Hier findet Ihr eine FAQ, zusammengestellt aus aktuellen Fragen in den verschiedenen deutschsprachigen Windows 2000 Gruppen von msnews.microsoft.com
1. Meine Gruppenrichtlinien wirken nicht
2. Active Directory Installation meldet "Netzlaufwerk nicht erreichbar"
3. Wie kann ich Active Directory von meinem Client bedienen?
4. Übersicht über Fehlermeldungen
5. Ich kann auf meinem DNS Server keine Weiterleitung einrichten
6. Die Uhrzeit der Clients mit dem Server synchronisieren
7. Wie kann ich den Domänennamen einer Windows 2000 Domäne ändern?
8. Wie kann ich aus einer .exe Datei eine .msi Datei machen?
9. Ich habe in den Gruppenrichtlinien ein Anmeldescript hinterlegt, aber es funktioniert nicht.
10. Was versteht man unter "Komplexen Kennwörtern"?
11. Die Anmeldung meiner Windows 2000 Clients dauert ewig
12. Wie kann ich im AD die Namensanordnung von Vorname - Nachname auf Nachname, Vorname stellen?
14. Ich kann einen nicht mehr vorhandenen DC nicht aus der Domäne löschen
15. Wie kann ich die Sprache von meinem Windows 2000 umstellen?
16. Ich kann verschiedene Dateitypen nicht Offline Verfügbar machen.
1. Frage Ich habe diverse Einstellungen in den Gruppenrichtlinien vorgenommen, aber die Clients kriegen davon nichts mit. Wo muss ich drehen, damit das funktioniert?
Antwort: Nicht funktionierende Gruppenrichtlinien können verschiedene Ursachen haben:
1. Gruppenrichtlinien können nur Windows 2000 Professional, Windows 2000 Server oder Windows XP Professional Clients übernehmen. Systeme wie Windows ME, Windows 9x und Windows NT 4.0 können mit den Gruppenrichtlinien nichts anfangen.
2. Der korrekte Eintrag des DNS Servers ist für das funktionieren der Gruppenrichtlinien von hoher Bedeutung. Es muss der DNS Server sein, der die SRV-Records enthält. Dies ist meist der erste Domänencontroller welcher in der Domäne installiert worden ist.
Wenn ihr einen "nicht Windows 2000 DNS Server" einsetzt, ist es jener, auf dem manuell die SRV Einträge erstellt wurden.3. Überprüfe, ob Du im Zweig Benutzerkonfiguration oder Computerkonfiguration Eintragungen gemacht hast. Einstellungen in der Benutzerkonfiguration werden nur von Benutzerobjekten, die der Computerkonfiguration nur von Computerobjeken übernommen. Alle Gruppenobjekte werden - trotz des Namens "Gruppenrichtlinie" - stets ignoriert.
Außerdem werden alle Gruppenrichtlinien von Rechnern mit Windows NT4, 9x und ME ignoriert, gleich welcher Nutzer sich anmeldet. Hier mußt Du als Ersatz das 'gute, alte' Poledit benutzen.4. Überprüfe mit gpresult.exe welche Richtlinien am Client übermittelt werden. gpresult.exe ist ein Tool, welches kostenlos von Microsoft erhältlich ist, das die aktiven Richtlinien eines Clients und Benutzers auflistet.
2. Frage: Wenn ich versuche Active Directory auf einem Windows 2000 Server zu installieren, erhalte ich die Fehlermeldung "Das Netzlaufwerk ist nicht erreichbar. Weitere Informationen über die Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe". Was kann ich dagegen tun?
Antwort: Schließe an den Rechner ein Gerät mit aktiver LAN-Schnittstelle an (Zweiten PC, eingeschalteten Hub, Switch) dann funktioniert es. Active Directory, kann nur bei aktiver LAN-Verbindung installiert werden.
Alternativ kannst du auch den MS Loopback Adapter als NIC installieren, der keine physikalische Netzwerkverbindung benötigt.
3. Frage: Ich möchte nicht immer zum Server laufen um das Active Directory zu Administrieren. Wie kann ich Active Directory noch Administrieren?
Antwort: Installiere dir das adminpak.msi aus dem i386 Verzeichnis der Windows 2000 Server CD-ROM. Danach stehen alle Snap-Ins auch am Client zur Verfügung. Alternativ kannst du jedes Windows Service Pack mit dem Schalter -x entpacken. Dort findest du eine Aktualisierte Version von adminpak.msi. Auf jedem Windows 2000 Server findet sich im i386 Verzeichnis auch noch mal das adminpak.msi
Oder du installierst am Server die Terminal-Dienste im Remoteverwaltungsmodus. Dann können sich zwei Administratoren gleichzeitig auf den Server per Terminaldienst verbinden um dort Arbeiten durchführen zu können.
4. Frage: Wo gibt es eine Übersicht, über die ganzen Fehlermeldungen in der Ereignisanzeige?
Antwort: http://www.eventid.net Was besseres gibt es nicht!
5. Frage: Wie kann ich auf meinem DNS Server eine Weiterleitung einrichten? Dieser Punkt ist bei mir grau hinterlegt/deaktiviert.
Antwort: Lösche die "." (Punkt) Zone. Ist die "." (Punkt) Zone vorhanden, glaubt dein DNS Server, er sei Stammserver und somit allwissend. Wenn du diese Zone löscht, hast du keine Einschränkungen in irgendeiner Hinsicht zu erwarten.
In den Eigenschaften des DNS-Servers gibt es dann die Registerkarte "Weiterleitungen" und dort kann dann ein externer DNS-Server (zB der deines Providers) eingetragen werden. Alle Anfragen, die der Server dann nicht selbst beantworten kann, sendet er an den Internet Provider.
6. Frage: Wie kann ich an meinen Clients automatisch die Zeit mit meinem Server synchronisieren?
Antwort: Die Zeit wird von Clients (Windows 2000 Clients), welcher einer Windows 2000 Domäne angehören, automatisch mit dem Domänencontroller synchron gehalten. Man muss nur noch den Server konfigurieren, damit dieser die richtige Zeit hat. Dies geschieht folgendermaßen:
Mit diesem Befehl setzt du am Server die Zeitserver:
net time /setsntp:"ptbtime1.ptb.de ptbtime2.ptb.de"Zeitserver:
Physikalisch-Technische Bundesanstalt: ptbtime1.ptb.de
ptbtime2.ptb.de
auch in Österreich gibt es einen eigenen:
Universität Innsbruck: time1.uibk.ac.at
time2.uibk.ac.atMit w32tm.exe lässt sich dann die Zeit einstellen, wie oft die Synchronisation stattfinden soll. Mit w32tm -once wird die Zeit einmalig sofort synchronisiert.
7. Frage: Der Name meines Unternehmens hat sich geändert. Wie kann ich jetzt den Namen von Active Directory ändern?
Antwort: Gar nicht! Es gibt unter Windows 2000 keine Möglichkeit den Namen der Domäne zu ändern. Einzige Möglichkeit: Neuinstallation von Active Directory.
8. Frage: Ich möchte gerne meine Software per Gruppenrichtlinie verteilen, habe allerdings nur eine .exe Datei. Wie kann ich jetzt daraus eine .msi Datei machen?
Antwort: Installiere dir den WinINSTALL LE aus dem Verzeichnis \VALUEADD\3RDPARTY\MGMT\WINSTLE der Windows 2000 Professional/Server CD-ROM. Auch der Patch von Veritas ist zu empfehlen, er behebt einige Fehler des WinINSTALL LE. Download hier. Damit kannst du dann einen Vorher/Nacher-Snap Shot machen um ein .msi Paket zu erstellen. Es ist zu empfehlen, für jedes Paket einen komplett neu installieren PC zu verwenden.
9. Frage: Ich habe in den Gruppenrichtlinien ein Anmeldescript hinterlegt, welches von den Clients nicht ausgeführt wird. Was kann ich tun, damit dass funktioniert?
Antwort: Die Anmeldescripte gehören in einen ganz speziellen Ordner der Gruppenrichtlinie hinterlegt. Um herauszufinden, welcher Ordner das ist, gehe wie folgt vor:
Öffne deine Gruppenrichtlinie, gehe zu Computerkonfiguration/Benutzerkonfiguration, Windows-Einstellungen und hier dann auf Scripts. Hier dann auf Anmelden/Abmelden oder Starten/Herunterfahren je nachdem, ob du unter Benutzer- oder Computerkonfiguration bist. Doppelklick darauf. Hier gibt es dann links unten den Button "Dateien anzeigen". Genau dorthin gehören die Einzelnen Scripts hinterlegt und müssen natürlich in diesem Fenster auch "Hinzugefügt" werden. Sollte dies keine Wirkung haben, schau mal bei Frage 1 der FAQ vorbei.
Solltest du ein Anmeldescript direkt beim User eingetragen haben, dann muss das Script in der NETLOGON Freigabe liegen.
10. Frage: Wo finde ich Informationen, was "Komplexe Kennwörter" bedeuten?
Antwort: Hier natürlich ;-)
Es gibt 4 Kriterien, von denen mindestens 3 erfüllt sein müssen.
- Großschreibung
- Kleinschreibung
- Numerische Zeichen
- Sonderzeichen
- Länge immer mindestens 8 Zeichen
Siehe auch:
"HOWTO: Password Change Filtering & Notification in Windows NT"
http://support.microsoft.com/?kbid=151082
Sollte jemand das ganze in der Windows Hilfe suchen, findet man eine Beschreibung unter dem Stichwort "effiziente Kennwörter"
11. Frage: Die Anmeldung der Windows 2000 Clients an der AD-Domäne dauert ewig. Windows NT 4.0 Clients haben dieses Problem nicht. Woran kann das liegen?
Antwort: Überprüfe die Einstellungen des Netzwerkadapters. Windows 2000 Clients suchen nach einem DNS Server, ist dort keiner Eingetragen, dauert die Anmeldung sehr lange. Als DNS Server sollte der Domänencontroller verwendet werden.
12. Frage: Wie kann ich im AD die Namensanordnung von Vorname - Nachname auf Nachname, Vorname stellen um eine bessere Übersicht zu erhalten? Auch das Exchange Adressbuch wird dadurch geändert!
Antwort: Hierfür gibt es zwei zwei Möglichkeiten:
Microsoft hat hierfür einen tollen KB Artikel zur Verfügung gestellt, dort ist es sehr gut Beschrieben, wie man mit ADSIEdit von den Support Tools die Namen tauschen kann. Die Support Tools findet Ihr auf der Windows 2000 Server CD-ROM im Verzeichnis \Support\Tools
http://support.microsoft.com/?kbid=250455
Für bestehende User gibt es ein eigenes Script von Microsoft.
http://support.microsoft.com/?kbid=277717
(hab das Skript noch nicht ausprobiert)
Robert Pieroth hat ein eigenes Script geschrieben, welches auch den RDN ändert. Robert hat mir dieses Skript freundlicherweise zur Verlinkung freigegeben:
http://www.rpieroth.de/ChangeRDN.VBS
13. Frage: Mein einziger Domänencontroller funktioniert nicht mehr so richtig, daher muss ich diesen Neuinstallieren. Wie gehe ich da am besten vor?
Antwort: Bevor wir beginnen irgendwas zu tun ist unbedingt eine Datensicherung anzulegen.
Die bevorzugte (und auch die mit dem wenigsten Aufwand) Methode ist einen zweiten Rechner als "vorübergehenden" Domänencontroller zu installieren. Dabei den neu installierten Server zum Mitglied der Domäne machen und diesen mit dcpromo zu einem zusätzlichen DC der Domäne heraufstufen. Active Directory, die Gruppenrichtlinien, die Login-Scripts usw. werden schon mal Repliziert. DNS auch, aber nur dann wenn Active Directory Integrierte Zonen erstellt wurden. DHCP kann nicht repliziert werden, das muss manuell erfolgen und ist hier beschrieben:
How to Move a DHCP Database to Another Windows Server
http://support.microsoft.com/?kbid=130642
Wir müssen uns jetzt noch dem GC (Global Catalog) und den FSMO-Rollen (Flexible Single Master Operations) kümmern. Den zweiten Server wie folgt zum GC machen:
Active Directory Standorte und Dienste. Hier den Standort wählen, in welchem der vorübergehende DC installiert worden ist, hier finden sich dann auch NTDS-Settings und in den Eigenschaften dieser NTDS-Settings kann man den Haken für den Globalen Katalog aktivieren. Hier nochmals in Microsoft Schreibweise ;-) :
HOW TO: Create or Move a Global Catalog in Windows 2000
http://support.microsoft.com/?kbid=313994
Nun müssen unbedingt noch die FSMO-Rollen übertragen werden. Wie das funktioniert wird in diesem KB Artikel im Detail beschrieben:
HOW TO: View and Transfer FSMO Roles in the Graphical User Interface
http://support.microsoft.com/?kbid=255690
Für die "command-liner" unter euch gibt es das Verschieben der FSMO-Rollen natürlich auch per cmd:
Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain
Controller
http://support.microsoft.com/?kbid=255504
Solltet Ihr keine Active Directory Integrierten DNS Zonen haben, wird in diesem Artikel beschrieben, wie man die Zone manuell auf einen anderen Server transferiert:
HOW TO: Move Windows 2000 DNS Zones to Another Windows 2000-based Server
http://support.microsoft.com/?kbid=280061
In irgendeiner Phase der Umstellung auf den vorübergehenden DC muß das/die Wiederherstellungszertifikat/e gesichert werden, soweit dies noch nicht geschehen ist. Wie das geht ist hier beschrieben:
HOW TO: Back Up the Recovery Agent Encrypting File System Private
Key in Windows 2000
http://support.microsoft.com/?kbid=241201
Dazu mußt Du Dich unbedingt als builtin-Administrator bzw. als Wiederherstellungsagent an der Konsole oder über Terminal anmelden, die Option 'Ausführen als...' reicht nicht!"
14. Frage: Ich kann einen nicht mehr vorhandenen Domänencontroller nicht aus Active Directory löschen, ich erhalte die Fehlermeldung: Fehler 2094. Das DSA Objekt kann nicht gelöscht werden 0x2094
Wie kann ich diesen Eintrag aus dem AD löschen?
Antwort: Hier muss wieder mit der "Brechstange" ADSI-Edit gearbeitet werden. Hierfür gibt es auch wieder einen schönen KB-Artikel der die Entfernung dieses Eintrages im Detail Erklärt:
HOW TO: Remove Data in Active Directory After an Unsuccessful Domain Controller Demotion:
http://support.microsoft.com/?kbid=216498
15. Frage: Ich habe Windows 2000 Deutsch/Englisch oder andere Sprache und möchte gerne die Sprache auf Englisch/Deutsch oder eine andere Sprache ändern. Wie gehe ich vor?
Antwort: Dies ist leider nicht möglich. Es gibt zwar von Windows 2000 eine sogenannte MUI (Multi Language User Interface) Version, aber diese Version ist nur mit speziellen Lizenzverträgen von Microsoft erhältlich. Wenn du so eine Version hast, musst du nur die benötigten Sprachpakete installieren und dann kann die Sprache des Betriebssystems geändert werden. ACHTUNG: Es werden "nur" ca. 95% des Systems in der jeweils gewählten Sprache dargestellt. Einige elemente sind "Hardcodiert" und werden bei einer MUI-Installation nicht geändert.
16. Frage: Ich kann verschiedene Dateitypen nicht Offline Verfügbar machen. Wie kann ich das ändern?
Antwort: Folgende Dateien sind per Default nicht verfügbar:
db?; .ldb; .mdb; .mde; .mdw; .pst; .slm
Es ist zwar generell möglich alle Dateien Offline zur Verfügung zu stellen, diese Methode wird aber offiziell nicht supportet und kann auch Datenverlust mit sich bringen. Wer dennoch will, sollte sich folgenden KB-Artikel zu Gemüte führen:
http://support.microsoft.com/?kbid=252509
17. Frage: Wenn ich versuche mich am Domänencontroller mit einem Benutzer anzumelden erhalte ich die Fehlermeldung:
"Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden." Die selbe Fehlermeldung erhalte ich auch, wenn ich den Terminal Server installiert habe und dieser gleichzeitig Domänencontroller ist. Was kann ich dagegen tun?
Antwort: Wenn dein Domänencontroller kein Terminal Server ist, überlege dir gut, was du machst, das ist in meinen Augen ein großes Sicherheitsrisiko. Auch ist ein Domänencontroller der gleichzeitig Terminal Server ist, aus Sicherheitsgründen nicht zu empfehlen.
Zum ändern dieser Einstellung, gehe wie folgt vor:
GPO für Domänencontroller unter
Computerkonfiguration
Windows-Einstellungen
Lokale Richtlinien
Zuweisen von Benutzerrechten
in der Richtlinie "Lokal anmelden" die User hinzufügen, die den Zugriff benötigen.
18. Frage: Warum gibt es unter Windows 2000 die Bezeichnungen PDC (Primary Domain Controller) und BDC (Backup Domain Controller) nicht mehr?
Antwort: Unter Windows NT 4.0 Server hat es für Domänencontroller die Bezeichnung PDC und BDC gegeben. Der PDC war der Master in der Domäne und der einzige DC, welcher mit Schreibberechtigung ausgestattet war. Daher konnten alle Änderungen in einer Domäne nur auf dem PDC durchgeführt werden.
Mit Windows 2000 wurde dieses System abgeschafft und alle Domänencontroller wurden so genannte "gleichberechtigte Peers". Damit ist es nun möglich Änderungen an der Domäne an jedem Domänencontroller vorzunehmen. Alle Domänencontroller sind bis auf die FSMO (Flexible Single Master Operations) Rollen und den GC (Global Catalog) gleich.
