Daim

Ja, schon. Aber mit der Installation vom SP1 für Vista wird die GPMC deinstalliert. Das macht Microsoft deshalb, da zum einen die GPMC im Windows Server 2008 aktueller ist und zum anderen, man so flexibler ist wenn die GPMC als eigenständiges Produkt installiert und deinstalliert werden kann. Somit können neuere Version "leichter" implementiert werden. Korrekt. RSAT steht für Remote Server Administration Tool und soll mit erscheinen des SP1 raus kommen.

Servus, nur zum Verständnis. Es holt sich lediglich der DC, der die Rolle des PDC-Emulators in der Root-Domäne innehat die Zeit aus dem Internet bzw. externe Uhr. Sonst kein anderer. Du kannst den PDC-Emulator der Root-Domäne gegen eine externe Quelle (entweder aus dem Internet oder Hardware-Uhr) abgleichen lassen. Auf der Firewall müsste der Port 123 offen sein, wenn mit einer Quelle aus dem Internet abgeglichen werden soll. Der PDC-Emulator muss aber nicht seine Zeit mit einer "externen Quelle" abgleichen. Die tatsächliche Zeit ist nicht zwingend notwendig. Sie sollte nur innerhalb einer Gesamtstruktur synchron sein. Alle DCs holen sich ihre Zeit dann vom PDC-Emulator. Die Clients sowie Memberserver synchronisieren sich ihre Zeit mit ihrem Logon-Server, also dem DC bei dem sich der Client anmeldet/authentifiziert. Wenn Du am w32time nichts gemacht hast, hast Du eine komplette Zeitsynchronisation. Die PDC-Emulatoren der Child-Domänen holen sich wiederum ihre Zeit, vom PDC-Emulator der Root-Domäne. Der PDC-Emulator der Root-Domäne ist die maßgebliche Zeitquelle für die Gesamtstruktur. Auf dem PDC-Emulator der Root-Domäne wäre folgender Befehl auszuführen: w32tm /config /update /manualpeerlist:de.pool.ntp.org /syncfromflags:MANUAL /reliable:YES Überprüfe anschließend das Eventlog. Wenn Du am w32time nichts gemacht hast, hast Du eine komplette Zeitsynchronisation. Du musst nur darauf achten das an den Clients sich die Zeit nicht mehr als 15 mins abweicht, denn dann verweigert w32time seinen Dienst. Hier müsstest Du dann von Hand erstmal nachstellen. Wenn also am w32tm nichts verändert wurde, funktioniert die Zeitsynchronisierung automatisch. Du kannst an einem XP-Client auch diesen Befehl händisch eingeben "w32tm /config /update /syncfromflags: DOMHIER".

Servus, was - wie das Thema dieses Threads auch so lautet - unter Windows Server 2008 standardmäßig der Fall ist. Exakto Mundo.

Servus, wenn du das mit Boardmitteln durchführen möchtest, folge diesem Artikel: Yusuf`s Directory - Blog - Dateizugriff überwachen Beachte aber die rote Schrift!

Du hattest in deinem OP doch geschrieben: Also? Somit wären deine Fragen beantwortet.

Servus, korrekt. Einen Windows Server 2003 DC sichert man idealerweise in einem abschließbaren Raum. Dieser sollte natürlich belüftet und klimatisiert sein. Das ist auch der Hauptgrund, warum es den RODC in Windows Server 2008 gibt. Damit ist das Thema Diebstahl eines RODC entschärft. Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC) Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

Hallo, ich möchte ebenfalls meine Ansicht dazu äussern, die sich mit der Aussage von grizzly aber deckt. Für die Wahl des Domänen-Namens, gibt es mehrere Varianten: 1. Der Active Directory-Name lautet so wie die Internetdomain. Das hat den Nachteil, dass der Admin "mehr" konfigurieren muss. 2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt. Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". Diese Variante, wäre auch meine empfohlene. 3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw. Aber sogar die Endung LOCAL kann zu Problemen führen, denn damit könnten Probleme mit Apple-PCs auftreten. Auch wäre es denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.). 4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net. Dabei sollten natürlich beide Domains beim ISP registriert werden. 5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ. ISO 3166 - Wikipedia Fakt ist, es sollte bloß kein single-label Domänenname gewählt werden. Denn dann wird z.B. der Einatz von Exchange Server 2007 nicht unterstützt. Zudem kommt noch hinzu, dass sich das SP1 für Exchange in einer solchen Umgebung nicht installieren lässt. .: Daniel Melanchthon :. : Single-label DNS-Namen nicht mit Exchange Server 2007 Siehe auch: faq-o-matic.net » Welcher Name ist der beste für eine AD-Domäne?

Deine Artikulation verwirrt mich total... Bist du der Admin der Filiale und möchtest nicht, dass der Admin aus der Zentrale in deiner Domäne Admin-Rechte hat? Falls ja, dann wäre das ohnehin nicht der Fall, denn jeder Domänen-Administrator hat diese Rechte nur in seiner Domäne und nirgends anders. Wenn du eine Migration der Benutzer duchführen möchtest, die zur Zeit in der Zentrale sind und diese in die Filiale (Subdomäne) migriert werden sollen, so kannst du das am einfachsten mit ADMT durchführen.

Servus, gibt es dafür einen trifftigen Grund? Ansonsten wenn du der Admin für die Filiale bist, reicht die bestehende Domäne aus. Es sei denn - du möchtest das eben aus bestehenden Gründen "trennen", weil z.B. dort andere Kennwortrichtlinien benötigt werden usw. Du willst quasi die bestehenden Benutzerkonten aus der Zentrale (Root-Domäne) in der Filiale (Subdomäne) erstellen, ohne die Berechtigungen? Wozu denn das? Was macht das für einen Sinn? Du könntest z.B. die Benutzerkonten aus der Root-Domäne mit LDIFDE oder CSVDE exportieren und diese in der Subdomäne importieren. Damit erstellst du die Benutzerkonten ohne Berechtigungen in der Filiale. Aber wie bereits erwähnt, der Sinn erschließt sich mit nicht.

Ja, danke. Waren das zufällig untergeordnete Domänen (Subdomänen)? Aber wie dem auch sei, wie man einen zusätzlichen DC zu einer bereits existierenden Domäne hinzufügt, erfährst du aus meinem Artikel.

Servus, schau mal hier: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

Salut, ok. Dann lautet die Schema-Version 31. Dann tue dir keinen Zwang an ;) . Diese Frage hatte ich heute bei einer Technet Veranstaltung. Da die Gesamtstruktur mit Windows Server 2003 R2 erstellt wurde und diese Version die höhere Schema-Version beinhaltet (nämlich 31), können beliebig viele Windows Server 2003 DCs existieren bzw. hinzugefügt werden. Eine Schemaerweiterung wird dabei nicht mehr durchgeführt bzw. ist nicht mehr notwendig. Es stellt nicht das geringste an Problemen dar. Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Salut, das ist ein Eingabefehler. Dann entferne diese Leiche noch aus dem AD mit NTDSUTIL (Metadata cleanup) oder ADSIEdit. Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung Du musst die Rollen mit Gewalt auf einen anderen DC verschieben (seizen). Dann machst du etwas verkehrt. Mit Gewalt verschieben lautet die Devise. Im Prinzip kannst du alle Rollen auch über die GUI verschieben, bis auf den RID-Master. Dieser muss zwingend über NTDSUTIL geseized werden. Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Bonjour, dann aktiviere die folgende Richtlinie: Computerkonfiguration\Administrative Vorlagen\Netzwerk\Offlinedateien\"Untergeordnete Ordner immer offline verfügbar machen" Yusuf`s Directory - Blog - Offline Dateien

Servus, das gibt es so in der Form nicht von Microsoft. Dann müsstest du auf Dritt-Anbieter Tools setzen. Aber GPRESULT bzw. RSOP.msc sind dir ein Begriff?

Bonjour, das sind nicht zufällig die Bereiche, die eigentlich überhaupt nichts im AD zu suchen haben (wie z.B. HRM-Daten)?

Ich habe das auch so verstanden. Nur solltest du dich davon fern halten und es so machen, wie ich es dir erläutert habe. Erstelle eine eigene MMC bzw. Taskpad, denn damit erreichst du das, was du möchtest. Die Mitarbeiter sehen dann nur "ihre" OU.

Dies ist meine LETZTER Versuch dir es zu erläutern! Im OP ging es um, Zitat: Darunter gehört aber auch ein Hardware-Schaden des SBS, der alle Dienste sowie Daten hat. Wenn dieser crasht, seht ihr alt aus. Mit einer weiteren Maschine kannst du "schnell" einen Betrieb - und sei es noch so klein - aufrecht erhalten. Ich kann nur hoffen das du diese Art von Brille ablegst und versuchst zu verstehen, von was ich spreche. Als Tipp, lies dir mal diverse Whitepaper von Microsoft bezgl. Disaster-Recovery durch. Da wir in einem freien Land leben, steht das jedem zur Verfügung. EOD for me!

<tief Luft hol> Was machst du in einem Netz mit nur einem SBS, wenn dir dabei ein Bauteil wegfliegt, dass natürlich - wie soll es in solchen kleinen Unternehmen auch sein - nicht auf Lager liegt? Wie sieht dann deine Backuplösung aus? Genau, denn die haben scheinbar - so wie ich auch - eine andere Auffassung. Es ist ja kaum zu glauben... schreibe ich etwa in einer anderen Sprache? Habe ich es denn nicht oft und breit genug erklärt? Du sollst nicht die Maschinen umbauen, sondern schneller die Mitarbeiter wieder zum arbeiten bringen in dem du eben - Daten auf der anderen Maschine zur Verfügung stellst. Wenn dieser dann auch noch ein DC ist, stehen die Domänendaten auch zur Verfügung, in der man nach Ressourcen oder Informationen suchen kann, die in den Eigenschaften der Benutzerkonten eingetragen sind, oder was auch immer! Nochmals: Denk an das Szenario eines Hardwareschaden auf dem SBS, wobei nichts auf Lager liegt. Was machst du dann!?! Mein Reden! </ausschnaufen>

Servus, Merke: Verschiebe NIE das SYSVOL einfach an eine andere Stelle! Es fehlen auch noch die Junction Points. Junction Points sind eine Art Link bzw. Verknüpfung zum Original/Spiegelbild. Alle Änderungen am Junction Point werden direkt am Original vorgenommen. Denn das Original existiert nur einmal. Hier ist beschrieben wie man z.B. NTFS Junction Points erstellt/löscht/manipuliert: How to create and manipulate NTFS junction points Zum setzen der Junction Points brauchst du das Tool Linkd: How to rebuild the SYSVOL tree and its content in a domain Oder mit diesem Tool: Junction Link Magic

Salut, NEIN! NADA! NIET! NO! Davon rate ich dir strikt ab. Der Vorteil am Active Directory ist ja, dass im AD nach Netzwerkressourcen gesucht werden kann. Der Lesezugriff auf das AD alleine ich ja noch lange nicht schlimm. Arbeite mit Taskpads oder erstelle den Leuten eine eigene MMC mit angepasster Ansicht. Öffne unter START - AUSFÜHREN eine MMC. Dort fügst du das Snap-In "Active Directory-Benutzer und -Computer" hinzu. Dann machst du auf der entsprechenden OU einen Rechtsklick und wählst NEUES FENSTER. Anschließend speicherst du diese MMC und stellst es den Personen zur Verfügung. Siehe auch: Create Taskpads for Active Directory Operations

Wenn in der Domäne bereits ein Windows Server 2003 DC läuft, dann brauchst du den Parameter /DOMAINPREP nicht ausführen, da bereits die Domäne dann schon auf Windows Server 2003 läuft. Der Parameter /FORESTPREP fügt eben dem Schema die neue R2-Features hinzu. Exakto Mundo.

Servus, du solltest auch daran denken, so langsam das Betriebssystem zu wechseln, nicht nur wegen dem Support. Zusätzlich aktiviere noch den globalen Katalog. Gibt es das noch? Netze ohne DHCP? Dann würde ich an deiner Stelle das zum Anlass nehmen und DHCP einführen. Falls das der erste DC ist, sichere noch das EFS-Zertifikat. Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen Beachte meinen o.g. Link.

Moin, auf der ersten R2 CD ist nichts weiter als ein Windows Server 2003 mit integriertem SP1 drauf. Erst mit der zweiten R2 CD werden die R2 Erweiterungen installiert bzw. das System auf R2 erweitert. Die zweite CD macht daraus ein "R2" indem Zusatzkomponenten unter Systemsteuerung - Software eingetragen werden, die man dann für bestimmte Szenarien nachinstallieren kann. Die Vorraussetzungen um die zweite R2-CD zu installieren, wären folgende: 1. Das Service Pack1 für den Windows Server 2003 muss installiert sein 2. Die zweite CD von der R2 Version muss vorhanden sein 3. Der Windows Server 2003 R2 Produkt-Key muss vorhanden sein (was auch eine gültige Lizenz voraussetzt: Entweder hat man R2 neu erworben oder man verfügt für den vorhandenen Windows Server 2003 über eine Software Assurance) Wenn das alles gegeben ist, legst du die zweite R2-CD in den Server und folgst dem Assistenten. Dabei werden die R2-Komponenten installiert. Lediglich das installieren des FSRM ist nicht möglich. Ist dieser Server allerdings ein DC, muss vorher das ADPREP /FORESTPREP ausgeführt werden. Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Und wenn du dich noch so oft wiederholst ändert es nichts an der Tatsache, dass beim Crash des SBS ein etwas betagter zweiter DC immer noch besser ist, als garnichts zu haben. Was ist daran so schwer zu verstehen? Besteht in einer kleinen Domäne NUR ein SBS der ALLE Dienste die du aufgezählt hast samt Daten hält, können nach einem Crash des SBS die Mitarbeiter aufhören zu arbeiten. Existiert hingegen ein auf einer ausgemusterten Workstation weiterer DC, können auf diesem die Daten von der Sicherung wiederhergestellt und zumindest ein "Notbetrieb" aufrecht gehalten werden. Dabei kann man das clever aufbauen, so das sich dann der SBS und der andere DC die Daten mehrmals am Tag die Daten synchronisieren. Auch wenn kein E-Mal funktioniert oder was auch immer nicht, ist der Notbetrieb besser als ein Stillstand! Der weitere DC braucht nicht nur DC sein, er kann schon etwas mehr zur Verfügung stellen als die Domänendienste. Das habe ich aber bereits oben und in meiner ersten Antwort erwähnt. Abgesehen davon, ein Login-Skript habe ich schnell umgeschrieben, so dass die Netzlaufwerke dann wieder passen (natürlich nach vorherigem erstellen der Freigaben auf dem weiteren DC). Das gilt für JEDE Umgebung, egal wie klein oder groß die Umgebung ist! Nie und nimmer. Deine Sicherungsstrategie die du hier aufführst ist das Imagen. Das kann zwar jeder sehen wie es mag, aber unter "vernünftige Sicherungsstrategie" verstehe ich ein Backup-Konzept, dass vollkommen von den Herstellern unterstützt wird. So das ich dem Kunden klar kommunizieren kann, dass bei später aufkommenden Problemen, der Support der Hersteller weiterhin gegeben ist. Eine vernünftige Sicherungsstrategie sollte sich jedes Unternehmen zulegen. Das kann aber auch bedeuten, dass eben ein weiterer DC dazu zählt und dieser DC, darf ruhig weitere Aufgaben wahrnehmen, z.B. File- und Printservices. Und zu einer Strategie, kann ein weiterer DC dazu zählen.