andrew

hello together Auftrag/ Wunsch des Kunden > jeder Benutzer in der Domäne des SBS 2011 bekommt durchschnittlich 6 Postfächer zugewiesen, zum Beispiel info@gugus.ch info@blabla.ch contact@juhu.ch ...... und und ... > jeder Benutzer soll Leseberechtigung auf allen Postfächern erhalten, darf also keine Mails verschieben oder löschen können > jeder Benutzer soll Mails unter jedem Postfach versenden können > die Mails sollen beim Versenden im oder aus dem entsprechenden Postfach versendet werden und NICHT unter den gesendeten Objekten des persönlichen Postfachs gespeichert werden! > jedes Postfach erhält einen physischen Benutzer, der Herr über das jeweilige Postfach sein darf, sprich, Mails löschen, verschieben kann (oder mehr) Problem/ Frage Frage 1 Aus welchen Gründen ist Outlook 2010 NICHT in der Lage, die Passwörter beim Starten des Outlook 2010 für jedes integrierte Exchange Postfach mit verschiedenen Maildomänen zu speichern? (beim Schliessen und Öffnen des Outlooks 2010 muss immer wieder für jedes eingebundene Exchange Postfach das Passwort einmal oder zweimal im Passwortabfragefenster bestätigt werden) Frage 2 Gemäss einem Benutzer sei es möglich gewesen (er hatte auf diesem Postfach nur LESE Berechtigung, meinte ich doch zumindest so gesetzt zu haben) Mails zu verschieben und zu löschen Wie oder was ich hier beim Setzen der Berechtigungen via Exchange PowerShell falsch gelaufen? Weniger als Read Rechte kann ich wirklich nicht geben oder? oder wie jetzt? :-) Aufgabe wie folgt umgesetzt Bemerkung Info Server > ein SBS 2011 mit Exchange 2010 und POP3 Connector im Einsatz (Migration von POP Konten in Thunderbird nach Exchange) > für jede zu empfangende Maildomäne in der Exchange Konsole unter Organisationskonfiguration/ HUB- Transport/ Akzeptierte Domänen (Reiter) alle Maildomänen eingetragen, für welche Mails empfangen werden sollen respektive der Exchange Server wissen muss, jawohl, Mails, welche ich für info@blabla.ch und info@gugus.ch empfangen habe, darf und muss ich auch entsprechend lokal in das entsprechende Exchange Postfach zustellen (wären diese zusätzlichen, akzeptierten Maildomänen NICHT erstellt worden, wäre der POP Connector in der Lage, nach erfolgreichem Empfang der Mails, diese lokal in das entsprechende Exchange Konto zuzustellen) > auf jedem Exchange Postfach Leseberechtigungen vergeben, da die Benutzer auf Ihren zig eingebundenen Exchange Postfächern keine Mails löschen und/ oder verschieben dürfen respektive die Berechtigungen auf den Postfächern so gesetzt werden soll, damit dies für die Benutzerinnen und Benutzer NICHT möglich ist > ich habe das Berechtigungsprinzip angewendet, welches ich auch immer für die Ordnerstrukturen verwende => A-G-DL-P (A = Acconts in G = Gruppen abfüllen, die Globalen Gruppen als Member von Domänenlokalen Gruppen machen und diese Berechtigen) > dieses fiktive Exchange Postfach im POP Connector des SBS 2011 Server beim entsprechenden POP Konto als Exchange Zustellpostfach hinterlegt > Unter Systemsteuerung/ E-Mail dieses fiktive Exchange Postfach auf dem oder Outlook 2010 Clients als zusätzliches, neues Exchange Postfach eingebunden (genau so, wie wenn ich ein Exchange Postfach einrichte, nur habe ich diesen Vorgang halt bis zu 6 oder sogar 9 mal wiederholt Und: habe die Exchange Postfächer via manuelle Konfiguration angegeben, nicht via (Auto Erkennungsfunktion, also den Exchange Server manuell angegeben und das Postfach auch manuell angeben => zur Auflösung des Postfachnamens jeweils die externe Antwortadresse verwendet, zum Beispiel info@blabla.ch welche ich natürlich zuvor von Hand dem jeweiligen fiktiven AD Benutzer in der Exchange Konsole unter dem Reiter E-Mailadressen als Antwortadresse hinterlegt hatte > So, nachdem Outlook gestartet wurde, musste ich dann für jedes Postfach ein Passwort eingeben (man muss ja für jeden Benutzer, welchen man im AD erstellt, auch ein Passwort festlegen) > Es kam sogar vor, dass ich für ein Postfach zweimal das gleiche Passwort angeben musste, bis die Passwortabfrage Meldung mit der nächsten Meldung kam, verbinden mit info@gugus.ch ..Passwort eingegeben, oder zweimal, dann kam wieder die Abfrage für das nächste Exchange Postfach, verbinden mit contact@juhu.ch und hier wieder das Passwort einmal oder sogar zweimal eingeben müssen ...und und ..bis ich alle durch hatte Am Schluss öffnete sich endlich das Outlook 2010, alle zusätzlichen eingebundenen Exchange Postfächer sind erschienen und das Beste, es waren sogar Mails in den jeweiligen Postfächer drin, neue Mails kamen an, genial oder? :-) Berechtigungssystem im Detail erklärt zum Besseren Verständnis, wie ich das Problem mit fiktiven AD Usern und Gruppen gelöst habe, welche ich zwecks Berechtigung für die Exchange Postfächer benutze Für das Postfach info@blabla.ch , welches zum Beispiel Herr Hans Muster erhalten soll (und übrigens auch andere Benutzer), habe ich einen fiktiven Mailbenutzer im AD erstellt, welche ich im SBS 2011 POP Connector als anzugebendes Exchange Postfach verwende (jedes einzurichtende POP Konto im POP Connector muss auch einem jeweiligen Exchange Postfach zugewiesen werden, damit die abgeholten Mails von POP Konto XY lokal in das Exchange Postfach zugestellt werden können) > Habe also einen fiktiven Mailbenutzer info.blabla im AD erstellt > diesen info.blabla Benutzer in die zuvor erstellte, Globale Gruppe G_info.blabla_L (L für Leserechte) gepflanzt (übrigens nicht nur diesen Benutzer, sondern alle Benutzer, welchen eben das Postfach info@blabla.ch im Outlook eingebunden werden soll) > diese Globale Gruppe G_info.blabla_L in die ebenfalls vorher schon erstellte Domänenlokale Gruppe mit dem Namen DL_info.blabla_L (für Leserechte) gepflanzt > und zum Schluss dieser Domänenlokalen Gruppe via PowerShell mit dem Befehl Add-MailboxPermission -Identity "info.blabla" -User "DL_info.blabla_L" -AccessRights ReadPermissions -InheritanceType all erteilt > Damit die Benutzer auch Mails versenden können, habe ich ebenfalls den gleiche Domänenlokalen Gruppen die Berechtigung "senden als" erteilt, mit dem Befehl Add-ADPermission "info.blabla" -User "Domain\DL_info.blabla_L" -Extendedrights "Send As und weitere Probleme => Kann es sein, dass durch diesen Versuch, benennen wir mal so, mehrere Exchange Konten in Outlook 2010 einzubinden, mit Berechtigungsgruppen (neuen, Domänenlokalen Gruppen welche nur für die Postfachberechtigungen benutzt werden und eigentlich mit den Berechtigungsgruppen der Benutzer keinen Zusammenhang haben sollten) beispielsweise auf Windows XP Geräte dadurch Probleme entstehen, welche vor der Exchange Umstellung vorhanden waren, entstanden sind? (Probleme wie, ein Benutzer hat zig Laufwerke verbunden, kann plötzlich auf keine einzige Freigabe mehr zugreifen, da Meldung: Kein Zugriff oder dass dadurch auch Probleme entstehen im Bezug auf die Funktion Laufwerkszuordnung via Gruppenrichtlinien? => Oder dass das Outlook abstürzt, oder dass die Meldung von Outlook erscheint, Daten werden vom Server abgerufen und dies dauert extrem lange

hello together Auftrag/ Wunsch des Kunden > jeder Benutzer in der Domäne des SBS 2011 bekommt durchschnittlich 6 Postfächer zugewiesen, zum Beispiel info@gugus.ch info@blabla.ch contact@juhu.ch ...... und und ... > jeder Benutzer soll Leseberechtigung auf allen Postfächern erhalten, darf also keine Mails verschieben oder löschen können > jeder Benutzer soll Mails unter jedem Postfach versenden können > die Mails sollen beim Versenden im oder aus dem entsprechenden Postfach versendet werden und NICHT unter den gesendeten Objekten des persönlichen Postfachs gespeichert werden! > jedes Postfach erhält einen physischen Benutzer, der Herr über das jeweilige Postfach sein darf, sprich, Mails löschen, verschieben kann (oder mehr) Problem/ Frage Frage 1 Aus welchen Gründen ist Outlook 2010 NICHT in der Lage, die Passwörter beim Starten des Outlook 2010 für jedes integrierte Exchange Postfach mit verschiedenen Maildomänen zu speichern? (beim Schliessen und Öffnen des Outlooks 2010 muss immer wieder für jedes eingebundene Exchange Postfach das Passwort einmal oder zweimal im Passwortabfragefenster bestätigt werden) Frage 2 Gemäss einem Benutzer sei es möglich gewesen (er hatte auf diesem Postfach nur LESE Berechtigung, meinte ich doch zumindest so gesetzt zu haben) Mails zu verschieben und zu löschen Wie oder was ich hier beim Setzen der Berechtigungen via Exchange PowerShell falsch gelaufen? Weniger als Read Rechte kann ich wirklich nicht geben oder? oder wie jetzt? :-) Aufgabe wie folgt umgesetzt Bemerkung Info Server > ein SBS 2011 mit Exchange 2010 und POP3 Connector im Einsatz (Migration von POP Konten in Thunderbird nach Exchange) > für jede zu empfangende Maildomäne in der Exchange Konsole unter Organisationskonfiguration/ HUB- Transport/ Akzeptierte Domänen (Reiter) alle Maildomänen eingetragen, für welche Mails empfangen werden sollen respektive der Exchange Server wissen muss, jawohl, Mails, welche ich für info@blabla.ch und info@gugus.ch empfangen habe, darf und muss ich auch entsprechend lokal in das entsprechende Exchange Postfach zustellen (wären diese zusätzlichen, akzeptierten Maildomänen NICHT erstellt worden, wäre der POP Connector in der Lage, nach erfolgreichem Empfang der Mails, diese lokal in das entsprechende Exchange Konto zuzustellen) > auf jedem Exchange Postfach Leseberechtigungen vergeben, da die Benutzer auf Ihren zig eingebundenen Exchange Postfächern keine Mails löschen und/ oder verschieben dürfen respektive die Berechtigungen auf den Postfächern so gesetzt werden soll, damit dies für die Benutzerinnen und Benutzer NICHT möglich ist > ich habe das Berechtigungsprinzip angewendet, welches ich auch immer für die Ordnerstrukturen verwende => A-G-DL-P (A = Acconts in G = Gruppen abfüllen, die Globalen Gruppen als Member von Domänenlokalen Gruppen machen und diese Berechtigen) > dieses fiktive Exchange Postfach im POP Connector des SBS 2011 Server beim entsprechenden POP Konto als Exchange Zustellpostfach hinterlegt > Unter Systemsteuerung/ E-Mail dieses fiktive Exchange Postfach auf dem oder Outlook 2010 Clients als zusätzliches, neues Exchange Postfach eingebunden (genau so, wie wenn ich ein Exchange Postfach einrichte, nur habe ich diesen Vorgang halt bis zu 6 oder sogar 9 mal wiederholt Und: habe die Exchange Postfächer via manuelle Konfiguration angegeben, nicht via (Auto Erkennungsfunktion, also den Exchange Server manuell angegeben und das Postfach auch manuell angeben => zur Auflösung des Postfachnamens jeweils die externe Antwortadresse verwendet, zum Beispiel info@blabla.ch welche ich natürlich zuvor von Hand dem jeweiligen fiktiven AD Benutzer in der Exchange Konsole unter dem Reiter E-Mailadressen als Antwortadresse hinterlegt hatte > So, nachdem Outlook gestartet wurde, musste ich dann für jedes Postfach ein Passwort eingeben (man muss ja für jeden Benutzer, welchen man im AD erstellt, auch ein Passwort festlegen) > Es kam sogar vor, dass ich für ein Postfach zweimal das gleiche Passwort angeben musste, bis die Passwortabfrage Meldung mit der nächsten Meldung kam, verbinden mit info@gugus.ch ..Passwort eingegeben, oder zweimal, dann kam wieder die Abfrage für das nächste Exchange Postfach, verbinden mit contact@juhu.ch und hier wieder das Passwort einmal oder sogar zweimal eingeben müssen ...und und ..bis ich alle durch hatte Am Schluss öffnete sich endlich das Outlook 2010, alle zusätzlichen eingebundenen Exchange Postfächer sind erschienen und das Beste, es waren sogar Mails in den jeweiligen Postfächer drin, neue Mails kamen an, genial oder? :-) Berechtigungssystem im Detail erklärt zum Besseren Verständnis, wie ich das Problem mit fiktiven AD Usern und Gruppen gelöst habe, welche ich zwecks Berechtigung für die Exchange Postfächer benutze Für das Postfach info@blabla.ch , welches zum Beispiel Herr Hans Muster erhalten soll (und übrigens auch andere Benutzer), habe ich einen fiktiven Mailbenutzer im AD erstellt, welche ich im SBS 2011 POP Connector als anzugebendes Exchange Postfach verwende (jedes einzurichtende POP Konto im POP Connector muss auch einem jeweiligen Exchange Postfach zugewiesen werden, damit die abgeholten Mails von POP Konto XY lokal in das Exchange Postfach zugestellt werden können) > Habe also einen fiktiven Mailbenutzer info.blabla im AD erstellt > diesen info.blabla Benutzer in die zuvor erstellte, Globale Gruppe G_info.blabla_L (L für Leserechte) gepflanzt (übrigens nicht nur diesen Benutzer, sondern alle Benutzer, welchen eben das Postfach info@blabla.ch im Outlook eingebunden werden soll) > diese Globale Gruppe G_info.blabla_L in die ebenfalls vorher schon erstellte Domänenlokale Gruppe mit dem Namen DL_info.blabla_L (für Leserechte) gepflanzt > und zum Schluss dieser Domänenlokalen Gruppe via PowerShell mit dem Befehl Add-MailboxPermission -Identity "info.blabla" -User "DL_info.blabla_L" -AccessRights ReadPermissions -InheritanceType all erteilt > Damit die Benutzer auch Mails versenden können, habe ich ebenfalls den gleiche Domänenlokalen Gruppen die Berechtigung "senden als" erteilt, mit dem Befehl Add-ADPermission "info.blabla" -User "Domain\DL_info.blabla_L" -Extendedrights "Send As

1. Wenn sich am Hauptstandort ein SBS 2011 befindet und Aussenstellen, welche NICHT in diesem AD sind, sich via Outlook Anywhere auf die Kalender des Hauptstandortes verbinden sollen, ich auf diesem SBS Server am Hauptstandort ein õffentliches SSL implementieren muss? 2. Muss ich an den Clients dann Zertifikats technisch noch was machen/ konfigurieren? Die sollten dann dich diesem öffentlichen, kostenpflichtigen Zertifikat automatisch vertrauen oder Und: richte ich dann an den Nebenstandorten ein weiteres Outlook Profil ein und konfiguriere dieses für Outlook Anywhere, so müsste ich ja dann eine Verbindung herstellen und wenn die Passwortabfrage erscheint, mich mit Domomäne\Benutzername anmelden können, richtig? Bis anhin hat dies nie funktioniert, da stets Probleme mit dem SSL Zertifikat vorhanden waren, dies ergab auch die Seite (exchangeconnectivity.com oder wie die heisst) Danke für die Unterstützung André

Habe so gut wie keine Erfahrung mit Hyper-V und mich ein wenig eingelesen. Verwirrend und wohl auch das komplexeste ist anscheinend die Netzwerkkonfiguration. Beginnend vom Hyper-V Host, bis zum erstellen der virtuellen Switches, dem Remotemanagement des Hyper-V Servers von extern, sprich, wie man den Hyper-V Server einrichtet, dass er beispielsweise von extern remote sich verwalten lässt. Meine beiden Fragen, habe ja zwei Konfigurationsbeispiele geschildert, zu beiden hat eigentlich Niemand richtig Stellung genommen und geschrieben, jawohl, so kann man es einstellen oder nein, so würde ich es nicht machen Weil: .... Ich habe schon Probleme, einfach ganz normal den Server von extern aus überhaupt erreichbar zu machen. der Server hat 6 NICs, > eine habe ich für den SBS 2011 reserviert, dazu auch einen virtuellen Switch erstellt mit der Bezeichnung phy-Port01 (Netzwerkkabel ist bei Hyper-V Host bei NIC Port 1 physisch eingesteckt) > eine habe ich für den TS reserviert, dazu auch einen virtuellen Switch erstellt mit der Bezeichnung phy-Port02 (Netzwerkkabel ist bei Hyper-V Host bei NIC Port 2 physisch eingesteckt) > für den Remote Zugang auf den Hyper-V Host dachte ich mir, könnte den physischen NIC Port 4 verwenden, diesen Port in das gleiche Netz gesteckt wie in der Testumgebung extra gemacht (hier habe ich das gleiche Netz gemacht wie der Kunde haben wird => 192.168.19.0/24) Bedeutet: der Hyper-V Host hat nun auf diesem Port 4 192.168.19.5 So, wer kann mir nun beispielsweise erklären, warum ich den Hyper-V Host nicht via Firewall NAT Regel auf dieser IP- Adresse erreichen kann? Firewall technisch ist soweit alles in Ordnung, würde ich nämlich einen normalen PC oder Server mit dieser IP in mein Labor Netz pflanzen, so würde ich von extern auf den Server kommen (per RdP => Port Mapping) Geht nicht, verstehe schon alleine das nicht?! gibt es ein Buch im Fachhandel, wo wirklich von A-Z erklärt wird, wie eine Hyper-V Umgebung designt wird, warum alle Netzwerkadapter und Server 2012 gleiche Bilder haben und nicht unterschieden werden, ausser in der Bezeichnung, warum ich beispielsweise auf dem Hyper-V Host bei NIC XY trotzdem eine IP Konfiguration erhalte, obwohl ich auf dem physischen Hyper-V Host bei der physischen NIC XY keine IP hinterlegt habe? nämlich genau dann, wenn ich einen physischen Switch erstelle, diesem sage: vir-Port01 und in den Einstellungen auf diese physische Netzwrekkarte verweise Und: in der virtuellen Maschine auf genau dieser Netzwerkkarte eine IPv4 Konfiguration setze? Dann sieht man nämlich in der Netzwerkumgebung auf dem physischen Hyper-V Host, da wo man alle Netzwerkadapter sehen kann, neue eine Verbindung vir-Port01 und mache ich nun ein ipconfig auf dem Hyper-V Host, so sehe ich diese IP- Konfiguration Dass für jede virtuelle Maschine ein virtueller Switch erstellt wird oder werden sollte, habe ich schon verstanden, aber den Rest irgendwie nicht, wie Ihr sehen könnt Möchte das richtig verstehen, gibt es ein Microsoft Buch extra für diese Fragen, oder eine MCP Prüfung für diese Geschichte? welche Prüfungsbücher gibt es hierfür im Handel (Server 2012, Hyper-V) ? Lösung gefunden (ohne Teaming, kommt später dran) Hyper-V Host > NIC 1: Bezeichnung: phy-Port01 (NIC Adapter X) => für SBS 2011 IP- Adresse: DHCP, keine fixe vergeben > NIC 2: Bezeichnung: phy-Port02 (NIC Adapter Y) => 2012 Terminal Server > NIC 4: phy-Port04_RDP (NIC Adapter Z) virtueller Switch > vir-Port01: Einstellung auf extern (NIC Adapter X) => Der virtuellen Maschine SBS 2011 zugewiesen mit der IP 192.168.19.11 > vir-Port02: Einstellung auf extern (NIC Adapter Y) => Der virtuellen Maschine Server 2012 zugewiesen mit der IP 192.168.19.12 > phy-Port04 (physischer NIC Port 4) auf Hyper-V Host mit der IP 192.168.192.10 konfiguriert Fazit: Die 2 virtuellen Maschinen haben Zugriff auf je eine separate, physische NIC im Hyper-V Host Durch die IP Vergabe auf einer separaten Netzwerkkarte (NIC 4), welche in einem separaten Netz ist, kann das Remote Management des Hyper-4 Hosts separat, Netzwerkmässig vom virtuellen Netz getrennt und verwaltet werden Jetzt fehlt nur noch die Teaming Funktion, um wie auch hier mir als Ratschlag geraten wurde (Danke euch allen) die Lastverteilung optimal oder besser zu gestalten. Wobei bei 10 Benutzern, zwei virtuellen Server (SBS 2011, hat auch SQL und TS) der Datenverkehr, die Netzwerklast auf zwei physische, separate NICs bereits abgefangen wird, meiner Ansicht nach genügend

Vielen Dank. Zuerst: > Dem Kunde werde ich ein Hyper-V Host installieren gehen > darauf virtuell ein SBS 2011 Server > und ein 2012 Terminal Server (ich weiss, der nennt sich neu anders) :-) Meine persönliche Meinung betreffend Teaming: Wenn ich auf dem dem Host, die Netzwerkkarten auf physischer Ebene, in den Eigenschaften der eingebauten Netzwerkkarten mit der Treibersoftware das Teaming aktiviere, ist das schön und gut, was bringt mir das aber, wenn schlussendlich der Kunde nur einen Switch vor Ort hat und ich den Hyper-V Host Server dort mit mehreren Ethernet Kabeln anschliesse? Wenn schon, dann ein Teaming auf dem Server und Redundanz für die Ausfallsicherheit konfigurieren, wenn ich auch Minimum 2 physische Switches habe, welche ich redundant auslegen kann, ansonsten finde ich das Teaming eine halbe Lösung im Bezug auf : "Ausfallsicherheit konfigurieren zu wollen" Zu meiner eigentlichen Frage, welche ich hier gepostet habe, würdest du dazu noch was sagen wollen? Ist dies eine Art und Weise, wie man auch in praktischen Umgebungen Hyper-V Design betreibt? zweite Frage Kannst Du mir von Grund auf, nachdem ich die Hyper-V Konsole als Rolle hinzugefügt habe, Schritt für Schritt, kurz und prägnant schildern, wie ich am besten das Netz plane? Ich stelle mir die Beschreibung so vor und könnte mir vorstellen, dass dies auch eine Möglichkeit wäre, das Hyper-V Design zu machen (nun auf meine Installation) wäre folgendes Vorgehen vielleicht besser als das obige beschriebene (wegen dem Teaming kennst Du nun meine Meinung) :-) 1. Vorbereitung des Hyper-V Hosts, > Netzwerk Adapter umbenennen? (bei den Bezeichnungen in der Netzwerkumgebung der Ethernet Adapter kommt ja kein Mensch nach, virtuelle und physische Netzwerkadapter haben alle das gleiche Bild, ist einfach verwirrend, finde ich) Darum vielleicht umbenennen? :-) > IP Adresse für den Hyper-V Host vergeben? > dann wie geht das mit dem Remotemanagement, man soll für den Hyper-V Host ein Verwaltungsnetzwerk machen. Du lieber Haiko sagst, wenn beim Kunde noch kein Verwaltungsnetzwerk vorhanden ist, dann müsse man auch keines schaffen. Also beim Kunde ist ein Netz 192.168.19.0/24 eingerichtet Meinst Du jetzt, wenn ein Verwaltungsnetzwerk vorhanden wäre, wäre noch ein Netz 192.168.10.0/24 vorhanden (als Beispiel) 2. Hyper-V Host installieren (Rolle hinzufügen) 3. virtueller Switch für SBS 2011 Server, dieser dann in den Einstellungen auf extern aktivieren, damit eine Kommunikation mit der physischen Netzwerkkarte des physischen Hosts respektive dem Netz, mit welchem der Hyper-V Host verbunden ist, vornehmen kann? 4. dann für den Terminal Server auch ein virtueller Switch erstellen und diesem Swtich dann auch auf extern einstellen und auch Zugriff auf eine weitere, im Hyper-V Host eingebaute physische Netzwerkkarte geben? Vielen Dank für das Feedback

Hello together Frage: Wie sind die Best Practics für die Installation von Hyper-V (Server 2012) und den zu installierenden, virtuellen Maschinen (Netzwerk technischer Natur)? Hintergrund meiner Frage: Habe gelesen, dass wenn man einen Hyper-V Host installiert, sollte dieser nicht im gleichen Netz sein wie die virtuellen Maschinen?! Und: Hat der Kunde nun ein bestehendes Netz, zum Beispiel 192.168.1.0 /24, dann komme ich, stelle Ihm den neuen Hyper-V Host in seine bestehende Infrastruktur (z.B. 192.168.1.0/24 wie kommunizieren dann die virtuellen Clients mit der bestehenden IT- Umgebung? ein Lösungsvorschlag von mir, hat aber wohl einen Haken, was meint Ihr dazu? Bestehende Kundenumgebung hat zum Beispiel das Netz 192.168.1.0/24 Demnach würde ich: Betreffend Hyper-V Host => den Hyper-V Host in einer Arbeitsgruppe belassen => DNS installieren und konfigurieren => Netzwerktechnisch die IP 192.168.1.10/ 24 setzen (192.168.1.10, Subnetzmaske 255.255.255.0) Betreffend virtuellen Switchen 1. virtueller Switch erstellen und mit meinedomain.local benenen Und: in den Eigenschaften des virtuellen Switch auf Privates Netzwerk einstellen 2. zweiter virtueller Switch erstellen, diesen zum Beispiel extern benennen Und: in den Eigenschaften des virtuellen Switch auf externes Netzwerk einstellen und hier den Netzwerkadapter des physischen Hyper-V Hosts angeben, welche auch Internetzugang hat Betreffend virtuellen Maschinen => dem virtuellen SBS 2011 Server würde ich 192.168.2.0/24 setzen und dieser Maschine dann den virtuellen Switch mit dem Namen meinedomain.local zuweisen Dies hätte zur Folge, dass der SBS 2011 Server in diesem Status in einem abgeschotteten Netz wäre => jede weitere virtuelle Maschine: Würde ich diesen auch den virtuellen Switch meinedomain.local zuweisen (auf Privats Netz zuweisen eingestellt), könnten somit alle virtuellen Maschinen im 192.168.2.0/24 Netz miteinander sprechen => möchte ich nun dem SBS 2011 Server Zugriff auf das bestehende Firmen Netz gewähen, in unserem Fall 192.168.1.0, so müsste ich dem SBS 2011 Server > eine weitere virtuelle Netzwerkkarte zuweisen > den Routing und RAS Dienst aktivieren (nur NAT aktivieren) und die soeben hinzugefügte Netzwerkkarte im Routing und RAS Dienst (NAT) für den Internetzugriff angeben Fazit: => So wäre oder müsste nun der virtuelle SBS 2011 in der Lage sein, das 192.168.1.0/24 zu erreichen => In das Internet zu kommen, da er via NAT (NAT zwischen der zweiten hinzugefügten Netzwerkkarte und der physischen Netzwerkkarte des Hyper-V Hosts ein NAT macht Problem dabei: => auf dem SBS 2011 Server muss DHCP laufen, wir erreichen dann die Clients im bereits vorhandenen 192.168.1.0/24 Netz die DHCP Anfragen vom SBS 2011 Server? (da NAT dazwischen) => Wie können die Clients im 192.168.1.0/24 Netz auf den SQL Server des SBS 2011 zugreifen, da ja hier die Clients im Netz 192.168.1.0/24 den SBS 2011 Server im Netz 192.168.2.0/24 nur erreichen können, weil der SBS 2011 Server NAT macht oder machen würde? Frage: Ist das eine gängige Lösung? Wie könnte man sonst, wie sollte man sonst die Hyper-V Umgebung und den Netzen lösen?

Hello together Hat scho Jemand erlebt, dass das neu setzen der NTFS Berechtigungen auf einer VOLUME (HD, auf dem root) nicht funktionierte und die Meldung erscheint, kein Zugriff? Bin in den Genuss gekommen, zwangsläufig mich mit einem Tool auseinandersetzen zu müssen, weil folgende Vorgehensweise nichts gebracht hat 1. Rechte Maustaste auf Laufwerk e: 2. In den Eigenachaften unter erweitert den Besitz für die Administratoren übernommen (ist ein SBS 2011 Server) 3. Besitz an alle untergeordnete Objekte durchsetzen Müsste meiner Meinung nach schon ausreichen, um Zugriff auf die Daten zu erhalten War nicht so, darum viertens 4. NTFS Berechtigungen für Administratoren auf VOLLZUGRIFF gesetzt Und: Berechtigungen nach unten durchgesetzt Resultat, beim Versuch auf das Laufwerk e: zuzugreifen KEIN ZUGRIFF!!! Habe noch nie erlebt, dass ich die Zugriffsrechte so nicht neu setzen kann Brauche Dringend Zugriff auf die Daten auf Laufwerk e: Vorgeschichte 1. Laufwerk e:, also die Festplatte e: ist eine virtuelle VMware Platte 2. Diese war als zusätiche, virtuelle Platte dem vorhergehenden, nun flach gmachten SBS 2011 Server angehängt 3. Bevor ich den alten SBS Server flach gemacht habe, habe ich diese zusätzliche, vietuelle eingebundene HD vom Server entfernt, ohne dabei den Inhalt zu löschen (kann man ja anhacken, wenn man dies auch noch gewollt hätte) 4. SBS 2011 Server neu aufgesetzt, also demnach auch eine neue Domain erstellt 5. Nach erfolgreicher Installation und Anmeldung am neuen SBS 2011 Server diese virtuelle HD zusätzlich dem SBS angehängt So, dass nun der Zugriff NICHT möglich war, da alte, hinterlegte SIDs (Benutzer) darauf in Form von NTFS Berechtigungen noch gespeichert waren, versuchte ich wieder Zugriff auf die Datwn zu erlangen, indem ich wie oben Anfang geschildert vorging - doch eben leider nach wie vor die Meldung: KEIN ZUGRIFF Wie müsste ich die Paramter setzen, wie würde die Befehlszeile aussehen, senn ich nun mit dem Tool SetACL.exe wieder die Berechtigungen für den Domain Admin neu auf das ganze Laufwerk e: nach unten durchsetzen möchte? Man kann mit dem Tool SetACL.exe zig Millionen Parameter setzen, ist ein voll krasses Berechtigungs Tool Aber vielleicht war schon einmal Jemand in der gleiche. lage wie ich und musste sich damit auseinander setzen?

spannende Aussage: Warum sind POP3 Connector Müll? *grins* Bei der neuen Firma hier, wo ich angefangen haben, hat praktisch jedes KMU Unternehmen mit bis zu einer Grösse von ca. 15 Mitarbeitern einen POP3 Connector auf dem SBS 2011 installiert und haben anscheinend so gut wie nie Probleme?! Mich würde pro und contra interessieren und wenn wir schon beim schönen, lieben POP3 Connector bin, hier habe ich gleich die nächste Herausforderung zu bewältigen, zur Zeit nur via POP3 Connetor möglich, da der Kunde A noch kein entsprechendes Internet Abo hat mit fixer IP (ein Internet Abo für KMUs) => habe ich aber bereits bestellt :-) und B ich demzufolge die Mailzustellung via MX nicht verwenden kann, ausser via dyndns.org Aber das folgende Szenario erschwert meiner Ansicht nach auch die Lösung via dyndns.org, bis das Internet Abo mit fixer IP kommt: Meine Aufgabenstellung lautet: Snario mit unterschiedlichen Maildomänen :-) -------------------------------------------------------------------------------------------------------- Frage: ein Kunde hat zig verschiedene Maildomänen => swissonline.ch => xxx.ch => zzz.ch Und: Der Kunde selber hat zwar gegen aussen eine Remotedomäne, dessen Namen ich auch im SBS Assistenten hierfür angegeben habe, Aaaaber nur vielleicht zwei oder drei Benutzer dieser ca. 10 köpfigen Firma benötigen effektiv auch eine E-Mailadresse mit @meineFirma.ch und dürfen auch mit dieser nach aussen mailen! Alle oder viele Benutzer, der noch verbleibenden haben teils mehre E-Mailadressen, hier ein Beispiel Hans Meier hat zum Beispiel folgende E-Mailadressen (Pop Konten) => umeier@swissonline.ch => urs.meier@abc.info => u.meier@gugus.ch so, dann gibt es vielleicht einer, der hat folgende E-Mailadressen (Pop Konto) => Florian.sutter@sxy.ch So, oder noch einfacher erklärt, ich habe eine Excel Liste erhalten, welche in etwa so aussieht: E-Mail Adressen Zustellung an entspricht Leserecht umeier@swissonline.ch um Urs Meier 1,2,3,4 urs.meier@xy.ch ah Alexdra Huber 1,2,3,4 info@fantasie.ch om Olivier Müller 1,2,3,4 info@dreamxy.ch mt Marta Test 1,2,3,4 c.huber@gmail.com ch Christian Henne 1,2,3,4 Die erste Frage, welche ich mir stelle ist, wenn ich jetzt im POP Connector diese Konten einrichten würde, habe ich ja zwei Möglichkeiten: zum Beispiel umeier@swissonline.ch soll in das Postfach von um (Benutzername = um => Postfach von um) oder ich könnte die Mails in eine Verteilergruppe, an eine Verteilergruppe leiten/ fliessen lassen. Aber wenn ich jetzt die Mails von umeier@swissonline.ch an sein Postfach stelle, ist es egal, wie dieses Postfach mit Namen heisst? intern habe ich ja zum Beispiel die Domäne test.local und als externe Remotedomäne habe ich ja zum Beispiel test.ch angegeben. Würde ich also die Mails von umeier@swissonline.ch in sein Postfach um@test.local fliessen lassen, so hätte er ja dann als E-Mailadressen automatisch hinterlegt um@test.locl und um@test.ch Aber wenn jetzt dieser Herr nicht mit um@test.ch nach aussen mailen darf, sondern nur mit seiner POP3 Konto E-Mail Antwortadresse umeier@swissonlien.ch, so hätte ich ja dann ein Problem beim Senden, da ich wegen im Moment vorhandener dynamischer IP Adresse vom Internet Provider via SmartHost versenden müsste und ich nur einen angeben könnte oder? Da viele Benutzer aber wie oben im Beispiel ersichtlich unter zig verschiedenen Maildomänen erreichbar sein sollen, diese wiederum intern an Person X, an Person Y Postfächer verteilt werden müssen, und diese Personen wieder genau mit diesem Antwort E-Mailadressen nach aussen in die weite Welt kommunizieren sollen, müsste ich ja theoretisch verschiedene SendeConnectoren einrichten, da ich über einen Smart Host, zum Beispiel mail.swissonline.ch zwar Mails von und für alle Benutzer, welche @swissonline.ch habe, versenden kann, müssen aber nun auch Mails mit @xy.ch @fantasie.ch @gmail.com ebenfalls versendet werden, würde es ja Probleme geben, wenn diese nun über den Smart Host mail.swissonline.ch versendet werden oder würden, korrekte? Wie kann ich nun diese Problematik lösen? verschieden Sende Connectoren einrichten oder, korrekt? Verschiedene Remotedomänen bräuchte ich aber nicht einzurichten oder, müsste ich nur, wenn ich direkt via SMTP Mails versenden würde, korrekt? Jemand eine Idee und wenn ja, kurz Zeit, mir zu schildern, wie ich das umsetzen muss, kann, sollte? Vielen Dank für die Hilfe

hello together In einem SBS 2008 Buch habe ich folgenden Satz gelesen und möchte Wissen, ob mir Jemand ein praktisches Beispiel aufzeigen kann, was damit gemeint ist? Und: ob dies auch für SBS 2011 gilt? Ich zitiere: "Die SBS 2008- Implementierung des POP3- Connectors bietet keine Unterstützung für globale Konten. Zwischen den Remotepostfächern und den Zielpostfächern auf dem lokalen Server muss eine 1:1 Beziehung bestehen" Danke für ein praktisches Beispiel hierfür :-) cheers André

Hallo Robert Es gibt also zwei Möglichkeiten, wie man einen Kalender veröffentlichen und schlussendlich auch darauf zugreifen kann, richtig? => einen Benutzer im AD erstellen, inkl. Postfach und dann im Exchange in der Verwaltungskonsole auf diesem Postfach Berechtigungen setzen => oder im öffentlichen Ordner Kalender erstellen und freigeben? bis dahin korrekt? Habe mir soeben einen PC angeschaut, welcher im Outlook 2003 (alle haben Outlook 2003) effektiv zig freigegebene Kalender beinhalten, über 20 Stück. Dann fragte ich die nette Dame, welche mir den Remote Zugang zu diesem einen, unbenutzten Arbeitsplatz freischaltete, wie Sie denn einen neuen, freigegebenen Kalender öffne Und: Sie hat dann auf diesem PC, wo ich eben das Outlook 2003 Profil neu erstellt habe, diesen Schritt wie folgt umgesetzt => Outlook 2003 öffnen => auf Kalender (da sieht man schon zig Kalender) => dann drückt Sie den Knopf "Kalenderauswahl wiederherstellen" => auf der linken Seite erscheinen dann alle Kalender, manche sind in der Auswahl markiert, damit Sie auf der rechten Outlook Seite den Inhalt des jeweiligen Kalenders zu Gesicht bekommen So, ich glaube, ich habe dann gleich soeben mir die Lösung selber präsentiert, da ich nämlich auf diesem PC im Outlook 2003 den Knopf "Ordnerliste" verwendet habe und siehe da, in dieser Ansicht feststellte, dass anscheinend einfach überall auf jedem PC, wo man dies so eingerichtet hat und auf diese zig freigegebenen Kalender zugreift, einfach ein zusätzliches Postfach angehängt hat, auf welches dann wiederum alle Benutzerinnen und Benutzer berechtigt sind und in diesem einen Postfach sind dann nun diese zig tausend, sorry, sind nur ca. zwischen 20 + 25 Kalender aufgeführt :-) Mit anderen Worten, wenn ich mich also wieder per remote auf diesen PC mich begebe, auf welchem ich das Outlook Profil erneuert habe, so müsste ich dann auch dieses Postfach namens Kalender als zusätzliches Postfach anhängen können und dann müsste eigentlich spätestens dann, nach dieser vollbrachten Leistung meinerseits :-) der Zugriff auf alle, diese Kalenderfreigaben möglich sein ...sollte dies nicht so sein, würde ich mich wieder hier melden guten Apetit, Zeit zum Essen :-)

hello together Situation Auf Grund eines Benutzers, welcher Outlook nicht mehr öffnen konnte (Fehlermeldung), ich schlussendlich unter anderem den Exchange Mail- Informationsspeicher (Dienst) neu starten und sein Outlook Profil neu erstellen musste, fehlen dieser Person im Outlook noch zig Kalenderfreigaben, welche Sie vorher angeblich im Outlook eingebunden hatte?! Nun, habe nach den freigegebenen Kalender gefragt, welche Sie vorher eingebunden hätte und bekam rund 22 Namen (Kalender Freigaben) So, bin den klassischen Weg gegangen und habe versucht, via Outlook => Öffnen, Ordner eines anderen Benutzers (da im Dropdown Menü Kalender ausgewählt) und wollte den ersten freigegeben Kalender öffnen Öffnen sei nicht möglich Dann ein paar weitere, angeblich freigegeben Kalender versucht zu öffnen, auch nicht möglich. Danach einmal einen Blick in das AD geworfen und geprüft, ob alle diese 22 Namen als Benutzer erfasst wurden, da ich der Meinung war, diese müssten als Benutzer erfasst worden sein und diesen wiederum hätte man ein Postfach zuweisen müssen, damit man schlussendlich auch auf diese Art und Weise, wie ich die freigegeben Kalender öffnen wollte, so zugreifen kann. Habe also festgestellt, dass: => weder im AD alle diese 22 Namen erfasst waren => noch im System Manager (Exchange Verwaltung) diese 22 Postfächer existiert, im Gegenteil: nur ca. gerade deren 7 oder 8 Postfächer waren da sichtbar Frage: Ich kenne nur die soeben geschilderte Art und Weise, wie man Postfächer erstellt respektive diese dann auch freigeben kann (Postfachberechtigungen setzen = steuert, wie was welcher Benutzer mit einem fremden Postfach anfangen kann) Gibt es noch andere Möglichkeiten/ andere Orte, wie man hätte Kalenderfreigaben erstellen können und auch andere Möglichkeiten, wo ich auf dem Exchange Server suchen müsste, um diese angeblich 22 vorhandenen Kalenderfreigaben finden zu können? sonnige Grüsse André

hello together Habe folgendes, kurioses Phänomen: Mitarbeiter A sendet Mitarbeiter B (folgend Hans Muster benannt) im Verlauf des heutigen Morgens intern mehrere Mails zu. Von diesen Mails haben nicht immer alle E-Mails das Ziel, den Empfänger namens Mitarbeiter B erreichen können. Fehlermeldung: Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen: 'Hans Muster' Die eingegebene E-Mail-Adresse konnte nicht gefunden werden. Überprüfen Sie die E-Mail-Adresse des Empfängers, und versuchen Sie, die Nachricht erneut zu senden. Wenden Sie sich an den Helpdesk, falls das Problem weiterhin besteht. Es handelt sich um einen SBS 2011 Server. Mitarbeiter A kann via iPhone immer auf die E-Mailadresse von Mitarbeiter B (Hans Muster) Mails senden, diese kommen angeblich IMMER beim Empfänger an. Woran könnte dies liegen? mit welchem Tool auf dem Exchange kann man ein solches, komisches Phänomen prüfen? Auch wenn Sender A dem Empfänger B ein Mail weiterleitet, kommt postwendend diese obige Fehlermeldung auch beim an: CC = gleicher Fehlermeldung Sender A hat sich von privaten PC per RDP auf den Geschäfts PC verbunden und mit dem Outlook die Mails versendet!

Hallo Sunny61 Entweder hast Du meinen Beitrag nicht richtig gelesen/ zu schnell gelesen (überflogen), oder ich habe "unklar" kommuniziert? :-) Es geht prinzipiell darum, dass ich den 2008 Server wie im Buch beschrieben als Client testen möchte, testen als inkompatiblen Client und testen als kompatiblen Client. Als kompatiblen Client (nur das Kriterium: Windows Firewall vorhanden und aktiviert muss erfüllt werden) - Windows Server 2008 64 Bit erfüllt dieses Kriterium, dennoch meldet die Sprechblase die Fehlermeldung, welche ich bereits als Anhang hier angefügt habe - Darum habe ich als Test einen Windows 7 32Bit Client verwendet, Ihn an der Domäne nwtraders.msft anmelden lassen und mit ipconfig /release ipconfig /renew getestet, ob er eine gültige IP- Adresse bekommt oder nicht. Ja, der Windows 7 32Bit Client erhält eine gültige IP- Adresse Und: Er hat auch unter den Diensten den Sicherheits-Center Dienst, der Server 2008 64 Bit Server, sowohl der oder die 2008 Server in meiner Testumgebung wie auch die in meinem produktiven Netz haben KEINEN Dienst mit dem Namen: Sicherheits-Center und auch keinen Dienst mit dem Namen: Windows-Sicherheits-Center (könnte ja sein, der Dienst vielleicht auch als Namen zuerst mit Windows...beginnt und nicht wie bei Windows 7 Sicherheits-Center heisst) Wie auch immer, finde bei jedem Windows Server 2008 64 Bit System - A keinen Dienst mit dem Namen Sicherheits-Center - B keine Sicherhetis-Center spezifische Dateien (DLLs und auch nicht die Datei wscui.cpl) Ruft man diese Datei via Kommandozeile beispielsweise im Windows 7 auf, so öffnet sich das Wartungsfenster. Unter jedem Server 2008 System funktioniert dieser Aufruf nicht, ist aber auch nicht weiter verwunderlich, weil A diese Datei im C:\Windows\System32 existiert und auch die dazugehörenden DLLs NICHT im Verzeichnis C:\Windows\System32 vorhanden sind! Die Frage stellt sich also nicht, warum der Dienst Sicherheits-Center NICHT auf dem Windows 7 Gerät vorhanden ist, er ist vorhanden! Sondern warum er auf KEINEM 2008 Server 64 Bit Server vorhanden ist? Im Buch steht: man soll via GPO diesen Dienst aktivieren, auch wenn ich google und drei Wörter eingebe: - Server 2008 - Sicherheits- Center - aktivieren finde ich oft den Hinweis, dass eben bei einem 2008 Server via GPO das Sicherheits-Center aktiviert werden soll, aber wie man es sonst auch noch aktivieren könnte, fand ich auch nach zwei Tagen suchen nicht heraus :-( Auch finde ich nicht heraus, wie ich beispielsweise via Kommandozeile den Status des Sicherheits-Centers prüfen könnte, weil ich eben vermute, dass der Has genau hier begraben ist und darum mein getesteter Server 2008 keine IP- Adresse erhält, weil eben das Sicherheits-Center anscheinend NICHT aktiv ist (sonst wäre ja ein Dienst vorhanden) ! Danke für weitere Hinweise und Feedbacks

hello Board Benutzer Ich fasse mich kurz: spiele gerade die Übung im dinken Schunken, Original Microsoft Training 70-642 durch und habe festgestellt, dass obwohl in der NAP Übung (S.434) --> DHCP Erzwingung (eignet sich als Übung gut), nicht nur der NAP Server sondern auch als Test ein Client mit dem Betriebssystem Server 2008 verwendet wird. Gemäss der Übung im Buch scheint es ja zu funktionieren, bei mir aber nicht?! :-( Die als Anlage angefügte Datei (Bild) zeigt die Fehlermeldung, welche auf dem Server 2008 "als Client verwendet" erscheint (dies nach ipconfig /release & ipconfig /renew) Ferner stellte ich ebenfalls fest, dass ich keine Möglichkeit gefunden habe, mit einem Kommando via cmd zu prüfen, ob das Sicherheitscenter effektiv nun aktiviert ist oder nicht?! Stellte betreffend Sicherheitscenter auch folgendes noch fest: - kein Dienst vorhanden, welcher wie bei Windows 7 mit dem Namen Sicherheitscenter zu identifizieren ist, auch mit dem Namen Windows-Systemcenter nirgends ein solcher Dienst zu finden?! - einige Dateien, welche für das Systemcenter auf dem Client meiner Meinung nach installiert sein müssten, finde ich bei mir weder auf dem Server 2008 Server in meiner Testumgebung vor, noch auf meinen Server 2008 Maschinen im produktiven Netz. im Ordner C:\Windows\System32 sind auf einem Windows 7 PC, 32Bit folgende Dateien vorhanden, aber auf keinem, bei mir laufenden 2008 Servern finde ich diese Dateien vor (siehe auch das angehängte Bild > alles Dateien zu sehen, welche mit wsc... beginnen ....meiner Ansicht nach sind dies System Center relevante DLLs etc. oder sehe ich das falsch? Zumindest erscheint bei den meisten, wenn man die Eigenschaften anschaut, eine Kurzbeschreibung im Bezug auf Sicherheits-Center..und vom Namen her wsx = Windows System Center würde es auch passen :-) Vielleicht gerade an diesem Punkt mal eine generelle Frage an euch betreffend NAP und Server 2008 64 Bit als Client verwenden: Hat schon Jemand von euch erfolgreich in einer NAP DHCP Erzwingungs Umgebung einen 2008 Server 64Bit erfolgreich als Client dazu bringen können, dass er Zugriff auf das Netzwerk erhält und nicht in die Quarantäne gesteckt wird? Erfüllen muss der Client nur den Windowssystemintegritätstest, dass eine aktive Windows Firewall vorhanden und aktiviert ist, was bei diesem Server der Fall ist!! Einstellungen habe ich via Gruppenrichtlinie vorgenommen, Rest via NAP Konsole (Server Manager, NAP Assistent > DHCP Server läuft auch auf NAP Server) Wenn ich das gleiche Spiel in der nwtraders.msft Domäne wie im Buch durchspiele, aber hierzu einen Windows 7 32Bit Client verwende und nicht wie im Buch einen 2008 Server, funktioniert der Netzwerkzugriff, eine IPv4 Adresse wird zugewiesen, GW wird zugewiesen, wie es sein sollte (weil der Client ja den Integritätstest besteht!) Danke für die Feedbacks cheers, André aus der gerade sehr sonnigen Schweiz :-)

Hallo Weingeist Betreffend dem Robocopy Parameter /z /b, sprich, /zb /Z :: Kopiert Dateien im Neustartmodus = würde ich umbedingt belassen, da gemäss meiner Erfahrung immer vorkommen kann, dass warum auch immer, beispielsweise ein Netzwerkunterbruch eintritt und somit erlaubt der Parameter /z den Neustart, sprich, beginnt nicht wieder von vorne den ganzen Karspumpel zu kopieren, sondern fährt dort weiter, wo robocopy zuletzt unterbrochen wurde /B :: Kopiert Dateien im Sicherungsmodus = diesen Modus würde ich immer anwenden, da gibt es keine Probleme beim Kopieren (meine Erfahrung) Die Lösung habe ich mittlerweile gefunden, da ich mich ebenfalls in meiner Umgebung mit dem Sicherungstool wbadmin.exe beschäftige und mittlerweile so erfolgreich DCs, Memberserver und Windows 7 Gerät auf meine externe HD sichere. Da stellte ich fest, dass der wbadmin.exe Backup Job auf einem Memberserver nur erfolgreich sichern kann, wenn der backup Benutzer den Skript, welcher wbadmin.exe aufruft > beispielsweise in der Aufgabenplanung im Reiter Aktionen steht: C:\Skripte\fullbackup-serverXY.bat (im Gegensatz zur Aufgabenplanung bei Windows 7, hier muss der Aufrug anders geschehen, siehe weiter unten das Beispiel) > in der Aufgabenplanung der Task mit erhöhten Admin Rechten ausgeführt wird (Feld Allgmein -> mit höchsten Berechtigungen ausführen) > der Backup Benutzer in der lokalen Gruppe Sicherungs-Operatoren Member ist > der Backpu Benutzer auf dem Member Server das Recht hat, Auftrag als Stapelverarbeitungsauftrag auszuführen beim Windows 7 Notebook war im Vergleich alles gleich, bis auf den Aufruf für den Skript, welcher in der Aufgabenplanung wie folgt stehen muss, damit es funktioniert: Reiter Aktion: bei Programm/ Skript disen Pfad hier angeben -> C:\Windows\System32\cmd.exe (Pfad zur cmd Datei, da zuerst das cmd aufgerufen werden muss) dann im Feld: Argumente hinzufügen (optional) diesen Pfad hier angeben -> /c "c:\skripts\fullbackup-client.bat" und zum Schluss, im Feld: starten in (optional) den Pfad zum Verzeichnis angeben, in welchem sich die Batch Datei befindet, bei mir ist das: C:\Skripts\ Auch da wie schon erwähnt, alle Bedingungen müssen analog sein, wie beim Beispiel oben, wenn ich den Memberserver sichern möchte, also auch da: unter anderem muss der backup Benutzer auch da in der lokalen Sicherungs-Operatoren Gruppe sein (habe hier wie auch beim Member Server die DomänenLokale Gruppe DL_Backupgruppe da hineingepflanzt) Im Gegensatz dazu muss auf einem DC die Gruppe oder der backup Benutzer NICHT in der lokalen Sicherungs-Operatoren Gruppe sein, da reicht es aus, wenn dieser in der DomänenLokalen Gruppe Sicherungs-Operatoren ist!! Das ist der springende Punkt, der Punkt, der springt :-) Ansonsten der Rest wie üblich, der Backup Benutzer muss natürlich Schreibrechte auf dem Ziel Ordner haben, auch auf dem Quell Share ... Hoffe, habe nichts vergessen, es geht, goil :-) cheers Andrew aus der Schweiz

Hallo Weingeist Betreffend DC + Fileserver Und: DFS Schon lange kein DFS mehr konfiguriert, danke für den HInweis, nett zu Wissen :-) Betreffend Sicherungs-Operatoren: Sollte generell auch gehen? Hast Du das schriftlich *grins* Meine eigentliche Quelle - Ziel Robocopy Konstellation sieht wie folgt aus: > Quelle = externe HD an meinem NB, UNC Pfad im Skript nennt sich hierfür: \\clifau001\ext-disk (externe USB HD als ext-Disk freigegeben) > Ziel = virtueller Server, UNC Pfad im Skript nennt sich hierfür: \\vmsrvfau003\Daten$ Aktueller Stand: Die Daten von \\clifau001\ext-disk sind in die root Freigabe Daten$ gespiegelt, gleicher Datenbestand. Wie habe ich das mit robocopy hingekriegt? Weil das Skript, welches robocopy aufruft, via rechts (und gleiczeitig noch die Shift Taste) Klick auf cmd, als anderen Benutzer ausführen, backup Benutzer eingegeben mit Passwort und so das cmd Fenster mit den rechten des backup Benutzers gestartet habe, jedoch der Skript nicht läuft, sprich, kein Bit kopiert, habe ich das cmd Fenster via Rechtsklick, als Administrator ausführen so starten können :-) Aber eben, mein Ziel wäre, sofern technisch möglich, wie soeben beschrieben, schlussendlich eine Aufgabenplanung, einfache Aufgabe einrichten (nennt sich so, in der Aufgabenplanung) und da muss ja ein Benutzer angegeben werden, sprich, man definiert einen Benutzer, damit das Skript oder welches Programm man auch immer ausführen mag, weiss, unter welchem Benutzerkontext es ausgeführt werden soll. Da möchte ich eben dann meinen backup Benutzer angeben! > Der Backup Benutzer hat gemäss meinem AGDLP Berechtigungsprinzip nicht nur auf dem root Quell Share wie auch auf dem root Ziel Share Vollzugriff > Er ist auch Mitglied der Gruppe Sicherungs-Operatoren. Bemerkung diesbezüglich: Interessant ist auch, dass wenn ich das CMD Fenster als backup Benutzer starte und den Befehl whoami /priv eingebe, mir kein Recht betreffend Sichern von Dateien angezeigt wird, obwooooooohl er ja immer noch zu den Sicherungs-Operatoren anzeigt, aber das scheint ein anderes Microsoft Problem zu sein... Egal, will nicht noch für mehr Verwirrung sorgen :-) Stand: > Skript mit robocopy wird zur Zeit nur ausgeführt (Share zu Share >> \\clifau001\ext-disk \\vmsrvfau003\daten$), wenn ich das cmd Fenster via Rechtsklick als Administrator ausführe > Skript läuft NICHT, wenn ich das cmd rechtsklick (mit gedrückter Shift Taste) anwähle und sage, als anderen Benutzer ausführe und hier eben meinen Backup Benutzer eingebe > Und: Wenn ich von Lokal zu Lokal kopiere, habe mir extra die Mühe genommen und auf meinem NB auf dem C:\ zwei Ordner erstellt C:\Quelle + C:\Ziel im Ordner C:\Quelle habe ich zwei Textdateien erstellt. QuellDatei.txt und QuellDatei02.txt Dann mit folgendem robocopy Befehl (extra für diesen Kopierzweck etwas angepasst >> Quelle und Ziel Definition) robocopy.exe c:\Quelle\ C:\Ziel /mir /zb /copy:DATSO /r:2 /XD "_RESTORE" "MSOCache" "Recycled" "RECYCLER" "Temporary Internet Files" "System Volume Information" "WUTemp" /XF $RECYCLE.BIN desktop.ini *.swp *.dmp *.tmp pagefile.sys hiberfil.sys /mt:22 /ns /nc /log+:c:\Logfiles\backup-all-Files-test.txt Bemerkung: Würde ich anstatt den Schalter copy:DATSO den Schalter /copyall verwenden, würde dann im LOG File stehen: FEHLER: Sie verfgen nicht ber Benutzerrechte zum Verwalten von šberwachungsprotokollen. ***** Diese Rechte sind erforderlich, um šberwachungsinformationen zu kopieren (/COPY:U oder /COPYALL). Ob ich nun lokal oder von externe HD am Notebook (Share) auf den Share (auf virtuellem Mitgliedsserver) kopiere, der Fehler im LOG Lautet immer: FEHLER: Sie verfgen nicht ber die Benutzerrechte zum Sichern und Wiederherstellen von Dateien. ***** Diese Rechte sind erforderlich, um Sicherungskopien anzufertigen (/B oder /ZB). Bemerkung betreffend lokal kopieren: Habe auf den erstellten zwei Ordnern (C:\Quelle + C:\Ziel) zusätzlich unter den NTFS Rechten die Gruppe DL_Backupgruppe eingepflanzt, Vollzugriff vergeben. Und betreffend deiner Frage im Bezug auf den SystemBenutzer: Der hat vererbte Rechte auf den zwei neu erstellten Ordnern, nämlich jweils Vollzugrif. Somit ist die Frage auch geklärt, ob der evtl. Vollzugriff auf dem Quell Share (Quelle) und Ziel Share (Ziel) haben muss, nebst den Sicherungs-Operatoren NTFS Vollzugriff Berechtigungen ;) Der Mitgliedsserver, auf welchem der Ziel Share vorhanden ist, hat die neuten Windows Updates installiert, SP2 und das volle Programm mein NB hat fast alle Updates drauf. Habe im Moment absichtlich noch nicht alle drauf, weil es anscheinend ein Windows Update gibt, welches schuld ist, dass danach dann das rechtsklicken auf cmd, ausführen als Adminsitrator nicht mehr funktioniert (kommt dann immer eine Fehlermeldung, welche ich jetzt so nicht habe) Hatte darum mein Windwos 7 NB via Systemwiederherstellung ein paar Tage zurückgesetzt, damit ich diese Funktion nach wie vor fehlerfrei nutzen kann, das noch so nebenbei als Information zion ;) Soo, ob wir da noch eine Lösung finden? cheers Andrew

Hallo Member (ich bin auch Member) Hast Du einen Namen? :-) Betreffend der Vererbung der DomänenLokalen Gruppe DL_Backupgruppe: Habe unter anderem als erstes zusätzlich auf dem Root (also zuoberst in der Hierarchie der Ordnerstruktur) der externen Festplatte zusätzlich die DomänenLokale Gruppe DL_Backupgruppe definiert und dieser Vollzugriff gewährt. Die Vererbung der untergeordneten Ornder war zu diesem Zeitpunkt noch aktiviert, somit haben alle Unterordner und Dateien diese Berechtigung geerbt. Diese Angelegenheit sollte funktionieren. Darum bleibe ich vorerst beim Vorschlag 1 :) .. Bemerkung betreffend Sicherungs-Operatoren: Wenn diese Gruppe effektiv in erster Linie dafür da sein sollte, die Sicherung von Dateien auf einem DC zuzulassen, würde dies ja im Umkehrschluss bedeuten, dass wenn ich jetzt meine Filestruktur (Ziel Share, welcher Robocopy benutzt) auf meinem jetzigen Member Server NICHT da drauf hätte, sondern auf dem DC, mein Vorhaben betreffend: cmd Fenster als backup Benutzer starten und Skript starten, welches robocopy anstösst, funktionieren? In der Theorie ja oder? Das wäre jetzt noch spannend zu wissen, bin mir gerade am überlegen, ob ich das noch kurz testen soll?! :-) Aber wer hat den Daten auf einem DC? Was für Daten? Klar, wenn man nur einen DC hat, als Beispiel, bleibt einem nichts anders übrig, hat man aber die Möglichkeit, mehrere Server zu installieren, verwalten, so würde zumindest ich Daten NICHT auf einem DC speichern, sprich, den DC als Fileserver benutzen wollen Vielleicht siehst Du das anders? Darum frage ich mich, warum wohl die Gruppe nur dazu da ist, Daten auf einem DC zu sichern? Kann da Microsofts Philosophie nicht ganz folgen :-)

Hallo Frank Danke für den Link. Den habe ich auch bereits gefunden und sowohl für X64 wie auch X86 (Windows 7 Enterprise 32 Bit) und Windows Server 2008 Enterprise 64 Bit) heruntergeladen und die Installation gestartet (auf dem Windows 7 Gerät, die Domänen-Admin Infos im UAC Passwort Abfrage Fenster eingegeben) Auf dem Server eh mit dem Domänen-Admin angemeldet, auf beiden Systemen kommt folgende Meldung: Das Update gilt nicht für Ihr System.. tolllllll :-) Habe dann nach dem KB950790-x64 Artikel und dieser Fehlermeldung gesucht, doch zum Ziel kam ich so trotzdem nicht. Irgendwo habe ich noch gelesen, dass wenn der Quell Share und der Ziel Share mit der Gruppe Sicherungs-Operatoren berechtigt seien (Vollzugriff), Robocopy dann als Admin ausgeführt werde, dieser einfach somit nicht explizit auch noch auf dem Quell Share und Ziel Share berechtigt werden müsse, sondern die Sicherung auch ohne expizite Berechtigungen für den Admin auf den Shares dann funktioniere (sinngemäss übersetzt) Es erstaunt mich wirklich, denn dass man einen Robocopy Skript in einem Batch ausführt, dieser bevor man Ihn in einer Aufgabenplanung einbindet, zuerst manuell via cmd Fenster aufruft und testet, versteht sich zumindest für meine Vorgehensweise als normal ;) und eben, dass man dann auch versucht, das cmd Fenster als diesen Benutzer auszuführen, welcher der DomänenLokalen Gruppe Sicherungs-Operatoren angehört, weil man ja testen möchte, ob der Benutzer die Berechtigungen nun hat und das Robocopy Skript so durchläuft und kopiert, ist meiner Ansicht nach doch auch normal oder findet Ihr meine Vorgehensweise "komisch"? Wie schon von mir im vorhergehenden Beitrag geschildert, hat sich diese Idee einfach daraus entwickelt, dass ich dachte: oook, es gibt eine DomänenLokale Sicherungsgruppe mti dem Namen Sicherungs-Operatoren, es gibt wie Du Franz angesprochen hast sogar Microsoft seitig "Hotfixes" für genau dieses Szenario und ja, funktionieren tuts dann trotzdem nicht... Also ich finde das extrem speziell, auch desswegen, weil ich unter google sehr wenig finde, wenn ich als Stichwort robocopy und Sicherungs-Operatoren in den Zusammenhang bringe... Habe einfach den Eindruck, dass viele Admins wie oft sich gar keine Mühe machen wollen, können, keine Lust haben oder wie auch immer, sich über solche Dinge "zu ärgern" oder denen nachzugehen ?? das ist zumindest mein Eindruck auf Grund der Suchresultate in google Bin schon frech oder? *lach* ...Nein Spass bei Seite, ich habe jetzt, weil ich nicht weiterkomme, mal den Skript via cmd, rechte Maustaste, als Admin ausführen, so ausgeführt ... So gehts, zumal ich dann zig Fehlermeldungen am Schluss in der Zusammenfassung des Logfiles vorfinde und habe soeben selber festgestellt, dass dies mit dem Schalter /copy:dat (dem A = Attribute) zusammenhängt. Sprich, die Fehlermeldungen bedeuten anscheinend, dass Robocopy von den ca. 296 GB nicht überall das Attribute mitkopieren konnte?? so deute ich zumindest die Sache, denn wenn ich nur /copy:dt ausführe, habe ich Null Fehlermeldungen. Doch das Problem ist dabei ja, wenn ich beispielsweise Dateien schreibschützen würde, mit Betonung auf würde, so wird dann beispielsweise der bereits vorhandenen Datei im Ziel Share diese Attribute nicht hinzugefügt?! (wenn ich dann im Skript wieder die Option /copy:dat verwende) Wie ich das wiederum hinkriege, ist dann eine zweite Baustelle ...Aber zumindest kopiert es schon mal, ist doch auch schon was *grins* (mit admin Rechten)

ich muss leider noch weg, werde wohl erst Morgen wieder Zeit finden ... versuche doch vielleicht mal noch kurz, ob Du dich connecten kannst, indem Du nach dem psexec Befehl noch die Parameter /benutzername /password mitgibst, habe sie auch nicht auswendig im Kopf, gib mal psexec /? ein, dann siehst Du die Parameter, ansonsten mal nach der Fehlermeldung googeln sorry, bin gerade am losdüsen cheers André

Liebe Board Benutzerinnen und Benutzer Ziel: Möchte via Aufgabenplanung einen Skript aufrufen, welcher via Robocopy und dem Parameter /mir jeweils die Verzeichnisstruktur auf ein Zielort spiegelt Und: dabei möchte ich einen Backup Benutzer in der Aufgabenplanung hinterlegen, welcher meiner Ansicht nach in der Gruppe Sicherungs-Operatoren sein müsste, damit es funktioniert?! Doch zuerst habe ich als Test Skript via cmd mit administratoren Rechten gestartet und von hier aus manuell gestartet. Verzeichnisstruktur X wurde nach Speicherort Y gespiegelt (296 GB), jedoch zeigte die Statistik am Ende ca. 846 Fehler an Was habe ich bis jetzt versucht und umgesetzt? Nach Berechtigungsprinzip AGDLP vorgegangen Bemerkung dazu: (Accounts in Globabe Gruppen, Globale Gruppen in DomänenLokale Gruppen und die DomänenLokalen Gruppen auf dem entsprechenden Share (Laufwerk) berechtigt) > Den Benutzer Backup erstellt und als Mitglied der Gloabel Gruppe G_Backupgruppe gemacht > die Globale Gruppe in die DomänenLokale Gruppe gesteckt, sprich: unter Reiter Mitglied von die DomänenLokale Gruppe DL_Backupgruppe hinzugefügt und auch die DomäneLokale Sicherheitsgruppe Sicherungs-Operatoren (ist per Standard im AD in der OU unter Domäne\Builtin zu finden) unter dem Reiter Mitglied von hinzugefügt (wie zuvor die DL_Backupgruppe) Zwischenergebnis: Habe also nun einen Benutzer namens Backup, der ist ist Mitglied der Globalen Gruppe G_Backupgruppe und diese wiederum ist Mitglied von der DomänenLokalen Gruppe DL_Backupgruppe und der DomänenLokalen Gruppe Sicherungs-Operatoren Als nächstes habe ich dien Quelle Share und den Ziel Share mit der DomänenLokalen Gruppe namens DL_Backupgruppe berechtigt, da meine Überlegung war und ist, dass robocopy beim Kopieren sowohl auf der Quelle wie auch auf dem Ziel die nötige Berechtigung braucht?! Im oben genannten Beispiel ist Verzeichnisstruktur X und Speicherort Y jeweils ein Laufwerk, konkret: > Speicherort X = externe HD an meinem Notebook, mit NTFS formatiert und ist unter dem Freigabenamen ext-Disk erreichbar. NTFS Rechte sind wie folgt: unter anderem ist wie erwähnt, in meinen Augen die notwendige, DomänenLokale Gruppe mit dem Namen DL_Backupgruppe mit Vollzugriff definiert > die gleichen Berechtigungen habe ich auf dem Server, auf dem entsprechenden Laufwerk umgesetzt! Habe auch da das Laufwerk unter einer Freigabe freigegeben, Freigabename = Daten, NTFS Berechtigungen auch da: unter anderem die DomänenLokale Gruppe DL_Backupgruppe mit Vollzugriff ausgestattet! So, Fazit: Sowohl die QuellFreigabe wie auch die ZielFreigabe haben nun die DomänenLokale Gruppe DL_Backupgruppe mit Vollzugriff definiert, Shareseitig = Jeder Vollzugriff So, nochmals zur Verwirrung :-) Da die DL_Backupgruppe Mitglied der G_Backupgruppe ist und diese wiederum Mitglied der Sicherungs-Operatoren, müsste doch jetzt robocopy Verzeichnisstruktur X nach Zielspeicherort Y spiegel, sofern ich ein CMD unter dem Kontext des oben erwähnten Backup Benutzers öffne und danach starte oder nicht? Antwort: es funktioniert in der Realität bei mir nicht, kann ich aber nicht verstehen, da doch nun mein backup Benutzer schlussendlich auch Mitgleid der Gruppe Sicherungs-Operatoren ist, diese Gruppe auch auf dem QuellShare und dem ZielShare berechtigt ist (auf dem Root) und somit es möglich sein sollte, das robocopy starten sollte? Die Fehlermeldung lautet wie folgt: (Ausgabe de Log Files) -------------------------------------------------------------------------------------------------------------------------------------------------------- FEHLER: Sie verfgen nicht ber die Benutzerrechte zum Sichern und Wiederherstellen von Dateien. ***** Diese Rechte sind erforderlich, um Sicherungskopien anzufertigen (/B oder /ZB). FEHLER: Nicht gengend Arbeitsspeicher. Der Vorgang wird beendet. FEHLER: Ungltiger Parameter #%d : "%s" FEHLER: Ungltige Auftragsdatei, Zeile #%d :"%s" Gestartet: %hs Quelle %c Ziel %c Einfache Syntax :: ROBOCOPY Quelle Ziel /MIR Quelle :: Quellverzeichnis (Laufwerk:\Pfad oder \\Server\Freigabe\Pfad) Ziel :: Zielverzeichnis (Laufwerk:\Pfad oder \\Server\Freigabe\Pfad) /MIR :: Spiegelt eine vollst„ndige Verzeichnisstruktur. Weitere Informationen erhalten Sie ber den Befehl "ROBOCOPY /?" **** Der Befehl "/MIR" kann Dateien sowohl kopieren als auch L™SCHEN. -------------------------------------------------------------------------------------------------------------------------------------------------------- Hat schon Jemand von euch es erfolgreich hingekriegt, dass robocopy unter einem erstellen Benutzer, welcher schlussendlich Mitglied der Sicherungs-Operatoren ist, eine Sicherung ausführt? Wenn ja, auch als Task in der Aufgabenplanung? (wäre mein nächstes Ziel) Bin der Ansicht, dass diese Gruppe nicht treffender für mein Vorhaben sein könnte als einfach wie oft viele das Motto anwenden, ach: nehmen wir doch den Admin, denn gehts schon...nein, ich will keinen Admin, für was? wir haben die Sicherungs-Gruppe, die ist doch dafür da oder nicht? Danke euch für die Unterstützung, danke danke danke cheers André aus der Schweiz

Hallo Newbie Mein Vorschlag: - das Passwort für den Administrator via pstools ändern. - via Befehle net user das Passwort des betroffenen Benutzers ändern > Die psTools kannst Du dir unter http://technet.microsoft.com/de-ch/sysinternals/bb896649.aspx downloaden > Danach den ganzen Inhalt auf einem x beliebigen Rechner (vielleicht mit Vorteil gleich auf deinem Rechner) in das C:\Windows Verzeichnis kopieren > Befehl psexec verwenden: psexec \\servername cmd > ob Du nun wirklich das cmd Fenster des betroffenen Servers offen hast, kannst du beispielsweise mit dem Befehl hostname prüfen > hostname eingeben, Enter > nun folgt folgender Befehl: net user gemäss folgender Syntax: net user benutzername (kannst auch net user /? = zeigt dir die möglichen Befehle an) Der komplette Befehl in Deinem Fall würde lauten: net user administrator * und Enter Die Meldung erscheint: Geben Sie ein Kennwort für den Benutzer ein! Darum: Kennwort eingeben Kennwort nochmals bestätigen (entsprechender Hinweis folgt diesbezüglich) Das wars! Ist dein Server in einer Domäne, lauter der Befehle: net user adminsitrator * /domain (den Parameter domain so eingeben, wie er da steht, sprich: /domain) > danach Passwort setzen, enter > Passwort bestätigen, fertig. Bemerkung dazu: Die Passwortänderungsanfrage würde hierbei an den nächsten DC gesendet und vom diesem verarbeitet! Betreffend net user Befehle, hier noch der Link mit weiteren Infos http://support.microsoft.com/kb/251394/de Gib doch danach kurz ein Feedback, ob es funktioniert hat cheers André

nachdem ich gestern, am Sonntag wie zuletzt geschrieben habe, die Windows Updates installieren wollte, blieben es denn auch teils beim Wollen. Auf dem DC mit den FSMO Rollen gab es zuerst Warnmeldungen, wie folgt: (unter dem Punkt Anwendung) Quelle = ESENT Ereignis-ID = 399 wuaueng.dll (264) SUS20ClientDataStore: Fehler beim Überprüfen der aus der Datei "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" bei Offset 28647424 (0x0000000001b52000) (Datenbankseite 6993 (0x1B51)) für 4096 (0x00001000) Byte gelesenen Datenbankseite. Bit 11755 war beschädigt und wurde korrigiert. Der Grund für dieses Problem ist wahrscheinlich defekte Hardware. Das Problem bleibt möglicherweise weiterhin bestehen. Vorübergehende Fehler wie dieser können ein Warnhinweis auf einen schwerwiegenden Fehler im Speichersubsystem sein, in dem diese Datei gespeichert ist. Wenden Sie sich an den Hardwarehersteller, um Hilfe bei der Problemdiagnose zu erhalten. Bemerkung dazu: Angenommen, mein ESXi Host, der physische ESXi, welcher den Gastsystemen, unter anderem meinen DCs hier den physischen RAM zur Verfügung stellt (insgesamt 8GB), könnte es sein, dass einer dieser beiden 4 GB Speichermodule ein Problem hat? Die Fehlermeldung beschreibt da schwerwiegende Fehler des Speichersubsytems? Und darum auch die Windows Updates bei Update 33 von 89 lange stehen geblieben war und nun, wenn ich den Updateverlauf anschaue, gar nicht alle installiert wurden? Danach eine Fehlermeldung: Quelle = SidebySide Ereignis-ID = 72 Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\SHELL32.dll". Fehler in Manifest- oder Richtliniendatei "C:\Windows\system32\SHELL32.dll" in Zeile 10. Das depmndency-Element wird als untergeordnetes Element des urn:schemas-microsoft-com:asm.v1^assembly-Elements angezeigt, das von dieser Windows-Version nicht unterstützt wird. Dann später wieder ein Fehler: Quelle = Application Error Ereignis-ID = 1000 Fehlerhafte Anwendung TrustedInstaller.exe, Version 6.0.6001.18000, Zeitstempel 0x4791935a, fehlerhaftes Modul ntdll.dll, Version 6.0.6001.18000, Zeitstempel 0x4791adec, Ausnahmecode 0xc0000005, Fehleroffset 0x00000000000478de, Prozess-ID 0xde4, Anwendungsstartzeit 01ce07b2eb053224. Fehler Quelle = Winlogon Ereignis-ID = 4005 Der Windows-Anmeldeprozess wurde unerwartet beendet. Bemerkung zum zweiten DC (ohne FSMO Rollen) Bei diesem war es so, dass ich da auch versucht habe, die Windows Updates zu installieren, jedoch sah ich da einmal am Abend auf dem Screen folgende Meldung (sinngemäss übersetzt): Die Updates konnten nicht konfiguriert werden, müssen nun wieder rückgängig gemacht werden) Kurz: Es gibt grosse Problem beim Installieren von Windows Updates! Frage: wiederhole mich kurz, kann es sein, dass wenn der Arbeitsspeicher ein Problem hat, unter anderem auch Probleme beim Installieren mit den Windows Updates auftreten? Kann diese nicht ohne Fehler installieren oder kann generell wenn überhaupt, ein paar Installieren... Weil ich vervmute schon Probleme mit den Speichermodulen des ESXi Hosts?! ... Den auch beim Installieren der Gast Systeme gab es geils schon Fehler oder ab und zu mal einen Blue ... Screen wo unter anderem auch das Stichwort Speicher Management angezeigt wurde. Schei... Ich übe nun nicht mehr lange und gehe heute einfach zwei neue DDR2 Speichermodule an je 4GB kaufen, denn soviel unterstützt mein Mainboard, ist halt ein älteres, wie Ihr merkt :-( Weiss, würde auch lieber einen echten HP Server reinziehen, einen HP Proliant G5 350 oder so, aber kostet halt immer noch so Minimum 1'000.00 SFr ..wenn dieser Minimum 32 GB haben soll, was ich benötigen würde hehe...

Problemzustand war: - konnte mich auf dem zweiten DC, welchen ich zuvor via wbadmin.exe gesichert hatte und auf Grund von Bluescreens usw. entschieden habe, ein Restore zu machen, diesen zurückgesichert Und: Die Anmeldung mit dem Domänen-Admin funktionierte nicht mehr. Muss aber noch erwähnen, das blieb bis jetzt in diesem Beitrag auf der Strecke: Ich hatte ursprünglich gleich beide DCs wieder hergestellt. Zuerst den DC, welcher alle FSMO Rollen inne hat, danach das Fullbackup des zweiten DCs... Dies funktionierte zuerst auch gut, der zweite DCs konnte sich normal an der Domäne anmelden, in der Ereignisanzeige sah es zumindest für mein dafürhalten auch gut aus. Doch plötzlich war da plötzlich das Problem, dass ich mich eben mit dem zweiten DC, welcher nur die Rolle DNS inne hat, mich nicht mehr anmelden konnte >> Benutzername oder Passwortr falsch >> auch war es mir nur noch möglich, mich via \\192.168.5.11\c$ zu verbinden, \\servername\c$ war nicht mehr möglich! >> auch war das Verbinden vom DC mit allen FSMO Rollen aus es mir nicht mehr möglich, via Ereignisanzeige mich auf den zweiten DC zu verbinden, da ich hätte üerprüfen können, was dieser genau für Fehler ausgibt. Dies hatte ich anfangs auch so erwähnt Nun, da für mich diese Fehlerbeschreibung, diese Situation etwas überfordert hat, ich nicht wusste, wie weiter, denn wenn zwei elementare Dinge wie: > sich am DC Anmelden > sich via Ereignisanzeige auf diesen DC verbinden und die Fehler auslesen NICHT mehr funktionieren, so bin zumindest ich schon am Anschlag und IHR, oder Du Günter? Was hättes Du da versucht? Du hast geschildert, ich hätte die Ereignisanzeige auslesen sollen, DCdiag usw. Aber wie, auf Grund dieser von mir geschilderten Situation? Wenn man sich bereits via Domänen Admin nicht mehr auf den DC verbinden kann, die Ereigsanzeige des Problem DCs nicht mehr anschnallen kann, wird es nur, wirklich nur ein klein wenig schwierig :-) Langer Rede kurzer Sinn (oder umgekehrt), für welche Schritte/ Lösungsweg habe ich mich entschieden? Habe das älteste Image, welches ich überhaupt hatte, des > DC1 mit allen FSMO Rollen zurückgesichert. Dieses war vom 30.Januar 11:45 Uhr > DC 2 mit DNS Rolle zurückgescihert. Dieses Image war vom 30. Januar 10:30 Uhr Als der zweite DC noch nicht wiederhergestellt wurde, meldete natürlich der erste DC mit allen FSMO Rollen in der Ereignisanzeige Fehler, weil er seinen Kollegen (den zweiten DC) nicht finden konnte, sich nicht mit diesem replizieren und darum Fehler generierten wurden. nachdem ich den zweiten DC wiederhergestellt habe, haben sich die Ereignisanzeige auf dem ersten DC gebessert, die Fehler sind verschwunden Ereignisanzeige DC mit FSMO Rollen, Punkt Verzeichnisdienst sagt: Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet. Punkt DFS Replikation: Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet. Dass es nun anscheinend doch funktioniert hat, liegt wohl daran, dass die Images an sich soweit in Ordnung waren?! .. Zumindest hatte ich nach der Rücksicherung des DC mit den FSMO Rollen zuerst in der Ereignisanzeige nachgeschaut, wie es da aussieht und kam zum Schluss, dass sowei bis auf ein paar Warnungen keine gravierenden Dinge angezeigt wurden, danach den zweiten DC zurückgesichert und die Sache läuft nach wie vor stabil .. Schauen wir, wie lange ;) Installiere mal auf den Servern die Windows Updates, damit wir auch in dieser Hinsicht die Gewissheit haben, das wir da auf dem neusten Stand sind

Genau Günther Habe ich auch gesehen, dass da noch ein paar nette Links enthalten sind, die ich sicher auch noch lesen sollte/ muss ;) Denn meine zwei gestellten Frage kann ich mir, zumindest bis jetzt, auch mit "neuen" Wissen noch nicht selber beantworten Auch ist der Begriff ntdsutil ifm gefallen, muss mich noch schlauer machen. Du kannst mir also aus eigener Erfahrung meine beiden Fragen demnach nicht beantworten?

Hallo Günther Habe ursprünglich vor ein paar wenigen Wochen die Domäne bei mir zu Hause neu eingerichtet, alles lief soweit sauber. Dann habe ich so schnell wie möglich versucht, via das Microsoft Tool wbadmin.exe (Aufruf via Skript) alle Server zu sichern, auch die DCs. Hatte dann, weil ich alles auf einem ESXi laufen lasse, plötzlich Probleme, Abstürze usw. Wusste zuerst nicht, was los ist? Dann fand ich nach langem suchen heraus, dass wohl der Host, als der physische ESXi ein Problem mit den 8 GB haben muss, sprich, dass ein oder beide Riegel irgend ein Problem haben müssen, denn wenn ich dann oft die "mikrigen" 2 GB eines DCs beispielswiese (64Bit) auf 1 GB heruntergeschraubt habe, war der Bluescreen weg und der Server stürzte nicht mehr ab. Bevor ich dies aber herausgefunden habe, habe ich gleich zuerst den DC mit allen FSMO Rollen, welchen ich ursprünglich via Windows Sicherung (wbadmin.exe) gesichert habe, zurückgesichert. Alles wunderbar.... Danach habe ich das gleiche Spiel mit dem zweiten DC gemacht, auch alles wunderbar, vorerst .... Doch nach einem, zwei Tagen begannen Probleme: Der zweite DC meldete plötzlich, ich könne mich nicht anmelden, eine unauthorisierte Änderung sei vorgenommen worden, ob ich via Online Hilfe weiterschauen möchte oder mich abmelden ...ich konnte keine einzige Funktion mehr nutzen, die Taskleiste war weg, nichts ging mehr, nur diese Meldung bestätigen ... Dann dachte ich, ooooook, was ist den jetzt wieder los? Darauf hin habe ich angefangen, verschiedene Restores vorzunehmen, die teils vielleicht 1, 2 oder 3 Tage alt waren. Tja, plötzlich war es so, dass ich, nachdem ich den zweiten DC zurückgesichert hatte, mich eben gar nicht mehr anmelden konnte, weil stets die Meldung kam, der Benutzername oder das Passwort sei falsch Nun, auf dem Schweizer Board >> www.informatikboard.ch gab mir ein Board Benutzer folgenden Hinweis >> http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensicherung-taugen/ Diesen Artikel werde ich nun in Ruhe durchlesen ;) Melde mich evtl. später nochmals, danke aber schon jetzt