dippas

... Fortsetzung ...

Abschlussarbeiten:

1. Anmeldescripte so ändern, das diese auf den neuen Server zeigen

2. Dienste auf dem W2k-Server nacheinander abschalten (Replikationspartner im WINS wieder zurückändern)

3. FSMO-Rollen auf den W2k3 übertragen (z.B. via ntdsutil)

4. W2k-Server via dcpromo wieder zum Memberserver herunterstufen

5. W2k-Server via Arbeitsplatz/eigenschaften/Netzwerk wieder in eine Arbeitsgruppe packen

6. Computerkonto des W2k auf dem W2k3-Server in "AD - Benutzer und Computer" (OU Computer) löschen.

Immer schön darauf achten, dass die Ereignisprotokolle fehlerfrei sind.

Das war´s.

grüße

dippas

PS: weitere Fragen gerne posten. Bei Fehlern hilft oft auch die Boardsuche weiter.

[edit]

Ach ja, noch was vergessen:

Die Tests mit der VPN-Verbindung kannst Du ja gerne machen, aber eine Neuinstallation des Rechners ist nicht erforderlich, denn Du "verkonfigurierst" im schlimmsten Fall nur die Konfiguration von VPN. Dass kann man einfach wieder durch eine andere Konfiguration "rückgängig" machen.

[/edit]

Hallo ihr zwei,

ich möchte mich hier mal einklinken und mir die Freiheit nehmen, dass eine oder andere zu korrigieren.

Zunächst aber mal ein kleiner Dämpfer:

Die IPsec NAT-T-Unterstützung für die Serverseite wird der Routing und RAS-Funktion von Windows 2000 nicht hinzugefügt.

 

bei mir wäre das der Fall.. Client XP pro mit SP2 - NAT (dsl Router) - Internet - NAT (dsl Router) - VPN Server (WIndows 2000 Server) mit L2TP IPSec!

Das ist bei dir nicht der Fall.

Daraufhin habe ich das Geld "locker" machen können für Windows Server 2003. Jetzt hoffe ich natürlich, dass es kein Fehler gewesen ist. Sonst würde die Software in meinen Privatbesitz übergehen müssen und von meinem spärlichen Gehalt abgezogen :/.

Wenn ich dir helfe, überweist Du dann den halben Betrag an mich? :D

Scherz beiseite.

Also, zunächst einmal ist es falsch gewesen, den Server 2003 zu kaufen mit dem Argument, dass VPN dann funzt. Das klappt nämlich auch mit W2k (sowohl PPTP alsauch IPSec). NAT-T ist in Deinem Fall kein Argument.

Allerdings ist die Investition aus mind. 2 Gründen doch eine gute gewesen: 1. W2k wird von MS nicht weiter supportet und 2. der Funktionsumfang/die Bedienbarkeit ist bei W2k3 deutlich besser geworden.

Aber jetzt zu Deinem Fall:

Ob du von extern eine VPN-Verbindung aufbauen kannst, ist abhängig von den Möglichkeiten und der Konfiguration des Routers. Um von extern eine VPN-Verbindung aufbauen zu können, muss der Router Anfagen für das entsprechend gewünschte Protokoll sauber zum Server durchleiten.

Beispielsweise möchtest Du eine PPTP-Verbindung aufbauen. Dann muss der Router Anfagren auf Port 1723 TCP und Protokoll GRE an den Server schicken. Bei IPSec ist es Port 500 UDP.

Wenn der Rest der Konfiguration auf dem Server (Berechtigungen etc.) passen, dann ist die Sache schon erledigt. Das klappt auch mit W2k, denn W2k kann eingehende VPN-Verbindungen verarbeiten. Nur muss der Router die entsprechend auch an den Server leiten ;)

So, nun zur Migration:

Den Server zu installieren und zum Memberserver zu machen, ist soweit ohne Probleme möglich.

Allerdings fliegt dir das AD um die Ohren, sobald Du den zum DC machen möchtest, ohne vorher eine Schemaänderung am W2k-Server vorgenommen zu haben. Wie das geht? W2k3-CD in den W2k-Server stecken, und "Start/Ausführen", dann "Pfad zum CD-ROM:\I836 setup.exe /forestprep und /domainprep" ausführen. Mach dich da mal schlau bezüglich dieser Schalter! Das ist ganz wichtig!

Ist die Schemaänderung durch, kannst Du via dcpromo den W2k3-Server zum DC machen.

Jetzt noch zu Deinen Diensten:

- Mit dcpromo erstellst Du ein Replikat des AD auf den W2k3-Server. Das funtz automatisch.

- DNS installierst Du auch auf dem W2k3-Server und auf beiden konfigurierst Du es Active Directory integriert. Damit ist diese Replikation auch automatisch im Sack

- WINS noch auf den W2k3 drauf und auf beiden den jeweils anderen als Replikationspartner eintragen

- DHCP kann man folgendermaßen lösen:

1. Du richtest den DHCP-Server auf dem W2k3 genauso wie auf den W2k ein (ausnahme die Angabe welcher WINS- und DNS-Server angesprochen wird -> hier dann der W2k3), authorisierst den aber noch nicht. Dann schaltest Du den W2k-DHCP ab und den anderen an (authorisieren). Vorher Rechner, die dynamische IPs beziehen ausschalten.

2. Du richtest den DHCP auf dem W2k3-Server mit einem anderen Bereich aber gleicher IP-Konfiguration ein und lässt beide parallel laufen.

Ich persönlich ziehe Lösung 1 vor.

- Files kopierst Du via robocopy samt der Berechtigungen auf den neuen Server

- auf dem W2k-Server installierte Drucker schiebst du via PrinterMigrationTool rüber

... Fortsetzung folgt ...

den eventlog kontrolliere ich per remote.. bin nicht so der turnschuhadministrator der in die verschiedenen räume umhereilt um logfiles zu überprüfen :P

Mach ich auch per Remote, da ich auch kein Bock habe ewig rumzurennen. Aber ich melde mich halt nicht ab, sondern sperre nur den Bildschirm.

Vielleicht ne Idee:

Wenn Du via GPO die Sache so konfigurierst, dass Du die Updates zwar von WSUS downloadest, aber den Installationszeitpunkt selbst festlegst? Bei der OU für die Server würde das zumindest die Downloadzeit optimieren.

grüße

dippas

Wie sähe denn folgender Vorschlag aus?:

Server aufziehen, Platten rein, Bandlaufwerk mit entsprechender Kapazität rein, BackupExec drauf mit RemoteAgents und übers Netz von diesem Server aus die anderen sichern.

Statt RemoteAgents könnten auch die Kommandozeilen-Tools xcopy oder robocopy weiterhelfen, sofern keine Datenbanken oder Exchange zu sichern sind.

grüße

dippas

zu dem sinn. wenn kein user am server angemeldet ist, dann ists meistens ein server ;)

Naja, richtigerweise "zu dem Unsinn" ;)

Erst davon sprechen, dass kein User angemeldet ist usw, und dann dabei gepfegt verschweigen dass Du einen Server meinst, an dem man nicht angemeldet ist. Das haben wir schon gerne ;)

Unabhängig davon ist mir das noch nie aufgefallen. Aber das liegt daran, dass ich mich als Administrator immer an einem Server anmelde, vor allem, wenn der neu gestartet wurde. Denn dann schaue ich meistens in die Ereignisanzeige, ob alles weiterhin richtig läuft, oder ich habe SW neu installiert, die konfiguriert werden möchte.

Nach getaner Arbeit sperre ich den Server einfach, statt mich abzumelden (kann man drüber streiten;) ). Somit ist jemand angemeldet.

grüße

dippas

Hallo,

 

ich habe da ein Problem:

 

ich habe hier einen rechner mit 2,8Ghz matrox dual head grafikkarte usw.

Sata festplatte und dvd brenner und dvd laufwerk

 

so wenn ich nun einen film abspielen lasse egal welcher, zuckelt der ton so, verzerrt. ist das eine svcd oder lasse ich musik normal abspielen kein problem. Von der festplatte geht es auch ohne probleme. Das problem besteht an beiden laufwerken und software habe icha uch schon andere getestet. Ich weiss nicht wo das problem liegen könnte hat jemand eine idee ?

Nun, vielleicht liegt es am Übertragungsmodus des DVD-Laufwerks.

Musik und (S)VCD haben nicht so große Bitraten wie eine DVD. Und wenn das DVD-Laufwerk dann im langsamen PIO-Modus läuft, statt im (Ultra)DMA-Modus, kann ich mir vorstellen, dass da nicht genug Datenmaterial rüberkommt.

grüße

dippas

hö?.. also soweit ich weiß wird das ganze auf computerebene und nicht benutzerebene gesteuert, oder?..

genau so ist es.

die entsprechenden anwendungen und dienste sollten mit system-accounts ausgeführt werden. diese dürfen in der regel, wenn man alles richtig konfiguriert hat, auch automatisch installieren.

Ack :D

bei mir klappt das alles wunderbar.

bei mir auch

einzig, dass der automatische restart nach erfolgter installation nicht verhindert werden kann, wenn kein user angemeldet ist, stört mich!

Aber wenn doch eh kein Benutzer angemeldet ist, ist das doch egal. Hast Du die Richtlinie "Kein automatischer Neustart für geplante Installationen ...." konfiguriert. Hier schaltet man den automatischen Neustart ab.

grüße

dippas

Moin,

also der Trick ist vereinfacht gesagt eigendlich nur folgender:

1. der gesamte Mailverkehr (egal intern/extern) läuft aussschließlich über Port 25. Dieser ist natürlich an den relevanten Stellen freizugeben.

2. Die Clients sind ausschließlich mit dem internen Mailserver verbunden

3. Der interne Mailserver hat irgendwo in der Konfiguration stehen, das jeder Mailverkehr nach Extern an einen anderen Mailserver relayed wird (unter Exchange heisst die Angabe "Smarthost"). Ein guter Mailserver behält den internen Mailverkehr bei sich und sendet diesen nicht an den Smarthost (in diesem Fall Dein Mailscanner).

4. Der Mailscanner ist so konfiguriert, dass er nur für deine Domäne Mails von Extern annimmt und nur den internen Mailserver relayen lässt.

Was passiert?

Den Mailweg von extern hast Du selber hübsch beschrieben, erspare ich mir.

Den Mailweg von intern beschreibe ich dann so:

Client -> Mailserv intern -> Weiterleitung an Smarthost (Mailscanner) -> raus ins Internet.

Frage:

Warum nicht den internen Mailserver die Mails direkt ins Internet schicken lassen?

Antwort:

Weil dann der Mailscanner die Chance bekommt auch den nach draußen gehenden Mailverkehr zu scannen (ist wichtig, da sich intern vielleicht etwas verselbstständigt ;) ) und weil Du einen MX-Eintrag haben wirst, der an eine bestimme IP gekoppelt ist, an der schon der Mailscanner hängt.

grüße

dippas

Hab schon einen host firma.dyndns.org gemacht, und die Ports 443 und 80 auf den Server geroutet. Leider funktioniert es nicht mit firma.dyndns.org/exchange.

Intern mit xxx.xxx.xxx.xxx/echange schon.

 

Woran kann das noch liegen? Welche Dienste müssen auf dem Server laufen?

Tja, da OWA ja von Intern aus verfügbar ist, stellt sich nicht mehr die Frage, welche Dienste noch laufen müssten, oder ob an dieser Stelle noch was konfiguriert werden müsste. Es funktioniert ja :D

Die andere Frage ist aber folgende:

Wie ist bei Dir die Sache mit dem DynDNS konfiguriert?

Um von außen via firma.dyndns.org auf den Server zugreifen zu können, sind 2 Dinge zwingend voraus zu setzten:

1. DynDNS muss von Router her unterstützt und auch richtig eingerichtet sein. Portforwarding muss konfiguriert sein (hast Du aber scheinbar schon).

2. Du musst das von außen testen und NICHT von innen.

grüße

dippas

Ich habe die Globale Gruppe den lokalen Benutzern hinzugefügt und es lief.

Welche Globale Gruppe hast Du welchen lokalen Benutzern zugefügt?

grüße

dippas

Das es mit einem reinen Exchange nicht geht, das weiss ich.

Ich verwende aber wie im Ersten Titel den SBS 2003 Server.

Und da fehlt er.

Evtl. müsste ich Exchange neu drüberinstallieren.

Den bestehenden Postfächern sollte dabei ja nicht passieren, oder?

Du suchst an der falschen Stelle:

Nicht den Exchange "drüberinstallieren"!!!

Es sei denn, Du möchstes das Risiko eingehen, dass dabei etwas schief geht.

Versuch mal folgendes:

"Start/ausführen" -> "mmc" und Enter

Dann "Datei/Snap-In hinzufügen ..."

Dann "HInzufügen" und das "Pop3 Connection Manager" Snap-In raussuchen

Damit solltest Du entsprechende konfigurationen vornehmen können.

Desweiteren gibt es den Dienst "Microsoft Connector for Pop3 Mailboxes". Ist dieser vorhanden?

Wenn ja, aber auf deaktiviert -> kein Problem, der aktiviert sich nach Konfiguration des Pop3 Connection Managers.

grüße

dippas

Habe die Kennwort muss Komplexität... auf nicht definiert gesetzt.

Wo hast Du diesen Eintrag geändert?

Kennwortrichtlinien gelten Domänenweit, können also nicht für eine einzelne OU geändert werden.

grüße

dippas

Hallo Olli,

willkommen ann Board.

Kurze Gegenfrage: Ist der Server bereits aktiviert?

Falls nein: Bitte aktivieren und das SQL-Setup noch einmal starten. Dann sollte es klappen.

Hatte kürzlich dasselbe Problen und konnte es so lösen.

Gruppenrichtlinien oder ähnliches hatte ich nicht bearbeitet, da der Server frisch war.

grüße

dippas

Wie kann man den windowseigenen popconnector hinzufügen bzw. nachinstallieren??

 

Danke für alle Tipps!!

 

Gruss Zahu

Moin Zahu,

einen "windowseigenen Popconnector" gibt es nicht. Es gibt einen Popconnector, der im Lieferumfang des SBS 2003 enthalten ist.

Der normale Exchange ist standartmäßig nicht in der Lage POP3 abzurufen. Dazu benötigt man einen 3rd-Party-Connector, der das erledigt, oder einen weiteren kleinen Mailserver, der das machen kann (z.B. auf Linux-Basis).

Man könnte folgende Idee verfolgen:

1. Am Gateway ein Linux-system mit Pop-Abholung und eingebautem Virenscanner und Spamfilter

2. Weiterleitung via smtp von Linux an Exchange

Hätte den Vorteil, dass man auch gleich ein wenig Sicherheit mit eingebaut hat ;)

grüße

dippas

Halo Userhelpdesk,

willkommen an Board.

Tja, zu Deinem Problem gibt es eine kleine, aber feine Lösung:

Du must dem Befehl auch sagen, wieviele Ordner er in die Replikation aufnehmen soll ;)

Der Schalter /N:xx ist noch zu setzten. "xx" ist dabei entweder die Anzahl der Ordner, oder - wenn Du /N:all setzt - die Gesamtheit der Ordner.

Schau auch mal hier nach:

http://www.msxfaq.de/tools/pfmigrate.htm

Die Überprüfung der Replikationspartner solltest Du dann auch noch kurz durchführen, indem Du einen öffentlichen Ordner anklickst und Dir die Eigenschaften anschaust. Möglicherweise dauert es aber einen Moment, bis der Replikationspartner eingetragen ist.

grüße

dippas

Jetzt stellt sich für mich nur die Frage, wie habt Ihr das gelöst mit der Installation der Updates

 

Danke für kreative Ideen :cool:

Hallo Mozart,

also ich habe mir die notwendige Doku von M$ angeschaut und bei http://www.wsus-praxis.de die (wirklich gute!) Installationsanleitung zu Herzen genommen.

Wichtig ist auch die Erstellung der Gruppenrichtlinien (wsus-praxis). Achtung, da ist auf einem Bild ein Tippfehler (Port 8530 ist richtig und nicht Port 8350).

Bei mir funzt alles so, wie es muss: Updates werden eingespielt, Benutzer brauchen keine Admin-Rechte und können den reboot selbst bestimmen.

Ich setze SQL2000 als Datenbank ein und nicht die freie Version. Macht aber keinen Unterschied.

grüße

dippas

Moin,

wollte den Threat nochmal aufgreifen mit folgeden Fragen:

1. In welchen Intervallen werden diese Statusberichte eigentlich erstellt/von Client initiiert? Oder ermittelt WSUS den Status selbstständig?

2. Kann man das Intervall verändern (GPO/Registry/WSUS-Konfiguration etc.?)

grüße

dippas

Prima Sache.

Habe mit (natürlich vorher ;) ) die Sache durchgelesen, hier im Board ein wenig geschaut und mich dann an die Installation gemacht.

Neben den losen Informationen war http://www.wsus-praxis.de recht hilfreich, da dort ein wirklich verständlicher roter Faden für die Installation hinterlegt ist :D Danke an dieser Stelle an die Betreiber.

Allerdings ist auf einem Screenshot ein Fehler!

Bei der Portangabe der Gruppenrichtlinie "Eigenschaften von Internen Pfad ..." (http://www.wsus-praxis.de/index.php?c=1&s=gpo) ist ein Zahlendreher drin. Es muss http://wsus-servername:8530 und nicht 8350 heißen. Bitte beachten.

Ansonsten habe ich das Ding ganz geschmeidig auf einem Server W2k3-SP1 mit SQL 2000-SP4 installiert. Ich benutze als Datenbank den SQL-Server. Keine Probleme.

Allerdings finde ich die Bedienbarkeit an einigen Stellen verbesserungsfähig.

grüße

dippas

Guten Morgen allerseits ;)

bin zwar noch etwas müde, aber ansonsten alles im grünen Bereich.

Wir haben 15 Grad bei Hochnebel. Vielleicht kommt ja heute noch die Sonne raus.

grüße

dippas

Ich mach nächste Woche mal was außer der Reihe...

 

Wohnung für die Firma streichen, Laminat legen und Teppichboden... hura!!!

Wohnung für die Firma streichen

Willste meine auch streichen? ;)

Hab ich ein Bock... und in Düsseldorf muss ich dabei auch noch übernachten...das Ruhrgebiet lebe hoch!

 

 

LOL

nana :suspect:

Das Ruhrgebiet ist prima, aber wer aus FFM kommt ...... :D

Es sei verziehen ;)

grüße

dippas

Alles klar, hab das Ding umgebaut.

Vielen dank für die Infos.

grüße

dippas

Hi dippas,

 

dann ruft er mir aber doch die Basis Seite des Servers auf nicht direkt die Exchangeseite diese muss ich Intern ja derzeit über http://Http://servername/exchange ansprechen.

ich möchte nach aussen nicht mehr freigeben als irgend nötig.

 

Schonmal danke,

Gruß

Philipp

Hallo Philipp,

also, Port 80 und/oder 443 (SSL) sind notwendig, egal welche Webseite du auf dem Server aufrufen willst. Mehr Ports sind nicht notwendig.

Du kannst die OWA-Seite dann auch von extern über http://dyndnsname.dyndns.org/exchange'>http://dyndnsname.dyndns.org/exchange erreichen.

Da Du einen SBS laufen hast, würdest Du bei einfachem Aufruf von http://dyndnsname.dyndns.org/ auf der Company-Webseite landen.

grüße

dippas

Nun würde ich gerne das OWA auch von Extern über diese DynDNS Adresse erreichbar machen, aber wie ? Wie muss ich den IIS konfigurieren das ich von Extern nur auf diese eine Seite des Servers zugreifen kann ?

 

Mit freundlichen Grüßen

Philipp S.

Hallo Philipp,

du machst es genauso, wie Du es bereits mit der VPN-Geschichte gemacht hast:

Im Router den Port 80 (auch 443 bei SSL) auf den SBS leiten und im IE-Client einfach die DynDNS-Adresse eintippen.

grüße

dippas

ist nur die frage solang das noch gilt ...

 

im moment ist das kein problem .. das stimmt

 

aber wenn die cpu´s kommen die dann bis zu 4 core´s und mehr haben wird microsoft was überlegen müssen ...

 

immerhin umgeht man mit dennneuen cpu´s ein multi prozessor system daher werden die "grossen" lizensen (ab 4 cpu´s) sicher nicht mehr so gut verkauft wie das mal war bzw im moment ja noch ist

 

gruss snake

Würde ich so nicht sehen.

Der Server unterstützt in der Standart-Version max. 4 Proz. Also entweder 4 Single-Cores oder 2 Dual-Cores.

Bei einer 4-Dual-Core-Maschine hättest Du ja 8 Proz. in der Anzeige.

Wer sich eine solche Maschine leisten kann/will/muss, der hat auch das Geld für die dicken OS-Versionen.

Ansonsten würde er ja max. eine 2-Dual-Core Maschine nehmen, die auch schon ihren Preis hat.

Schließlich bleibt ja auch die Möglichkeit, bei der Multiproz. HW auf einen Proz. zu verzichten ;)

grüße

dippas

http und kein DNS - mmhhh...naja.

eigendlich gebe ich Dir recht, da aber (beisp. F-Secure) die Updates über entsprechende Richtlinien die IP-Adresse samt Port weitergeben und dazu das http-Protokoll verwenden, benötige ich Aliase wirklich nicht.

Obwohl WSUS auch mit IP-Adressen (ggfs mit Portangabe) arbeiten kann, werde ich hier aber einen Alias einsetzten. Ich werde WSUS auch auf Port 8530 verbiegen.

Bleibt nur die Frage, wie sich Apache und IIS bei der Standartinstallation vertragen.

Wenn Du nun den Apache einfach auf Port 8080 stellst, ohne virtuellen Server, dann reicht das schon, wenn keine weitere Sessions darunter benötigt werden!

Den IIS setzt Du fest auf Port 80.

Prima, wie?

grüße

dippas