Mag

Ja das mit dem Virus war nun auch nur ein Beispiel für den Nicht-Hardware Problemfall. Das mit der Dauer der Aufbewahrung ergibt sich auch nicht speziell für diese Anwendung, sondern aus der allgemeinen Backup-Strategie. So wird der Fileserver, auf dem das Backup des DCs abgelegt wird, eben täglich gesichert, einen Monat lang, bis zum nächsten Fullbackup. Merci für die Linksammlung, die werde ich mal durch gehen.

Gute Sinnfrage :) Ich war einmal in die Verlegenheit geraten ein Recover mit Legato Networker zu machen. Es verlief ... naja. Den "defekten" DC aus der Domäne entfernen und einen neuen Aufsetzen ist, glaube ich, wesentlich schneller gemacht. Deshalb habe ich auch das Recover mit unserer zentralen Lösung auf 2 DCs reduziert. Eine externe Firma hatte mir zum ntbackup geraten und das täglich anfallende 1GB Daten konnte ich locker verschmerzen. Dieser Thread ist genau aus dem Grund deiner Sinnfrage entstanden. Wie möchte ich in Zukunft mit der Sicherungsfrage verbleiben. Fall1: Falls wirklich einer der beiden DCs wegfällt (Grund egal) dann werde ich einen neuen Aufsetzen. Fertig. Fall2: Nur wenn einmal, durch einen Virus oder sonstige diletantischen Handhabung, ein größerer Verlust an Daten in der AD entsteht, bin ich auf ein Backup angewiesen. Wenn also nun das bequem einzurichtenden ntbackup (oder Nachfolger) ausreichend ist, dann werde ich es wohl darauf reduzieren.

Danke ! Das sieht genau so aus, wie das was ich brauche. *** Update *** Ändert leider nichts. Auch in der verlinkten Doku steht, dass ein Backup von SystemState sehr groß wird. Zudem kommt folgender Hinweis beim Backup-Vorgang Die Beschreibung auf der Seite scheint auch aus einem früheren Stadium von W2k8 zu sein, denn bei meinem hier verwendeten W2k8 R2 bietet die GUI mehr als im Text beschrieben ist. Das geht glaube ich auch schon. So habe ich es im Moment konfiguriert, da er mir die lokalen Laufwerke (weil diese wichtig sind) verweigerte. Den Tipp mit dem Registry Eintrag dazu ist allerdings hilfreich.

Ehm, da war ich wohl gerade auf dem Holzweg. Gut, lass mich die Frage umformulieren. Kann ich das Sicherungsvolumen irgendwie eingrenzen, dass es weniger als diese 7-8GB sind? Das mal ~30 ist schon ganz schön viel Holz pro Monat.

Guten Morgen, ich habe eine kleine Frage zum leidigen und viel diskutierten Thema Backup. Zur Umgebung: 4 DCs (Root + Subdomain) die ausschießlich 4x DCs und 2x DNS sind. Windows 2008 R2 64bit. Zum Einen steht uns die Software Networker zur Verfügung, mit der ich früher immer einen DC pro Domäne geischert habe. Empfohlen wurde mir zusätzlich nächtlich ein ntbackup job laufen zu lassen. Nun die Frage. Das frisch installierte 2k8r2 hat nun kein ntbackup mehr sondern windows server-sicherung mit geändertem Funktionsumfang. Was mich stört ist, dass ich nun SystemState nicht mehr unterteilen kann. Früher habe ich darauf nur das AD gesichert, heute muss ich es ganz anwählen. Vorher 1-2GB, Jetzt 7-8GB. Täglich ist das eine ganze Menge die es zu Sichern gilt. Kann man das ändern? Oder reichte der ActiveDirectory Teil aus SystemState früher vllt garnicht aus? Greetz Mag

So anspruchsvoll ist die Aufgabe nun auch nicht. Er hat ja bisher alles richtig gefunden und die Frage wäre nur dann unsinnig, wenn die Standardzuordnung der Fall wäre. Bei ihm wird aber scheinbar nicht angezeigt, dass die Gruppe Domänen_Admins in den Administratoren drin ist. Von daher finde ich seinen Wunsch die hinzuzufügen, garnicht mal so unsinnig.

Er hat ja soweit alles richtig gemacht. Dass die Domänen-Admins normal in den Administratoren enthalten sein müssten, war auch schon genannt, ist aber rein anzeigetechnisch wohl nicht der Fall. Das er die GPO versucht anzuwenden sieht man ja im Log.

Okay, das klingt nun seltsam. Versuchs doch mal testweise mit einer anderen Gruppe, nur um zu sehen, ob es funktioniert und um die Sache etwas einzugrenzen. Hier gabs auch schonmal sowas, aber leider hatte da wohl auch keiner eine Lösung :/ http://www.mcseboard.de/windows-forum-allgemein-83/domaenenbenutzer-via-gpo-hauptbenutzer-47002.html Du könntest aber mal versuchen wie dort beschrieben, via Befehlszeile die Domänen-Admins hinzuzufügen oder löschen und schauen, welche Fehlermeldung dort angezeigt wird: net localgroup /add bzw /delete

Wenn du den Namene anstatt einzutippen über die Suche hinzufügst, solltest du ganz sicher gehen können. Evtl. fehlt da noch der Domänen-Name vor der Gruppe ala CONTOSO\Domänen-Admins

Bei der herausgefilterten Gruppenrichtlinien sollte so etwas dabei stehn: Filterung: Nicht angewendet (Leer) Also nur nicht angewendet, weil keine Einstellungen darin gemacht sind. Windows 2000 steht bei meiner Windows 2003 Domäne auch drin. Kann ich im Moment nicht erklären :) Hast du denn eine englisches System, dass du Domain-Admins schreibst und nicht Domänen-Admins? Du kannst auf dem Memberserver noch im Log nachschauen, ob beim Abarbeiten der GPO ein Fehler auftritt: C:\WINDOWS\security\logs\winlogon.log

Also eigentlich sollte das genau der richtige Weg sein. Ich kenne den zwar im Moment nur aus Windows 2003 Domänen, aber ich glaube nicht, dass sich das geändert hat. Führt der Server, bei dem du die Admin-Gruppe in den lokalen Administratoren haben möchtest, denn auch diese Gruppenrichtlinie aus? Überprüfen kannst du das z.B. mit gpresult im cmd Fenster ob deine GPO dabei ist. Aber eigentlich sollte die Gruppen Domänen-Admins doch sowieso in den lokalen Administratoren geführt sein, nachdem er in die domäne aufgenommen wurde?!

Hallo zusammen, da mir im DNS nun vermehrt die Windows 7 Clients mit ihren ipv6 Einträgen auffalen und mich die doppelten Einträge stören, hab ich mich gefragt, ob man IPv6 abschalten sollte. Ich sehe im Moment keine Vorteile durch IPv6 und wir werden wahrscheinlich in absehbarer Zeit auch nicht umstellen. Allerdings sehe ich, außer den doppelten Einträgen, auch keinerlei Nachteile. Bisher hatte ich hier im Board nur Themen gefunden, wie man es ausschalten kann, aber noch keine Begründung warum oder warum nicht. Wie regelt ihr das Thema denn bei euch im Unternehmen? Grüße Mag

Das Problem mit den Well knowns SIDs hatte ich auch mal mit einem englischen Client. Ich habe in der GPO (mit dem Editor) den Gruppennamen "Administratoren" durch die SID ausgetauscht. Muss man nur nach jedem Bearbeiten der GPO dran denken. Ist vllt etwas geknaupt, aber ging :)

Hallo liebe Fachgemeinde, aufsetzend zu diesem Beitrag, hätte ich eine Rückfrage. Zuerst kurz zur Situation. Damals bei der Installation unserer Domäne (durch eine Fremdfirma) wurde ich leider nicht auf das heikle Thema des Zertifkats aufmerksam gemacht. Mittlerweile wurde natürlich der 1. DC bereits herabgestuft. Als Windows Maschine ist er zwar noch verfübgar, aber das nutzt wohl nichts, wie man lesen kann. Da ich bei dem Thema leider einige Wissenslücken habe (ja die sollen bald auch geschlossen werden, so Gott will), hoffe ich auf etwas Eure Unterstützung. Wir haben hier eine CA in der Domäne installiert und oben in dem Beitrag von Mr. Yusuf steht, dass man dann auf ein selbsterstelltes EFS Zertifikat verzichten kann. Muss ich dann, da nun eine weiteres Update der Domäne ansteht, wieder ein Zertifikat vom DC sichern oder ist das alles bei der PKI verankert? Grüße Mag

Zwischenstand - Kleiner Handlungsbericht: Nach dem Virtualisieren von 4 von insg. 16 Server des Forest (dc1.domain.de, dc2.domain.de, dc01.sub.domain.de & dc02.sub.domain.de) hatte ich die oben beschriebene Fehlermeldung. Weder die AD noch DNS (wie auch ohne AD bei Integration) funktionieren. Dies löste sich allerdings selbständig durch Abwarten. In der Root-Domäne war dann alles okay, die Subdomäne allerdings meldete auf beiden DCs Event 13559 (SYSVOL hätte sich geändert). Da es auf beiden war griff wohl das erstellen der Datei NTFRS_CMD_FILE_MOVE_ROOT nicht. Durch die Wiederherstellung des sysvol ordners auf DC01.sub.domäne.de funktionierte auch die subdomäne bald wieder. Zum Dritten habe ich diesmal die nicht erreichbaren DCs (restliche Subdomänen die nicht gecloned wurden) mittels ntdsutil entfernt. Das funktionierte ebenfalls sauber und nun kann ich mich endlich an die gewünschten Schemaerweiterungen und OS-Updates wagen. Das erste Update ist erfolgt, es dauerte ne gute Stunde und die Domäne würde auch noch funktionieren. Keine Fehler. Allerdings, wie von euch beschrieben, doppelte Einträge z.b. im Startmenü, 2x Autostart und solche Späße :) Das lässt mich dann doch zu dem Entschluss kommen, dass ich 4 neue DCs installieren werde. Das sollte die saubere Lösung sein. Ist das immer noch so mit dem Zertifikat des ersten DCs, dass man das sichern muss? Grüße Mag

=================================== Update: Kommando zurück, es hat sich eingependelt :) =================================== Sorry für die längere Bearbeitungszeit eurer vielen Tipps. Ich habe es heute endlich geschafft die 4 beschriebenen DCs mit dem VMware Converter auf den ESX zu clonen. Nun habe ich nach dem Start und einstellen der IP Adressen folgendes Problem, welches mir DCDIAG anzeigt: The directory service on dc-1 has not finished initializing. In order for the directory service to consider itself synchronized, it must attempt an initial synchronization with at least one replica of this server's writeable domain. It must also obtain Rid information from the Rid FSMO holder. The directory service has not signalled the event which lets other services know that it is ready to accept requests. Services such as the Key Distribution Center, Intersite Messaging Service, and NetLogon will not consider this system as an eligible domain controller. Pendelt sich das wieder von alleine ein oder muss ich da irgendwo nachhelfen. Es steht nun schon seit ner Weile in dem Zustand, daher die Frage. Im Moment geht der DNS Dienst, da er keine Verbindung zur AD aufbauen kann. Ohne den, geht natürlich wenig. Bisher habe ich nur mal einen Neustart gemacht, der leider nicht geholfen hat.

Vertriebsleute erstellen mit Sicherheit keine Handbücher, sondern wenden diese an. Ich wollte keine Belehrung, sondern die Quelle dieser Abschrift. Danke. Aber das macht auch garnichts, weil ich das Cross-Language Recht selbst nicht nutze, sondern es hier nur als einen Punkt aufgeführt habe. Nun besteht aber immerhin auch zu diesem Punkt Klarheit. Viel wichtiger ist, dass mit Datacenter auf einem Virtualisierungsserver wirklich gespart werden kann und das macht mich zufrieden. Merci für alle Beiträge

Kleiner Einwand, in dem Auszug den ich hier vor mir habe, stehen diese Möglichkeiten nicht in einem Entweder-Oder Verhältnis sondern durch Aufzählungspunkte von einander getrennt als 2 Vorteile der Volumenlizenzierung. Von wann ist denn deine Information und aus welchem Schreiben? Update: Hier auch die Quelle: MS Verkaufshandbuch für Microsoft Partner, Seite 9 Durch die Cross-language-Rechte kann der Kunde jede Sprachversion der lizenzierten Software nutzen, solange die genutzte Sprachversion den gleichen oder einen günstigeren Preis als die erworbene Sprachversion hat. Könnte man wohl auch so verstehen, dass ich in meinem Fall die 2008 R2 Datacenter lizensiert habe und daher auf die englische 2008 R2 Datacenter switchen darf, solange diese günstiger ist, als die deutsche Version. Dass ich danach auch von dem Downgrade Recht Gebrauch machen könnte, ist in dem Text hier weder verneint noch bestätigt. Ich würde es allerdings anhand der Vorteilsliste als möglich ansehen.

Schönen guten Morgen, es hat etwas gedauert, da sich wichtigere Themen in den Vordergrund drängten. Es stimmt: MS Windows Server 2008 R2 Datacenter Edition + Volumenlizenzvertrag auf 1x Hardware (mind. 2 CPUs, alle CPUs lizensiert) -> Beliebig viele virtuelle Server als Server 2003, 2008, R2, 32bit, 64bit, deutsch, englisch... Lizenzrechtlich völlig korrekt. Beweise: Ein Auszug aus dem Microsoft Licensing-Produktbenutzungsrechte Guide vom April, Seite 53 Abschnitt 2008 R2 Datacenter Edition: "Sie sind berechtigt, auf dem lizenzierten Server eine Instanz der Standard oder Enterprise Edition anstelle der Datacenter Edition in den Betriebssystemumgebungen auszuführen." Wobei man "eine" nicht als die Zahl 1 verstehen darf, sondern nur als unbestimmten Artikel. Im folgenden Whitepaper gibt es dazu noch eine grafische Bestätigung. Bei einem Volumenlizenzvertrag ist ein Downgrade Recht enthalten. Ebenso gibt es dort ein Cross-language-Recht. Man darf auf Sprachen wechseln die günstiger als die Lizenzsierte Version sind. Plattformunabhängigkeit kommt ebenso einher, also 32 & 64 bit sind erlaubt. @lizenzdoc Merci für deinen Beitrag. Dass wir die Lizenztexte bereits gefunden hatten, entnimmst du bitte unseren Beiträgen. Es lag eben vielmehr daran, die Texte korrekt zu interpretieren. Wie gesagt, trotzdem danke. @all Danke für die Diskussion

Um alle Freunde der Sicherheit zu beruhigen. Die absolut identische Kopie des Forest ist in einem abgeschlossenen Netzbereich auf dem ESX Host, mit geänderten Passwörtern, roten "Warn" Farbschema und nur von einem Bruchtteil der Admins aus der Live Umgebung zugänglich. Zudem finde ich wiegt das Sicherheitsrisiko der Kopie wesentlich geringer, als das verfummeln der Live-Umgebung. - Update - Wäre es möglich als alternative zum Inplace Update unter Nutzung eines zusätzlichen DCs während der Migration, immer einen alten DC aus dem AD zu entfernen und einen neuen mit dem gleichen Namen wieder einzugliedern?

:cool: Das mit dem Löschen, ja das ... hatte ich euch wohl verschwiegen. Das war dann ebenfalls ungeschickt! Die Idee war, weniger Fehlermeldungen zu erhalten, durch die nicht-erreichbaren Server. Aber das lasse ich dann im ersten Schritt mal weg. Ich weiß auch nicht warum der VM Converter pro Server eine Stunde gebraucht hätte. Aber trotzdem nochmal eine kleine Rückfrage, mit dem VM Converter kann man ja diese 2 Methoden wählen, entweder im Betrieb (es installiert sich ein kleiner Dienst) oder man bootet von der Converter CD (Coldclone). Ich wollte nicht, dass sich ein Dienst installiert, daher hatte ich von CD gebootet. War das in deinem Sinn? Ich wollte nach den Inplace Update auch gerne einmal schauen ob die ganze Domäne noch funktioniert, deshalb auch gleich alle 4

Einen schönen guten Morgen und danke für die Antwort :) Die Fehlermeldung erscheint in der Live Umgebung nicht. Eventuell war ich zu hastig mit dem Löschen, der 16 nicht relevanten DCs, wie oben beschrieben. Der Tip mit dem Eventeintrag 1946 war sehr gut, dass wusste ich nicht. Das werde ich dann auf jeden Fall gleich noch testen. Ich wollte es erst mit dem VM Converter machen. Das dauert nur etwas lange und dann bin ich auf die Imagevariante gewechselt, damit die Zeitspanne der Images bzw. Kopien nicht noch größer wird. Dachtest du an Coldcloning, also mit Reboot, oder im Betrieb? Ich hatte das Inplace Update favorisiert, weil ich dann die Hardware für die DCs und Namen, Dienste, Rollen auch genau so weiterbetreiben kann. Das Inplace-Update wollte ich ehm, nach dieser Anleitung durchführen *hust* :D Danke für die Tipps.

Hallo allerseits, ich wollte teile unserer AD Umgebung clonen um eine Testumgebung zu erstellen, für das Inplace Update auf Windows 2008. Ich habe dazu 4 Images (Dauer insg. ca. 2-3h) erstellt und diese in einer virtuellen Umgebung wiederhergestellt. Allerdings nervt mich nun das Eventlog u.a mit Events 1988. Ich habe gelesen, dies bedeutet, das veraltete Objekte das Zusammenspiel stören. Ich konnte nicht richtig rausfinden, welches Objekt nun das veraltete ist. Die DCs konnten halt unter einander während meiner Imagephase noch hin und her replizieren. Gibts eine bessere Möglichkeit eine Testumgebung zu erstellen oder sollte man sich die Arbeit machen und das AD ans Laufen bringen? Leider kann man ja nicht alle DCs gleichzeitig ausschalten. Zur Umgebung: Forest (20 DCs, nur 4 davon sind relevant) 1 Root Domäne 2 DCs Win2k3 Rs 64bit, beide GC 1 Subdomäne 2 DCs Win 2k3 Rs 64bit, beide GC andere subdomänen sollen abgeschafft werden, müssen im Moment nicht weiter beachtet werden, keine GC's

Gefragt habe ich nach Einsparpotential, ob man einen ESX Host mit 4 CPUs mit Datacenter Lizenzen versorgen kann und darauf dann beliebig viele virtuelle Instanzen (w2k3, w2k8, se, ee,...) betreiben kann.

@ Dr.Melzer Das ist der Grund warum ich hier auch noch einmal für eine dritte Meinung vorstellig wurde :) Ich habe 1 Whitepaper bekommen, in dem zumindest die Aussage mit einer grafischen Skizze gestützt war, dass auf meinem datacenter lizensierten ESX Host beliebig viele Standard & Enterprie VMs laufen dürfen. Ich würde natürlich gern sicher gehen, dass bevor ich soviele Datacenter Editions kaufe, mein Denkansatz korrekt ist. @NilsK Ja ich finde dass alles auch sehr verwirrend und Recht hat am Ende, dann doch nur MS. Dass ich nachher vor Gericht nicht sagen kann "ihr zwei habt aber gesagt" :) ist schon klar. Das mit dem Downgrade bezieht sich laut Aussage unseres Partners nur auf die physikalische Instanz. MS hat danach am telefon auch nochmals diese Aussage bestätigt. Bin am Überlegen ob ich mir das von denen schriftlich zusenden lassen kann.