pepper

Hi,

das ist bei jedem Winxp der Fall; sobald Du per Remotedesktop darauf verbindest, wird der aktuelle Benutzer abgemeldet. Dafür gibt es auch keine Einstellungsmöglichkeit, was Du für Deinen Zweck brauchst ist ein Terminalserver.

Gruß,

pepper

Nein, das geht nicht.

U.a. wegen der geltenden Boardregeln.

Gruß,

pepper

Hi nochmal,

@wicked:

wie gesagt, zusätzliche Hardware steht nicht zur Verfügung.

@janlutmeh:

Klingt gut, die Möglichkeit mit dem /adv hatte ich gar nicht in Betracht gezogen, thx. Könnte mir vorstellen, dass ich auf dem 2000er zunächst forestprep und domainprep laufen lasse, danach den SystemState sichere und nach der Neuinstallation per /adv die Sachen zurückhole....

Warum solls denn eigentlich kein In-Place Upgrade sein? An der Hardware kanns ja nicht liegen? Alternative wäre doch nach einer Sicherung des W2K Server:

In-Place Upgrade auf W2K3, Sicherung der Daten (Anwendungen, User, etc) und des AD wie auch Registry und anschliessende Neuinstallation und einplflöege der AD.

Das In-Place-update fällt aus, da es sich um den Server eines Kunden handelt, der bei uns gereinigt und neu installiert wird. Hinzu kommt, dass es (wie "kleineren" Kunden üblich) noch viele bunte Datenbanken gibt, die es sauber zu portieren gilt, heisst, da kommt quasi zwischenzeitlich ein Übergangsserver (nicht-DC) hin.

Is alles bissel kompliziert, aber schon richtig so.

thx @ all.

Gruß,

pepper

Hi,

folgendes Szenario:

ein Windows 2000 DC soll neu installiert (nicht aktualisiert) werden auf Windows Server 2003. Es gibt nur diesen einen DC.

Wie kriege ich das Active Directory auf den neu installierten W2k3-DC?

Beachte: die Möglichkeit, einen zweiten DC in die derzeitige Domäne zu hängen und Active Directory darauf zu replizieren besteht mangels Hardware nicht.

Mir ist bekannt das ntbackup beim SystemState AD mit sichert, allerdings geht es um die Frage, ob beim Wiederherstellen des SystemState (neu installierter 2k3-DC im Verzeichnisdienste-wiederherstellen-Modus gestartet) sich "nur" das AD auswählen lässt oder ob die gesamte Registry und was sonst noch im SystemState drinsteht, zurückgesichert wird...

Jemand weiß was?

Gruß,

pepper

Servus,

eine allgemeingültige Antwort auf diese Frage zu geben, wird schwierig, wenn nicht gar unmöglich sein. Wie die Verbindung mehrerer Standorte realisiert werden soll, hängt im Wesentlichen von den Anforderung des Kunden ab, und da gibt es viele mögliche Faktoren:

- standortübergreifender Zugriff?

- Struktur und Design des/der Verzeichnisdienste(s)?

- Positionierung der Ressourcen

- [...]

Um rein auf nennen wir es mal "Layer 1" Standorte zu verbinden, eignet sich von der 56 Kb-Wählverbindung bis zur gemieteten T3-Strecke alles. Wenn es den Kundenanforderungen gerecht werden, in einen gewissen finanziellen Rahmen bleiben und technisch auch noch machbar sein soll, dann müsste man zunächst die obigen und sicherlich auch noch ein paar weitere Fragen beantworten....

Gruß,

pepper

So, ich hab nochmal nachgeschaut: ich bin nicht sicher, ob ldifde csv-Dateien als Eingabedateien akzeptiert. Müsstma mal ausprobieren.

Speichere nach Bearbeiten der Eingabedatei in einem Editor die Datei mit der Endung *.LDF; danach an der Kommandozeile gleiche Syntax wie oben, optional mit dem Schalter -k, damit Fehler beim Importvorgang ignoriert werden:

C:\>ldifde -i -k -f Dateiname.ldf

Gruß,

pepper

Hallo!

Ich vermute ein Problem mit der Syntax innerhalb Deiner csv-Datei; um da was genauer dazu sagen zu können, müsstest Du den Anfang jener Datei hier mal posten.

Gruß,

pepper

Hallo allerseits,

eine etwas seltsame Kundenanforderung:

die Online-Zeit der einzelnen Benutzer soll mitprotokolliert werden, so dass am Ende des Monats etwa gesagt werden kann, wer wie lange gesurft hat.

Wie gesagt, der Kunde will das so, datenschutzrechtlich ist er informiert und sich auch dessen bewusst, dass jemand, der 8 Stunden täglich Webradio hört, nicht zwangsläufig sonstwo rumsurft.

Es dürfen ruhig kostenpflichtige Drittanbieter-Tools genannt werden...

Gruß,

pepper

Hi,

was googlest Du, wenn Du was von Microsoft willst?

Deren Adresse lautet http://www.microsoft.com.

Windows XP (Pro!) schafft 4 GB RAM und 2 CPUs.

Quelle: WinXP Produktseite.

Für Windows 2000 solltest Du dort auch fündig werden.

Grüße,

pepper

Danke für die Antwort,

so in etwa hatte ich mir das schon gedacht.

Schade, dass man beim Hinzufügen von Einträgen in die ACLs nicht die Möglichkeit hat (auf der NT-Maschine), Gruppen aus der 2k3-Domäne hinzuzufügen. Unter "Pfade" ist schon die korrekte Domäne ausgewählt.

Aber gut zu wissen, dass die Domänenfunktionsebene nur in der eigenen Domäne gilt und nicht (wie ich erst angenommen habe) in der Gesamtstruktur.

Thx nochmal und Gruß,

pepper

Die Moeglichkeit der hosts-Datei gibt es.

Ein DNS-Server ist vom Administrationsaufwand her einfacher zu handhaben und auch zuverlaessiger.

Denn mit der Verwendung von hosts-Dateien muss sichergestellt werden, dass diese Datei stets auf allen Clients aktuell ist.

WINS-Server bzw. lmhosts-Dateien werden nicht benoetigt, diese sind nur bei NT4 und Win9x zwingend erforderlich.

Stimme voll und ganz zu. Halte es aber die Benutzung der Hosts-Datei für schneller erklärt. Über DNS und dessen korrekte Einrichtung könnte man problemlos 14 Tage pausenlos berichten.

Außerdem wird die Hosts-Datei auch noch als erstes befragt bei der Namensauflösung.

Im übrigen bin ich WINS-Fan und halte diesen auch für 2k, XP und 2003 (Microsoft mittlerweile auch [wieder]) für recht wichtig.

Das Posting unter Deinem, hades, spricht genau das an.

Alles, was durch Benutzer über die Netzwerkumgebung oder per UNC zugegriffen wird, ist NetBIOS und wird somit ohne WINS gebroadcastet. Das macht die Geschichte langsam.

Zu der anderen Frage: warum bei W2k das schneller ging? Klare Antwort: ich weiß es nicht.

Gruß,

pepper

Entweder oder

Missverständnis.

Du musst an jedem Client die Zuordnung Servername ServerIP in die jeweilige hosts eintragen.

Am Server kannst Du die einzelnen Clients auch in dessen hosts eintragen, musst Du aber nicht. Würd ich nur machen, wenn die Client-IPs auch immer gleich bleiben und der Server per netBIOS auf die Clients zugreifen muss.

Gruß,

pepper

Nein, die Hosts ist so was ähnliches wie Lmhosts.

Zu finden untern %systemroot%\system32\drivers\etc

Die Datei bearbeiten und einen Eintrag entsprechend dem dort vorgegebenen, auskommentierten Beispiel vornehmen und abspeichern. Mit Abspeichern werden die Zuordnung direkt in den DNS-Cache des Clients geladen.

Gruß,

pepper

Hallo!

Das Verbinden der Laufwerke nach dem Neustart der Clients passiert per Broadcast (Du schreibst jedenfalls nix von aktivem WINS bzw. DNS). Daher dauert das so lange. Die Zuordnung Name - IP wird von den Clients eine gewisse Zeit (10-15 Minuten) lokal in deren NetBIOS-Namecache vorgehalten.

Wenn sie, wie Du schreibst, nach etwa einer Stunde erneut eine Verbindung dahin aufbauen wollen, dann geht das Broadcasting wieder von vorne los.

Lösung: setz auf Deinem 2k3-Server einen WINS auf und registriere die Clients und den Server selbst natürlich auch dort.

Gruß,

pepper

PS: Wenn Dir das zu stressig ist und die IP des Servers fix ist, dann mach einen Eintrag für den Server in die Hosts-Datei.

Hallo!

Situation:

Eine NT4-Domäne, eine W2k3-Domäne, Vertrauensstellung dazwischen.

Einzelne Benutzer der 2k3-Domänen können den Ressourcen-ACLs auf dem NT-Server hinzugefügt werden, klappt ohne Probleme.

Frage: können dort auch Gruppen (globale Sicherheitsgruppen; zur Not auch andere Typen) hinzugefügt werden?

Ist dafür möglicherweise die Domänenfunktionsebene Windows 2000 gemischt erforderlich?

Thx und Gruß,

pepper

Hallo,

also die Terminaldienste sind standardmäßig mitinstalliert; die werden für die Remotedesktopverbindung benötigt. Dass man für Win2k3 den Remotedesktop benutzt ist mir ziemlich klar, deswegen tu ich das ja auch. Steht ja auch da.

In aller Klarheit: Es ist kein Terminalserver installiert, aber die (der) Dienst(e) laufen, weil die Remotedesktopverbindung diese braucht. Der betroffene Kunde baut Remotedesktopverbindungen zum Server auf, dennoch kommt die im 1. Posting genannte Fehlermeldung sporadisch, auch nach Serverneustart.

Danke für die Antwort;

kann man denn von Anwendungs- in Nicht-Anwendungsmodus switchen?

Es íst eigentlich kein reinrassiger Terminalserver, die Terminaldienste werden lediglich (zu admin-Zwecken) für die Remotedesktopverbindung benötigt...

Gruß,

pepper

Hallo allerseits!

Ich muss ein wenig aus dem Gedächtnis schöpfen, also bitte die ein- oder andere Lücke entschuldigen:

ein Kunde greift per Remotedesktopverbindung auf einen Win2k3 - Server zu. Offensichtlich nutzt er dazu mehrere PCs, jedenfalls hatte er das Limit von 2 gleichzeitigen Sitzungen bereits überschritten. Er hat die Sitzungen bisher auch nicht sauber getrennt, sondern immer geschlossen (x). Über die W2k3-eigene Terminaldiensteverwaltung hab ich ihm per Telefon gesagt, wie er inaktive Sitzungen trennen kann.

Mittlerweile weiß er, wie's geht, allerdings bekommt er folgende Meldung:

"Fenster-Überschrift: Terminaldienste - Warnung: Ihre temporäre Clientlizenz für die Terminaldienste läuft in 0 Tagen ab. Fordern Sie beim Systemadministrator eine permanente Lizenz an".

Ich kann mit dieser Meldung wenig anfangen, die KB von MS lässt mich auch im Stich, weiß jemand auswendig Rat? Ich hab nämlich keinen Fernwartungszugriff auf diesen Server und muss immer per Telefon ran...

thx und Gruß,

pepper

Servus,

was CWShredder nicht findet, findet HijackThis: Download-Link bei chip.de.

Bitte mit Vorsicht genießen und sich die gefundenen Schlüssel vorm Löschen ansehen, sonst sind bspw. Google- oder sonstige Toolbars auch weg.

Gruß,

pepper

Hallo!

Also über die Benutzerrechte allein kriegt man das so nicht hin.

Öffne das Snap-In Gruppenrichtlinien, dort

Computerkonfiguration

Windows-Einstellungen

Sicherheitseinstellungen

Lokale Richtlinien

Zuweisen von Benutzerrechten: hier die Einstellungen

"Lokal anmelden" und "Lokale Anmeldung verweigern"

überprüfen.

Gruß,

pepper

Hallo,

für einen standalone Rechner geht das meiner Ansicht nach nicht (ohne weiteres). Hängt er aber in einer Domäne, sollte es kein Problem sein. In diesem Fall sind Deine Suchbegriffe Gruppenrichtlinien und Sicherheitsfilter.

Gruß,

pepper

Hallo,

mit nbtstat liest Du nur den NetBIOS-Namecache des Servers aus; heißt aber, dass Du bloß MS-Clients sehen kannst.

Geöffente Dateien mit Boardmitteln anzeigen: Rechtsklick Arbeitsplatz -> Verwalten -> Freigegebene Ordner.

Darunter sind Freigaben, aktuell verbunde PCs und geöffnete Dateien zu sehen.

Gruß

Hallo!

Nun, ein Zertifikat bekommst Du entweder von einer im Web erreichbaren Zertifizierungsstelle (=CA) oder von einer solchen, die möglicherweise im Unternehmensnetz installiert ist.

Ab Windows 2000 besteht die Möglichkeit, über IPsec den Netzwerkverkehr zu verschlüsseln: Start, Ausführen: mmc

Dort: Konsole (Datei) Snap-In hinzufügen, hinzufügen: IP-Sicherheitsrichtlinienverwaltung -> beim Server "lokaler Computer" auswählen, Fenster schließen.

Du siehst innerhalb der MMC die drei Standardimplementierungen für IPsec-Verkehr:

1. Client (nur Antwort): bedeutet, dass der Client keinen IPsec-Verkehr initiieren kann; wenn er aber danach gefragt wird, kann er auf IPsec-Ebene antworten und eine verschlüsselte Kommunikation ist möglich.

2. Server (Sicherheit anfordern): bedeutet, dass dieser Rechner gerne IPsec machen würde; unterstützt der Kommunikationspartner dies, erfolgt die Kommunikation verschlüsselt, andernfalls eben nicht.

3. Sicherer Server (Sicherheit erforderlich): bedeutet, dass die Gegenseite IPsec unterstützen muss, andernfalls lehnt der Server die Kommunikation ab.

In der Standardeinstellung nutzt IPsec Kerberos als Authentifizierungsmethode; ist allerdings nur nützlich, wenn eine ActiveDirectory vorhanden ist (ActiveDirectory spricht Kerberos; wenn Du einen Client hast, der nicht in der Domäne ist, kann keine Authentifizierung desselben per Kerberos stattfinden und somit findet auch keine Kommunikation statt). Hier gibt es die Möglichkeit, Dein oben erworbenes Zertifikat als Authentifizierungsmethode anzugeben oder Du entscheidest Dich für einen sog. preshared key, der allerdings im Klartext innerhalb dieser IPsec-Richtlinie abgelegt wird und somit von jedermann mit Adminrechten ausgelesen werden kann (nicht soooo sicher).

Nach erfolgter Authentifizierung (via Kerberos, Zertifikat oder preshared key) erfolgt die Kommunikation verschlüsselt (ESP - Encapsulating Security Payload).

Noch Fragen?

Dran denken, dass wenn Du eine Richtlinie wie oben (1., 2. oder 3.) auf dem Server einrichtest, dass Du auf den Kommunikationspartnern (Clients) ebenfalls Richtlinien (evtl. per GPO) verteilst/erstellst....

Gruß,

pepper

Das ist das verwunderliche: sämtliche Berechtigungen wurden an die neuen Benutzer vergeben

@ cujo: ja, die alten SIDs sind alle rausgeflogen.

Wir sind mittlerweile so weit, dass wir komplett neue Profile erstellen werden müssen... :confused:

Gruß