dippas

... Fortsetzung ... Abschlussarbeiten: 1. Anmeldescripte so ändern, das diese auf den neuen Server zeigen 2. Dienste auf dem W2k-Server nacheinander abschalten (Replikationspartner im WINS wieder zurückändern) 3. FSMO-Rollen auf den W2k3 übertragen (z.B. via ntdsutil) 4. W2k-Server via dcpromo wieder zum Memberserver herunterstufen 5. W2k-Server via Arbeitsplatz/eigenschaften/Netzwerk wieder in eine Arbeitsgruppe packen 6. Computerkonto des W2k auf dem W2k3-Server in "AD - Benutzer und Computer" (OU Computer) löschen. Immer schön darauf achten, dass die Ereignisprotokolle fehlerfrei sind. Das war´s. grüße dippas PS: weitere Fragen gerne posten. Bei Fehlern hilft oft auch die Boardsuche weiter. [edit] Ach ja, noch was vergessen: Die Tests mit der VPN-Verbindung kannst Du ja gerne machen, aber eine Neuinstallation des Rechners ist nicht erforderlich, denn Du "verkonfigurierst" im schlimmsten Fall nur die Konfiguration von VPN. Dass kann man einfach wieder durch eine andere Konfiguration "rückgängig" machen. [/edit]

Hallo ihr zwei, ich möchte mich hier mal einklinken und mir die Freiheit nehmen, dass eine oder andere zu korrigieren. Zunächst aber mal ein kleiner Dämpfer: Das ist bei dir nicht der Fall. Wenn ich dir helfe, überweist Du dann den halben Betrag an mich? :D Scherz beiseite. Also, zunächst einmal ist es falsch gewesen, den Server 2003 zu kaufen mit dem Argument, dass VPN dann funzt. Das klappt nämlich auch mit W2k (sowohl PPTP alsauch IPSec). NAT-T ist in Deinem Fall kein Argument. Allerdings ist die Investition aus mind. 2 Gründen doch eine gute gewesen: 1. W2k wird von MS nicht weiter supportet und 2. der Funktionsumfang/die Bedienbarkeit ist bei W2k3 deutlich besser geworden. Aber jetzt zu Deinem Fall: Ob du von extern eine VPN-Verbindung aufbauen kannst, ist abhängig von den Möglichkeiten und der Konfiguration des Routers. Um von extern eine VPN-Verbindung aufbauen zu können, muss der Router Anfagen für das entsprechend gewünschte Protokoll sauber zum Server durchleiten. Beispielsweise möchtest Du eine PPTP-Verbindung aufbauen. Dann muss der Router Anfagren auf Port 1723 TCP und Protokoll GRE an den Server schicken. Bei IPSec ist es Port 500 UDP. Wenn der Rest der Konfiguration auf dem Server (Berechtigungen etc.) passen, dann ist die Sache schon erledigt. Das klappt auch mit W2k, denn W2k kann eingehende VPN-Verbindungen verarbeiten. Nur muss der Router die entsprechend auch an den Server leiten ;) So, nun zur Migration: Den Server zu installieren und zum Memberserver zu machen, ist soweit ohne Probleme möglich. Allerdings fliegt dir das AD um die Ohren, sobald Du den zum DC machen möchtest, ohne vorher eine Schemaänderung am W2k-Server vorgenommen zu haben. Wie das geht? W2k3-CD in den W2k-Server stecken, und "Start/Ausführen", dann "Pfad zum CD-ROM:\I836 setup.exe /forestprep und /domainprep" ausführen. Mach dich da mal schlau bezüglich dieser Schalter! Das ist ganz wichtig! Ist die Schemaänderung durch, kannst Du via dcpromo den W2k3-Server zum DC machen. Jetzt noch zu Deinen Diensten: - Mit dcpromo erstellst Du ein Replikat des AD auf den W2k3-Server. Das funtz automatisch. - DNS installierst Du auch auf dem W2k3-Server und auf beiden konfigurierst Du es Active Directory integriert. Damit ist diese Replikation auch automatisch im Sack - WINS noch auf den W2k3 drauf und auf beiden den jeweils anderen als Replikationspartner eintragen - DHCP kann man folgendermaßen lösen: 1. Du richtest den DHCP-Server auf dem W2k3 genauso wie auf den W2k ein (ausnahme die Angabe welcher WINS- und DNS-Server angesprochen wird -> hier dann der W2k3), authorisierst den aber noch nicht. Dann schaltest Du den W2k-DHCP ab und den anderen an (authorisieren). Vorher Rechner, die dynamische IPs beziehen ausschalten. 2. Du richtest den DHCP auf dem W2k3-Server mit einem anderen Bereich aber gleicher IP-Konfiguration ein und lässt beide parallel laufen. Ich persönlich ziehe Lösung 1 vor. - Files kopierst Du via robocopy samt der Berechtigungen auf den neuen Server - auf dem W2k-Server installierte Drucker schiebst du via PrinterMigrationTool rüber ... Fortsetzung folgt ...

Mach ich auch per Remote, da ich auch kein Bock habe ewig rumzurennen. Aber ich melde mich halt nicht ab, sondern sperre nur den Bildschirm. Vielleicht ne Idee: Wenn Du via GPO die Sache so konfigurierst, dass Du die Updates zwar von WSUS downloadest, aber den Installationszeitpunkt selbst festlegst? Bei der OU für die Server würde das zumindest die Downloadzeit optimieren. grüße dippas

Wie sähe denn folgender Vorschlag aus?: Server aufziehen, Platten rein, Bandlaufwerk mit entsprechender Kapazität rein, BackupExec drauf mit RemoteAgents und übers Netz von diesem Server aus die anderen sichern. Statt RemoteAgents könnten auch die Kommandozeilen-Tools xcopy oder robocopy weiterhelfen, sofern keine Datenbanken oder Exchange zu sichern sind. grüße dippas

Naja, richtigerweise "zu dem Unsinn" ;) Erst davon sprechen, dass kein User angemeldet ist usw, und dann dabei gepfegt verschweigen dass Du einen Server meinst, an dem man nicht angemeldet ist. Das haben wir schon gerne ;) Unabhängig davon ist mir das noch nie aufgefallen. Aber das liegt daran, dass ich mich als Administrator immer an einem Server anmelde, vor allem, wenn der neu gestartet wurde. Denn dann schaue ich meistens in die Ereignisanzeige, ob alles weiterhin richtig läuft, oder ich habe SW neu installiert, die konfiguriert werden möchte. Nach getaner Arbeit sperre ich den Server einfach, statt mich abzumelden (kann man drüber streiten;) ). Somit ist jemand angemeldet. grüße dippas

Nun, vielleicht liegt es am Übertragungsmodus des DVD-Laufwerks. Musik und (S)VCD haben nicht so große Bitraten wie eine DVD. Und wenn das DVD-Laufwerk dann im langsamen PIO-Modus läuft, statt im (Ultra)DMA-Modus, kann ich mir vorstellen, dass da nicht genug Datenmaterial rüberkommt. grüße dippas

genau so ist es. Ack :D bei mir auch Aber wenn doch eh kein Benutzer angemeldet ist, ist das doch egal. Hast Du die Richtlinie "Kein automatischer Neustart für geplante Installationen ...." konfiguriert. Hier schaltet man den automatischen Neustart ab. grüße dippas

Moin, also der Trick ist vereinfacht gesagt eigendlich nur folgender: 1. der gesamte Mailverkehr (egal intern/extern) läuft aussschließlich über Port 25. Dieser ist natürlich an den relevanten Stellen freizugeben. 2. Die Clients sind ausschließlich mit dem internen Mailserver verbunden 3. Der interne Mailserver hat irgendwo in der Konfiguration stehen, das jeder Mailverkehr nach Extern an einen anderen Mailserver relayed wird (unter Exchange heisst die Angabe "Smarthost"). Ein guter Mailserver behält den internen Mailverkehr bei sich und sendet diesen nicht an den Smarthost (in diesem Fall Dein Mailscanner). 4. Der Mailscanner ist so konfiguriert, dass er nur für deine Domäne Mails von Extern annimmt und nur den internen Mailserver relayen lässt. Was passiert? Den Mailweg von extern hast Du selber hübsch beschrieben, erspare ich mir. Den Mailweg von intern beschreibe ich dann so: Client -> Mailserv intern -> Weiterleitung an Smarthost (Mailscanner) -> raus ins Internet. Frage: Warum nicht den internen Mailserver die Mails direkt ins Internet schicken lassen? Antwort: Weil dann der Mailscanner die Chance bekommt auch den nach draußen gehenden Mailverkehr zu scannen (ist wichtig, da sich intern vielleicht etwas verselbstständigt ;) ) und weil Du einen MX-Eintrag haben wirst, der an eine bestimme IP gekoppelt ist, an der schon der Mailscanner hängt. grüße dippas

Tja, da OWA ja von Intern aus verfügbar ist, stellt sich nicht mehr die Frage, welche Dienste noch laufen müssten, oder ob an dieser Stelle noch was konfiguriert werden müsste. Es funktioniert ja :D Die andere Frage ist aber folgende: Wie ist bei Dir die Sache mit dem DynDNS konfiguriert? Um von außen via firma.dyndns.org auf den Server zugreifen zu können, sind 2 Dinge zwingend voraus zu setzten: 1. DynDNS muss von Router her unterstützt und auch richtig eingerichtet sein. Portforwarding muss konfiguriert sein (hast Du aber scheinbar schon). 2. Du musst das von außen testen und NICHT von innen. grüße dippas

Welche Globale Gruppe hast Du welchen lokalen Benutzern zugefügt? grüße dippas

Du suchst an der falschen Stelle: Nicht den Exchange "drüberinstallieren"!!! Es sei denn, Du möchstes das Risiko eingehen, dass dabei etwas schief geht. Versuch mal folgendes: "Start/ausführen" -> "mmc" und Enter Dann "Datei/Snap-In hinzufügen ..." Dann "HInzufügen" und das "Pop3 Connection Manager" Snap-In raussuchen Damit solltest Du entsprechende konfigurationen vornehmen können. Desweiteren gibt es den Dienst "Microsoft Connector for Pop3 Mailboxes". Ist dieser vorhanden? Wenn ja, aber auf deaktiviert -> kein Problem, der aktiviert sich nach Konfiguration des Pop3 Connection Managers. grüße dippas

Wo hast Du diesen Eintrag geändert? Kennwortrichtlinien gelten Domänenweit, können also nicht für eine einzelne OU geändert werden. grüße dippas

Hallo Olli, willkommen ann Board. Kurze Gegenfrage: Ist der Server bereits aktiviert? Falls nein: Bitte aktivieren und das SQL-Setup noch einmal starten. Dann sollte es klappen. Hatte kürzlich dasselbe Problen und konnte es so lösen. Gruppenrichtlinien oder ähnliches hatte ich nicht bearbeitet, da der Server frisch war. grüße dippas

Moin Zahu, einen "windowseigenen Popconnector" gibt es nicht. Es gibt einen Popconnector, der im Lieferumfang des SBS 2003 enthalten ist. Der normale Exchange ist standartmäßig nicht in der Lage POP3 abzurufen. Dazu benötigt man einen 3rd-Party-Connector, der das erledigt, oder einen weiteren kleinen Mailserver, der das machen kann (z.B. auf Linux-Basis). Man könnte folgende Idee verfolgen: 1. Am Gateway ein Linux-system mit Pop-Abholung und eingebautem Virenscanner und Spamfilter 2. Weiterleitung via smtp von Linux an Exchange Hätte den Vorteil, dass man auch gleich ein wenig Sicherheit mit eingebaut hat ;) grüße dippas

Halo Userhelpdesk, willkommen an Board. Tja, zu Deinem Problem gibt es eine kleine, aber feine Lösung: Du must dem Befehl auch sagen, wieviele Ordner er in die Replikation aufnehmen soll ;) Der Schalter /N:xx ist noch zu setzten. "xx" ist dabei entweder die Anzahl der Ordner, oder - wenn Du /N:all setzt - die Gesamtheit der Ordner. Schau auch mal hier nach: http://www.msxfaq.de/tools/pfmigrate.htm Die Überprüfung der Replikationspartner solltest Du dann auch noch kurz durchführen, indem Du einen öffentlichen Ordner anklickst und Dir die Eigenschaften anschaust. Möglicherweise dauert es aber einen Moment, bis der Replikationspartner eingetragen ist. grüße dippas

Hallo Mozart, also ich habe mir die notwendige Doku von M$ angeschaut und bei http://www.wsus-praxis.de die (wirklich gute!) Installationsanleitung zu Herzen genommen. Wichtig ist auch die Erstellung der Gruppenrichtlinien (wsus-praxis). Achtung, da ist auf einem Bild ein Tippfehler (Port 8530 ist richtig und nicht Port 8350). Bei mir funzt alles so, wie es muss: Updates werden eingespielt, Benutzer brauchen keine Admin-Rechte und können den reboot selbst bestimmen. Ich setze SQL2000 als Datenbank ein und nicht die freie Version. Macht aber keinen Unterschied. grüße dippas

Moin, wollte den Threat nochmal aufgreifen mit folgeden Fragen: 1. In welchen Intervallen werden diese Statusberichte eigentlich erstellt/von Client initiiert? Oder ermittelt WSUS den Status selbstständig? 2. Kann man das Intervall verändern (GPO/Registry/WSUS-Konfiguration etc.?) grüße dippas

Prima Sache. Habe mit (natürlich vorher ;) ) die Sache durchgelesen, hier im Board ein wenig geschaut und mich dann an die Installation gemacht. Neben den losen Informationen war http://www.wsus-praxis.de recht hilfreich, da dort ein wirklich verständlicher roter Faden für die Installation hinterlegt ist :D Danke an dieser Stelle an die Betreiber. Allerdings ist auf einem Screenshot ein Fehler! Bei der Portangabe der Gruppenrichtlinie "Eigenschaften von Internen Pfad ..." (http://www.wsus-praxis.de/index.php?c=1&s=gpo) ist ein Zahlendreher drin. Es muss http://wsus-servername:8530 und nicht 8350 heißen. Bitte beachten. Ansonsten habe ich das Ding ganz geschmeidig auf einem Server W2k3-SP1 mit SQL 2000-SP4 installiert. Ich benutze als Datenbank den SQL-Server. Keine Probleme. Allerdings finde ich die Bedienbarkeit an einigen Stellen verbesserungsfähig. grüße dippas

Guten Morgen allerseits ;) bin zwar noch etwas müde, aber ansonsten alles im grünen Bereich. Wir haben 15 Grad bei Hochnebel. Vielleicht kommt ja heute noch die Sonne raus. grüße dippas

Wohnung für die Firma streichen Willste meine auch streichen? ;) nana :suspect: Das Ruhrgebiet ist prima, aber wer aus FFM kommt ...... :D Es sei verziehen ;) grüße dippas

Alles klar, hab das Ding umgebaut. Vielen dank für die Infos. grüße dippas

Hallo Philipp, also, Port 80 und/oder 443 (SSL) sind notwendig, egal welche Webseite du auf dem Server aufrufen willst. Mehr Ports sind nicht notwendig. Du kannst die OWA-Seite dann auch von extern über http://dyndnsname.dyndns.org/exchange'>http://dyndnsname.dyndns.org/exchange erreichen. Da Du einen SBS laufen hast, würdest Du bei einfachem Aufruf von http://dyndnsname.dyndns.org/ auf der Company-Webseite landen. grüße dippas

Hallo Philipp, du machst es genauso, wie Du es bereits mit der VPN-Geschichte gemacht hast: Im Router den Port 80 (auch 443 bei SSL) auf den SBS leiten und im IE-Client einfach die DynDNS-Adresse eintippen. grüße dippas

Würde ich so nicht sehen. Der Server unterstützt in der Standart-Version max. 4 Proz. Also entweder 4 Single-Cores oder 2 Dual-Cores. Bei einer 4-Dual-Core-Maschine hättest Du ja 8 Proz. in der Anzeige. Wer sich eine solche Maschine leisten kann/will/muss, der hat auch das Geld für die dicken OS-Versionen. Ansonsten würde er ja max. eine 2-Dual-Core Maschine nehmen, die auch schon ihren Preis hat. Schließlich bleibt ja auch die Möglichkeit, bei der Multiproz. HW auf einen Proz. zu verzichten ;) grüße dippas

eigendlich gebe ich Dir recht, da aber (beisp. F-Secure) die Updates über entsprechende Richtlinien die IP-Adresse samt Port weitergeben und dazu das http-Protokoll verwenden, benötige ich Aliase wirklich nicht. Obwohl WSUS auch mit IP-Adressen (ggfs mit Portangabe) arbeiten kann, werde ich hier aber einen Alias einsetzten. Ich werde WSUS auch auf Port 8530 verbiegen. Bleibt nur die Frage, wie sich Apache und IIS bei der Standartinstallation vertragen. Prima, wie? grüße dippas