Daim

Bonjour, garnicht. Die Einträge bleiben dort auf ewig bestehen. Das ist so eine Art Schutzmechanismus des AD, denn jede GUID darf nur ein einzigesmal existieren. Da die GUID weiterhin auch nach entfernen des DCs gespeichert ist, kann kein neuer DC diese GUID erhalten. Ja und ja. Es ist "bloß" ein Schönheitsfehler und es stimmt, wenn man das am Anfang nicht weiß, irritiert diese Meldung den Admin bloß. Man muss es aber so hinnehmen. Du siehst ein ähnliches Verhalten auch im REPLMON. Dort erscheint bei nicht mehr existierenden DCs der Eintrag **DELETED SERVER**. Nein, die Einträge können nicht gelöscht werden.

Bonjour, warum läuft DNS nur auf dem einen DC? Wegen der Ausfallsicherheit sollte das DNS auf jedem DC installiert werden. Wenn die Forward Lookup Zone AD-integriert gespeichert wurde, hat man beim installieren des DNS-Servers auf weiteren DCs keine große Arbeit damit. Und wieviele Benutzer sind am Standort B? Du könntest am Standort B den neuen Server einfach als Mitgliedserver zur bestehenden Domäne hinzufügen. Dann könnte vielleicht DFS noch ein Thema werden, aber da muss man auf die Risiken achten. Was die Leitung betrifft, müsste man das genauer untersuchen. Aber wenn möglich, sollte an Standort B nur dann ein DC installiert werden, wenn dieser physikalisch auch sicher steht. Oder du setzt vor Ort einen Windows Server 2008 RODC ein. Yusufs Directory Blog - Read-Only Domain Controller (RODC) Na dann untersuche die Leitung. Aber du kannst auch vor Ort ohne einen DC anfangen und wenn du der Meinung bist das die Leitung dicht ist, kannst du immer noch den Server zum DC stufen. Das ist doch recht schnell erledigt. Der Trend geht eher in Richtung Zentralisierung, natürlich wo es Sinn macht. Ja, zum Beispiel. Das der Server die richtigen IP-Informationen bekommt und Verbindung zu den DCs hat.

Salut, najaa... soo sicher ist das Konstrukt aber nicht. Wenn vor Ort die Server zum DC gestuft werden sollen, da wär es wünschenswert, die DCs in einen abschließbaren Raum zu stecken. Da das aber nicht in vielen Lokationen möglich ist, wäre es eine Überlegung wert auf Windows Server 2008 zu aktualisieren, damit dann mit dem RODC zumindest das Thema Domänen-Sicherheit ein stückweit mehr gewährleistet ist. Evtl. wäre es auch eine Überlegung wert, dass die Benutzer per Terminaldienste auf die Server in der Zentrale zugreifen. Aber dazu muss man dann die Leitung genauer untersuchen. Wieviel genau bei einer Benutzeranmeldung über die Leitung übertragen wird, könnte man mit dem Netzwerkmonitor herausfinden. Wird zwar nicht ganz so einfach, wäre aber möglich.

Salut, korrekt.

Hola Kai, nein, sieht er nicht. Im lockoutstatus.exe sieht man, wann der Benutzer das letztemal ein falsches Kennwort eingetippt hat oder sein Kennwort geändert wurde (pwdLastSet) bzw. ob das Konto gesperrt ist (einiges sagt doch auch schon der Name des Tools aus). Mit dem Tool erfährt man aber nicht, wann "Last Logon" war. Aber abgesehen davon, möchte der OP von einem bestimmten Zeitraum (also z.B. von vor zwei Monaten) die Anmeldung eines Benutzers herausfinden.

Hola, dann tue dir keinen Zwang an. ;) Moment mal... du willst doch lediglich einen Windows Server 2008 als Terminal Server zur bestehenden Windows 2003 Domäne hinzufügen. Dazu muss man doch kein DCPROMO ausführen. Oder soll der Windows Server 2008 auch ein DC werden? Falls ja, dann ist das gar keine gute Idee auf einem DC den TS zu installieren. Wenn es hier lediglich um einen Windows Server 2008 Terminal Server geht, füge die neue Maschine als Memberserver der Domäne hinzu. Dabei ist zu beachten, dass der Terminal Server-Lizenzserver auf einem Windows Server 2008 laufen muss, denn ein Windows Server 2003 TS-Lizenzserver kann keine TS-CALS für einen Windows Server 2008 vergeben. Ansonsten fügt man folgendermaßen einen Windows Server 2008 DC zu einer Windows 200x Domäne hinzu. Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Salut, nein, dass geht so nicht. Wann sich der Benutzer in einer AD-Umgebung (es handelt sich doch um eine AD-Domäne?) das letztemal angemeldet hat, wird im Attribut "Last Logon" gespeichert, welches nicht zwischen den DCs repliziert wird. Es wird aber keine Historie gespeichert. Du könntest das für die Zukunft z.B. durch ein Logonskript lösen. Siehe: Yusufs Directory Blog - Anmeldungen protokollieren Yusufs Directory Blog - Die letzte Benutzeranmeldung herausfinden

Buen giorno, und was wäre, wenn sich ein DHCP-Server in der Domäne befindet? Muss man dann trotzdem eine IP-Adresse in den TCP/IP-Einstellungen des Clients eintragen?

Buen giorno, du hast also alle fünf FSMO-Rollen, als die wären: - Schemamaster- - Domänennamenmaster - PDC-Emulator - RID-Master - Infrastrukturmaster von dem defekten auf den bestehenden DC verschoben? Der Ursprungsträger war zum Zeitpunkt des verschiebens online? Überprüfe trotzdem nochmals mit NTDSUTIL ob auch wirklich alle Informationen des DCs entfernt wurden. Lass dich nicht vom Titel des folgenden Artikels abschrecken. Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Es sieht so aus, als ob die beiden Rollen Schemamaster sowie Domänennamenmaster noch nicht verschoben wurden. Jetzt müssen diese offline übertragen werden, z.B. mit NTDSUTIL - Seize. Yusufs Directory Blog - Die FSMO-Rollen verschieben Wie sieht es über die grafische Oberfläche aus? Folge dazu den o.g. FSMO-Link.

Servus, die Einstellung die du suchst, lautet: Maximales Kennwortalter. Siehe: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Servus, das stellst du in den Eigenschaften des Benutzerkontos ein. Yusufs Directory Blog - Wie stellt man sicher, dass ein Benutzer sich nur an einem Client anmelden kann?

Salut, das stimmt zwar, nur was hat DNS mit der Netzwerkumgebung zu tun? Die Netzwerkumgebung basiert auf NetBIOS - Namensauflösungen und fällt unter den Begriff des "Browsing". Diese baut sich über den Computersuchdienst sowie NetBIOS-Broadcasts auf. Daher muss z.B. für die Netzwerkumgebung das NetBIOS over TCP/IP in den erweiterten LAN - Einstellungen des Servers aktiviert sein. Prizipiell sollte auch heute noch, zu Windows Server 2008 Zeiten ein WINS-Server im Unternehmen eingesetzt werden. Der WINS-Server erfordert kaum Arbeit bzw. Administration und erleichtert dabei dem Administrator das tägliche Leben im wesentlichen. Jede Applikation die eine NetBIOS-Namensauflösung erfordert, profitiert vom WINS.

Die benötigten Teile des .Net-Framework werden auf dem Server Core 2008 R2 (und nur in der R2-Version) verfügbar sein, damit eben die Powershell 2.0 funktioniert. Nein, dass .Net-Framework wird benötigt (zumindest Teile davon). Das ist nicht nur für Entwickler interessant. ;) Aber das steht ja auch in dem Link vom Lian. :)

Du könntest diese 003 Option trotzdem in den Serveroptionen konfigurieren, denn die Serveroptionen werden auf alle Bereiche vererbt. Wenn aber in den Bereichsoptionen ebenfalls diese Option konfiguriert wurde, gilt die Einstellung die explizit in den Bereichsoptionen getroffen wurde für den Client. Das bedeutet, wenn du in den Serveroptionen die Einstellung 003 konfigurierst, behält der zweite Bereich weiterhin seine Router IP-Adresse. Trotzdem ist das natürlich komisch, warum die Option 003 verloren geht.

Servus, gilt für beide Bereiche das gleiche Gateway? Falls ja, definiere das Gateway mal in den Serveroptionen.

Servus, nein, dass ist nicht möglich. Du musst die Subdomäne auf einer Maschine aufrecht erhalten, damit das funktioniert. Genau.

Servus, na jetzt aber... das wäre ja noch schöner und stimmt natürlich nicht. Man bekommt die Quest-Tools auch ohne Zertifizierung. Quest möchte lediglich eine Bestätigung vom Kunden, dass das Werkzeug ausgiebig getestet wurde. Dann kann man das Tool, ohne einen "Quest-Consultant" ins Haus zu holen, einsetzen.

Moment, ich sehe auch gerade das in dem letzten Link, nur die "Enterprise" Version in Deutsch verfügbar ist. Für die Standard-Version muss man weiter runter scollen und dort gibt es nur die englische und japanische. – OK, die zweite R2-CD, wo also nur die R2-Features drauf sind, dürfte sich zwischen der Standard- und Enterprise-Version nicht unterscheiden. Na prima wenn es geklappt hat. Da kann ja das Wochenende kommen. :)

Ohh.. ich sehe gerade, Microsoft hat die Seite umgebaut. Dann nimm eben diesen Link: Installing Windows Server 2003 R2 Standard or Enterprise Edition with SP2 (32-bit x86)

Ahoi, dann lade dir doch die R2 mit SP2 Trial-Version herunter. Wenn du eine R2-SN hast, dann ist doch alles in Butter. Windows Server 2003 R2 with SP2: How to Get Trial Software and Standalone CDs

Das schon, aber dabei kommt es eben auf die Dauer an, in der der DC nicht verfügbar ist. Das hatte der OP in seinem Beispiel nicht erwähnt. Und nach Ablauf der TSL gibt es sehr wohl "mehr" Probleme, denn dann blocken zusätzlich, neben dem was du erwähnt hast, die Replikationspartner die Replikation mit dem Offline-DC.

Genau und in Zahlen ausgedrückt sieht das ganze so aus: Yusufs Directory Blog - Die Tombstone Lifetime

OK. Wenn alles richtig konfiguriert wurde, natürlich. Der vorteil eines DHCP-Servs ist, du kannst von zentraler Stelle die IP-Adressen verteilen. Dazu gehört noch das Gateqway, DNS- sowie WINS-Server. Wenn du statische IP-Adressen verwendest und sich ine Adresse ändert, musst du diese Änderung an jedem Client durchführen. Falls aber ein DHCP-Server existiert, änderst du die Einstellung nur auf dem DHCP-Server und somit erhalten die Clients automatisch diese Änderung. Entweder in den Bereichs- oder Serveroptionen. Z.B. ja. Genau. Aber das ist auch nicht weiter tragisch, denn mit einem DHCP-Server, hast du es in der Zukunft als Admin einfacher.

Führe mal in der Kommandozeile ein "gpupdate /force" durch. Sehr viel, denn was macht denn ein DHCP-Server? Ja genau, er verteilt an die Clients IP-Adressen. Das was du also mit deiner GPO auch erreichen möchtest. Und genau dafür ist doch der DHCP-Server da. Seine Aufgabe besteht darin, den Clients die IP-Informationen dynamisch mitzuteilen und dazu gehören auch die IP-Adressen der DNS-Server. Du kannst das gerne mit GPOs durchführen, jedoch ist dafür der DHCP-Server prätestiniert.

Servus, hast du ein rsop.msc mal ausgeführt? Aber auch wenn man mit GPOs IP-Informationen verteilen kann, wäre der DHCP-Server, die bessere Variante für die Vergabe von IP-Adressen.