Mar 312016
 

Eine schöne erklärung dazu warum bei einem Ordner das Versteckt Attribut bzw. die Option Versteckt nicht entfernt werden kann liefert folgender Artikel:

http://www.mediamill.de/blog/2010/02/05/entfernen-des-versteckt-hidden-attributs-von-einem-ordner-nach-einer-robocopy-aktion/

Java Updates auf TerminalServer deaktivieren

 Microsoft, Windows Server 2003, Windows Server 2008, Windows Server 2012  Comments Off on Java Updates auf TerminalServer deaktivieren
Jul 212015
 

Zu Folgendem RegistryKey navigieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Update\Policy\

Der Wert des DWORD EnableJavaUpdate muss auf 0 gesetzt werden! Zusätzlich kann man noch ein neues DWORD EnableAutoUpdateCheck anlegen und diesen Wert ebenfalls auf 0 setzten. Letzteres ist auch die offizielle Vorgehensweise als Fix von Oracle.

Jul 192015
 

A better fix

Just change your computer password using netdom.exe!

netdom.exe resetpwd /s:<server> /ud:<user> /pd:*

<server> = a domain controller in the joined domain

<user> = DOMAIN\User format with rights to change the computer password
May 152014
 

Sollte nach der Installation des Office Web Apps servers der Befehl New-OfficeWebAppsFarm immer einen Fehler bringen, das das Update KB2592525 benötigt, hilft folgender Artikel weiter:

http://erpcoder.wordpress.com/2013/03/04/office-web-apps-server-kb2592525-installation-failed/

 

DNS Server nachträglich zum ActiveDirectory hinzufügen

 Microsoft, Windows Server 2003, Windows Server 2008, Windows Server 2012  Comments Off on DNS Server nachträglich zum ActiveDirectory hinzufügen
Oct 172013
 

Damit ein nachträglich eingerichteter DNS Server die AD Informationen speichern kann, sind 2 Forward Lookup Zonen manuell anzulegen. Diese sind:

<AD Domainname>
_msdcs.<AD Domainname>

Diese beiden Zonen müssen sichere und unsichere Updates  zulassen. Nachdem diese Zonen angelegt wurden, muss auf dem Domänencontroller der Netlogon Dienst neugestartet werden:

net stop netlogon
net start netlogon

Danach sollte das DNS wie in folgender Abbildung zu sehen aussehen:

DNS-manuell-fuer-AD

 

 

Sep 202013
 

Clients in einem Windows Netzwerk nutzen als Zeitquelle Ihren Domänencontroller. Der erste Domänencontroller in einem Netzwerk erhält alle Betriebsmasterrollen, auch den PDC. Dieser dient in einem Netzwerk als zentraler Zeitserver, von dem alle weiteren Domänencontroller Ihre Zeit beziehen. Die Clients fragen dann immer den jeweiligen Domänencontroller ihres Standortes ab. Dadurch wird eine hierarische Struktur von Zeitservern aufgebaut. Jede Stufe erhöht den sogenannten Stratum Wert. Dieser Wert gibt an, auf welcher Ebene der Zeitserver steht. Die Atomuhr hat den Stratumwert 0. Der maximale Stratumwert ist 15.

In einem Netzwerk sollte der PDC eine externe Zeitquelle oder einen internen NTP Server abfragen, dieser sollte allerdings einen Stratumwert kleiner 11 erhalten. Dies ist aufgrund der Hierarchie innerhalb der Windows Domäne notwendig. Der PDC zählt diesen Wert bereits um 1 hoch und die weiteren Domänencontroller auf den nächsten Ebenen ebenso. Dadurch ist schnell der maximale Wert erreicht, wodurch die Clients keine Zeit mehr vom Domänencontroller erhalten können.

Mit dem Befehl

w32tm /query /source

kann kontrolliert werden von welcher Quelle der Client seine Zeit bezieht. Damit eine genaue Ausgabe erfolgt sollte der Befehl

w32tm /query /status

genutzt werden. Dieser gibt auch den zugehörigen Stratum Wert aus. Dieser sollte maximal 15 betragen. Als Referenz-ID sollte der Domänencontroller angegeben sein, an dem sich der Client anmeldet. Ist dies alles nicht der Fall, liegt ein Problem mit der Zeitsynchronisation vor. Dann sollte der Stratumwert auf den Domänencontrollern überprüft werden.

 

 

May 212013
 

Um unter Windows die Dienste in Abhängigkeit von anderen Diensten starten zu lassen ist eine Anpassung in der Registry notwendig. Alle Dienste werden in der Registry unter

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services

aufgeführt. In den Schlüsseln ist der Eintrag (REG_MULTI_SZ) DependOnService für die Abhängigkeiten verantwortlich. Erst wenn die dort aufgeführeten Dienste gestartet sind, startet auch der Dienst der gerade bearbeitet wird. Die Dienste sind mit dem entsprechenden Identifier in die Liste einzutragen. Für jede Dienstbezeichnung eine separate Zeile!!

 

Apr 242013
 

Problem:

Auf Fileservern sind Berechtigungen für Benutzer oder Gruppen vergeben worden. Diese wurden gelöscht und dadurch tauchen in den Sicherheitslisten der Dateien oder Ordner lange SID’s auf. Damit diese automatisiert entfernt werden können hat Helge Klein ein Tool entwickelt das diese arbeit erledigen kann:

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/

Die Befehlszeile für das entfernen der orphaned SID’s ist folgende:

setacl.exe -on c:\Ordner -ot file -actn delorphanedsids

Damit werden die verwaisten SID’s entfernt wodurch die Auflistung der Berechtigungslisten nicht mehr unnötig verzögert wird. Damit ein Netzwerkshare gescannt werden kann, ist statt file hinter -ot shr notwendig

Um eine Liste alle Ordner mit verwaisten SID’s zu erhalten kann folgende Befehlszeile verwendet werden:

setacl.exe -on c:\Ordner -ot file -rec cont -actn list -lst oo:y

Um eine CSV Datei zu erzeugen kann folgende Befehlszeile verwendet werden:

setacl.exe -on c:\Ordner -ot file -rec cont -actn list f:csv;oo:y > test.csv

Wichtig, die verwaisten (orphaned) Benutzer oder Gruppen dürfen nicht durch einen übergeordneten Ordner vererbt werden, diese können nicht gelöscht werden. Somit ist die Befehlszeile am besten am ersten Ordner in der Hierarchie auszuführen.

Dokumentation zu setacl

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/

Quelle: http://helgeklein.com

Fehler bei Domänenwechsel

 Windows 7, Windows Server 2003, Windows Server 2008  Comments Off on Fehler bei Domänenwechsel
Apr 152013
 

Bei einem Wechsel der Domäne kann folgende Fehlermeldung bei der Anmeldung auftreten:

Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstation.

Das Problem liegt dann an einem fehlerhaften Eintrag in der AD Datenbank. Dieser kann mittels ADSI Edit korrigiert werden.

Dazu muss auf einem Domänencontroller ADSI Edit gestartet werden (adsiedit.msc)

Danach das Computerkonto ausfindig machen und in die Eigenschaften wechseln.

Dort den Eintrag servicePrincipalName editieren.

Der Eintrag muss einen Eintrag mit

  • HOST/Rechnername
  • HOST/Rechnername.domäne.de

enthalten.

Danach den Computer neustarten. Nun sollte die Domänenanmeldung funktionieren.