Daim

Hallo,

Muss man dazu zwingend jeden PC abklappern oder kann man lokale Gruppenmitgliedschaften auch irgendwie "remote" verwalten?

ja, dass kann man mittels GPOs realisieren.

Das Stichwort lautet: Eingeschränkte Gruppen.

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Salut,

Zudem ist mir das Kapitel mit den Vertrauensstellungen noch nicht ganz klar. Um das ADMT einsetzen zu können ist ja eine Vertrauensstellung zwischen den beiden Servern nötig. Alerdings unterstütz der SBS2003 ja keine Vertrauensstellungen?!?

alles richtig. Wenn aber das Kennwort des Domänen-Admin von der Quell- sowie Ziel-Domäne gleich lautet,

funktioniert die Migration mit ADMT auch ohne einen Trust.

Wir haben nur einen DC und dort ist auch zwangsläufig der GC aktiviert.

Den man aber auch deaktivieren kann ;) .

Des Weiteren, nur weil der Haken zum GC gesetzt ist, heißt es noch lange nicht das der DC sich als diesen auch aus gibt. Die Artikel zum überprüfen eines GCs, habe ich in meinem vorherigen Post verlinkt.

Des Weiteren läuft die Software Net Admin. Weiß nicht ob das da auch mit zusammenhängen kann.

Ich auch nicht, da ich sie nicht kenne. Das sollte man ggf. mit dem Hersteller klären.

Es scheint als würde die Richtlinie von woanders bezogen werden aber es existiert nur die default domain policy vom Server.

Hast du auf einem XP-Client die GPMC installiert und versuchst als Domänen-Admin die Default Domain Policy zu ändern?

Falls nicht ---> durchführen.

Frage ist ob das wirklich mit der GC-Fehlermeldung zu tun haben kann da alle bestehenden Benutzer sich Problemlos anmelden können usw.

Das kann schon damit zusammenhängen. Denn der DC hat evtl. mehrere Probleme.

Zeigt es z.B. die FSMO-Rollen alle an oder zeigt er einen Fehler?

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Man muss schon systematisch vorgehen. Wichtig ist nunmal die Rolle des PDC-Emulators und in deinem Fall diese Software Net Admin. Prüfen... telefonieren... kontrollieren...

Ich bin absoluter Fan der VMware Lösungen und sehe da ebenfalls keine Probleme!

Ich jetzt aber schon. Da ich jetzt weiß was die Aufgabenstellung ist, kann ich die interne IT nachvollziehen. Mein AD dürfte am Anfang auch kein Dritter "einfach" so hernehmen.

Erst wenn es zum allerletzten Test geht, würde ich in meinem Beisein einen letzten Test mit einer VM durchführen. Eher nicht.

Das das die Arbeit nicht besonders erleichtert, steht auf einem anderen Blatt.

Wenn du wüsstest was es für ein Akt war das ich überhaupt eine AD in VMware aufsetzten durfte um die Daten jetzt, hoffentlich so, zu bekommen.

Das kann ich mir sehr gut vorstellen.

Aber so ist das nunmal im Zeitalter von ITIL. Dieses wird in Zukunft mehr und mehr Einzug in die Unternehmen nehmen.

Danke für deine Hilfe und Untersützung!

Null Probleme (würde Alf sagen).

P.S. Gruß aus Mainz.

Mit dem Converter einen DC abzuziehen war mein erster Vorschlag der aber nicht durch gekommen ist. Die It bei diesem Kunden ist da sehr vorsichtig...

Die Frage lautet: Was soll denn erreicht werden?

Vorsicht hin oder her, die VM verlässt doch nicht das Gebäude...

Im übrigen, wenn man sich eine Testumgebung erstellen möchte, geht das nicht einfacher als durch eine VM.

Aber eins muss auch ganz klar erwähnt werden, in der Testumgebung befinden sich dann auch alle Kennwörter sowie ObjectSIDs der produktiven Domäne.

Wenn aber die Testumgebung von den gleichen Admins wie die produktive Umgebung betreut wird, relativiert sich imho das Risiko.

Es muss nur darauf geachtet werden, dass die Testumgebung keine Verbindung zur produktiven Umgebung hat.

Ereignisprotokoll zeigt an: Ereigniskennung 1126

 

Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen.

Ist der GC nicht auf jedem DC aktiviert? Falls nicht würde ich dir das ans Herz legen.

Beachte dazu die Hinweise in diesem Artikel:

Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

Falls auf dem DC der GC aktiviert ist, überprüfe ob der DC sich auch tatsächlich als GC ausgibt.

Yusuf`s Directory - Blog - Globaler Katalog – Sein oder nicht sein

Überprüfe das DNS, dort ist es ganz wichtig, dass die Einträge (_gc) von den DCs auf dem der GC aktiviert ist, existieren.

Sowohl in der Forward Lookup Zone als auch in der _msdcs.Root-Domäne.TLD.

Freunde dich mit den beiden Tools REPADMIN (mit /EXPERTHELP bekommst du weitere Infos) sowie DNSLint an.

Kann das damit zusammenhängen???

Durchaus. Aber erneut die Frage, ist der PDC-Emulator erreichbar?

Werfe aber noch einen Blick auf diese Hinweise:

http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=1126&EvtSrc=Active%20Directory&LCID=1033

Hallo,

Ich muss die OU´s, Gruppen und User einer AD mit LDIF exportieren und auf einer virtuellen Maschine wieder importieren.

um dir eine Testumgebung aufzubauen oder für was benötigst du das ?

Du könntest dir auch mit dem VMWare-Converter einen DC in der Testumgebung virtualisieren.

Wie kann ich das ganze jetzt so anpassen, das ich es wieder exportieren kann? Also wie macht man das am besten?

Wieso schon wieder exportieren ? Du meinst wohl importieren.

Lies dir mal als Übersicht diesen Artikel durch, evtl. wirds danach klarer:

Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange

Gibt es eine Möglichkeit nur Benutzer zu exportieren? Diese sind wild in den OU´s verteilt und nicht definierbar wo sie sind...

Na klar geht das. Der entscheidende Filter lautet "(&(objectCategory=person)(objectClass=User))". Lies dir einfach den o.g. Artikel durch.

Salut,

du kannst dazu in der Default Domain Controllers Richtlinie unter:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\

Überwachungsrichtlinie\<Verzeichnisdienstzugriff überwachen> die Richtlinie aktivieren.

In einem zweiten Schritt konfigurierst du dann noch in den erweiterten Sicherheitseinstellungen der Gruppe, die Option die überwacht werden soll.

Unter Windows Server 2003 ist die Protokollierung, die im brigen Mitbestimmungspflichtig ist, noch sehr spärlich.

Im Windows Server 2008 wurde das schon eleganter gelöst.

Yusuf`s Directory - Blog - Active Directory Domain Services (AD DS) - Protokollierung

momentan ein W2K3 Server (nachfolgend SRV_DC genannt) als DC die nächsten Tage kommt SQL Server drauf (von externen Technikern des Systemhauses)

Für den SQL-Server gilt aber das gleiche, wie für Exchange.

Auch das installieren bzw. betreiben eines SQL-Servers auf einem DC wird seitens Microsoft nicht empfohlen.

Sicherheitsüberlegungen für eine SQL Server-Installation

Und auch hier, technisch funktioniert es, sollte aber vermieden werden.

Fragen:

1. Laut einigen Aussagen wäre es nicht unbedingt notwendig den SRV_EXCH als zusätzlichen DC einzurichten, da die Benutzeraccount des DC nicht die wiederspiegeln die tatsächlich eingesetzt werden. Wäre es möglich ohne den SRV_EXCH an den vorhanden SRV_DC anzubinden?

Na deswegen sag ich doch, einen Exchange nicht auf einem DC zu installieren.

Zumal die "Position" eines Exchange Servers zu einem späteren Zeitpunkt nicht verändert werden "darf". Denn das wird nicht supportet. Das bedeutet, wird der Echange auf einem Memberserver installiert, so darf der Memberserver zu einem späteren Zeitpunkt, nicht zum DC gestuft werden. Andersrum genauso. Wurde der Exchange-Server auf einem DC installiert, darf der DC nicht heruntergestuft werden.

Das das technisch trotzdem funktioniert, steht auf einem anderen Blatt.

Fakt ist, es wird von Microsoft nicht supportet.

2. Wäre es denkbar den SRV_EXCH einfach als weiteren PDC zu konfigurieren ohne das sich SRV_EXCH und SRV_DC beissen zu betreiben? Da nur Mail abgewickelt wird und nix mit AD, FileShares und andere Zusatzdiensten

Ja, technisch kannst du den Exchange Server zum DC stufen.

Das funktioniert auch und es entstehen auch mit dem anderen DC keine Probleme.

Nur eben empfohlen wird es nicht. Funktionieren tut es.

es geht darum, weil im w2k3 haben ja user das recht 10 computer in die domäne zu nehmen...!

Das ist nicht erst seit Windows Server 2003 so, sondern seit Windows NT.

wir haben bei uns entwickler und wir wollen es merken, wenn sie eine neue maschine in die domäne nehmen, so merken wir gar nichts...!

Dann nehme den Entwicklern das Recht, Clients zur Domäne hinzufügen zu können.

Ich halte es ohnehin als Risiko, die authentifizierten Benutzer in der GPO bestehen zu lassen. Imho gehören die dort raus.

Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen

dann könnten wir den Computer in die richtige OU schieben und ihm bereits am start eine beschreibung geben, ansonsten herscht in der ad ein chaos...!

Wie gesagt, es sollten ohnehin nur autorisierte Benutzer dieses Recht haben und das sind nunmal die IT-Leute. Alle anderen haben damit nichts zu tun.

und ich möchte nicht noch eine ou bauen und dann alle computer aus dem CONTAINER computers manuell verschieben müssen...!

Brauchst du auch nicht. Entferne die authentifizierten Benutzer aus der GPO oder trage im Attribut MS-DS-Machine-Account-Quota als Wert "0" ein. Denn dann können die auth. Benutzer ebenfalls keine Clients mehr zur Domäne hinzufügen.

Servus,

Ich habe folgende Frage, ich möchte die standardmässige OU Computers so einschränken, dass wir Computer in die Domäne nehmen können, aber dannach nicht mehr viel läuft, so dass wenn sich der Computer in der OU Computers befindet, er wir ausgeschlossen ist, bis wir ihn aus dieser OU verschieben.

das ergibt keinen Sinn, denn wer darf denn das Computerkonto verschieben?

Richtig, der Administrator bzw. derjenige, der die entsprechenden Berechtigunen delegiert/eingerichtet bekommen hat und nicht der Benutzer. Einen Administrator zu "beschneiden" macht überhaupt keinen Sinn, denn dieser kann sich die Rechte wieder holen.

Ein Admin ist nunmal ein Admin.

Liegen evtl. Replikations- oder DNS-Probleme vor?

Bitte die Logs der DCs überprüfen. Oder ist vielleicht der PDC-Emulator nicht ereichbar?

Oder stimmen evtl. die Berechtigungen auf dem SYSVOL-Verzeichnis nicht mehr?

Moin,

ich kann unter der Gruppenrichtlinie die Kennwortrichtlinie nicht ändern obwohl ich als Administrator angemeldet bin.

wie lautet denn die genaue Fehlermeldung?

Vom Sicherheitsaspekt her, sind aber die 42 Tage eher von Vorteil... was eher zum Nachteil des Anwenders führt.

Denn dann tauchen sicherlich überall gelbe Zettel auf den Monitoren wieder auf ;) .

...ein Tip geben wo ich eine Stütze meines Hirns finden kann für eine Exchange 2007 Installation auf einen seperaten W2K3Srv?

Unbedingt! Eine Installation des Exchange-Servers auf einem DC wird seitens Microsoft nicht empfohlen (wie z.B. ein SQL-Server). Technisch funktioniert es aber.

und muss dieser zweite Server im AD des ersten aufgenommen werden?

Die Informationen findest du dazu auf dieser Seite:

MSXFAQ.DE - Exchange und das Active Directory

...kann mir nur vorstellen das ich vergaß die anderen male immer den Cache im Server und des Clients zu löschen.

Genau daran lag es nämlich auch ;) .

Servus,

Der gewählter Domänenname ist "xyz.de" nun existiert diese Domain auch im I-Net als HP, freenet.de - DSL Internet E-Mail Nachrichten Chat Shopping und alle aktuellen Themen, und wird vom installierten DNS Dienst auf dem W2K3 natürlich nicht weitergeleitet.

dann erstelle auf deinem internen DNS-Server einen A-Record mit dem Eintrag "www" und trage die externe IP-Adresse eurer Webseite dort ein.

Natürlich muss das für FTP, Mail, POP oder was sonst noch extern von intern erreicht werden soll.

Gibt es die Möglichkeit OHNE neuen dcpromo und Co. dieses zu ändern,

Ja, die gibt es. Eine AD-Domäne lässt sich umbenennen.

Ich würde sie aber um alles in der Welt meiden, erst recht in einer größeren produktiven Umgebung. Eher setze ich eine Domäne neu auf, bevor ich diese umbenenne.

Wenn du die Domäne trotzdem umbenennen möchtest, lese dir die Whitepaper auf dieser Seite genau und komplett durch und ganz wichtig, testen...testen...und nochmals testen...

Windows Server 2003-Active Directory-Tools zum Umbenennen von Domänen

Yusuf`s Directory - Blog - Fehler beim ausführen von DCPROMO

Die Clients müssen zweimal gestartet werden und brauchen nicht, re-joined zu werden.

Aber deine AD-Domänenname ist nicht falsch. Der interne Domänenname kann so wie der externe Webauftritt lauten. Er erfordert lediglich etwas mehr Aufwand.

Bei der Wahl des Domänennamen sind folgende Optionen möglich:

1. Der Active Directory-Name lautet so wie die Internetdomain.

2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt.

Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". Diese Variante, wäre auch meine empfohlene.

3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw. Sogar die Endung LOCAL kann zu Problemen führen, denn damit könnten Probleme mit Apple-PCs auftreten. Auch wäre es denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.).

4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net. Dabei sollten natürlich beide Domains beim ISP registriert werden.

5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ.

ISO 3166 - Wikipedia

6. Was auch von Vorteil wäre, ist einen abstrakten Domänennamen zu wählen.

Denn wenn sich Firma mit einem anderen Unternehmen fusioniert, bekommt man keinen Stress wegen dem Namen.

faq-o-matic.net » Welcher Name ist der beste für eine AD-Domäne?

Super ! Unter Druck machts gleich viel mehr Spass

Du weißt aber, dass DU dich selbst darum kümmern musst.

Bei CISCO weiß man, dass man AFAIK alle 3 Jahre die Update-Prüfung machen muss.

Zeit genug hatte ein MCSE 2000 in jedemfall, die beiden Update Prüfungen zu absolvieren.

- ich habs befürchtet ... und MS Server 2008 ? gibts da auch ein Update von 03 auf 08 ?

Jein. Einen MCSE für Windows Server 2008 gibt es nicht. Denn die Prüfungen/Titel wurden umgestellt. Während es bis Windows 2003 die Begriffe MCP, MCSA, MCSE gab, heißt es nun MCTS und MCITP. Ein MCSE 2003 benötigt als Update-Prüfung die 70-649 und erhält somit 3 MCTS-Titel. Aber die Spitze des Eisbergs erreicht man als MCSE erst mit dem MCITP Server Enterprise. Dazu benötigt man noch weitere zwei Prüfungen, nämlich die 620 oder 624 und die 647. Das bedeutet, möchtest du die höchste Zertifizierungsstufe als MCSE auch zu Windows Server 2008 erlangen, brauchst du drei Prüfungen:

70-649 + 70-620 oder 70-624 + 70-647

Schau dich dazu einfach auf der Microsoft-Learning Seite bzw. hier im Board um.

Die neue Generation der Microsoft-Zertifizierungen

Muss ich wenn ich den MCSE 03 auslasse für den MCSE 08 auch alle 7 Prüfunen neu machen ?

Ja, na klar. Wenn du das schon für den MCSE 2003 machen musst...

Du musst die Prüfungen erneut bestehen. Der Pfad zum erreichen eines Titels wurde aber wie bereits oben erwähnt geändert.

Salut,

Wenn ich jetzt bis April 08 die 292 und 296 nicht habe, wie kann ich mich dann noch für den W2k3 Server zertifizieren ?

dann müsstest du alle Prüfungen (7 Stück), die für den MCSE 2003 benötigt werden absolvieren.

Es wäre quasi so, als ob du vorher noch nie MCSE warst.

Zum erstem hast ich die Version Windows 2003 SBS R2, da soll adprep auf der 2. Cd sein ist schon mal nicht der Fall ist nur auf ersten CD unter i386.

Dann hast du das nicht richtig beachtet. Auf der zweiten R2-CD befindet sich das ADPREP für den Windows Server 2003 Standard oder Enterprise, aber nicht für den SBS.

Dort befindet sich das ADPREP genau da, wo du es gefunden hast.

das Schama mit dem Exchange SErver stimmt irgendwie nicht.

Yepp, so ist es. Du musst das Schema "korrigieren".

Das wird in dem genannten Artikel beschrieben:

How to upgrade Windows 2000 domain controllers to Windows Server 2003

Der bringt mich aber nicht wirklich weiter !!!!

Du musst das schon ausführen, was dort steht.

Vielleicht kann einer von euch da irgendwie noch helfen was ich machen kann !!

Den Anweisungen (Szenario 2) im erwähnten MS-Artikel folgen.

Huhuu,

auch ein Memberserver hat den Status eines Clients.

korrekt.

Die Zeit erhalten alle Clients automatisch vom PDC-Emulator, nicht vom Anmeldeserver.

Nope, da hat der OP recht.

Normalerweise konfiguriert man das so:

Du kannst den PDC-Emulator der Root-Domäne gegen eine externe Quelle (entweder aus dem Internet oder Hardware-Uhr) abgleichen lassen. Auf der Firewall müsste der Port 123 offen sein, wenn mit einer Quelle aus dem Internet abgeglichen werden soll. Der PDC-Emulator _muss_ aber nicht seine Zeit mit einer "externen Quelle" abgleichen. Die tatsächliche Zeit ist nicht zwingend notwendig. Sie sollte nur innerhalb einer Gesamtstruktur synchron sein.

Alle DCs holen sich ihre Zeit dann vom PDC-Emulator. Die Clients sowie Memberserver synchronisieren sich ihre Zeit mit ihrem Logon-Server, also dem DC bei dem sich der Client anmeldet/authentifiziert. Wenn Du am w32time nichts gemacht hast, hast Du eine komplette Zeitsynchronisation.

Die PDC-Emulator der Sub-Domänen holen sich wiederum ihre Zeit, vom PDC-Emulator

der Root-Domäne. Der PDC-Emulator der Root-Domäne ist die maßgebliche Zeitquelle für die Gesamtstruktur.

Auf dem PDC-Emulator der Root-Domäne wäre folgender Befehl auszuführen:

net time /setsntp: ptbtime1.ptb.de

Anschließend ein "net stop w32time"

Gefolgt von "w32tm -once"

Und zum Schlus ein "net start w32time"

How to configure an authoritative time server in Windows 2000

Überprüfe anschließend das Eventlog.

Du musst nur darauf achten das an den Clients sich die Zeit nicht mehr als 15 mins abweicht, denn dann verweigert w32time seinen Dienst. Hier müsstest Du dann von Hand erstmal nachstellen.

Das heißt bei uns immer nur .. Fehler in ISO Schicht 8 :)

Oder anders ausgedrückt: Das ist ein Layer 8 Problem ;) .

Servus,

Ich habe mich entschieden Windows Server 2008 RC1 (Windows Server 2008 Release Candidate Evaluation Software) zu installieren und spätestens am 30.6.2008 auf die Vollversion Windows Server 2008 upzudaten.

wenn man bei der RC0 das OK von Microsoft bekommen hatte, wurde das seitens Microsoft auch supportet. Ich weiß nicht ob das bei der RC1 ebenfalls der Fall ist.

Du solltest dich bei Microsoft rücksichern. Du kannst natürlich die RC1 installieren, allen beteiligten muss aber klar sein, dass das eben keine RTM sondern Beta ist.

Bei den Beispielen die du vorgebracht hast, bestehen sicherlich auch diverse Verträge/Abmachungen mit Microsoft.

Ohne Rückendeckung seitens Microsoft eine Beta produktiv zu nutzen, halte ich für mehr als grob fahrlässig.

Hallo,

lösche vorher das Computerkonto Objekt des Clients auf dem DC.

Dann ändere den Namen des Clients und versuche ihn erneut zur Domäne hinzuzufügen.

Wie wurde denn der Client installiert, zufällig geimaget/geclonet ?

Servus,

wie wäre es denn, wenn du im Snap-In "Active Directory-Benutzer und -Computer" alle Benutzer markierst (mit STRG),

machst einen Rechtsklick und wählst die Option "Einer Gruppe hinzufügen...".

Oder du kannst das Vorhaben auch mit AdModify realisieren.

ADModify.NET - Release: ADModify.NET Latest Build

Skripten geht zwar auch, aber das dauert länger ;) .

Günaydin Daim,

Oohhh... sieh an, sieh an ;).

Leider sind die Replikationen länger als 60 Tage her, d.h. tombstoned. Wie hoch sind meine Chancen das mit repadmin wieder geradezubiegen bevor ich dcpromo an der konsole ausführe?

Die Chancen stehen bis zu 100%.

Das wird jetzt eine "Bastel-Arbeit" - aber die kann man lösen.

Dazu musst du auch immer wieder in Verzeichnisdienst-Logs der DC schauen und die entsprechenden Fehlermeldungen auswerten.

Gehe dazu diesen Artikel durch:

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)