Daim

Hallo, ja, dass kann man mittels GPOs realisieren. Das Stichwort lautet: Eingeschränkte Gruppen. Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Salut, alles richtig. Wenn aber das Kennwort des Domänen-Admin von der Quell- sowie Ziel-Domäne gleich lautet, funktioniert die Migration mit ADMT auch ohne einen Trust.

Den man aber auch deaktivieren kann ;) . Des Weiteren, nur weil der Haken zum GC gesetzt ist, heißt es noch lange nicht das der DC sich als diesen auch aus gibt. Die Artikel zum überprüfen eines GCs, habe ich in meinem vorherigen Post verlinkt. Ich auch nicht, da ich sie nicht kenne. Das sollte man ggf. mit dem Hersteller klären. Hast du auf einem XP-Client die GPMC installiert und versuchst als Domänen-Admin die Default Domain Policy zu ändern? Falls nicht ---> durchführen. Das kann schon damit zusammenhängen. Denn der DC hat evtl. mehrere Probleme. Zeigt es z.B. die FSMO-Rollen alle an oder zeigt er einen Fehler? Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Man muss schon systematisch vorgehen. Wichtig ist nunmal die Rolle des PDC-Emulators und in deinem Fall diese Software Net Admin. Prüfen... telefonieren... kontrollieren...

Ich jetzt aber schon. Da ich jetzt weiß was die Aufgabenstellung ist, kann ich die interne IT nachvollziehen. Mein AD dürfte am Anfang auch kein Dritter "einfach" so hernehmen. Erst wenn es zum allerletzten Test geht, würde ich in meinem Beisein einen letzten Test mit einer VM durchführen. Eher nicht. Das das die Arbeit nicht besonders erleichtert, steht auf einem anderen Blatt. Das kann ich mir sehr gut vorstellen. Aber so ist das nunmal im Zeitalter von ITIL. Dieses wird in Zukunft mehr und mehr Einzug in die Unternehmen nehmen. Null Probleme (würde Alf sagen). P.S. Gruß aus Mainz.

Die Frage lautet: Was soll denn erreicht werden? Vorsicht hin oder her, die VM verlässt doch nicht das Gebäude... Im übrigen, wenn man sich eine Testumgebung erstellen möchte, geht das nicht einfacher als durch eine VM. Aber eins muss auch ganz klar erwähnt werden, in der Testumgebung befinden sich dann auch alle Kennwörter sowie ObjectSIDs der produktiven Domäne. Wenn aber die Testumgebung von den gleichen Admins wie die produktive Umgebung betreut wird, relativiert sich imho das Risiko. Es muss nur darauf geachtet werden, dass die Testumgebung keine Verbindung zur produktiven Umgebung hat.

Ist der GC nicht auf jedem DC aktiviert? Falls nicht würde ich dir das ans Herz legen. Beachte dazu die Hinweise in diesem Artikel: Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) Falls auf dem DC der GC aktiviert ist, überprüfe ob der DC sich auch tatsächlich als GC ausgibt. Yusuf`s Directory - Blog - Globaler Katalog – Sein oder nicht sein Überprüfe das DNS, dort ist es ganz wichtig, dass die Einträge (_gc) von den DCs auf dem der GC aktiviert ist, existieren. Sowohl in der Forward Lookup Zone als auch in der _msdcs.Root-Domäne.TLD. Freunde dich mit den beiden Tools REPADMIN (mit /EXPERTHELP bekommst du weitere Infos) sowie DNSLint an. Durchaus. Aber erneut die Frage, ist der PDC-Emulator erreichbar? Werfe aber noch einen Blick auf diese Hinweise: http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=1126&EvtSrc=Active%20Directory&LCID=1033

Hallo, um dir eine Testumgebung aufzubauen oder für was benötigst du das ? Du könntest dir auch mit dem VMWare-Converter einen DC in der Testumgebung virtualisieren. Wieso schon wieder exportieren ? Du meinst wohl importieren. Lies dir mal als Übersicht diesen Artikel durch, evtl. wirds danach klarer: Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange Na klar geht das. Der entscheidende Filter lautet "(&(objectCategory=person)(objectClass=User))". Lies dir einfach den o.g. Artikel durch.

Salut, du kannst dazu in der Default Domain Controllers Richtlinie unter: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\ Überwachungsrichtlinie\<Verzeichnisdienstzugriff überwachen> die Richtlinie aktivieren. In einem zweiten Schritt konfigurierst du dann noch in den erweiterten Sicherheitseinstellungen der Gruppe, die Option die überwacht werden soll. Unter Windows Server 2003 ist die Protokollierung, die im brigen Mitbestimmungspflichtig ist, noch sehr spärlich. Im Windows Server 2008 wurde das schon eleganter gelöst. Yusuf`s Directory - Blog - Active Directory Domain Services (AD DS) - Protokollierung

Für den SQL-Server gilt aber das gleiche, wie für Exchange. Auch das installieren bzw. betreiben eines SQL-Servers auf einem DC wird seitens Microsoft nicht empfohlen. Sicherheitsüberlegungen für eine SQL Server-Installation Und auch hier, technisch funktioniert es, sollte aber vermieden werden. Na deswegen sag ich doch, einen Exchange nicht auf einem DC zu installieren. Zumal die "Position" eines Exchange Servers zu einem späteren Zeitpunkt nicht verändert werden "darf". Denn das wird nicht supportet. Das bedeutet, wird der Echange auf einem Memberserver installiert, so darf der Memberserver zu einem späteren Zeitpunkt, nicht zum DC gestuft werden. Andersrum genauso. Wurde der Exchange-Server auf einem DC installiert, darf der DC nicht heruntergestuft werden. Das das technisch trotzdem funktioniert, steht auf einem anderen Blatt. Fakt ist, es wird von Microsoft nicht supportet. Ja, technisch kannst du den Exchange Server zum DC stufen. Das funktioniert auch und es entstehen auch mit dem anderen DC keine Probleme. Nur eben empfohlen wird es nicht. Funktionieren tut es.

Das ist nicht erst seit Windows Server 2003 so, sondern seit Windows NT. Dann nehme den Entwicklern das Recht, Clients zur Domäne hinzufügen zu können. Ich halte es ohnehin als Risiko, die authentifizierten Benutzer in der GPO bestehen zu lassen. Imho gehören die dort raus. Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen Wie gesagt, es sollten ohnehin nur autorisierte Benutzer dieses Recht haben und das sind nunmal die IT-Leute. Alle anderen haben damit nichts zu tun. Brauchst du auch nicht. Entferne die authentifizierten Benutzer aus der GPO oder trage im Attribut MS-DS-Machine-Account-Quota als Wert "0" ein. Denn dann können die auth. Benutzer ebenfalls keine Clients mehr zur Domäne hinzufügen.

Servus, das ergibt keinen Sinn, denn wer darf denn das Computerkonto verschieben? Richtig, der Administrator bzw. derjenige, der die entsprechenden Berechtigunen delegiert/eingerichtet bekommen hat und nicht der Benutzer. Einen Administrator zu "beschneiden" macht überhaupt keinen Sinn, denn dieser kann sich die Rechte wieder holen. Ein Admin ist nunmal ein Admin.

Liegen evtl. Replikations- oder DNS-Probleme vor? Bitte die Logs der DCs überprüfen. Oder ist vielleicht der PDC-Emulator nicht ereichbar? Oder stimmen evtl. die Berechtigungen auf dem SYSVOL-Verzeichnis nicht mehr?

Moin, wie lautet denn die genaue Fehlermeldung? Vom Sicherheitsaspekt her, sind aber die 42 Tage eher von Vorteil... was eher zum Nachteil des Anwenders führt. Denn dann tauchen sicherlich überall gelbe Zettel auf den Monitoren wieder auf ;) .

Unbedingt! Eine Installation des Exchange-Servers auf einem DC wird seitens Microsoft nicht empfohlen (wie z.B. ein SQL-Server). Technisch funktioniert es aber. Die Informationen findest du dazu auf dieser Seite: MSXFAQ.DE - Exchange und das Active Directory

Genau daran lag es nämlich auch ;) .

Servus, dann erstelle auf deinem internen DNS-Server einen A-Record mit dem Eintrag "www" und trage die externe IP-Adresse eurer Webseite dort ein. Natürlich muss das für FTP, Mail, POP oder was sonst noch extern von intern erreicht werden soll. Ja, die gibt es. Eine AD-Domäne lässt sich umbenennen. Ich würde sie aber um alles in der Welt meiden, erst recht in einer größeren produktiven Umgebung. Eher setze ich eine Domäne neu auf, bevor ich diese umbenenne. Wenn du die Domäne trotzdem umbenennen möchtest, lese dir die Whitepaper auf dieser Seite genau und komplett durch und ganz wichtig, testen...testen...und nochmals testen... Windows Server 2003-Active Directory-Tools zum Umbenennen von Domänen Yusuf`s Directory - Blog - Fehler beim ausführen von DCPROMO Die Clients müssen zweimal gestartet werden und brauchen nicht, re-joined zu werden. Aber deine AD-Domänenname ist nicht falsch. Der interne Domänenname kann so wie der externe Webauftritt lauten. Er erfordert lediglich etwas mehr Aufwand. Bei der Wahl des Domänennamen sind folgende Optionen möglich: 1. Der Active Directory-Name lautet so wie die Internetdomain. 2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt. Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". Diese Variante, wäre auch meine empfohlene. 3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw. Sogar die Endung LOCAL kann zu Problemen führen, denn damit könnten Probleme mit Apple-PCs auftreten. Auch wäre es denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.). 4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net. Dabei sollten natürlich beide Domains beim ISP registriert werden. 5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ. ISO 3166 - Wikipedia 6. Was auch von Vorteil wäre, ist einen abstrakten Domänennamen zu wählen. Denn wenn sich Firma mit einem anderen Unternehmen fusioniert, bekommt man keinen Stress wegen dem Namen. faq-o-matic.net » Welcher Name ist der beste für eine AD-Domäne?

Du weißt aber, dass DU dich selbst darum kümmern musst. Bei CISCO weiß man, dass man AFAIK alle 3 Jahre die Update-Prüfung machen muss. Zeit genug hatte ein MCSE 2000 in jedemfall, die beiden Update Prüfungen zu absolvieren. Jein. Einen MCSE für Windows Server 2008 gibt es nicht. Denn die Prüfungen/Titel wurden umgestellt. Während es bis Windows 2003 die Begriffe MCP, MCSA, MCSE gab, heißt es nun MCTS und MCITP. Ein MCSE 2003 benötigt als Update-Prüfung die 70-649 und erhält somit 3 MCTS-Titel. Aber die Spitze des Eisbergs erreicht man als MCSE erst mit dem MCITP Server Enterprise. Dazu benötigt man noch weitere zwei Prüfungen, nämlich die 620 oder 624 und die 647. Das bedeutet, möchtest du die höchste Zertifizierungsstufe als MCSE auch zu Windows Server 2008 erlangen, brauchst du drei Prüfungen: 70-649 + 70-620 oder 70-624 + 70-647 Schau dich dazu einfach auf der Microsoft-Learning Seite bzw. hier im Board um. Die neue Generation der Microsoft-Zertifizierungen Ja, na klar. Wenn du das schon für den MCSE 2003 machen musst... Du musst die Prüfungen erneut bestehen. Der Pfad zum erreichen eines Titels wurde aber wie bereits oben erwähnt geändert.

Salut, dann müsstest du alle Prüfungen (7 Stück), die für den MCSE 2003 benötigt werden absolvieren. Es wäre quasi so, als ob du vorher noch nie MCSE warst.

Dann hast du das nicht richtig beachtet. Auf der zweiten R2-CD befindet sich das ADPREP für den Windows Server 2003 Standard oder Enterprise, aber nicht für den SBS. Dort befindet sich das ADPREP genau da, wo du es gefunden hast. Yepp, so ist es. Du musst das Schema "korrigieren". Das wird in dem genannten Artikel beschrieben: How to upgrade Windows 2000 domain controllers to Windows Server 2003 Du musst das schon ausführen, was dort steht. Den Anweisungen (Szenario 2) im erwähnten MS-Artikel folgen.

Huhuu, korrekt. Nope, da hat der OP recht. Normalerweise konfiguriert man das so: Du kannst den PDC-Emulator der Root-Domäne gegen eine externe Quelle (entweder aus dem Internet oder Hardware-Uhr) abgleichen lassen. Auf der Firewall müsste der Port 123 offen sein, wenn mit einer Quelle aus dem Internet abgeglichen werden soll. Der PDC-Emulator _muss_ aber nicht seine Zeit mit einer "externen Quelle" abgleichen. Die tatsächliche Zeit ist nicht zwingend notwendig. Sie sollte nur innerhalb einer Gesamtstruktur synchron sein. Alle DCs holen sich ihre Zeit dann vom PDC-Emulator. Die Clients sowie Memberserver synchronisieren sich ihre Zeit mit ihrem Logon-Server, also dem DC bei dem sich der Client anmeldet/authentifiziert. Wenn Du am w32time nichts gemacht hast, hast Du eine komplette Zeitsynchronisation. Die PDC-Emulator der Sub-Domänen holen sich wiederum ihre Zeit, vom PDC-Emulator der Root-Domäne. Der PDC-Emulator der Root-Domäne ist die maßgebliche Zeitquelle für die Gesamtstruktur. Auf dem PDC-Emulator der Root-Domäne wäre folgender Befehl auszuführen: net time /setsntp: ptbtime1.ptb.de Anschließend ein "net stop w32time" Gefolgt von "w32tm -once" Und zum Schlus ein "net start w32time" How to configure an authoritative time server in Windows 2000 Überprüfe anschließend das Eventlog. Du musst nur darauf achten das an den Clients sich die Zeit nicht mehr als 15 mins abweicht, denn dann verweigert w32time seinen Dienst. Hier müsstest Du dann von Hand erstmal nachstellen.

Oder anders ausgedrückt: Das ist ein Layer 8 Problem ;) .

Servus, wenn man bei der RC0 das OK von Microsoft bekommen hatte, wurde das seitens Microsoft auch supportet. Ich weiß nicht ob das bei der RC1 ebenfalls der Fall ist. Du solltest dich bei Microsoft rücksichern. Du kannst natürlich die RC1 installieren, allen beteiligten muss aber klar sein, dass das eben keine RTM sondern Beta ist. Bei den Beispielen die du vorgebracht hast, bestehen sicherlich auch diverse Verträge/Abmachungen mit Microsoft. Ohne Rückendeckung seitens Microsoft eine Beta produktiv zu nutzen, halte ich für mehr als grob fahrlässig.

Hallo, lösche vorher das Computerkonto Objekt des Clients auf dem DC. Dann ändere den Namen des Clients und versuche ihn erneut zur Domäne hinzuzufügen. Wie wurde denn der Client installiert, zufällig geimaget/geclonet ?

Servus, wie wäre es denn, wenn du im Snap-In "Active Directory-Benutzer und -Computer" alle Benutzer markierst (mit STRG), machst einen Rechtsklick und wählst die Option "Einer Gruppe hinzufügen...". Oder du kannst das Vorhaben auch mit AdModify realisieren. ADModify.NET - Release: ADModify.NET Latest Build Skripten geht zwar auch, aber das dauert länger ;) .

Oohhh... sieh an, sieh an ;). Die Chancen stehen bis zu 100%. Das wird jetzt eine "Bastel-Arbeit" - aber die kann man lösen. Dazu musst du auch immer wieder in Verzeichnisdienst-Logs der DC schauen und die entsprechenden Fehlermeldungen auswerten. Gehe dazu diesen Artikel durch: Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)