vevie

Vielen Dank für Eure Infos! Warum muss ich kein adprep ausführen? Habe etliche Male gelesen, dass ich bei einer Migration die 2000er Domäne vorbereiten muss bevor ich einen W2k3 Server als zusätzlichen DC in die Domäne aufnehmen kann. Stimmt das nicht oder gilt das nicht für SBS 2000? Weshalb kein ADMT? Wird das von der Replikation des alten DCs auf den zusätzlichen DC übernommen? Wie stosse ich diese Replikation an? Mit ntdsutil? Und wie überprüfe ich sie? Übernehme ich beim Replizieren nicht auch die DNS und DHCP-Einstellungen auf den neuen Server? Oder kann ich die DHCP Datenbank mit dhcpexim.exe exportieren? Ok, das mit den FSMO-Rollen und dem EFS-Zertifikat ist mir klar. Was ist mit dem Globalen Katalog? Sorry für die vielen Fragen, aber ich möchte sichergehen, dass ich es gecheckt habe bevor ich mit der Migration beginne ;-) Gruss Vevie

Hallo Habe die ehrenvolle Aufgabe einen SBS 2000 durch einen W2k3 Server zu ersetzen. Hierfür wollte ich eine Migration auf eine neue Maschine durchführen. Letztendlich benötige ich nur die Dateien mit Freigaben sowie sämtliche Benutzeraccounts, da der SBS nur als DC für ca. 30 User ohne Exchange, IIS und SQL fungiert. Habe mittlerweile etliches zu Migrationen (Bücher, Whitepaper) gelesen, jedoch nie genau das Passende gefunden. Hat das schon mal jemand gemacht und kann mir das genaue Vorgehen schilden? Mein Plan sieht folgendermassen aus: - SBS 2000: Datensicherung und Ghost ziehen adprep/forestprep sowie adprep/domainprep zur Vorbereitung der Domäne ausführen - W2k3: als Memberserver in dieselbe Domäne nehmen mit DCPROMO zum DC heraufstufen mit ADMT die Benutzer migrieren mit FSMT die Files migrieren - SBS mit dcpromo herunterstufen - SBS aus der Domäne nehmen Mich würde nun interessieren, ob ich mit diesem Vorgehen völlig daneben liege. Kann ich ADMT überhaupt einsetzen, wenn der W2k3 Server in derselben Domäne steht? Migriere ich mit ADMT auch die Benutzerprofile? Was ist mit den Druckern? Muss ich die DNS und DHCP Einstellungen (z.B. DHCP Scope) auf dem neuen Server manuell eingeben? Und kann ich den W2k3 Server mit DCPROMO überhaupt zum DC herauf- und den SBS herunterstufen? Soweit mir bekannt ist, muss der SBS der DC sein und erlaubt keinen weiteren DC in der Domäne. Danke für Euer Feedback! Vevie

Ihr hattet tatsächlich recht! Nachdem ich den DNS-Server des ISP als Alternative gelöscht und nur als Weiterleitung eingetragen hatte, konnte ich die Vertrauensstellung von beiden Seiten aus bestätigen und auch Netzlaufwerke bei allen Mitarbeitern mappen. Tausend Dank für die Hilfe!

OK, dann heisst das also, dass DNS nicht richtig aufgelöst wird, oder? Er nimmt ja den DNS des ISP und nicht den DNS des DC. Wie kann ich das ändern?

ich habe versucht die eingerichtete Vertrauensstellung in Domäne B zu bestätigen und bekomme folgenden Fehler: Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem Fehler bzw. folgenden Fehlern fehlgeschlagen: Die Überprüfung des Vertrauensstellungskennwortes war nicht eindeutig. Es wird versucht, den sicheren Kanal zurückzusetzen. Das Zurücksetzten des sicheren Kanals ist mit folgendem Fehler fehlgeschlagen: 1311 Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. Die ausgehende Vertrauensstellung wurde verifiziert. Sie befindet sich am richtigen Ort und ist aktiv. Bei der Einrichtung der Bidirektionalen Vertrauensstellung wurde ich nach einem berechtigten Benutzer gefragt und habe dort das Administratoren-Login der Domäne A im Format domäne\administrator eingegeben. Das war anscheinend falsch? bei nslookup vermag.local erhalte ich: H:\>nslookup vermag.local *** Der Servername für die Adresse 192.168.1.1 konnte nicht gefunden werden: Non-existent domain Server: ns0.ch.easynet.net Address: 217.8.192.51 *** vermag.local wurde von ns0.ch.easynet.net nicht gefunden: Server failed 217.8.192.51. ist der DNS-Server unseres ISP. Sollte das so sein?

1. ok, können wir vergessen. 2. Bedeutet das, ich muss alle Benutzer der Domäne B in der Domäne A erst eintragen??? Ich habe auch keine Benutzer der Domäne A in der Domäne B eingetragen und kann Laufwerke des DCs der Domäne B in der Domäne A mappen. 3. Wenn ich in Domäne B eine zweiseitige Vertrauensstellung einrichten kann, müsste ich doch eigentlich in Domäne A keine Vertrauensstellung mehr einrichten, oder? Sonst wäre sie ja nicht zweiseitig. Waran erkenne ich, dass die dns auflösung korrekt läuft? Mit nslookup? Was muss da genau stehen? PW und Admindaten im Format domäne\administrator meinst Du für die Erstellung der Vertrauensstellung?

Hi in Domäne B habe ich nun eine sekundäre Zone mit Domäne A. Hatte vorher nur eine Weiterleitung, die musste ich rausschmeissen um eine sekundäre Zone zu erstellen. In Domäne A habe ich komischerweise eine sekundäre Zone mit Domäne B und eine Weiterleitung einrichten können. Pingen kann ich beide Server und erhalte Antwort. Was heisst FQ? Ok, ich habe nur den Betriebsmodus "Windows 2000 pur" auf beiden Servern, aber das transitive ist ja auch nicht so wichtig, wenn ich nur einen DC pro Domäne habe, oder? In Domäne A habe ich folgendermassen eine Weiterleitung eingerichtet: Verwaltung -> DNS -> Servername mit rechter Maustaste -> Eigenschaften -> Registerkarte Weiterleitungen -> Neu arnika.local (Domäne B), IP 192.168.1.1 (DC Domäne B). In Domäne B musste ich wie gesagt die Weiterleitung rausschmeissen um die sekundäre Zone einzurichten. Ich habe aber nun in beiden eine sekundäre Zone der anderen Domäne. In Domäne A habe ich einen Zonennamen arnika.local eingegeben mit IP 192.168.1.1 und in Domäne B den Zonennamen vermag.local mit IP 192.168.0.1. In der Forward-lookup-zone erscheinen die jeweiligen sekundären Zonen mit allen Workstations und IPs der anderen Domäne. Aber die Vertrauensstellung funktioniert nicht. In Domäne B haben ich die existierende gelöscht und nochmal neu eingerichtet. Dort werde ich nach Eingabe des dns-Namens vermag.local schon nach der Richtung (bidirektional...) gefragt und kann die Vertrauensstellung einrichten. In Domäne A hingegen erscheint nach Eingabe des dns Namens arnika.local nur die Auswahl zwischen Bereichsvertrauensstellung und Vertrauensstellung mit einer Windows-Domäne, was ich dann auch ausgewählt und den vorgeschlagenen Domänennamen arnika.local so beibelassen habe. danach ist Schluss und es heisst Domäne nicht gefunden. In der Ereignisanzeige der Domäne A habe ich unter System den Fehler 5781, jedoch nur einmal am Tag und nicht alle zwei Stunden. Unter DNS-Server erhalte ich das Ereignis 6702, jedoch nur nach einem Neustart. Kann es daran liegen oder daran, dass ich in den Bereichsoptionen (DHCP) als DNS an zweiter Stelle den DNS-Server des ISP eingetragen habe. An erster Stelle ist unser DC eingetragen? Oder liegt es eher an Berechtigungen? Ich kann in Domäne B keine Netzlaufwerke von DC A mappen unter den Benutzern der Domäne B. Wähle ich jedoch "unter anderem Benutzernamen verbinden" und trage einen Benutzer der Domäne A ein, kann ich das Netzlaufwerk mappen.

Hallo zusammen, ich habe ein Problem mit meiner Vertrauenstellung und tippe, nachdem ich nun das Forum durchforstet habe, auf ein DNS-Problem, das ich aber leider nicht lösen kann. Habe zwei Standorte mit eigenständiger W2k3-Domäne (DC mit AD, DNS) im "Windows 2000 pur-Modus" über ein VPN verbunden. Die beiden DCs kann man pingen und erhält eine Antwort. In Domäne B konnte ich eine Vertrauensstellung zu Domäne A einrichten, leider aber nur eine externe, nicht transitive Vertrauensstellung. Anschliessend konnte ich in Domäne A Netzlaufwerke des DCs in Domäne B mappen. Leider aber nicht umgekehrt: ich kann nicht in Domäne B Netzlaufwerke des DCs der Domäne A mappen. Erhalte dann immer die Fehlermeldung "Anmeldeserver nicht vorhanden". Daher habe ich versucht eine Vertrauensstellung in Domäne A einzurichten und erhalte die Fehlermeldung "Domäne nicht gefunden", auch wenn ich eine sekundäre Zone oder eine Weiterleitung einrichte. Liegt das an der Namensauflösung und was kann ich tun? Danke für's Feedback!

Hi Folgende Einträge im Log: 01/04/06 14:38 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:38 firewalld[121]: deny in eth0 48 tcp 20 117 217.8.81.39 217.8.208.175 4511 135 syn (default) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: allow out eth1 60 icmp 20 128 192.168.0.76 192.168.111.2 8 0 (Any_IPSec) 01/04/06 14:39 firewalld[121]: deny in eth0 60 icmp 20 119 62.167.236.113 217.8.208.170 8 0 (Ping) 01/04/06 14:39 firewalld[121]: allow out eth1 60 icmp 20 128 192.168.0.76 192.168.111.2 8 0 (Any_IPSec) 01/04/06 14:39 firewalld[121]: allow in ipsec0 60 icmp 20 127 192.168.1.17 192.168.0.1 8 0 (Any_IPSec) Die deny-Einträge von 62.167.236.133 sind seltsam, da das die public IP der remote Fb edge x15 ist. Dennoch bin ich einen Schritt weiter. Ich habe die Windows Firewall der DCs deaktiviert und siehe da: ich kann die DCs nun pingen, aber die IP Pakete gehen nicht durch. Pinge ich die public IP der remote fb edge x15 (62.167.236.113) erhalte ich keine Antwort. Ein tracert liefert einen timeout bei einer ip von diax telecommunications. Pingen sie remote die public IP unseres Routers (217.8.208.169) gibt es eine Antwort. Pingen sie jedoch die public IP unserer FB 700 (217.8.208.170) gibt es einen timeout. Das traceroute liefert Antworten bis zu unserem Router (217.8.208.169) und stoppt dann. Was stimmt da nicht?

Ja, auf der fb 700 habe ich einen any-IPSEC Filter mit incoming and outgoing. Dort sind die LAN-Netzwerke eingetragen (incoming from 192.168.1.0/24 to trusted, outgiong from trusted to 192.168.1.0/24). Beim edge x15 stehen diese Angaben bei der Manual VPN Konfiguration in den Phase 2 settings unter local and remote network. Ich habe keine Network routes eingetragen und bei den firewall settings des x15 sind auch keine rules für IPSec eingetragen. Kann es daran liegen?

Auf der Firebox 700 ist WFS Version 7.3, auf dem Edge X15 7.5. Wo konfiguriere ich das? Der Router vor dem X15 ist im Bridge-mode. Der Router vor der FB 700 nattet nicht.

NAT Traversal hatte ich auch schon mal aktiviert. Hat nix gebracht. Zum Gateway-Thema: Ich habe jeweils einen adsl-Router vor jeweils nur einer firebox stehen. Ja, beides sind W2k3 DCs mit SP1. Um die Firewall habe ich mich noch nie gekümmert. Muss ich dort den udp Port 500 für IPSEC erst noch eintragen? Die ICMP settings erlauben den ping request.

Hallo Götz, der ping vom LAN 192.168.1.17 zu 192.168.1.5 funktioniert: H:\>ping 192.168.1.5 Ping wird ausgeführt für 192.168.1.5 mit 32 Bytes Daten: Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64 Antwort von 192.168.1.5: Bytes=32 Zeit<1ms TTL=64 Ping-Statistik für 192.168.1.5: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms H:\>ipconfig /all Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : UNTERIBERG Primäres DNS-Suffix . . . . . . . : arnika.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : arnika.local Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel® PRO/1000 MT Network Connect ion Physikalische Adresse . . . . . . : 00-06-5B-BF-EF-22 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.1.17 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.5 DHCP-Server . . . . . . . . . . . : 192.168.1.1 DNS-Server. . . . . . . . . . . . : 192.168.1.1 217.8.192.51 Lease erhalten. . . . . . . . . . : Dienstag, 3. Januar 2006 08:19:48 Lease läuft ab. . . . . . . . . . : Mittwoch, 11. Januar 2006 08:19:48 ipconfig vom anderen Ende: Microsoft Windows XP [Version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. K:\>ipconfig /all Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : coq04 Primäres DNS-Suffix . . . . . . . : Vermag.local Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : Vermag.local Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : 3Com 3C920 integrierter Fast Etherne t-Controller (3C905C-TX kompatibel) Physikalische Adresse . . . . . . : 00-06-5B-26-C0-C5 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.0.76 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.0.5 DHCP-Server . . . . . . . . . . . : 192.168.0.1 DNS-Server. . . . . . . . . . . . : 192.168.0.1 217.8.192.51 217.8.192.52 Lease erhalten. . . . . . . . . . : Dienstag, 3. Januar 2006 09:19:25 Lease läuft ab. . . . . . . . . . : Freitag, 13. Januar 2006 12:19:25

Hallo Herr Rossi, mit "Routen angepasst" meinst Du sicherlich die Routing Policies auf den Fireboxen, oder? Die sind meiner Ansicht nach korrekt eingetragen: bei uns: from 192.168.0.0/24 to 192.168.1.0/24 remote: from 192.168.1.0/24 to 192.168.0.0/24 Hier habe ich allerdings eine 255.255.255.0 Subnetmask wie innerhalb jedes Netzwerkes auch. Für den ADSL-Zugang habe ich eine 255.255.255.248 Subnetmask. Gruss Vevie

Hallo Götz, ein tracert zur public IP: Routenverfolgung zu 62-167-236-113.adslpremium.ch [62.167.236.113] über maximal 30 Abschnitte: 1 <1 ms <1 ms <1 ms 192.168.0.5 2 6 ms 9 ms 9 ms 208.169.static-adsl.customer.ch.easynet.net [217 .8.208.169] 3 22 ms 24 ms 24 ms dr3.htzrh.ch.easynet.net [217.8.195.25] 4 15 ms 21 ms 21 ms fe3-0.br0.htzrh.ch.easynet.net [217.8.193.65] 5 25 ms 19 ms 23 ms ge1-0.br0.thzrh.ch.easynet.net [217.8.192.8] 6 22 ms 19 ms 22 ms zur14s03.sunrise.ch [194.42.48.29] 7 23 ms 22 ms 25 ms g5-1.zur01b03.sunrise.ch [193.192.234.197] 8 21 ms 25 ms 25 ms 212.161.164.37 9 * * Das tracert zum internen Interface der Firebox: Routenverfolgung zu 192.168.1.5 über maximal 30 Abschnitte 1 <1 ms <1 ms <1 ms 192.168.0.5 2 37 ms 30 ms 41 ms 192.168.1.5 Ablaufverfolgung beendet. Das tracert zu einem Gerät im remote LAN: Routenverfolgung zu 192.168.1.10 über maximal 30 Abschnitte 1 <1 ms <1 ms <1 ms 192.168.0.5 2 40 ms 40 ms 38 ms 192.168.1.5 3 * * * Zeitüberschreitung der Anforderung. 4 * Ich kann damit leider nicht viel anfangen.