht zwangsläufig sonstwo rumsurft.

    Es dürfen ruhig kostenpflichtige Drittanbieter-Tools genannt werden...

    Gruß,

    pepper

  7. Danke für die Antwort,

    so in etwa hatte ich mir das schon gedacht.

    Schade, dass man beim Hinzufügen von Einträgen in die ACLs nicht die Möglichkeit hat (auf der NT-Maschine), Gruppen aus der 2k3-Domäne hinzuzufügen. Unter "Pfade" ist schon die korrekte Domäne ausgewählt.

    Aber gut zu wissen, dass die Domänenfunktionsebene nur in der eigenen Domäne gilt und nicht (wie ich erst angenommen habe) in der Gesamtstruktur.

    Thx nochmal und Gruß,

    pepper

  8. Die Moeglichkeit der hosts-Datei gibt es.

    Ein DNS-Server ist vom Administrationsaufwand her einfacher zu handhaben und auch zuverlaessiger.;)

    Denn mit der Verwendung von hosts-Dateien muss sichergestellt werden, dass diese Datei stets auf allen Clients aktuell ist.

    WINS-Server bzw. lmhosts-Dateien werden nicht benoetigt, diese sind nur bei NT4 und Win9x zwingend erforderlich.

    Stimme voll und ganz zu. Halte es aber die Benutzung der Hosts-Datei für schneller erklärt. Über DNS und dessen korrekte Einrichtung könnte man problemlos 14 Tage pausenlos berichten.

    Außerdem wird die Hosts-Datei auch noch als erstes befragt bei der Namensauflösung.

    Im übrigen bin ich WINS-Fan und halte diesen auch für 2k, XP und 2003 (Microsoft mittlerweile auch [wieder]) für recht wichtig.

    Das Posting unter Deinem, hades, spricht genau das an.

    Alles, was durch Benutzer über die Netzwerkumgebung oder per UNC zugegriffen wird, ist NetBIOS und wird somit ohne WINS gebroadcastet. Das macht die Geschichte langsam.

    Zu der anderen Frage: warum bei W2k das schneller ging? Klare Antwort: ich weiß es nicht.

    Gruß,

    pepper

  9. Missverständnis.

    Du musst an jedem Client die Zuordnung Servername ServerIP in die jeweilige hosts eintragen.

    Am Server kannst Du die einzelnen Clients auch in dessen hosts eintragen, musst Du aber nicht. Würd ich nur machen, wenn die Client-IPs auch immer gleich bleiben und der Server per netBIOS auf die Clients zugreifen muss.

    Gruß,

    pepper

  10. Hallo!

    Das Verbinden der Laufwerke nach dem Neustart der Clients passiert per Broadcast (Du schreibst jedenfalls nix von aktivem WINS bzw. DNS). Daher dauert das so lange. Die Zuordnung Name - IP wird von den Clients eine gewisse Zeit (10-15 Minuten) lokal in deren NetBIOS-Namecache vorgehalten.

    Wenn sie, wie Du schreibst, nach etwa einer Stunde erneut eine Verbindung dahin aufbauen wollen, dann geht das Broadcasting wieder von vorne los.

    Lösung: setz auf Deinem 2k3-Server einen WINS auf und registriere die Clients und den Server selbst natürlich auch dort.

    Gruß,

    pepper

    PS: Wenn Dir das zu stressig ist und die IP des Servers fix ist, dann mach einen Eintrag für den Server in die Hosts-Datei.

  11. Hallo!

    Situation:

    Eine NT4-Domäne, eine W2k3-Domäne, Vertrauensstellung dazwischen.

    Einzelne Benutzer der 2k3-Domänen können den Ressourcen-ACLs auf dem NT-Server hinzugefügt werden, klappt ohne Probleme.

    Frage: können dort auch Gruppen (globale Sicherheitsgruppen; zur Not auch andere Typen) hinzugefügt werden?

    Ist dafür möglicherweise die Domänenfunktionsebene Windows 2000 gemischt erforderlich?

    Thx und Gruß,

    pepper

  12. Hallo,

    also die Terminaldienste sind standardmäßig mitinstalliert; die werden für die Remotedesktopverbindung benötigt. Dass man für Win2k3 den Remotedesktop benutzt ist mir ziemlich klar, deswegen tu ich das ja auch. Steht ja auch da.

    In aller Klarheit: Es ist kein Terminalserver installiert, aber die (der) Dienst(e) laufen, weil die Remotedesktopverbindung diese braucht. Der betroffene Kunde baut Remotedesktopverbindungen zum Server auf, dennoch kommt die im 1. Posting genannte Fehlermeldung sporadisch, auch nach Serverneustart.

  13. Danke für die Antwort;

    kann man denn von Anwendungs- in Nicht-Anwendungsmodus switchen?

    Es íst eigentlich kein reinrassiger Terminalserver, die Terminaldienste werden lediglich (zu admin-Zwecken) für die Remotedesktopverbindung benötigt...

    Gruß,

    pepper

  14. Hallo allerseits!

    Ich muss ein wenig aus dem Gedächtnis schöpfen, also bitte die ein- oder andere Lücke entschuldigen:

    ein Kunde greift per Remotedesktopverbindung auf einen Win2k3 - Server zu. Offensichtlich nutzt er dazu mehrere PCs, jedenfalls hatte er das Limit von 2 gleichzeitigen Sitzungen bereits überschritten. Er hat die Sitzungen bisher auch nicht sauber getrennt, sondern immer geschlossen (x). Über die W2k3-eigene Terminaldiensteverwaltung hab ich ihm per Telefon gesagt, wie er inaktive Sitzungen trennen kann.

    Mittlerweile weiß er, wie's geht, allerdings bekommt er folgende Meldung:

    "Fenster-Überschrift: Terminaldienste - Warnung: Ihre temporäre Clientlizenz für die Terminaldienste läuft in 0 Tagen ab. Fordern Sie beim Systemadministrator eine permanente Lizenz an".

    Ich kann mit dieser Meldung wenig anfangen, die KB von MS lässt mich auch im Stich, weiß jemand auswendig Rat? Ich hab nämlich keinen Fernwartungszugriff auf diesen Server und muss immer per Telefon ran...

    thx und Gruß,

    pepper

  15. Hallo!

    Also über die Benutzerrechte allein kriegt man das so nicht hin.

    Öffne das Snap-In Gruppenrichtlinien, dort

    Computerkonfiguration

    Windows-Einstellungen

    Sicherheitseinstellungen

    Lokale Richtlinien

    Zuweisen von Benutzerrechten: hier die Einstellungen

    "Lokal anmelden" und "Lokale Anmeldung verweigern"

    überprüfen.

    Gruß,

    pepper

  16. Hallo!

    Nun, ein Zertifikat bekommst Du entweder von einer im Web erreichbaren Zertifizierungsstelle (=CA) oder von einer solchen, die möglicherweise im Unternehmensnetz installiert ist.

    Ab Windows 2000 besteht die Möglichkeit, über IPsec den Netzwerkverkehr zu verschlüsseln: Start, Ausführen: mmc

    Dort: Konsole (Datei) Snap-In hinzufügen, hinzufügen: IP-Sicherheitsrichtlinienverwaltung -> beim Server "lokaler Computer" auswählen, Fenster schließen.

    Du siehst innerhalb der MMC die drei Standardimplementierungen für IPsec-Verkehr:

    1. Client (nur Antwort): bedeutet, dass der Client keinen IPsec-Verkehr initiieren kann; wenn er aber danach gefragt wird, kann er auf IPsec-Ebene antworten und eine verschlüsselte Kommunikation ist möglich.

    2. Server (Sicherheit anfordern): bedeutet, dass dieser Rechner gerne IPsec machen würde; unterstützt der Kommunikationspartner dies, erfolgt die Kommunikation verschlüsselt, andernfalls eben nicht.

    3. Sicherer Server (Sicherheit erforderlich): bedeutet, dass die Gegenseite IPsec unterstützen muss, andernfalls lehnt der Server die Kommunikation ab.

    In der Standardeinstellung nutzt IPsec Kerberos als Authentifizierungsmethode; ist allerdings nur nützlich, wenn eine ActiveDirectory vorhanden ist (ActiveDirectory spricht Kerberos; wenn Du einen Client hast, der nicht in der Domäne ist, kann keine Authentifizierung desselben per Kerberos stattfinden und somit findet auch keine Kommunikation statt). Hier gibt es die Möglichkeit, Dein oben erworbenes Zertifikat als Authentifizierungsmethode anzugeben oder Du entscheidest Dich für einen sog. preshared key, der allerdings im Klartext innerhalb dieser IPsec-Richtlinie abgelegt wird und somit von jedermann mit Adminrechten ausgelesen werden kann (nicht soooo sicher).

    Nach erfolgter Authentifizierung (via Kerberos, Zertifikat oder preshared key) erfolgt die Kommunikation verschlüsselt (ESP - Encapsulating Security Payload).

    Noch Fragen?

    Dran denken, dass wenn Du eine Richtlinie wie oben (1., 2. oder 3.) auf dem Server einrichtest, dass Du auf den Kommunikationspartnern (Clients) ebenfalls Richtlinien (evtl. per GPO) verteilst/erstellst....

    Gruß,

    pepper

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...