Daim
-
Gesamte Inhalte
4.534 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Daim
-
-
Servus,
Was für Auswirkungen hat die Option "Immer auf das Netzwerk warten" für die clients? Langsamer ist klar aber was ist mit den XP Notebooks, die sich ab und zu auch ohne Netzwerk anmelden!? bekommen die dann Probleme?diese Richtlinie ist eher von Vorteil, als ein Nachteil und das auch für die Notebooks.
XP gaukelt nun mal einem vor, dass es schneller startet als Windows 2000.
Man bekommt in XP die Windows Oberfläche schneller zu Gesicht und kann die Maus bewegen, als zu Windows 2000 Zeiten. Dabei lädt eben XP im Hintergrund erst viel später die wichtigen Treiber wie z.B. Netzwerktreiber nach. Somit wird dem Benutzer das Gefühl übermittelt, wie unwahrscheinlich schnell XP doch sei. Das ist leider etwas Augenwischerei.
Die genannte Richtlinie versetzt XP dahin, sich genauso wie Windows 2000 zu Verhalten.
Zusätzlich solltest du aber noch eine zweite Richtlinie aktivieren. Welche das ist, erfährst du aus diesem Artikel:
Yusuf`s Directory - Blog - Asynchrones Startverhalten beim Windows XP
-
Servus,
wird die Einstellung "Brücke zwischen allen Standortverknüpfungen herstellen" deaktiviert,
wird die Überbrückung aller Standorte deaktiviert - also keine Brücken über alle Site-Links. Das würde Sinn machen, bei nicht vollständig gerouteten Netzen.
Dann hält sich die AD-Replikation exakt an die erstellten Site-Links.
Der KCC bzw. ISTG für die standortübergreifende Replikation, erstellt weiter <automatisch> die Verbindungsobjekte zwischen den Bridgeheadservern, die durch eine explizite Standortverknüpfung miteinander verbunden sind.
Du könntest dann zwei Site-Links erstellen.
Standort A + B
Standort A + C
Es kommt auf deine Netzwerktopologie an. Wenn du ein voll durchgeroutetes Netzwerk (WAN) hast, dann sollte die Brücke aktiviert bleiben.
Hast du aber z.B. eine Hub-and-Spoke Topologie, dann könnte man die Brücke deakvieren und gezielter die Replikation zu steuern.
Lies dir mal diesen Artikel durch:
Replikation: Standorte & Standortverknüpfungsbrücken - faq-o-matic.net
-
Servus,
du hast nicht zufäiig Exchange im Einsatz?
Wenn ja, dann stehen dir im Benutzerkontext die "extensionAttribute 1 bis 15" zur Verfügung. Das sind Benutzerdefinierte Attribute die du für deine Zwecke verwenden könntest.
-
-
Servus,
Kann mir einer von Euch sagen, wie ich an das SnapIn Gruppenrichtlinienverwaltung kommen?garnicht. Denn die GPMC gibt es "Stand heute" nicht für 64Bit Systeme.
-
Da gibt es kein Tool dafür.
Aktiviere in der Default Domain Policy die Komplexitätsanforderungen und evtl. erzwingst du anschließend eine Kennwort-Änderung der User. Danach muss jeder Benutzer ein neues Kennwort vergeben, dass den eingestellten Ansprüchen genügt.
-
Na das sieht gut aus.
Was Exchange betrifft, schau dich dazu auch noch auf der Seite MSXFAQ.DE - Franks MSExchangeFAQ um.
Beachte auch die von mir in meiner ersten Antwort geposteten Links.
-
1) SRV01 (bisher DC und Exchange) zum Memberserver herunterstufen
Wie Christoph das bereits schrieb, ein nachträgliches "verändern" des Exchange Servers wird nicht supportet.
2) auf SRV02 (jetzt einziger DC): ADPREP /..Quasi ein In-Place Upgrade. Das geht natürlich auch.
-
Servus,
zu allererst sollte ein /aktuelles/ sowie natürlich funktionierendes Backup der Daten und vom System State existieren.
Du musst im ersten Schritt das Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs.
Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2
Du führst das ADPREP mit dem Schalter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit dem Schalter /DOMAINPREP auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest.
Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur siche" Updates zulassen". Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.
Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen
In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein. Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern.
Siehe:
Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ?
Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert".
Dann musst Du die 5 FSMO Rollen auf den neuen DC noch verschieben:
Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben
How to view and transfer FSMO roles in the graphical user interface
Wie verwalte ich die speziellen Domänencontroller-Rollen? - faq-o-matic.net
Zusätzlich solltest Du den neuen DC zum GC deklarieren.
Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen.
Bevor Du den alten DC mit DCPROMO aus der Domäne nimmst, sichere noch das
EFS-Zertifikat bzw. was noch zu beachten wäre siehe folgenden Artikel:
Was muss ich tun, um den ersten DC zu deinstallieren? - faq-o-matic.net
Die DHCP Datenbank kannst Du exportieren:
WINS solltest Du ebenfalls installieren. Der WINS erleichtert Dir das
tägliche Leben:
Brauche ich noch WINS, wenn ich ein AD betreibe? - faq-o-matic.net
Wie sollte WINS konfiguriert werden? - faq-o-matic.net
Die Freigaben könntest Du ebenfalls exportieren..:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
... oder Du benutzt das File Migration Toolkit (FSMT):
Microsoft File Server Migration Toolkit
Drucker kannst Du mit dem Print Migrator kopieren/verschieben:
Download details: Windows Print Migrator 3.1
Vergiß nicht evtl. die Anmeldeskripte anzupassen.
Die Daten kannst Du mit NTBACKUP Sichern und auf dem neuen wiederherstellen.
Weiteres erfährst du von hier:
Yusuf`s Directory - Blog - Den ersten/einzigsten Domänencontroller austauschen
Dann musst du noch das Schema auf Exchange 2003 vorbereiten.
Beachte:
-
Servus,
Wäre es auch anders gegangen, das alte Profil dem neuen zuzuweisen oder geht das grundsätzlich nur über diesen Weg?z.B.
Noch eine andere Art, Benutzerprofile zu migrieren. - faq-o-matic.net
Edit // :) Cool. Iss ja schon etwas schneller ;).
-
Moin,
Ist das normal oder stimmt sonst was nicht mit dem Server der übergeordneten Domäne.Oder ist es überhaupt notwendig, die Vertrauensstellung zu löschen?
Trusts innerhalb einer Gesamtstruktur sind immer bidirektional transitiv.
Diese können nicht entfernt werden, weil es eben innerhalb einer Gesamtstruktur keinen Sinn macht und elementar ist, dass diese Vertrauensstellung existiert.
Wie sollten sich denn die Domänen einer Gesamtstruktur replizieren, wenn diese nicht existieren würden...
Daher kannst du es im Snap-In nicht entfernen.
Man könnte es aber natürlich auf andere Weise quasi "von hinten durch die Brust" doch löschen.
Oder ist es überhaupt notwendig, die Vertrauensstellung zu löschen?Nein, ist es soo nicht.
Du willst quasi die untergeordnete Domäne löschen und neu erstellen. Dann musst du das AD von dem DC und der Domäne säubern. Dazu arbeite folgende beiden Artikel ab:
How To Remove Orphaned Domains from Active Directory
Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
-
Servus,
beide Systeme, Notes/Domino oder Outlook/Exchange haben ihre Vor- und Nachteile.
Das eine hat da und hier sein Mehrwert, dass andere dort.
@Murphy65
Wie registrierst du denn einen User?
Benutzt du auch den Admin-Client und hast du die Cert.id zur Hand?
Erzähl mal was du machst, dann sag ich dir wie es geht ;).
-
Replikationswarnung: Der Replikations-Agent (DRA) konnte das Objekt CN=MJAKOB-HP
Officejet Pro K850 Series\0ADEL:606d924e-fcc4-4144-9dda-a911b2fc2f52,CN=Deleted
Objects,DC=xxxxx,DC=de (GUID 606d924e-fcc4-4144-9dda-a911b2fc2f52) auf diesem
System nicht mit den vom Quellserver
a6f54c79-4844-4aa3-864e-afa034009bd8._msdcs.xxxxx.de empfangenen Änderungen
aktualisieren. Es ist ein Fehler während der Übernahme der Änderungen in die
Verzeichnisdatenbank auf diesem System aufgetreten.
Im Container "Deleted Objects" befinden sich die Objekte, die gelöscht und somit mit einem Tombstone versehen worden. Diese Objekte werden erst nach Ablauf der Tombstone-Lifetime endgültig aus dem AD entfernt (wobei die meisten Attribute direkt nach dem löschen vom Admin entfernt werden).
Dü müsstest mit einem LDAP-Programm wie z.B. LDP aus den Windows Support Tools das Objekt endgültig löschen. Dann dürfte dieses Problem behoben sein.
-
Servus,
hast du denn alle Informationen im Snap-In "Active Directory-Standorte und -Dienste" eingetragen und vorallem konfiguriert?
Existieren AD-Standorte denen Subnetze zugeordnet wurden etc.?
DNS ist natürlich elementar.
Denn bevor die eigentliche AD-Replikation stattfindet, führt der DC ein DNS-Lookup durch um zu prüfen, ob er seinen Replikationspartner erreichen kann.
Dadurch stellt der DC zwei Dinge sicher:
- Die Namensauflösung funktioniert
- Sein Replikationspartner ist erreichbar
Stellt die Funktion des DNS sicher. DCDIAG ist dabei behilflich.
-
Salut,
- SBS MUSS der alleinige DC sein (kein Tree o.ä.)nicht richtig.
Es können und sollten sehr wohl noch andere DCs existieren.
Der SBS muss lediglich alle FSMO-Rollen tragen und GC sein.
Yusuf`s Directory - Blog - Die Besonderheiten eines Small Business Server`s (SBS)
-
Buenos dias,
Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen.das halte ich für einen Trugschluss.
Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.
Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.
Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.
Siehe:
Gruppenrichtlinien - Übersicht, FAQ und Tutorials
Abgesehen davon sollten Domänen-Benutzer noch nicht einmal Hauptbenutzer-Rechte erhalten.
Siehe:
Oder:
Wie Hauptbenutzer zu Admins werden - faq-o-matic.net
Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus.Genau aus diesem Grund, dürfen die Benutzer nicht mehr Rechte erhalten.
Schon garnicht unter ihrem normalen Benutzeraccount.
Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?Nein, die gibt es zwar nicht, dass ist aber der falsche Ansatz.
PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?Dazu müssen sich die Board-Admins äussern ;).
-
Salut,
Wenn Du den DNS server nur stoppst, dann haben die clients eventuell noch infos im cache.der Cache spielt dabei keine Rolle. Es kommt natürlich darauf an, welche IP-Informationen dem Client eingetragen bzw. ihm zugewiesen wurden.
Das entscheidende ist, ob der DNS-Server per Ping erreichbar ist und beim lediglichen stoppen des DNS-Dienstes auf dem Server ist er nämlch erreichbar.
Der Client versucht also erst garnicht seinen zweiten eingetragenen DNS-Server anzufragen.
Erst wenn der erste DNS-Server per Ping nicht erreicht werden kann, dann wird der zweite DNS-Server angefragt.
-
Servus
Hier wurde das Thema in Bezug auf DNS auch schon mal angesprochen:http://www.mcseboard.de/windows-forum-ms-backoffice-31/kleiner-tip-aufbau-dns-struktur-117444.html
man muss aber nicht zwingend eine Delegierung einrichten.
Das kommt eben darauf an, wie man sein DNS aufbaut.
Man könnte auch eine Forward Lookup Zone (FLZ) erstellen, z.B. intra.contoso.com.
Diese FLZ repliziert man dann in der Gesamtstruktur auf alle DCs/DNS-Server (Sub-Domänen inbegriffen). Somit könnte man dann sich die Delegierung sparen. Der Nachteil an dieser Variante, man hätte ein höheres Replikationsaufkommen. In der Standard-Konfiguration eines Clients, würden dann ca. 4 kb bei jedem Rechner-Start repliziert werden.
-
Servus,
Stimmt die Uhrzeit auf allen DCs?
Gibt es Replikationsprobleme bzw. anderweitige Probleme die im Eventlog auftauchen?
Wann war der kalte Krieg?
Hast Du mehrere NICs im DC (multihomed)?
Wenn ja, solltest Du mehrere NICs im DC meiden bzw. auf die Bindungen achten.
Ansonsten gehe diesen Artikel nach:
-
Den werden auch die wenigsten Admins benutzen.
Da beim erstellen des ersten DCs in einer Gesamtstruktur die FLZ während dem ausführen von DCPROMO mit erstellt wird. Da bleibt lediglich das erstellen der RLZ.
-
Servus,
Kann das Jemand hier bestätigen?völliger Unfug. Windows Server Standard in der 32Bit Version kann lediglich 4 GB an RAM verwalten.
ACHTUNG: Link ist temporär:
Wie Windows mit großem Hauptspeicher umgeht - faq-o-matic.net
-
Meinst Du, wenn mit dem DNS-Wizzard gearbeitet wird ? Dann wird auch Reverse erstellt ?
Yepp, dass meint er ;).
Denn nur dann (DNS-Wizzard) wird auch die RLZ erstellt.
-
Servus,
nein, deine Anforderung die völlig ok ist, gibt es nicht für umsonst.
Da musst du dich schon für eine richtige Monitoring-Applikation umschauen, wie z.B. MOM etc.
Diverse Switche bringen z.B. ebenfalls Monitoring Tools mit, in den man einstellen könnte, alle 30 Sekunden die Server anzupingen und falls 5mal in Folge der Server per Ping nicht erreicht werden konnte, dass eine Mail verschickt wird.
-
Servus,
was möchtest du denn noch alles dokumentieren, was dir bei Jose nicht ausreicht?
W2k3 Verzeichnisdienst
in Windows Server Forum
Geschrieben
Dann habt ihr also eine Hub-and-Spoke Topologie (ich/wir im übrigen auch).
Erstelle die Standortverknüpfungen wie bereits erwähnt.
Najaa... kommt darauf an wie man es sieht.
Wenn die Leitung unterbrochen ist, dann geht sicherlich "mehr" nicht, als nur die AD-Replikation. Somit hättest du dann ohnehin andere Probleme ;-).
Das müsst ihr euch Fragen. Wie bereits erwähnt, was geht sonst alles nicht, wenn zwischen der Zentrale A und Standort B die Verbindung unterbrochen ist.
Kann der Standort B dann noch ins Internet oder Mails verschicken oder greift er zufällig auf (Datenbank) Applikationen in der Zentrale zu usw.
AD-technisch ist es natürlich von Vorteil, wenn alles vermascht ist, dass jede NL mit jeder anderen NL komunizieren/replizieren kann.
Die entscheidende Frage ist eher, was wollt ihr?
Wir z.B. haben die gleiche Topologie und die Clients in den Standorten gehen über unseren Proxy (sowie Mail) über die Zentrale (wegen der zentralen Firewall) raus.
Wenn nun also die Verbindung zu einem Standort unterbrochen wäre, mache ich mir über die AD-Replikation bestimmt keine Gedanken, denn in dem Moment kann der Standort weder surfen, noch Mails raus ins Internet verschicken oder auch nicht auf die DB-Applikatiion hier in der Zentrale zugreifen.
Ich denke, du verstehst worauf ich hinaus möchte ;).