Jump to content

Daim

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    4.534

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von Daim

  1. NetBios Namen abweichend vom DNS Namen

    in Windows Forum — Allgemein

    Geschrieben

    Ahaa... dann sieht es schon anders aus.

     

    Wenn in eine neue Domäne migriert wird und dabei quasi alles neu aufgebaut wird,

    geht das i.d.R. Reibungslos.

    Das kommt aber eben auf die Umgebung an, was alles so im Einsatz ist. Das könnt nur ihr beantworten. Kontrolliert die eingesetzten Applikationen, ob dort z.B. Lizenzierungsmechanismen eingesetzt werden, die fest auf den NetBIOS-Namen verdrahtet sind.

     

    Aber wie wollt ihr denn migrieren, mit ADMT?

    Wenn die "alte" sowie "neue" Domäne gleich lautet, gibt es z.B. Probleme mit ADMT bzw. beim erstellen der Vertrauensstellung.

     

    Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To

  2. NetBios Namen abweichend vom DNS Namen

    in Windows Forum — Allgemein

    Geschrieben

    Servus,

     

    um die Anmeldung an einer Domain (W2k3) etwas Aussagekräftiger zu machen wurde angedacht den NetBios Namen abweichend vom (kurzen) DNS Namen zu erstellen.

     

    das rechtfertigt imho nicht das umbenennen des NetBIOS-Namen der Domäne.

    Wenn der NetBIOS-Name nicht "verhunzt" klingt/ist, dann würde ich das so belassen.

    Der Aufwand rechnet sich nicht. Es ist lediglich Kosmetik, denn der Benutzer sieht in der Regel diesen Namane NUR bei der Anmeldung, wenn er ihn überhaupt bei der Anmedlung wahrnimmt.

     

    Die Umbenennung kann nur im Gesamtstrukturfunktionsmodus "Windows Server 2003" erfolgen.

     

    Die Frage die sich mir stellt.: Ist diese Abweichung von der "Norm" sinnvoll und welche Risiken gehe ich damit ein.?

     

    Den NetBIOS-Namen der Domäne kannst du gestalten wie du möchtest.

    Aber einmal vergeben, würde ich ihn in einer produktiven Umgebung nicht mehr ändern.

    Denn wer garantiert dir denn, dass danach alles wieder rund läuft.

    Laufen dann die Netzwerk-Applikationen hinterher noch usw. ?

  3. Neuinstallation Domänencontroller

    in Windows Server Forum

    Geschrieben

    Moin,

     

    entweder du installierst einen zusätzlichen DC in deiner Domäne, so das also die Domäne zwei DCs hat oder du gehst den Weg über das SYSTEM STATE.

    Yusuf`s Directory - Blog - Einen Server mit rücksichern des System State zum DC stufen

     

    Da aber wie bereits erwähnt, jede Domäne zwei DCs haben sollte, wäre ich für ersteres.

    Der zweite DC kann auch eine VM sein.

     

    In beiden Fällen (zweiter DC sowie SYSTEM STATE), bleibt dir die Domäne, Benutzer- sowie Computerkonten erhalten und du brauchst die Clients nicht erneut in die Domäne zu bringen.

  5. Expertenmeinung gefragt: Aufteilung der FSMO Rollen

    in Windows Server Forum

    Geschrieben

    Servus,

     

    in den meisten Umgebungen ist es sinnvoll, alle FSMO-Rollen auf einem DC zu lassen.

    Falls zu einem späteren Zeitpunkt der DC der die drei Domänen-Rollen trägt crashen sollte, denkt man evtl. nicht gleich daran diese auf einen anderen DC zu verschieben.

    Die Empfehlung alle Rollen auf einem DC zu belassen, ist mehr eine organisatorische.

    Man muss bei einem Crash bezüglich der Rollen, eben nur einen einzigen DC berücksichtigen.

     

    In den meisten Umgebungen gibt es keinen Grund, die Rollen zu trennen.

    Deshalb wäre es sinnvoll, sie auf derselben Maschine zu belassen. Dieses erleichtert auch die Dokumentation.

     

    Die Trennung der Rollen macht - wie bereits hier erwähnt - in großen Umgebungen Sinn.

     

    Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

     

     

    @porschinho

     

    Du solltest aber auf beiden DCs, den globalen Katalog aktivieren.

  16. AD alte Computer entfernen

    in Windows Server Forum

    Geschrieben

    Das mit den Aussendienstlern war von mir auch ein "leichtes" Beispiel.

    Die Anforderugn des OPs kann ja ganz anders aussehen.

    Das Abteilungen für X-Monate auf Projekt sind und nicht mit der Domäne verbunden sind usw.

     

    Da gibt es sicherlich noch andere Gründe, wo eben das löschen der Computerkonten, sich nicht so einfach durchführen lässt.

  17. CSVDE Import Fehler

    in Windows Forum — Scripting

    Geschrieben

    Also mir scheint das dieses Tool das gleiche ist wie CSVDE.

     

    Das scheint nicht nur so, es ist es auch.

    Der einzige unterschied ist, mit LDIFDE kannst du bestehende Objekte bearbeiten.

     

    LDIFDE -m -f Export.ldf -s <dc1> -d "dc=<example>,dc=<de>" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))"

     

    Kallpt bei mir nicht

     

    Dann machst du irgendetwas falsch.

    Welche genaue Fehlermeldung erhälst du denn?

     

    LDIFDE -m -f Export.ldf -s DCNAME -d "dc=intra,dc=domain,dc=de" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))"

     

    Muss ich bei objectCategory und Class auch noch was eintragen ?

     

    Nein, warum denn ?

    In der Klasse (Class) sind Benutzer- sowie Computerobjekt eenthalten.

    Erst durch die Spezifizierung "objectCategory=person" werden lediglich Benutzerobjekte angesprochen.

  20. Kerberos standartmäßig deaktiviert bei W2K server ?

    in Windows Forum — Allgemein

    Geschrieben

    Buenos dias,

     

     

    Ich weiss nicht, ob ich schon über 3.000x Server/DCs unter Windows 2003 Installationen bin, oer knapp drunter, aber ich bin noch nie nicht auf so eine Auswahl gestoßen.

     

    wenn Testinstallationen mitzählen, dann bin ich locker drüber :p .

    Aber auch ich hatte solch eine Auswahl noch nie angetroffen, aber vielleicht habe ich ja die "falschen" Serverversionen installiert ;).

     

     

    Aber was ich nicht ganz nachvollziehen kann grizzly, welchen Post zitierst du denn da?

    Den finde ich nicht :rolleyes:

     

    Gemeint ist dieses Zitat:

     

    Aus persönlicher Beobachtung bei der Installation eines 2003er Servers kann ich dir sagen das man dort die Wahl hat zwischen den beiden Möglichkeiten.

    Der Hacken bzw. der Punkt für die Auswahl steht allerdings bei der Kerberos Variante ... Wenn man also immer ohne zu lesen "weiter" klickt landet man bei Kerberos ... *fg*

  21. AD alte Computer entfernen

    in Windows Server Forum

    Geschrieben

    Huhuu Kohn,

     

    ja, die Tools vom AD-Meister "Joe Richards" sind legendär.

    Der OP schrieb jedoch, Zitat:

     

    Mein Problem ist das ich nicht nach Passwort Alter gehen kann.

     

     

    Das trifft z.B. bei Aussendienstlern die selten im Netz sind zu.

    Bei denen würden dann die Computerkonten ebenfalls entfernt werden, wenn man nach dem Kriterium des Computerkennworts gehen würde.

    Das wäre natürlich nicht schön bzw. garnicht wünschenswert.

  22. AD alte Computer entfernen

    in Windows Server Forum

    Geschrieben

    Das AD reinigt sich selber über den garbage collector

     

    Der Garbage Collector Prozess defragmentiert z.B. die AD-DB (NTDS.DIT) online oder löscht endgültig die gelöschten Objekt, bei denen die Tombstone Lifetime abgelaufen ist. Der Prozess löscht aber keine Computerobjekte!

     

     

    mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen!

     

    Prinzipiell sollte man immer vorsichtig sein und es vorher in einer Testumgebung es testen.

    Aber hast du dir die Artikel bzw. Tools mal angeschaut? Nein, dann bitte nachholen.

     

     

    Denn diese setzen einiges an wissen voraus.

     

    JEDE Tätigkeit setzt ein wissen voraus. Sogar wenn man auf das WC muss.

    SCNR!

  23. Doktortitel im Active Directory: Wo eintragen?

    in Active Directory Forum

    Geschrieben

    Servus,

     

    Mein Problem ist wirklich, dass es nicht in dsa.msc auftaucht, Mist. So können das die AD-Verwalter bei uns leider nicht einpflegen. Wie kann man denn am einfachsten ein Feld pflegen, dass nicht in der ADS-Managementkonsole auftaucht? :confused:

     

    das ist oftmals das Problem. Das die freien/nicht genutzten Attribute eben nicht in einer MMC (wie z.B. dsa.msc) angezeigt werden. Dafür müsste man dann mit C++ ran.

    Und genau daran scheitert es am meisten.

     

    Die einzigste "leichte" Möglichkeit, wäre üebr das Kontextmenü des Benutzers.

    Aber genau dann kann man sich Fragen, für was das ganze, wenn man erst das Kontextmenü des Benutzers öffnen muss, um seinen Titel zu sehen.

     

    Als Beispiel so in etwa:

    Yusuf`s Directory - Blog - Personalnummer im AD eintragen

     

     

    Über das Kontextmenü lässt sic hso etwas recht einfach realisieren, in einer MMC mit Aufwand der nicht unerheblich ist.

  24. AD alte Computer entfernen

    in Windows Server Forum

    Geschrieben

    Servus,

     

    das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):

    Wie finde ich inaktive Computerkonten? - faq-o-matic.net

     

    Oder folgendermaßen:

    Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

     

    Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

    How to detect and remove inactive machine accounts

     

    Oder mit dem Tool OldCmp:

    Free Tools

     

    oder mit diesem Skript:

    Move Old Computers

×
×
  • Neu erstellen...