gysinma1

Hallo Also, der einfachste Weg ist natuerlich ein oeffentliches Cert welches Du beispielsweise bei godaddy.com fuer 35$ fuer zwei Jahre bekommst. Wenn du mit ActiveSyn arbeitest wirst du den fqdn benoetigen fuer den cert name d.h. Dein Server wird aus dem internen Netz, angesprochen mit dem Netbios Namen, immer sagen das Zetrifikat sei ungueltig, da der Name im cert auf den fqdn lautet. Mein Tipp an dieser Stelle sprich den Server NUR mit dem FQDN an. Ein nicht oeffentliches Cert kannst du mit dem tool addcert.exe importieren. Auf dem Client werden die Zetrifikate mit den Domain Policies (oder zur Not mit dem gpedit.msc) importiert respektive ausgebracht. Noch wichtig, damit du dir den Vorgang besser vorstellen kannst, das Zetrifikat wird nicht "irgendwie" mit dem Activesync von Deinem PC auf den PDA "kopiert". Das Installieren eines cert ist rein aus sicherheitsoptik bei Mobile Devices und Computern zwei voellig getrennte Vorgaenge - welche zwar dasselbe machen. Gruss Matthias

Hallo Nilks Nein leider nicht - die habe ich bereits angeschaut, denn ich kann nur eine ganze Domain restoren so wie ich den Script interpretiere. Ich will innerhalb der Domain eine OU kopieren mit den eingelinkten GPOs. Es ist für mich nicht ersichtlich, dass das geht. Gruss Matthias

Hallo Zusammen Kennt jemand von Euch ein Tool oder ein Script, womit wir OUs klonen können mit den zugehörigen GPOs (es sind etwa 20 GPOs). Schön wäre etwas mit GUI also Fensterli. Leider habe ich auch nach eifriger Suche bis jetzt nichts praktisches gefunden. Gruss Matthias

Hallo Zusammen Im Windows 2003 hatte ich ein Script, der mir aus dem gegenwärtig eingeloggtem User ein defaultprofil erstellt (regback, etc. sichern der ntuser.dat). Nun ich dachte, die Menschheit fliegt seit geraumer Zeit zum Mond, und mit dem 2008-er wird dies einfacher :D - leider ist dem nicht so. Ich will, dass jeder Admin basierend auf dem default Profil ein Grundprofil bekommt. Roaming profiles haben wir keine und stehen auch nicht zur Debatte. Wie löst Ihr dieses Problem oder hat jemand einen Ansatz. Gruss Matthias

Hallo Zusammen Ich habe ein 2K8 Setup (fast) fertig. Es fehlen mir leider noch einige Sources, welche ich früher in dem $oe***\$$1 Verzeichnis hatte. Ich habe mit dem AIK ein Distributionshare erstellt und dort unter $oe*** Folders die Struktur mit C:\Ordner1, C:\ordner2 etc erstellt. Leider wird es während dem Setup nicht kopiert. Muss das irgendwo noch in das Answerfile hinein, denn einen hinweis auf diesen Ordner fehlt dort völlig. Wirklich hilfreich ist auch die Hilfe dazu nicht.- welche zwar nur sagt, dass alles noch gleich "funktioniert". :D Gruss & Vielen Dank Matthias

Hallo Zusammen Ich habe folgendes Problem: Windows 2008 unattended Setup mit dem AIK erstellt. Läuft eigentlich alles ganz ordentlich wie es soll. Nun wir arbeiten jedoch mit Disks und nicht mit Partitionen. Das System kommt richtig auf die Disk 0 Partition 1 auf die Disk 1 Partition 1 möchte ich jedoch aus dem \reminst Verzeichnis weitere Daten kopieren auch das geht im winPE Mode.- Nur wenn das Setup fertig ist, bleibt die Disk 1+2 im diskpart "offline" (das kopieren ging im WinPE Mode und die Daten wurden angezeigt). Leider ist auch die Onlinehilfe nicht grad das Gelbe. Gruss Matthias

Hallo Zusammen wir hatten dieses Phänomen auch aber bei mehreren DBs mit 200 GB im Fullmode mit 32 Kernservern. Mit dem (AEW Switch) "verschwinden" sowohl im x32 wie x64 OS die Memoryallocation aus dem SQL Prozess. Allgemein empfiehlt MS nicht den AEW Mode auf X64 zu aktivieren (bei 32 bit nur bei speziellen Situationen). Eventuell sinnvoll ist pro Kern eine Tempfile Datei zu pflegen, da dieses exklusiv genutzt wird d.h. die tempdb sollte bei 8 Kernen aus 8 Dateien bestehen. Oft wird auch diskutiert, die SQL Affinität der CPU0 aufzuheben und dies für das OS zu belassen v.a. bei Highpeformance Applikationen da diese v.a. bei Clustern bei längernen 100%Linien sonst Clusterswitche auslösen. Natürlich ist/war unsere Umgebung ein bisschen extremer ... aber mit vielen kleinen Details lässt sich oft noch etwas rausholen. Gruss Matthias

Ja das ist erst die halbe Miete ... Es gibt ein Mail von dem MS CTO aus rechtlichen Gründen darf ich es hier nicht abbilden: - Support für fast sämtlichen Plattformen (Novell, ZEN, etc.) - Support für Exchange/DC unter virtuellen Plattformen (but not recommended bleibt aber). Es war eine strategische Anpassung, da das Argument wieso mit Hyper-V es supported wird jedoch nicht mit ESX langfristig Probleme technischer und rechtlicher Art machen könnte - nehme ich an. Schön ! - Fast wie am Geburtstag :-) Gruss Matthias

Ja abgesehen davon ...

:D Dem Namen nach hast Du natürlich Recht. Ich rechne jedoch in Betriebsjahren ... als Betatester und MVLS Partner hatten wir die Sources jedoch relativ früh, okey als Beta,RC und RTM Versionen. Gruss Matthias – Hallo Also 300 Leute würde ich weder auf einem SBS noch auf einem Single Exchange 2007 Server betreiben. Ich würde mir da Gedanken machen die Rollen zu verteilen auf zwei Server z.bsp. Hub und CAS zusammen und MB alleine. Wobei massgeben ist die Grösse der einzelnen Mailbox. Gruss Matthias

Hallo Auf dem ML110 läuft Exchange 2007 unter W2K8 bestens. Habe das in dieser Konstellation seit bald zwei Jahren in Betrieb (keinerlei Probleme). Denke einfach an genug Memory (4 GB RAM ist das Mindeste). Gruss Matthias

Hallo Ich würde da einen Microsoft Case eröffnet, der kostet wenigstens pro Stunde 310 chf. Microsoft wird da jedoch relativ wenig machen, denn Exchange 5.5 war nur bis 2005 supported (??) Ne Spass beiseite, dass ist ein politisches Problem und kein Technisches. Angenomen, die Sache läuft wieder, bist Du das nächste Mal der Lakierte, denn Du hast den Server angefasst. Als Dienstleister (ich bin einer) aussteigen ist das einzige. Wenn Du Mitarbeiter bist, externe Firma kommen lassen, dann bist Du wenigstens die fachliche Verantwortung los. Dass ein Raid1 defefekt ist, hätte auffallen müssen (Überwachung). In diesem Falle hättest Du zuerst versuchen sollen die Disks zu clonen und die Originale keinenfalls zu überschreiben.- Aufgrund Deiner Fehlerbeschreibung liegt die Ursache meiner Meinung nach eher bei der Domain (fehlende SAM) als bei Exchange. Ich befürchte Du wirst das nicht mehr zum Laufen kriegen ausser mit dem Kroll Ontrack. Gruss MAtthias

Hallo Zusammen 2K8 läuft bestens. In einigen Features sind diese stark gewohnungsbedürftig. Aber so ist das (Admin)Leben, das Leben besteht aus Veränderungen. Die grösste Herausforderung ist meiner Meinung nach das x64 als Standard. Aber x64 hatten wir vorher auch schon mehr oder weniger optional. In vielen Gross- und Enterprise-Firmen, die ich kenne wird jedoch bis teilweise 2011 gewartet, damit die TPA Kunden von MS migriert sind und somit best practices existieren. Das sind jedoch Grösstumfelder. Das heisst aber nicht, dass dort nicht innovativ das OS "erforscht" wird. Ich bin auch gespannt, was Kollegen an der Teched dieses Jahr im November erleben und erzählen. Gruss Matthias

Hallo Vielen Dank. Ja leider sind diese Applikationslieferanten nicht annähernd bereit etwas anzupassen. Ich habe die Threads bereits gelesen. Wäre es dann nicht möglich ein NLB mit einer ADAM Schnittstelle und Listener auf dem LDAP Port und LDAP-s Port zu betreiben ? Ein Test machen wir morgen sicher mal. Gruss Matthias

Hallo Zusammen Ne eine Domain ist redundant. Jeder DC sollte doch jederzeit rebooten können, gäbe es da nicht diese Bananenapplikationen wo statisch ein DC eingetragen werden muss für authentizierung. Notabene alles Applikationen welche absolut businesskritisch sind (Hyperion z.Bsp. oder NAC Controlling). Wie habt Ihr das gelöst ? wir arbeiten noch mit Windows 2003 AD und denken über zwei ADAMs in einem NLB nach. Dann könnten wir den virtuellen clustername eintragen. Wie seht Ihr das mit Kerberos ? Habt Ihr eine bessere Idee ? Gruss Matthias

Hallo Zusammen Wiedermal bin ich auf der Recherche :D Kennt Ihr eine Möglichkeit Computerkonten anhand des Joiningaccounts in der "richtige" OU zu generieren ? Clientseitig kann kein Vorgang ausgeführt werden, (vbscript bei dem Installieren zum Bleistift). Jedoch scripts die auf der DC Seite schieben wären durchaus vorstellbar. Gibt es AD2008 mässig einen Ansatz. Muss gestehen, dass ich mir dies seitens AD2008 noch gar nicht angeschaut werden. Gruss Matthias

Hallo Doch natürlich stimmt meine Aussage sonst hätten wir es auch gemacht ;-) - das Design stammt ja dort auch von mir und MS. Mit CCR kannst Du keine Public Folders replizieren innerhalb der Storage Group. Ein Knoten kann jedoch Public Folders hosten diese aber nicht an den anderen Knoten replizieren. Gruss matthias

Okey Dual Core sind okey für Exchange 2007. Intel Xeon haben einige teilweise probleme mit sauberer 64-bit Emulation (vmware) - Falls dies ein Thema wird (sorry habe das erst jetzt im Zusammenhang gesehen) - fährst Du mit AMD besser (und auch günstiger). Dann noch ein Detail es gibt kein Backup Domaincontroller mehr unter Active Directory. Die sind mehr oder weniger alle gleichwertig. Die FSMO Rollen (damit meinst Du möglicherweise den PDC), damit musst Du Dich noch Auseinandersetzen, wenn du die Kiste plattmachen möchtest. Gruss Matthias

Hallo Was noch oft bei Ex2007 Cluster vergessen wird ist, dass CCR Cluster Public Folders ausschliessen. Edge und UM sind optional. Wir haben Unix Postfix Server in der DMZ und diese "reinigen" die MAils von SPAM und Viren also auch keine Edge und Um Server. Wir haben dafür OCS. Man kann by design nur eine Exchange 2007 Organisation innerhalb derselben Domain installieren. Wir haben 28 Sites EMEA und zentrale Exchange 207 Server (CAS NLB, 4 Hubtransporter und 8 CCR Cluster). Das ist alles am Hauptsitz in einer AD Site. Clients greifen aus 28 Niederlassungen zu. Okey wir haben 10 Gbit Leitungen unter den Standorten als Sternnetz. Die Exchange Struktur muss sich strikte dem AD Modell Anpassungen - bei uns ein Active Directory Branchoffice Design mit Bridgeheads. Sind die Ausstenstandorte nicht inderselben Domain muss eine Lösung gefunden werden. Ist der Zugriff nur mit OWA käme Active Directory Federation Service in Betracht. Gruss Matthias

Hallo Es ist aus Peformance Gründen nicht sinnvoll ein Exchange 2007 zu virtualisieren. Der Exchange 2007 benötigt auf einem physikalischen Server bereits mindestens 2.5 GB RAM alleine (im Leerlauf). Bedenke Deine Konfiguration ist wie XPFAN schreibt nicht für den Dauerbetrieb ausgelegt (kein Servermainboard). SBS wäre hier markant idealer v.a. wenn Du nur einen Server betreiben willst. Gruss Matthias

Hallo Kannst Du uns mal die ipconfig -all von dem Gerät posten wo Du pingst und lasse auf diesem Server das Tool netdiag mit dem Parameter netdiag /fix durchlaufen. Das Tool findest Du in den Supporttools. Der DC muss als 1 DNS Server immer sich selbst eingetragen haben. Ist in diesem Netz noch ein WINS Server in Betrieb ? Gruss Matthias

Hallo Leute Ich habe da mal wieder was nettes für die Runde unserer AD und Clusterspezis ... Wir haben einen Forest (Rootdomain) mit einer Childdomain. Alle Resourcen darunter diverse Cluster (SQL, File, Exchange etcetc) sind in der childdomain.rootdomain.net Die DNS Zonen beider Domains (root und child) sind forestwidth auf jeden DC repliziert (gem. Vorortanalyse und Empfehlung MS). Wir beobachten nun auf diversen Cluster den netlogon Event 5788 und 5789 ein Zugriff auf die Resourcen ist dann auch nicht mehr möglich. Nachstehende Events treten dann auf. MS empfiehlt in dem Artikel Event ID 5788 and event ID 5789 occur when the DNS domain name and the Active Directory domain name differ on a Windows-based computer in dem Attribut msDS-AllowedDNSSuffixes die beiden dns-domain names einzutragen. Grundsätzlich müssen (z.Zt. sollten) die clients jeodch die FQDNs der Memberdomain übernehmen. (dns config ist so gemacht). Cluster betrachte ich als "normale" Memberclients was den DNS angeht. Frage nun in die Runde: - Wahrscheinlich sind wir kaum die einzigen auf diesem Planeten die dieses Problem haben/hatten. Wie hattet Ihr das gelöst ? -Welche Issues hattet Ihr (MS beschreibt in weiteren Threads mögliche Probs mit Exchange) mit dem Anpassen des msDS-AllowedDNSSuffixes Attributes. btw: die servernames habe ich natürlich aus naheliegenden Gründen herausgneommen. Die events treten in dieser Reihenfolge auf. Gruss Matthias Event Type: Error Event Source: NETLOGON Event Category: None Event ID: 5788 Date: 19.07.2008 Time: 22:01:25 User: N/A Description: Attempt to update HOST Service Principal Names (SPNs) of the computer object in Active Directory failed. The updated values were 'HOST/SDBDN201.prod.axponet.ch' and 'HOST/SDBDN201'. The following error occurred: There are no more endpoints available from the endpoint mapper. Event Type: Error Event Source: NETLOGON Event Category: None Event ID: 5789 Date: 19.07.2008 Time: 22:01:25 User: N/A Description: Attempt to update DNS Host Name of the computer object in Active Directory failed. The updated value was 'SDBDN201.prod.axponet.ch'. The following error occurred: There are no more endpoints available from the endpoint mapper. ------------------------- Event Type: Error Event Source: Kerberos Event Category: None Event ID: 7 Date: 19.07.2008 Time: 21:33:59 User: N/A Description: The kerberos subsystem encountered a PAC verification failure. This indicates that the PAC from the client Svc-EfasEisProd in realm PROD.AXPONET.CH had a PAC which failed to verify or was modified. Contact your system administrator. Event Type: Error Event Source: NETLOGON Event Category: None Event ID: 5719 Date: 19.07.2008 Time: 21:33:59 User: N/A Description: This computer was not able to set up a secure session with a domain controller in domain PROD due to the following: The remote procedure call was cancelled. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.

Ja ich habe Exchange 2007 - unleashed Sehr umfassend Gruss Matthias

Hallo Zusammen Wenn ein DC sauber aUS der Domain entfernt wurde (alle Einträge im dssite weg, DC -Objekt nicht mehr vorhanden, DNS NS Records weg, sysvol Objekt in AD weg) spricht nichts dagegen diesen neu zu promoten. Diese Vorgänge werden von dcpromo nicht immer sauber durchgeführt. Bei dem demote Vorgang wechselt er seine Rolle in einen Memberserver. Heikler ist es, wenn der DC "herausgebrochen" wurde (abschalten, o.ä.), dann muss er neu installiert werden und auf der "anderen" Seite die AD vorher wieder in Ordnung gebracht werden. Gruss Matthias

Und connector löschen (=disablen) und neuen machen geht auch nicht ? Ja die Dienste sehen gut aus. Gruss MAtthias