Jul 26 2010

Nerviger „Connexant Smart Audio“ Treiber auf dem ThinkPad X200 Tablet

Category: Nerviges,Technik,Thinkpad,Windowsadmin @ 6:30 pm

Nach einem Treiberupdate am Wochenende hatte ich das nervige Problem, daß mit jedem anmelden, aufwachen aus dem Ruhezustand, etc. die „SmartAudio.exe“ gestartet wurde. Soweit kein Problem, es funktioniert (auch wenn es meiner Meinung nach unnötig Ressourcen verbraucht). Schlimm wirds erst, wenn man die Funktion „Benutzer wechseln“ benutzt – dann läuft SmartAudio nämlich schon, wird aber nochmal gestartet und meckert dann rum.

Was nun? Eine Google-Suche brachte wenig erhellendes. Also Hirn anschmeißen und selber eine Lösung suchen.

Erste Idee: Das Ding steht im Autostart. Stimmt auch, ist so (Unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run).

Also flott gelöscht und gefreut – aber weit gefehlt, das Problem bleibt, nur daß die SmartAudio.exe plötzlich nicht mehr in meinem Userkontext läuft, sondern als „LOCAL SYSTEM“ (!). Huppsa, ein Control Panel für die Audiokarte mit Systemrechten? Das geht mal ü-ber-haupt nicht.

Also habe ich als Workaround erstmal die SmartAudio.exe umbenannt. Leider ohne Erfolg, jetzt meckert die SAIICpl.exe, daß es die SmartAudio.exe nicht gibt. Außerdem tut auch das SmartAudio Control Panel nicht mehr, das hätte ich aber schon gerne behalten. Also: Nochmal genauer suchen, wo das Zeug gestartet wird.

Der Fehler ist schon mal ein schöner neuer Hinweis, es wird also irgendwo die SAIICpl.exe gestartet, die dann die SmartAudio.exe nachstartet. Damit ist klar, warum die Suche nach der SmartAudio.exe keine weiteren Ergebnisse brachte. Nur: Wo wird das Ding gestartet?

Nach einiger Suche bin ich dann in der Registry fündig geworden – beim Lenovo Power Management Treiber. Der kann nämlich – um z.B. nach dem Ruhezustand eine Karte neu zu initialisieren – Programme anstarten. Das macht er dann auch mit der SAIICpl.exe, und zwar nicht nur bei einem Powemanagement-Event, sondern auch beim an- oder abmelden.

Um das Problem loszuwerden, reicht es folgenden Schlüssel zu löschen:

HKEY_LOCAL_MACHINE\SOFTWARE\LENOVO\Energy Management\SmartAudio

Damit ist dann endlich Ruhe – ganz ohne umbenennen der Dateien und ohne die Funktionalität zu verlieren. Und dank jetzt nicht mehr permanent laufender SmartAudio.exe spart man auch noch Ressourcen.

Irgendwelche Einschränkungen konnte ich nicht feststellen, bei mir tut alles wie bisher auch.

Schlagwörter: , , ,


Jan 21 2010

Microsoft User Account Control

Category: Diversesadmin @ 12:04 am

Wir haben heute in der Firma einen Fileserver umgezogen – von Server 2003 auf Server 2008 R2. Dabei hatte ich wiedermal ein Erlebnis der 3. Art mit der beschissensten Idee, die Microsoft je hatte: Der User Account Control, kurz UAC.

Erstmal eine kurze Erklärung, was die UAC überhaupt ist:

Die UAC ist Microsofts Antwort auf den Schrei nach Sicherheit. Leider ist das Konzept dahinter grundlegend falsch aufgebaut. Windows ist ab NT 3.1 aufwärts ein Multiuser-Betriebssystem, das eine recht ausgefeilte Steuerung von Benutzerrechten zuläßt. Man kann Benutzer mit fast jeder beliebigen Kombination von Rechten auf alles mögliche bauen. Zu den von daheim bekannten Standard-Typen Administrator, Hauptbenutzer, Benutzer und Gast kommen in Active-Directory-Umgebungen noch unzählige weitere dazu, da gibt es dann z.B. Backup-Operatoren oder Schema-Administratoren. Das würde es prinzipiell erlauben, Benutzer zu bauen, die genau die Rechte haben, die sie brauchen. Zudem kann man jedem Benutzer die Rechte auch erweitern, indem man auf entsprechende Objekte (Dateien, Registry-Keys, Dienste, etc.) einzeln Rechte gemäß den Anforderungen einer Anwendung selektiv vergibt.

Microsoft hat leider aber in der Vergangenheit schon bei der Installation alle Benutzer zu „Administratoren“ gemacht. Unix/Linux-Admins lächeln darüber schon, seit es Windows gibt, unter Unix ist es nämlich üblich, daß „root“ nur ausgewählte Personen bekommen, und selbst die nutzen „root“ nur im Ausnahmefall. Alle anderen bekommen normale Benutzerrechte, die ggf. erweitert werden.

Um jetzt möglichst „rückwärtskompatibel“ zur „Alle sind Admin“-Ära zu bleiben, hat Microsoft was neues erfunden: Die UAC.

Die UAC ist ein Dienst, der überwacht, welche Rechte ein User zu verwenden versucht. Will er Administrieren, dann fragt die UAC „Wollen Sie das wirklich?“ und erlaubt oder verweigert das Ausführen der Funktion. Microsoft geht hier also den Weg, daß der User Administrator ist, dann aber diese Rechte doch nicht ausüben darf.

Das hat zur Folge, daß zum einen sehr seltsame Verhaltensweisen des Betriebssystems entstehen (kommt später, das hatten wir heute…) und zum anderen der User noch immer zu viele Rechte hat – sie werden ihm ja nicht genommen, nur das Ausführen eines Programmes, das sie anfordert, wird ggf. verhindert.

Viel besser wäre es gewesen, echte eingeschränkte Benutzer zu erstellen – Ab Vista kann man sich problemlos zweimal anmelden, mit der schnellen Benutzerumschaltung kein Problem. Will man was installieren, meldet man sich als Admin an, installiert, meldet sich wieder ab und macht mit der anderen Sitzung einfach da weiter, wo man aufgehört hat. Kein Problem. Alternativ hätte auch Microsoft ein Tool wie SuRun entwickeln können, das bei Bedarf für einzelne Applikationen Admin-Rechte aktiviert, auch wenn der Benutzer nur eingeschränkte Rechte hat, analog einem „SU“ unter Unix. Die Funktionen, um es richtig zu machen, sind seit NT 3.1 da, also warum nutzen sie sie nicht, sondern erfinden was neues?

In meinen Augen ist die UAC die dämlichste Erfindung, die Microsoft jemals gemacht hat. Man doktort im Namen der heiligen Rückwärtskompatibilität wieder nur an den Symptomen rum, statt das zugrundeliegende Problem zu beheben. Was ist so schwer daran, es einfach richtig zu machen und den Supprt für Uralt-Apps endlich mal über Bord zu werfen? Zumal es für die ja seit Windows 7 den äußerst praktischen XP-Mode gibt, über den man das ja auch elegant lösen könnte. Also hätte man es ja wenigstens mit Windows 7 endlich richtig machen können.

So, jetzt zu meinem Erlebnis. Wir haben wie gesagt die Fileserver von 2003 R2 auf 2008 R2 umgezogen. Das ging soweit auch glatt. Wir haben die alten Maschinen runtergefahren, die Maschinenaccounts in der Domäne zurückgesetzt, die neuen Server mit den Accounts verbunden, im SAN die LUNs (Platten) umgehängt. Alles soweit kein Problem. Server neugestartet, Platten da. Soweit sah alles gut aus – noch schnell die Laufwerksbuchstaben umgebaut, fertig. Shares anlegen.

Soweit kamen wir. Der erste Klick im Explorer brachte die Ernüchterung: Die Platten waren zu sehen, aber beim Klick drauf: „Access Denied“. Hm. Wieso jetzt das? Wir haben die Maschinenaccounts – also auch die SID – übernommen. Das muß gehen. Wir haben alles probiert, inklusive ändern des Besiters der Dateien. Kein Zugriff.

Zum Glück hatte ich einen Consultant vorgewarnt, daß wir evtl. Hilfe brauchen. Er schaute sich das an, hat kurz nachgedacht, ein paar Sachen probiert und meinte dann: „Habt ihr die UAC abgeschaltet“?

Ich wäre nicht mal drauf gekommen, daß es die auf einem Server überhaupt gibt, geschweige denn, daß sie für einen Domänen-Admin-Account aktiv ist. Aber: Sie ist es. Und sie verhindert zuverlässig jeglichen Zugriff auf korrekt eingebundene und berechtigte Laufwerke, nur, weil sie nicht mit diesem Rechner erzeugt wurden.

Ich habe daraus wieder etwas gelernt: Ich werde morgen als erstes eine Domänenrichtlinie bauen, die die UAC für Server zwangsweise deaktiviert. Nochmal passiert mir das nicht.

Auf dem Arbeitsplatzrechner ist die UAC schon fragwürdig, aber auf einem Server ist sie störend und verursacht nur Probleme. Das ist in etwa wie die unselige „Verstärkte Sicherheitskonfiguration“ für den Internet-Explorer. Das Ding macht auch mehr Probleme, als es löst, weil man – ist die Option aktiviert und installiert man danach einen IE7 oder IE8 – plötzlich einiges nicht mehr tun kann, was im ersten Moment nicht mit dem IE in Verbindung zu bringen ist, z.B. das Ausführen von Executables auf einem Netzlaufwerk im LAN.


Nov 21 2009

Frauen in rot…

Category: Diversestrekkie22 @ 11:56 pm

Ich schaue eben mal wieder „Captain Future“. Dabei fällt mir auf, daß die Macher von Zeichentrickserien Bezug auf Frauen wohl eine Vorliebe für hautenge rote Kleidung haben (oder zumindest hatten, die Zeichentrickserien, auf die ich mich beziehe, sind ja schon älter…). Ich sehe jedenfalls für mein Gefühl überdurchschnittlich oft rote Klamotten an den Frauen…

Ohne nachzudenken fallen mir da schon gleich mehrere Beispiele ein:

Joan Landor in „Captain Future“ (Japan): Hautenge rote Uniform:

Joan Lander (Aus der Zeichentrickserie "Captain Future")

April Eagle in „Saber Rider und die Star Sheriffs“ (Japan/USA), wahlweise mit oder ohne Kampfanzug – hauteng und rot ist es immer: April Eagle (aus der Zeichentrickserie "Saber Rider und die Star Sheriffs")

Und auch bei der „Princess of Power“ „She Ra“ (USA) wird man fündig: „She-Ra“ ist als Adora überwiegend in rot gekleidet, verwandelt in She-Ra bleibt davon immerhin noch das rote Cape übrig:
She-Ra / Adora (aus der Zeichentrickserie "She-Ra")

Weiteres Beispiel, diesmal aktueller: Im Film „Die Unglaublichen“ (USA) sind die Anzüge allgemein rot – also auch die von Elastigirl und Violetta (ist das jetzt Zufall, oder sind die alle rot, weil die der Frauen rot sein mußten? 😉 Ein Schelm, wer böses dabei denkt…).

Ich werde weiter drauf achten und Beispiele ergänzen. 🙂


Sep 16 2009

Und wieder mal ein neues Spielzeug.

Category: Techniktrekkie22 @ 8:31 pm

Ich habe mir ein neues Gadget geleistet. Nachdem ich oft Probleme mit meinem Palm hatte mit Abstürzen, PalmOS „out“ ist und der Pré noch nicht in Sicht, habe ich mir einen iPod Touch 2G mit 8GB Flash geleistet.

Mein erster Eindruck: Geil.

Mein zweiter Eindruck: iTunes nervt. Der iPod ist immer noch geil.

Der dritte Eindruck: iTunes nervt noch immer, der iPod selber ist noch immer geil… 😀

Ich werde wohl auf iPod + Handy umsteigen und den Palm Centro damit ersetzen. Ich habe im AppStore so ziemlich alle Apps gefunden, die ich auch auf dem Palm habe. Der Palm wird sicher als „Fallback“ bleiben, aber das Gerät der Wahl ist in jedem Fall der iPod. 🙂


Jun 21 2009

Nervigster Werbespot aller Zeiten…

Category: Fernsehen,Nerviges,Werbungtrekkie22 @ 9:32 pm

… ist wohl der aktuelle Heino-Klarmobil-Werbespot.

Mobilfunk-Werbspots zeichnen sich allgemein nicht durch Originalität aus, meistens sind sie aber einfach nur langweilig. Nicht so bei Klarmobil. Deren Spots sind schrill und laut – und statt langweilig ist man nach den ersten fünf Sekunden genervt. Hauptsächlich wegen der blödsinnigen Rumbrüllerei des „Hauptdarstellers“, der alle anderen Mobilfunkanbieter über einen Kamm schert und zu Abzockern stempelt. Schlimmer gehts glaube ich nimmer.

Die können noch so günstige Tarife haben, ich würde keinen nehmen – allein nur weil ich die Werbespots so dermaßen nervig finde, daß ich keinen Grund sehe, dieses Unternehmen auch noch dabei zu unterstützen, daß sie mich mit diesen Spots nerven. Mittlerweile ja sogar im Kino.

Dazu kommt noch, daß Werbung allgemein zu laut ist. Warum ist mir schleierhaft, die Sender zwingen mich dadurch, daß sie die Werbung 20% lauter ausstrahlen als die eigentliche Sendung, dazu, zur Fernbedienung zu greifen. Und wenn ich die schon mal in der Hand habe, kann ich auch gleich umschalten. Irgendwie kontraproduktiv…

Die einzige halbwegs gute Werbung in den letzten Jahren war in meinen Augen die ThyssenKrupp-Werbung mit den Kindern, die die Arbeit ihrer Eltern vorstellen – die hatte Stil und war nicht langweilig. Ich wünsche mir die Tage witziger, einfallsreicher Werbung zurück. Sowas wie das HB-Männchen. Wenn es solche Spots wieder gäbe, würde ich vielleicht sogar gern die ein- oder andere Werbung anschauen.

Schlagwörter: ,


Mai 11 2009

Neue Spielzeuge

Category: Diversestrekkie22 @ 10:23 pm

Schon zu Weihnachten habe ich mir neues Spielzeug geleistet. Nachdem ich jetzt ein bischen Zeit hatte um Erfahrungen zu sammeln, ist das die Gelegenheit, ein paar Sätze dazu zu schreiben.

Meine Neuerwerbungen sind zum einen eine Teufel Decoderstation 3 und zum anderen eine Logitech Harmony 885 Universalfernbedienung.

Die Teufel Decoderstation 3

Bisher sah Heimkino bei mir so aus, daß mein Panasonic-DVD-Player mit dem integrierten Dolby Digital Decoder das 5.1-Aktivboxenset angesteuert hat. Soweit war das gar nicht schlecht, hatte aber immer einen Nachteil: Es tat nur für DVDs. Jetzt habe ich aber zum einen noch zusätzlich einen HDD/DVD-Recorder von Pioneer ohne integrierten Decoder (mal ganz davon abgesehen, daß das 5.1-Set nur einen Eingang hat…) und zum anderen gibts ja auch andere Quellen, die gerne ihr 5.1-Signal loswerden würden, z.B. der DVB-C Reciever. Dazu kommt noch die fehlende Fernbedienbarkeit.

Ein externer Decoder mußte her, und zwar einer mit mehreren Eingängen. Die Auswahl ist hier alles andere als üppig – bei Amazon kamen nur zwei Geräte in Frage: Das eine (HiFonics DC5.1) viel zu teuer und eigentlich fürs Auto gedacht, das andere die Decoderstation 3 von Teufel.

Ich habe mich dann für die Decoderstation entschieden – und es bisher nicht bereut. Das Gerät ist klasse. Drei Digitale und drei analoge (Stereo-) Eingänge reichen auch für größere Setups. Ich habe an den beiden optischen Eingängen den DVD-Player und den DVD-Recorder dran und am Coax-Eingang den DVB-C Reciever. Der erste analoge Eingang ist mit dem Ausgang des Fernsehers verbunden und der zweite mit einem PC, der als MediaCenter dient.

Die Decoderstation decodiert Dolby Digital 5.1, DTS und ProLogic II. Zudem gibts noch vier DSP-Programme, die aus Stereo oder Mono einen Pseudo-Surround-Ton machen. So komme ich beim „normalen“ Fernsehton gleich noch in den Genuß des ProLogic-Surround-Sounds. Was Dolby ProLogic angeht, bin ich übrigens positiv überrascht, die Kanaltrennung ist weit besser als ich dachte.

Die Logitech Harmony 885

Insgesamt ein sehr positives Erlebnis. Allerdings auch mit Schattenseiten – noch eine Fernbedienung mehr. Da damit die Sammlung auf 8 Stück angewachsen ist (Reciever, Fernseher, Minidisk-Recorder, DVD-Player, HDD-Recorder, Videorecorder, DVB-C Reciever, Decoderstation), mußte endlich „eine für alles“ her.

Meine Wahl fiel hier auf eine Logitech Harmony 885. Die fand ich ordentlich bepreist und gut aussehen tut sie noch dazu. Leider ist Software nur mittelmäßig. Die Konfiguration über das Web-basierte Tool (das übrigens die Templates online abruft! Wenn Logitech den Server stilllegt, ist es aus mit konfigurieren!) war ein Marathon, der mich drei Tage Arbeit gekostet hat.

Das Web-Tool ist zwar recht umfangreich, aber da ich ITler bin, bin ich ein schwieriger Kunde und die Assistenten in der Software gehen mir extrem auf den Keks. Solange man keine Sonderwünsche hat, sind die Automatismen sicher brauchbar, aber so, wie ich das haben wollte, gabs das mit den Automatikfunktionen nicht.

Die Harmony kennt zwei Modi. Zum einen kann man sie im „Device“ Modus betreiben, dann hat man Zugriff auf alle Funktionen, zum anderen gibt es da auch noch die ungemein praktischen Activities, die die Funktionen mehrerer Geräte in einem Setup zusammenfassen – da hat man dann auf den Programmtasten den DVB-Reciever, auf den Lautstärketasten den Verstärker, auf den Sondertasten einen Mix aus allen, etc.

Bei den nackten Geräten gings aber schon los mit der Konfiguration – die Datenbank kennt nur die Herstellerspezifischen IR-Codes, scheint mir. Ob die wirklich zu dem gewählten Gerät passen und funktionieren, hat offensichtlich nie jemand probiert. Einige Codes mußte ich der Harmony per Lernfunktion beibringen, weil sie nicht vorhanden waren oder nicht funktionieren, andere werden einem Gerät „halt mal zugeordnet“, obwohl sie total wirkungslos sind (z.B. die Tasten für Picture in Picture bei einem Fernseher, der diese Funktion nicht hat). Meinen Videorecorder mußte ich zu einem guten Teil manuell anlernen, da einige wichtige Codes komplett gefehlt haben (namentlich so gut wie alles, was zur Steuerung der Menüs und vor allem zum speichern der Einstellungen innerhalb derselben notwendig ist).

Hat man diese Hürde gemeistert und alle Geräte im „Device-Modus“ funktionierend einprogrammiert (dauerte ca. einen Tag!), dann bleibt noch das Problem, die Activities zusammenzustellen. Im ersten Moment sieht es ganz einfach aus, allerdings merkt man schnell, daß da doch Haken und Ösen dran sind, einige Einstellungen sind sehr versteckt, andere muß man -zig mal ausprobieren, bis man die richtige Kombination von Einstellungen gefunden hat.

Dazu kommt noch, daß man sich schnell Expertenfunktionen wünscht. Wäre super, wenn man einfach (z.B. per Tabelle) ein eigenes Script basteln könnte, das die FB dann ausführt, gern auch zeitgesteuert. Ich hätte viele Ideen, was die FB noch alles können könnte, könnte man sie freier und ohne die lästigen Assistenten programmieren…

Daß das jetzt keiner falsch versteht: Die Harmony ist ein super Gerät – wenn man die Einrichtung mal hinter sich hat…


Mrz 16 2009

Windows 2003 Domänencontrolller – Certificate AutoEnrollment schlägt fehl

Category: Arbeit,Technik,Windows Servertrekkie22 @ 5:33 pm

Und wieder mal hat es mich eingeholt. Wir haben eine neue Domäne in Betrieb genommen und prompt schlug wieder das Rechte-Problem beim Autoenrollment zu.

Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date:  16.03.2009
Time:  15:44:04
User:  N/A
Computer: <Servername>
Description:
Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.

Hintergrund: Der Domänencontroller hat seit Windows Server 2003 Servicepack 1 keine Rechte mehr, ein Zertifikat anzufordern. Die Rechteverwaltung der Zertifikatsdienste wurde mit Servicepack 1 verändert, es gibt jetzt eine neue Gruppe „CERTSVC_DCOM_ACCESS“, in der die Rechte für den DCOM-Access verwaltet werden.

Wenn man die Zertifizierungsstelle nun in die Stammdomäne installiert, wird die Gruppe angelegt und die Rechte für die Stammdomäne werden erteilt (Domänencomputer und Domänenbenutzer). Schon hier fehlen die Domänencontroller – will also ein DC ein Zertifikat anfordern, hat er Pech gehabt. In meinen Augen eine blödsinnige Konfiguration, da gerade die DCs doch eigentlich am dringendsten die Zertifikate brauchen.

Noch schöner wird es, wenn man Child-Domänen anlegt – die tauchen in der Gruppe nämlich per Default erstmal gar nicht auf, man muß sie manuell hinzufügen, ansonsten hat man in der kompletten Domäne auf jedem Rechner das Problem, daß das AutoEnrollment fehlschlägt. Konkret wären aus der betroffenen Domäne die Gruppen „Domänenbenutzer“, „Domänencomputer“ und „Domänencontroller“ hinzuzufügen.

Das AutoEnrollment kann man mit certutil -pulse auf der Kommandozeile manuell anstoßen, das Eventlog gibt dann umgehend Auskunft, ob es funktioniert hat.

Dazu gibt es natürlich auch einen Knowledgebase-Artikel: http://support.microsoft.com/kb/903220/en-us


Feb 06 2009

Nochmal Spam – Update

Category: Diversestrekkie22 @ 11:00 pm

Nachdem sich mittlerweile 112 Kommentarspams gesammelt haben und ALLE nur über die „Petition gegen die Abmahnwellen“ abgesetzt wurden, habe ich einen Versuchsballon gestartet und die URL zu diesem Artikel geändert. Netterweise kann man die URL in WordPress ja selber festlegen.

Ich bin gespannt, ob das den Spambot aus der Bahn wirft… 🙂

<Update>
Nachdem das Ändern der URL auch nicht geholfen hat, habe ich denn doch das Captcha-Plugin installiert. Seitdem ist relative Ruhe!
</Update>


Jan 29 2009

Nervige Spambots

Category: Bloggentrekkie22 @ 10:02 pm

Jetzt ist dieses Blog seit kaum einer Woche unter der neuen URL online, und schon gehts los mit den Spamkommentaren. Ohne Akismet käme ich aus dem sortieren kaum raus.

Wenns wenigstens noch sinnvoller Spam wäre, aber was da ankommt ist einfach nur Müll. Die URLs sind ungültig und sehen aus, als ob ein zweijähriger mit vollen Händen in die Tastatur gegriffen hätte. Der Text ist derselbe Zeichensalat.

Was will der Spamer mit diesem Schrott erreichen? Das ist doch sinnlos. Es ist auch definitiv keine SQL-Injection-Attacke, das habe ich als erstes geprüft.

Naja. Akismet funktioniert und beseitigt den Schrott, von dem her ist es erstmal egal, aber nervig finde ich es trotzdem, zumal die URL des Blogs kaum bekannt ist…


Jan 29 2009

Exchange Domainprep

Category: Arbeit,Techniktrekkie22 @ 11:00 am

Gestern habe ich eine neue Domain im Active Directory in der Firma angelegt, um ein bischen besser mit einigen Berechtigungen jonglieren zu können. Prinzipiell ja kein Problem, DNS-Zone anlegen, auf dem ESX-Server schnell einen neuen Server deployen, dcpromo, domainprep für die Exchange-Umgebung, fertig.

Ja Pustekuchen. Die Domain an sich hat funktioniert, nur Exchange mochte nicht.

Ich konnte zwar eine Mailbox anlegen und auch die Eigenschaften bearbeiten, aber der RUS hatte immer ein kleines, aber unpraktisches Problem: Beim Erstellen der Mailadressen fiel er jedesmal auf die Schnauze – zu wenig Rechte. Äußert sich in einem Eventlog-Eintrag:

Ereignistyp: Fehler
Ereignisquelle: MSExchangeAL
Ereigniskategorie: LDAP-Operationen
Ereigniskennung: 8270
Datum:  28.01.2009
Zeit:  23:02:51
Benutzer:  Nicht zutreffend
Computer: <Computername>
Beschreibung:
LDAP gab beim Importieren der Transaktion
dn: <SID=Hier steht die SID>
changetype: Modify
member:add:<GUID=Folgt GUID des betroffenen Objekts>

den Fehler [32] Insufficient Rights zurück. DC=XXX,DC=YYY,DC=ZZZ

Davon gibts dann vier Stück mit leicht unterschiedlichem Inhalt, aber immer der selben Ursache und den selben Fehlercodes. Ich habe den Domainprep mindestens zwanzig mal mit verschiedensten Usern laufen lassen und jeden Hinweis aus der Microsoft-KB ausprobiert, den ich dazu finden konnte. Ohne Erfolg.

Die Lösung war am Ende allerdings ganz einfach – ich hatte durch Zufall in einem Forum beim suchen in einem Nebensatz den Hinweis gefunden, daß man einen DomainPrep nicht nur mit dem Setup von der Exchange-CD starten kann, sondern auch mit der update.exe aus dem Servicepack 2.

Nachdem ich das dann einmal ausgeführt hatte (pfad_zur_update.exe\update.exe /domainprep), stimmten plötzlich auch die Berechtigungen. Der Hinweis von Windows 2003 SP2, daß es mit dem „originalen“ Exchange-Setup Kompatibilitätsprobleme gibt, ist hier also wohl wirklich ernst zu nehmen. Der Domainprep scheint so jedenfalls nicht zuverlässig zu funktionieren.


Nächste Seite »