Daim

Servus, na so ein Zufall aber auch. ;) Was ist bei dem rücksichern des System States auf anderer Hardware das Problem? Genau, die Registry, die als Teil der System State-Sicherung enthalten ist. Sichert man nun das System State auf einer anderen Hardware zurück, wird auch die Registry durch die Sicherung überschrieben. In der Registry stecken aber bekanntlich Hardware- sowie Treiberinformationen drin, die eben beim rücksichern auf anderer Hardware verständlicherweise Probleme verursachen. Beachte diesen Artikel, dort ist alles beschrieben worauf es ankommt: How to move a Windows installation to different hardware

Moin, auch wenn der Microsoft-Artikel nichts gebracht hast, kontrolliere deine SMB-Signing-Einstellung nach diesem Bast Practise und beachte vorallem, den wichtigen Hinweis in diesem Artikel: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Kannst du bitte genau schildern, wie du vorgegangen bist? Welchen Befehl hast du beim exportieren verwendet und welchen beim importieren? Poste zusätzlich den kompletten Auszug aus der Exportdatei, aber nur von dem ERSTEN Objekt, nicht die komplette Exportdatei.

Servus, das Attribut, in dem die Zeit der letzten Kennwortänderung gespeichert ist, lautet Pwdlastset. Einen Ansatz findest du in diesem Skript, das dir das Datum wann das Kennwort geändert wurde von jedem Benutzer zurückliefert. http://www.rlmueller.net/Programs/PwdLastChanged.txt Mangels Zeit und Muse habe ich leider nichts genaueres. Aber wenn du etwas Zeit in die Internetsuche investierst, findest du sicherlich schnell etwas mehr.

Abgesehen davon, würde der DCPROMO-Assistent an entsprechender Stelle diesbezüglich eine eindeutige Meldung bringen (das Schema würde mit der OS-Version nicht übereinstimmen oder ähnliches).

Ahaa... also ist der DCPROMO-Assisitent doch nicht durchgelaufen. Das ist eben bei der Fehlersuche das entscheidende und trotzdem hat der Eventlog Eintrag nichts mit dem Vorgang zu tun. ;) Schaue ich mir gerne an, mache jetzt hier im Büro Schluss und schaue mir das später an.

Aber dann müsste/hätte doch bereits das Hochstufen, also der DCPROMO-Vorgang einen Fehler melden müssen. Wenn also der Missgeschick während dem Ausführen des DCPROMO-Assistenten - noch bevor der Assistent loslegt und die Erstreplikation stattfindet - passiert wäre, hätte der Assistent an einer Stelle irgendeinen Fehler zeigen müssen und wäre somit stehen geblieben. Oder wenn er durchgelaufen und gerade bei der Erstreplikatiopn war und das Missgeschick mitten in der Replikation aufgetreten wäre, hätte die Replikation abbrechen müssen. So oder so wäre also der DCPROMO-Vorgang dann nicht erfolgreich abgeschlossen. Daher meine Frage, ob der DCPROMO-Assistent denn erfolgreich durchgelaufen war... Aber wie dem auch sei... Hauptsache es läuft.

Servus, das kann nicht sein. Die Fehlermeldung die du gepostet hast, erscheint nicht während dem Heraufstufen zu einem DC. Abgesehen davon, ist das eine Fehlermeldung aus dem Eventlog und nicht eine Meldung vom DCPROMO-Assistenten. Diese Meldung hat mit dem promoten nichts zu tun. Das ist ein anderes Problem. Ist denn der DCPROMO-Assistent auf dem SBS erfolgreich durchgelaufen? Überprüfen kannst du das auch in der DCPROMOUI.log, die sich im Verzeichnis „%Systemroot%\Debug“ befindet. Yusuf`s Directory - Blog - Debug Protokollierung Hier wurde versucht eine Rücksicherung durchzuführen, die fehlschlug mit der Brgründung: Hier müsstest du eroieren, was an dieser Stelle durchgeführt wurde. Stelle vorallem sicher, dass auf mindestens einem DC (idealerweise auf dem Träger der FSMO-Rollen), dass SYSTEM STATE regelmäßig gesichert wird (z.B. mit NTBACKUP).

Servus, ok, bei der Fehlermeldung mit der EventID 1214 hat also das Objekt seinen security descriptor (zu deutsch, Sicherheitsbeschreibung) verloren. Ist zwar merkwürdig, denn von alleine verliert das Objekt nicht einfach so seine Sicherheitsinformationen - daher vermute ich, liegt der Hase im Pfeffer noch an einer anderen Stelle begraben. Aber was ich für noch ärgerlicher finde, ist die Fehlerbeschreibung: Nun sollen wir also wissen, welches Objekt DNT=0x3547 ist? Hallo? Gehts noch? Leider schweigt dazu ebenfalls die Suchmaschine, so dass hier - wenn einer überhaupt wissen könnte um welches Objekt es sich handelt - einzig und allein Microsoft das wäre. Ich würde sicherheitshalber zuerst einen Integritäts-Check über die AD-DB laufen lassen und wenn dabei Fehler gemeldet werden sollten, ein FIXUP drüber laufen lassen. Yusuf`s Directory - Blog - Die Active Directory-Datenbank reparieren Auhaa... auf diesem DC stimmt definitiv etwas nicht mit der AD-Datenbank. Führe zuerst eine Datensicherung durch und führe auf diesem DC, den o.g. Link durch. Aber achte das du eine funktionierende Sicherung hast, denn das FIXUP könnte evtl. am Ende noch mehr Schaden einrichten. Wenn auf beiden DCs ein Integritätstest durchgeführt und bei gemeldeten Fehlern, diese behoben sein sollten, ist zwingend mit DCDIAG und NetDIAG durch weitere Tests die DCs zu prüfen. Die Eventlog der DCs sind natürlich ebenfalls zu durchforsten und den Fehlern nachzugehen.

Keine Chance. Nicht in diesem Jahrtausend. ;) Da fällt mir gerade eine coole Frage ein, die mir mal der Wirtschaftsprüfer stellte. Die lautete: Wie stellen sie sicher das die Applikationen die in Ihrem Unternehmen eingesetzt werden, richtig rechnen/arbeiten? Als Beispiel eine große Excel-Datei wo unterm Strich eine Summe rausgeworfen wird. Stimmt die Summe, wenn die Rechnung etliche Formeln und "was weiss ich noch alles" enthält? Wie wird also sichergestellt, dass das Ergebnis stimmt und somit die eingesetzte Applikation richtig rechnet? Excel war jetzt ein einfaches Beispiel. Es betrifft natürlich noch viel mehr Applikationen.

Exakto Mundo.

Servus, die 70-649 besteht deshalb aus drei Teilen, da sie aus genau den drei Einzelprüfungen 70-640 + 70-642 und 70-643 besteht. Wenn du den ersten Teil, der aus 14 Fragen besteht (hier kommen Fragen aus der 70-640) schnell durchgehst, kannst du direkt weiter in den nächsten Teil übergehen. Wie bereits erwähnt, hast du einen Teil beendet und bist in den nächsten übergegangen, kannst du nicht mehr zurück.

Servus, das ist nicht viel, sondern "Standard". ;-) Du kannst dank der Objektverwaltung vieles im AD an einen normalen Benutzer delegieren. Das ist doch gerade der Vorteil des Active Directorys. Lies dir dazu dieses durch und probiere es aus. Du wirst sehen, was man alles delegieren kann. Falls dann noch Fragen sind... frage. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Abgesehen davon kann seit Windows 2000 ohnehin jeder authentifizierte Benutzer 10 Clients zur Domäne hinzufügen. Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen

Ich wußte das du dich zu Wort melden würdest. Ich hatte gerade vor 4 Wochen unsere interne IT-Revision fünf Tage lang am Zipfel und kurz zuvor waren die Wirtschaftsprüfer im Haus. Daher habe ich dann beide Parteien zusammengeworfen. Auhaa... sei nicht so streng mit mir. Ich gelobe Besserung und abgesehen davon bist du ja dann da, um es gerade zu rücken. ;) Die ICE fällt dieses Jahr erneut in meinen Sommerurlaub, wird also nichts. Doch, permanent würde ich sogar sagen. Vom Gefühl her kommt es mir so vor, als ob ich wöchentlich geprüft werde. Ich kann die Fragen bald nicht mehr hören. Vorallem wenn der Prüfer für die ISO 9001 Zertifizierung ankommt... Ich weiß. :D

Huhuu, aber gerne doch. ;) Ne nee... da fehlt noch der Server Core dazwischen. Also: RODC auf einem Server Core und darauf Bitlocker aktivieren. Ferddisch. :D @Muffel Definiere "Sicherheit". Wie sicher soll es denn sein? So sicher, dass der Server einen Bombenanschlag oder gar Flugzeugangriff überlebt? Ich denke da immer an den Wirtschaftsprüfer oder an ITIL oder an die IT-Revision die prüft, ob auch die IT (samt Prozesse) SOX-Compliant sind. Wenn die Umgebung die aufgeführten Punkte erfüllen, dann sind deine Daten gut gesichert. Also, natürlich gehört ein Server zuerst einmal hinter Schloss und Riegel. Es muss ein Serverraum her. Da auf dem Server auch ein DC laufen soll, wäre hier der RODC zu wählen, dass somit erstmal das AD DS gesichert ist. Als nächstes sollte natürlich Bitlocker aktiviert werden. Im Serverraum gehört neben Klima und Alarmanlage auch ein Temperaturfühler, der bei übersteigen einer bestimmten Temperatur einen Alarm (SMS,E-Mail, etc.) auslöst. Der Serverraum muss natürlich auch nach den aktuellen Brand und "was weiss ich noch alles" für Richtlinien gebaut sein. Des Weiteren gehört am Serverraum nicht nur ein starkes Schloss, sondern, es muss z.B. anhand einer Smartcard protokolliert werden, wer - wann - wie lange im Serverraum war. Jetzt kann man sich Fragen, ob das alles einen Anschlag standhält. Natürlich nicht, es gibt immer einen Weg. Aber wo leben wir hier denn? Im tiefsten Urwald oder in Deutschland? Aber eins ist sicher, meine aufgeführten Punkte stellen einen Wirtschaftsprüfer oder einer IT-Revision ruhig. Die wären mit diesen Maßnahmen befriedigt. Das wichtigste ist nunmal, das jeder Server idealerweise in einen Serverraum gehört. Wenn in diesem Raum nur noch du die einzigste Person bist, die reingehen kann, ist das sicher genug? Nein. Denn der Mensch ist auch nicht sicher. Warum? Schon einmal etwas von Social Engineering gehört [1]? [1] Social Engineering – Wikipedia – Nachtrag: Die physikalische Sicherheit eines Servers ist nur die halbe Miete. Aber ist denn auch online alles sicher? Sind alle Systeme auf dem aktuellen Patch-Stand? Wird IPSec, später NAP oder 802.1x in der Umgebung eingesetzt usw. usf. Das Thema Sicherheit ist viel zu komplex um das hier in einem Forum zu besprechen. Der ehemalige Slogan von Michael Kalbe [MSFT] trifft das Thema Sicherheit genau auf den Kopf: Security is not a destination, its a journey. In der IT ändern sich schnell, viele Dinge. Dementsprechend muss sich auch das Netzwerk mitverändern. Sicherheit fängt schon dort an, ob jemand unbemerkt oder recht einfach in die Firma hineingehen kann.

Buenos dias, ich muss auch noch meinen Senf abgeben (jaa, dass muss sein). ;) 70 bis 90 DCs lesen sich an dieser Stelle als zu oversized an. Aber dabei kommt es an, auch wenn die Wörter "pro Site" gefallen sind, was denn damit genau gemeint sind. Heißt hier "pro Site" ein AD-Standort oder ein physikalischer Standort, wobei sich dort alle DCs in einem Gebäude befinden oder lautet "pro Site" tatsächlich ein physikalischer Standort, wobei die DCs aber verteilt in vielen Gebäuden, getrennt von vielen Kilometern zueinander entfernt sind. Hier müsste der OP noch weitere Informationen liefern, damit man ein genaueres Bild vor Augen hat. Als nächstes sollte überlegt werden, an welchen Standorten evtl. ein 64Bit DC eher on Vorteil wäre. Denn auf einem 64Bit System können mehr Benutzer pro CPU zugelassen werden. Das hängt natürlich erneut davon ab, wieviele User sich an diesem Standort befinden. Auch kommt für das Design in Frage, ob Exchange genutzt wird. Ein gutes Whitepaper dazu wäre dieses: Download details: Active Directory Performance for 64-bit Windows Server Evtl. ist bei dem Design das Active Directory Sizer Tool, dass zu Zeiten von Windows 2000 heraus kam bei der Anzahl an DCs hilfreich: Download details: Active Directory Sizer Das mal soviel auf die schnelle... – Mit Sicherheit. Du hast es richtig erkannt, die Spitzen müssen abgedeckt sein. Das sich die DCs den rest des Tages langweilen, ist eher zu vernachlässigen. Und genau dafür, eben für die Benutzerauthentifizierung würde ich weitestgehend auf 64Bit mit viel Ram (ab 4 GB) gehen. Aber für diese coole Projekt holt ihr euch sicherlich kompetente Hilfe. Ein sehr wichtiger Punkt der die Anzahl der DCs dann rechtfertigt. Bei dieser Größe der Umgebung und somit der eingesetzten Vielfalt an Applikationen wird man auch kaum auf NTLM verzichten können... Na dann krempelt mal die Ärmel hoch und optimiert dort wo es möglich ist. ;) Damit spart man dann am Ende evtl. den einen oder anderen DC. Verständlich. Tolles Projekt. Wie lange läuft das Projekt? 1-2 Jahre?

Na na na... das ist aber für ein anderes Szenario gedacht. @ Pinf Wenn alles ordnungsgemäß funktioniert, musst du dich lediglich gedulden. Die FLZ kommt automatisch. – Ja, ist es. Durch erstellen von AD-Standorten (samt Subnetz) kannst du Einfluss auf die Replikation nehmen. Wann soll wie oft repliziert werden. Standortintern (Intrasite) werden Änderungen wesentlich häufiger repliziert als zwischen den Standorten (Intersite) und vorallem werden die Daten über die Leitung komprimiert repliziert und nicht so wie standortintern - unkomprimiert. Dadurch hast Du nicht nur die Möglichkeit, die effektive Performance im Netzwerk zu optimieren, sondern auch die WAN-Struktur im Hinblick auf Gescwindigkeit und Kosten Rechnung zu tragen. Ebenfalls hast Du die Möglichkeit, gezielter mit GPOs zu arbeiten bzw. standortabhängige GPOs anzuwenden. Durch Standorte kannst Du z.B. jeden DC zu einem Standort verschieben und somit klar definieren, welcher DC zu welchem Standort gehört. Damit wissen die Clients schneller, welcher ihr Anmeldeserver ist. Beachte nach dem verschieben des DC-Icons aber unbedingt, dass DNS danach zu bereinigen. Worauf du dabei achten solltest, wird im folgenden Artikel erläutert. Yusuf`s Directory - Blog - Domänencontroller am Standort Trotzdem würde ich einen AD-Standort erstellen.

Na logo gibt es die. Der schlanke Windows Server Core oder die vielen Einstellmöglichkeiten per GPO und Bitlocker. Da freut sich doch das Admin-Herz. ;) Cool. Den habe ich in der Tat noch nicht gesehen, sehr wohl aber einiges davon gehört. Wobei ich aber TV schauen als "tote Zeit" betrachte. ;) Naja, mein Gott... dann holen wir eben auf diese Art auf. :D

Servus, ja, dass geht. Du musst diese Einstellung in der Default Domain Controllers GPO treffen und die "Lokale Anmeldung" zulassen. Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - LOKAL ANMELDEN.

Servus, "noch" nirgends. Netdiag befindet sich in den Windows Support Tools unter Windows 2000/2003. Es gibt aber noch keine offiziellen Support Tools für Windows Server 2008, daher findest du diese weder auf der Windows Server 2008 DVD, noch auf den Microsoft Webseiten zum download. Du könntest höchstens kontrollieren, ob das Netdiag aus den Windows Server 2003 Support Tools unter Windows Server 2008 noch funktioniert. Ansonsten heißt es, Geduld haben und abwarten, bis Microsoft aktuelle Support Tools herausbringt. Die Installation der Windows Support Tools funktioniert trotz der Meldung "known compatibility issues" unter Windows Server 2008 auch. Dann musst du schauen, ob NetDIAG noch funktioniert. Replmon z.B. kennt verständlicherweise noch keinen RODC.

Joahh... das denke ich auch, dass es noch andauert bis der Markt darauf reagiert. Wobei für kleinere Unternehmen NAP ohnehin zu oversized ist (Administration, Kosten). Ich bezog meine Antwort auch nicht auf die Ist-Situation des OP, sondern, er fragte nach den Neuerungen im Windows Server 2008. :) Aber ICH würde allein wegen dem RODC bereits den Windows Server 2008 einführen, auch wenn ich ihn nicht bräuchte. :p ...bald aber eingeholt und dann überholt. ;) Dann schreiben wir das Jahr 2015. :)

Off-Topic:Man muss auch nicht in der MMC "Active Directory-Benutzer und -Computer" jedes Benutzerkonto anfassen. Alle Konten markieren - Eigenschaften - Pfad anpassen. ;)

Servus, darüber rege ich mich auch jedesmal auf. Nichts findet man auf den IBM-Seiten wieder, auch nicht mit Wartungsvertrag. Die Seite ist eine reine Katastrophe was die Navigation betrifft. Ich kann dir leider auch keinen Link liefern. Allerdings hat IBM mit der 7er Version nun eine echte Trial Version eingeführt, die 90 Tage läuft. Früher gab es keine echte Trial. Versuche mal dein Glück in diesem guten Notes-Forum Das Notes Forum - Index . Oder sprich dort per PN den Moderator "eknori" direkt an und richte ihm viele Grüße von mir (Yusuf) aus. Der hilft dir dann weiter.

Servus, ich sage immer, der Windows Server 2008 ist nicht ein Server für die Anwender, sondern für den Administrator. ;) Mit Windows Vista und Windows Server 2008 hat Microsoft einiges im Bereich Sicherheit eingeführt. Sei es die Network Access Protection (NAP) mit der man anhand eigens erstellten Richtlinien festlegen kann (hat der Client einen aktuellen Virenscanner installiert oder die aktuellen Updates etc.), ob ein Client Zugriff auf das Netzwerk erhält oder nicht. Im AD-Bereich wurde der Read-Only Domänencontroller (RODC) eingeführt, der lediglich nur einen Lesezugriff auf die AD-DB hat. Oder der Windows Server Core, der lediglich (oder fast) nach dem starten nur eine Kommandozeile zur Verfügung stellt. In den Terminal Services hat mitlerweile Microsoft Boden aufgeholt gegenüber seinen Konkurrenten in diesem Bereich (TS Gateway, TS Web Access..) usw. usf. Ich sagte bereits, der Windows Server 2008 ist ein Server für den Administrator. :) Wie eine Migration auf Windows Server 2008 aussehen könnte, steht in diesem Artikel: Yusuf`s Directory - Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Ahoi, warum nicht gleich auf Windows Server 2008? Einige. Du brauchst nicht den neuen Server zuerst als Mitgliedsserver zur Domäne hinzuzufügen. Wenn das Schema aktualisiert wurde, kannst du den neuen Server direkt mit DCPROMO zum DC stufen. Somit ersparst du dir einen Schritt und damit einen Neustart. Du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs. Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2 Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest. Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) im DNS, sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen". Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig. Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein. Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern. Siehe: Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ? Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert". Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Zusätzlich solltest Du den neuen DC zum GC deklarieren. Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen. Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) Was sonst noch alles zu beachten ist und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel: Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen Zum Schluss noch eine Empfehlung: Wenn möglich, sollten in jeder Domäne zwei DCs existieren. Wenn du mit aller Daten die AD- sowie DNS-Informationen meinst, dann geht das recht fix. Beachte meine oben aufgeführten Anmerkungen, samt Artikeln.