Problem
Es gibt bestimmte Szenarien, in denen man die Default Domain Group Policy und/oder die Default Domain Controller Policy wiederherstellen muß. Das kann bei einer gelöschten/defekten GPO sein oder man hat die GPO so "verdreht", dass man nicht mehr weiß, wie die originalen Einstellungen waren.
Lösung
Mittels dem Tool DCGPOFix kann man diese beiden GPOs wieder auf Default-Werte zurücksetzen bzw. neu erstellen.
Syntax
DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]
/target: {Domain | DC | BOTH}
Optional. Spezifiziert das wiederherzustellende Gruppenrichtlinienobjekt. das Objekt der Standarddomänenrichtlinie, das Objekt der Standarddomänencontrollerrichtlinie, oder beide.
Problem
Der Internet Connection Wizard bleibt nach der Routerabfrage hängen. Wenn man den Wizard abbricht und das Logfile c:\program files\windows small business server\logs\ctiw.log
überprüft, findet man am Ende merhfach folgende Einträge:
[6208] 090421.222228.6798: CoreNet: New random IPv6 Address is fe80::51db:7007:45d6:ada1
[6208] 090421.222228.6798: CoreNet: Checking the IP conflicts for new address.
[6208] 090421.222233.6803: CoreNet: New random IPv6 Address is fe80::8e85:4dd0:e65d:e1d6
[6208] 090421.222233.6803: CoreNet: Checking the IP conflicts for new address.
Lösung
Das Problem hängt mit einem Problem im IPv6-Netzwerk zusammen. Der schnelle Workaround ist, eine der aufgeführten IPv6-Adressen aus dem Logifle herzunehmen und als feste IP-Adresse auf dem Server eintragen. Danach den Wizard nochmal durchführen und erfolgreich zum Abschluß bringen.
Seit ich unter NT den Internet Explorer 5 mit 128-Bit-Verschlüsselung (oder IE 5.5) installiert habe, verweigert das System die Installation eines Service-Packs. Ich soll die 128-Bit-Version des Service-Pack anwenden, die es gar nicht gibt. Was kann ich tun?
Lösung:
Laut Microsoft soll es möglich sein, die Installationsroutine des Service-Packs zu überlisten. Dazu muss man eine Datei aus dem Service-Pack vor dem eigentlichen Aktualisieren des Systems (bei der .EXE-Version mit der Option ‘/x’ starten) geeignet behandeln. In der Datei ‘update.inf’ ist dazu im Abschnitt [CheckSecurity.System32.files] der Verweis auf die Datei ‘Schannel.dll’ zu entfernen. Dies verhindert, so Microsoft, dass während der Installation die Versionsnummer dieser DLL überprüft wird.
Nach einem Reboot eines DCs werden die Ereignisse 1030 und 1058 im Ereignisprotokoll ständig geloggt:
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1030
Datum: 13.07.2006
Zeit: 15:21:41
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: Server
Beschreibung:
Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1058
Datum: 13.07.2006
Zeit: 15:21:41
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: Server
Beschreibung:
Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-*},CN=Policies,CN=System,DC=HC-Portal,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\HC-Portal.local\sysvol\HC-Portal.local\Policies\{31B2F340-016D-11D2-945F-*}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.
Ursache:
Das kann auftreten, wenn der DFS-Dienst und einige AD-Dienste vor einem Netzwerkkontakt gestartet werden.
Fehlerbehebung:
Replikationsdienste und Netlogon-Dienst neu starten.
Foglenden DFS-Befehl ausführen: dfsutil /PurgeMupCache
Folgender Registry-Eintrag hilft das Problem zu verhindern:
Starten von Regedit
Verbinden mit Netzwerkregistrierung (hier den betroffenen Server eingeben)
Navigieren zu: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
Setzen des Wertes von "fDenyTSConnections" auf "0"
Nun kann man sich mit dem Remotedesktop zum Server verbinden. Die 1. Anmeldung muß eventuell als Administrator des Servers erfolgen, um dann weiteren Nutzern den Remotezugriff zu erlauben.
In einigen Fällen kann nach dem Setzen des Eintrags ein Neustart erforderlich sein, bevor der Remotezugriff funktioniert.
Dies ist aus der Ferne mit shutdown -m \\Servername -r -f
Tipp: Das ganze funktioniert übrigens auch mit Windows XP Pro-Maschinen
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”