Christoph35
-
Gesamte Inhalte
3.624 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Christoph35
-
-
Ich würde die Update-Tests auf jeden Fall machen.
Zum einen ist der LH Server ja noch in Beta. Bis da mal Tests erscheinen, wirds wohl noch dauern. Zum anderen wird ja der Server 2003 auch ne eine Weile aktuell sein. Wir haben z.B. erst letztes Jahr die letzten NT4 Server "entsorgt" ;)
Christoph
-
Du wirst doch so kurz vor dem Ziel nicht aufgeben, oder? ;)
Ich würde an deiner Stelle noch einen Versuch wagen. Habe für die 291 selbst auch 3 Versuche gebraucht. 668 Pkt. im 1., 682 im 2., 718 im 3. Anlauf, hatte auch 1x RAS gut und beim bestandenen Versuch dann nicht ganz so gut :D.
Christoph
-
Protokoll: http,https
von: Intern
nach: Lokaler Host
UND:
Protokoll: http, https
von: lokaler Host
nach: Extern
Wenn Du den Proxy im Browser einträgst reicht die Regel
action: zulassen
protocol: http und https
von: internal
nach: external
condition: authenticated users
Zwei Regeln brauchts dann nicht, der ISA fängt das ab, checkt die Auth. und gewährt Zugang zum Internet oder eben nicht.
Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen?
Kommt drauf an, wie der Client konfiguriert ist (SecureNAT Client -> def. GW = ISA Server oder führt zum ISA) oder Firewall Client und natürlich auf die Firewall Regeln, NetzwerkRegeln etc.
Ich würde dir empfehlen, mal das Buch von T. Shinder zum ISA 2004 zu lesen (ist sozusagen ein Standardwerk). Da steht alles bestens erklärt.
Christoph
-
Du kannst z.B. die Zugriffsregel so einstellen, dass nur authentifizierte User surfen können (default ist: all users ->auch anonym).
Christoph
-
Und wieder der Verweis auf EventID.net ;)
http://www.eventid.net/display.asp?eventid=2042&eventno=3428&source=NTDS%20Replication&phase=1
Christoph
-
Doch, die Zone ist im AD gespeichert und wird damit an alle DCs repliziert, die auch DNS Server sind. Die Option "To all domain controllers" wird vor allem benötigt, wenn du W2K DCs hast, die an der Replikation teilnehmen sollen.
Such mal in der Windows Server 2003 Hilfe nach "DNS zone replication in Active Directory". Das erklärt die Sache ziemlich gut.
Christoph
-
Welche Bücher gibt es denn für 285? Ich hab nur das MOC gefunden.
Richtig, für die 285 gibt es kein Buch zum Selbststudium. Das für die 284 muss es tun, und dazu sollte man sich mal in der Exchange technical Library im MS-Technet umsehen. Insbesondere die Whitepapers zum Thema Planung sind hilfreich.
Christoph
-
Hi,
es gibt unter Admin Templates/System/Logon den Punkt "Always use classic Logon". Das scheint Vista aber nicht sonderlich zu interessieren :mad: .
Übrigens kann man sich lokal anmelden mit .\<username> und passwort.
Christoph
-
Hi,
hier stehts ganz genau beschrieben, zwar für den ISA 2000, aber du solltest in der Lage sein, das auf den ISA 2004 umzusetzen.
http://www.isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html
Christoph
-
wie gesagt bin ein wenig am verzweifelb...
Erst mal.. ruhig Blut, ich weiß, ist leicht gesagt :D
10.1.10.40 als dnsDas ist schon mal ok.
netdiag kann nicht gefunden werdenDas Programm ist in den Support-Tools enthalten, also musst Du die erstmal installieren
wie kann ich feststellen ob diese intregiert und wie oder wo kann ich sehen ob sie dynamische updates unterstützen???
Auf dem DC rufst Du in den Admin. Tools die DNS Verwaltung auf und schaust Dir die Eigenschaften der DNS-Zone an.
der admin hat hier gekündigt keine doku nichts.Ist zwar nicht Deine Schuld, aber jetzt Dein Problem... Du solltest dich, wenn die akuten Probleme behoben sind, daran machen, eine Doku zu erstellen...
Christoph
-
Sorry, habe mich wohl nicht genau genug ausgedrückt.... :(
Du musst am Client die URL des OWA Servers den vertrauenswürdigen Sites hinzufügen.
Christoph
-
Hi,
du musst den Server zu den "vertrauenswürdigen Sites" hinzufügen.
Christoph
-
Gibt es eine Vertrauensstellung zwischen der alten und der neuen Domäne? Wenn nicht, kannst Du dich nicht mit dem Outlook in der alten Domain am Exchange in der neuen Domain anmelden.
Christoph
-
Als Ergänzung vielleicht nur noch:
wenn der 1. DC ein W2K3, und der 2. ein W2K3 R2 sein sollte, dann musst Du vorher das Schema anpassen (ADPREP von der 2. W2K3 R2 CD ausführen).
Christoph
-
ADMT? Ist das umständlich diese Gruppen und User zu verschieben?
Kommt drauf an, kann recht problemlos sein, aber wenn Du die Passwörter aus der alten in die neue Domain übertragen willst, wirds etwas komplizierter ;)
ADS integriert klappt irgentwie nicht so richtig - bin froh das es so läuft. Sämtliche DCs in meiner Domäne sind auch DNS-Server.
Und was klappt da nicht richtig? Einfach im DNS Tool die Zone auf AD-integriert stellen, nur sichere Updates zulassen und glücklich sein (normalerweise ;) )
Was verstehst du unter "sauber konfigurieren"?Du musst von der jetzigen Domain Delegierungen für die Subdomains auf die neuen DCs erstellen. Dann die zu erstellenden DCs für DNS auf die alten DCs zeigen lassen, DCPromo durchführen und danach die neuen DCs auf sich selbst als DNS Server zeigen lassen.
Wenn Du noch Fragen hast: Hier wirst Du geholfen :)
Christoph
-
Du kannst die DCs natürlich zu Domain-Members herunterstufen und anschließend heraufstufen zu DCs für SubDomains. Damit hast Du in diesen Subdomains aber noch keine User und Gruppen etc. Diese müsstest Du anschließend noch aus der derzeit vorhandenen Domain in die neuen Domains migrieren (mit ADMT).
Ausserdem sollten für jede Domain min. 2 DCs vorhanden sein (für Ausfallsicherheit).
Wichtig ist, wenn Du mit Subdomains arbeitest, dass Du das DNS sauber konfigurierst.
Christoph
-
Die "weiteren" DCs sollen ja nicht mehr DC der Domäne 123.local sondern DC der Subdomän abc.123.local sein. Vielleicht haben wir aneinander vorbeigerdet...
der eigentliche 1.DC (123.local) soll bestehen bleiben.
Das hab ich schon so verstanden ;)
Ist VMWare nicht Leistungshungrig? Ich musste leider auf "normale" Rechner für die DCs zurückgreifen - mir gingen die Servermaschinen aus :(
Kommt drauf an, wieviele User, Gruppen etc. es derzeit gibt.
Klar will VMWare Ressourcen haben, vor allem RAM RAM und nochmals RAM.
Wenn Du die DCs virtualisierst (auch die der vorhandenen Domain 123.local), bekommst Du ggf. ja auch wieder Hardware frei.
Mit den "existierenden weiteren Dcs" meinst Du zusätzliche DCs für die vorhandene Domain 123.local?
Christoph
-
Hallo, und willkommen an Board :)
Kann ich mit den existierenden "weiteren" Domänencontrollern ohne Probleme eine Subdomän erstellen.Nein, ein DC kann immer nur DC für eine Domain sein. Für SubDomains brauchst Du also weitere Rechner.
Andere Lösung: Du virtualisierst die vorhandenen und neuen DCs und lässt sie auf einem VMWare- oder Virtual Server-Host laufen.
Christoph
-
Müsste da nicht Frontend stehen?
Die Mailbox selbst liegt ja auf dem BE Server, wahrscheinlich deshalb.
Und danke für die Blumen :D. Aber so hast Du gesehen, welche Stolpersteine es für die korrekte Konfig. von RPC/HTTPS gibt ;) Ich hab das genauso durchlebt wie Du :D
Christoph
-
Doch, es wird funktionieren....
Glaub es mir, ich hab das getestet. Weil ich zunächst genau so wie Du dachte, habe ich bei der Einrichtung des Outlook-Profils den Namen des FE angegeben, mit dem Ergebnis, dass Outlook keine Verbindung zustande brachte. Erst, als ich den Namen des BE eingegeben habe, funktionierte es.
Christoph
-
Dann kannst du ja berichten, ob es damit klappt. Ich würde auch, wenn möglich, 3 Maschinen erstellen: DC, ExBE und ExFE.
Christoph
-
Nein, öffentlich muss nur der Frontend bekannt sein.
Nochmal: der FE fungiert als Proxy und leitet die Daten weiter an den BE, der im Profil als Mailbox Server angegeben wird. Es funktioniert ja auch, wie Du gesehen hast.
Christoph
-
Der Frontend muss doch alle anfragen annehmen.
Tut er ja :)
Er nimmt die Anfrage entgegen und leitet das an den BE weiter. Das ist ja die Funktion des RPCProxy
Ich hab das zuhause in VMs laufen, die ich mal testweise aufgebaut habe.
BE im LAN, FE in DMZ, dazwischen ein ISA mit den entsprechenden Regeln.
Jetzt wird der FE veröffentlicht, über passende FW-Regeln.
Wenn ich aber auf einem "Internet" Client das RPC/HTTP einrichte, gebe ich trotzdem die Adresse des BE ein, in der Konfiguration der Verbindung zu Exchange über HTTP gebe ich dann den FE an, et voila, es funktioniert wunderbar.
Christoph
-
Was brauche ich nicht?
Den BE von außen zugänglich machen. Von außen muss für RPC/HTTP(S) lediglich der FE über 443 erreichbar sein.
Christoph
der eigentliche 1.DC (123.local) soll bestehen bleiben.
Exchange TroubleShooting Assistant
in Tipps & Links
Geschrieben
Hallo, zusammen,
MS hat ein neues Exchange Tool veröffentlicht:
Den Exchange TroubleShooting Assistant, der helfen soll, Performance, Mail-Flow und Datenbankproblemen auf die Spur zu kommen.
Download:
Download details: Exchange Troubleshooting Assistant
Christoph