dippas

Hallo santjordi,

das regelst Du ober Gruppenrichtlinien auf OU-Ebene.

Richte eine GPO auf der OU ein, wo die normalen User drin sind. Die benötigten Einstellungen findest Du unter "Benutzerkonfiguration/Windows-Einstellungen/Internet-Explorer Wartung/Verbindung/Proxyeinstellungen"

Die User, die nicht diese Einstellungen bekommen sollen, werden einfach in eine andere OU gepackt.

Grüße

dippas

Wenn ich die Ordnerumleitung in der OU eintrage und aus der DefaultDomainPolicy entferne, funktioniert sie nicht ...

hmmm ....

Nicht das an der Vererbung der Gruppenrichtlinie gespielt wurde?

Überprüfe doch sicherheitshalber mal die Eigenschaften der Gruppenrichtlinie in Bezug auf Vorrang, Vererbung etc.

Langsam macht es mich ein wenig stutzig, was Du so beschreibst.

Vielleicht ist es ja auch ein Versuch, die Gruppenrichtlinie NEU und dann "exklusiv" (also nur mit der Einstellung Ordnerumleitung) anzulegen.

Eine weitere Idee wäre vielleicht folgendes:

Lege mal einen Ordner auf dem Server an und gebe diesen frei (Domänen-benutzer "Vollzugriff", Freigabename bitte OHNE Leerzeichen). Dann gibst Du in der Gruppenrichlinie den Freigabepfad \\servername\freigabename in dieser Form an und nicht \\serverneu\userdata\%username%\Eigene Dateien

Ich glaube mich erinnern zu können, dass ich ein solches Problem mal über diesen Weg lösen konnte.

grüße

dippas

Also du wirst dich wundern....was ich alles auf lager habe. *g*

Natürlich habe ich eine PCMCIA-Netzwerkkarte bei mir liegne.

Auch ein Jäger und Sammler :D :D

freue mich auf testergebnisse ;)

grüße

dippas

damit würde es über den Port 554 laufen und der ist geblockt.

Das ist keine Portangabe, sondern eine Fehlerangabe:

554 Transaction failed

Schau mal in RFC 1893/2034

Andere Fehler in der Fehlermeldung:

500 Syntax error, command unrecognised

550 Requested action not taken: mailbox unavailable

Die Sache mit der Vermutung es sein ein Spamfilter: ACK, die Barracuda ist ein Spamfilter ;)

@jojo

Zum Exchange und den öffentlichen IPs: habt ihr nen Reverse-MX-Eintrag?

Warum hat der Exchange 2 öffentliche IPs?

Insgesamt sieht es aber tatsächlich so aus, als würde eure IP von der Barracuda blockiert werden. Das kann mehrere Gründe haben:

1. offenes Relay, prüfbar unter http://www.ordb.org/

2. ihr seit auf ner RBL. Prüf doch mal bei http://www.spamhaus.org/ eure IP

Kannst Du vielleicht mit den Amys telefonieren? Mailen vom Freemailer geht sicherlich auch. Es geht darum, bei denen anzufragen, ob ihr auf deren Whitelist kommen könnt.

grüße

dippas

mit einem anderen Recher bekomm eich nen durchsatz von ca. 50 bis 60 % hin. Also....denk eich mal dass es an dem Rechner selbst liegt. (bzw. Notebook)

Nach Deiner Darstellung liegt es nicht am Rechner, sondern an der Netzwerkkarte des Rechners ;) Sorry für die Haarspalterei ;)

Leider ist es ja nicht möglich die Netzwerkkarte eines Notebooks zu Testzwecken zu tauschen. Alternativ kann man zwar eine PCMCIA-Netzwerkkarte ins Notebook einbauen, aber wer hat die schon bei sich im Lager liegen

Alle anderen Dinge sind ja soweit getestet und die Testergebnisse lassen ja nur noch den oben genannten Schluss zu :(

Wenn Du dann noch mit der Konfiguration auf Gerätebene gespielt hast und auch da keine Besserung in Sicht ist .... sorry, no chance :(

Warum das Ding allerdings so langsam ist, kann unterschiedliche Gründe haben, auf die Du keinen Einfluß hast. Denn die Bausteine der Netzwerkkarte kannst Du ja nicht austauschen und Einfluß auf das was da seitens des Herstellers verbaut wird, haben wir kleinen Lichter ja auch nicht.

Teste noch einmal netio um auch wirklich auszuschließen, dass es sich nicht um einen Anzeigefehler handelt. Aber ich denke, Du wirst dasselbe Ergebnis erhalten.

Vielleicht (aber nur vielleicht) hilft ein Treiberupdate der Netzwerkkarte.

grüße

dippas

Hallo jojo,

erzähl mal was über eure Internetanbindung und weiteren Konfiguration.

Ich frage, weil es Spamfilter gibt, die grundsätzlich keine Mails von dynamisch zugeordneten IPs entgegennehmen.

grüße

dippas

Der entnervte Admin

hehe, in solchen Fällen schaue ich immer in die Unterlage "Fortbildung für Netzwerkadministration", wo der Teacher dem Publikum einschärft "Und jetzt alle: Das Problem ist bekannt, wir arbeiten dran! ... Das Problem ist bekannt, wir arbeiten dran! ... Das Problem ist bekannt, wir arbeiten dran! ... "

Viel Erfolg beim testen.

grüße

dippas

Vieleicht kann da jemand anders drauf antworten.

 

Wo ist Marco? ;) Bitte zur Hilfe! :)

Obschon ich ausserhalb des Cyberspace "Marco" genannte werde und das auch in meinem Perso steht, glaube ich zwar nicht gemeint zu sein, versuche aber trotzdem zu antworten ;)

Wenn ich mich jetzt richtig erinnere, macht unter normalen Umständen der Client den Eintrag in der Forward-Zone und der DHCP den in der Reversen (Standart).

@stupsnose

Um das Problem ein wenig näher eingrenzen und andere Dinge ausschließen zu können bitte ich Dich mal um detaillierte Infos.

Als erstes interessiert mich, was Du mit dieser Idee von mir angefangen hast:

Ich würde auch die Option "DNS-A und -PRT-Einträge immer dynamisch aktualisieren" auswählen, anstatt "DNA-A und -PRT-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren". Beides unter den Eigenschaften des DHCP-Servers, Lasche "DNS" zu finden.

Desweiteren interessiert mich, was auf dem DNS so konfiguriert ist, bezogen auf Zonentyp etc. Je mehr Infos bei den Optionen, desto besser ist es nachvollziehbar.

Ach ja:

.... und sollte somit doch alle Clients erreicht haben, oder zumindest die, die seit gestern ("Eintrag des Suffixes im DHCP"-Zeit) neu gebootet haben, oder?

Stimmt, spätestens nach einem Reboot am anderen Tag sollte der Client alle Einstellungen zu bekommen, wie Du sie via DHCP vorgibst. ipconfig/release bzw. ipconfig/renew an der Konsole ausgeführt erledigen das aber auch ohne reboot.

Da fällt mir gerade ein: hattest du zu ipconfig /registerdns schon was gesagt? Hatte ich auch mal gepostet.

grüße

dippas

Hallo Knopf,

herzlich willkommen an Board.

Danke zunächst mal zurück für die ausführlich geposteten Infos.

Das von Dir beschriebene ist "richtig" im Sinne von "kein bug sondern wirklich feature" ;)

Um dem Exchange jetzt zu verklickern, dass Meier-A = Meier-B ist würde ich zu einem kleinen "Trick" greifen, denn auf der Postfachebene von Meier-A ist das so nicht wirklich einstellbar, weil Exchange ja nur 1 NT-Konto zulässt.

Aber:

Wenn Meier-A dem Meier-B das Recht gibt, sein Postfach zu bearbeiten und Meier-B ein eigenes (Dummy-) Postfach hat, aber im Outlook das Postfach Meier-A zusätzlich eingebunden ist, kann Meier-B auf Mails von Meier-A zugreifen.

Je nach Rechtekonfiguration kann Meier-B auch als Meier-A versenden ;)

Allerdings sei schon die Frage erlaubt, warum sich Meier-A am Standort von Meier-B nicht als Meier-A anmeldet, wo die Domänen sich doch vertrauen?

Grüße

dippas

Habe in der GPO den Pfad von \\serveralt\userdata\%username%\Eigenen Dateien (der einwandfrei lief ...) auf \\serverneu\userdata\%username%\Eigene Dateien geändert, und dachte, damit wäre es getan ...

 

Aber die Eigenen Dateien der User sind leer und verweisen auf "C:\Dokumente und Einstellungen ..."

 

Habe ich hier was übersehen ???

Die GPO ist aber schon an der richtigen Stelle eingesetzt? Will meinen, dass die User auch diese GPO bekommen?

Es gibt auch keine Überschneidungen mit anderen Einstellungen?

Und die Rechte auf dem Serververzeichnis sind auch entsprechend gesetzt?

grüße

dippas

also könnte ich auch mal e-mails abholen wenn der server gerade nicht läuft!

ja :D

Natürlich muß Outlook entsprechend konfiguriert sein ;)

grüße

dippas

Das teuerste zu bestellen ist keine Kunst ;)

Hier geht´s ja nich um Kunst ;)

Spass beiseite: Natürlich sollst Du nicht das teuerste kaufen, sondern das, was zu Deinen Anforderungen passt!

Ob die APC oder Mustek oder Meier-Müller-Schulze passt, ist für niemanden anhand einer Preisangabe zu beurteilen. Leistungsangaben bzw. Typenbezeichnungen wären da schon hilfreicher.

Ansonsten geht es ja darum Dir Infos an die Hand zu geben, um selbst beurteilen zu können, wie sich die eine oder andere Option in Deinem Falle lohnt.

Und ob es nur 5 Clients und 2 Server sind ist dabei völlig wurscht. Die Frage "Wie wichtig ist Ihnen eine saubere Lösung ohne Datenverlust?" ist viel bedeutender!

Ich möchte Dir ein kleines Beispiel bringen:

Durch einen Stromausfall und seinerzeit falsch ausgewählter USV zerlegte ein Server mal 2 Festplatten, weil die USV aus falscher Sparsamkeit zu klein/schwach dimensioniert war und auch eigentlich überhaupt nicht für nen Server zu gebrauchen war. Glücklicherweise habe ich die nicht gekauft ;) ABER: Es war ne APC, nur eben falsch eingesetzt. Bedeutet: APC ist zwar gut - und leider auch teuer - aber auch hier ist das richtige Modell auszuwählen.

Geh nicht nach Markennamen oder Preisen, sondern nach geforderter/notwendiger Leistung. Meine Frage, wie lange denn der Server braucht um herunter zu fahren sollte dich nocheinmal darauf stoßen.

grüße

dippas

PCI-Exp. ist nur für Grafikkarten!

Nana, PCI-Express ist doch nicht nur für Grafikkarten! Das ist falsch. Der für Grafikkarten heisst dann übrigens PEG.

Richtig ist, dass PCI-Express-Karten "in Masse" (naja, was so Masse heisst) momentan als Grafikkarten vorhanden sind.

Allerdings stellt sich natürlich die Frage, ob ein Rechner mit PCI-Express/64-Bit-PCI nicht auch LAN-onboard hat, weshalb die separate Netzwerkkarte entfallen könnte.

Unabhängig davon ist es schon am sinnvolllsten, einen Medienkonverter zu nutzen, bzw. den Switch die Medienkonvertierung vornehmen zu lassen.

grüße

dippas

Hallo counterooe,

willkommen an Board!

Das Problem dürfte sein, dass der RAID Controller im HP ML350 höchstwahrscheinlich onboard ist.

Na das wäre ja ein Ding. Das SCSI onboard ist bei Servern ist Standart.

RAID-onboard wäre mir allerdings neu, da Raid-Controller ja je nach Einsatzzweck doch arg unterschiedlich sind. Falls da doch was onboard verbaut würde, kann es ja nur ne Einstiegslösung sein. Unabhängig davon habe ich mal bei HP nachgeschaut und da steht nichts von onboard-Raid.

Ich klone ungern Server mit AD und setze in der Regel auf einen zweiten DC (auch nur übergangsweise, falls nur einer vorhanden ist) nur macht da der SBS nicht immer mit.

Technisch sollte der SBS das mitmachen, aber nicht, wenn ein weiterer SBS als DC installiert wird. Ich würde aber allein schon vor dem Hintergrund, dass beim klonen was schiefgeht einen DC nur so zur Sicherheit installieren und auch konfigurieren, damit im Falle eines GAU doch noch was vorhanden ist.

Ansonsten dürfte das Klonen bei entsprechender Vorbereitung - wie z.B. weiter oben angemerkt - wohl klappen. Treiber sollte man sicherheitshalber auch für den Rest der Komponenten bereitlegen.

Wichtig erscheinen mir hier insbesondere Treiber für Backplanes und ähnlichem, was eben von Server zu Server signifikant unterschiedlich ist. Solche Dinge werden von W2k3 auch nicht "automatisch" erkannt.

grüße

dippas

Ich habe das überprüft, die Einstellungen sind alle genau so aktiv. Ich habe in einem alten Thread gefunden, dass der Zonenname keine TLD am Ende haben darf und nicht nur aus einem "Wort" bestehen darf. Habe ihn jetzt auf "x.local" geändert, jetzt trägt sich zumindest der DNS/DHCP-Server selbst in die Liste ein. Leider noch kein Client. Clients sind übrigens NT/2K/XP (wurde weiter oben schon mal gefragt). Was mache ich noch falsch?

naja, was in diesem Threat mit der TLD gemeint ist, verstehe ich nun nicht wirklich :( ist aber auch hier egal.

Wir haben unser DNS mit dem Domainnamen.de versehen und das klappt alles wunderbar. Allerding ist natürlich klar, dass ein Aufruf von http://www.domainname.de erst dann klappt, wenn der Host www manuell mit seiner externen IP nachgetragen ist.

NT-Clients unterstützen von Haus aus keine dynamische Aktualisierung des DNS, deshalb die DHCP-Konfiguration. Aber teste doch mal ipconfig /registerdns auf nem W2k/XP. Eigentlich sollte der Rechner sich dann selbst registrieren.

Früher oder später kommen Linux-Clients hinzu. Die können ja kein WINS, oder?

Das wäre ja ein Ding ;)

Sollten die wohl schon mit umgehen können. Hab gerade mal in unserem WINS reingeschaut. da hat sich sogar ein HP-Printserver registriert. :D Den kann ich auch mit seinem NetBios-Namen anpingen ;) Ich sehe bei Linux keine Probleme, das klappt.

grüße

dippas

Das Problem was ich auch noch habe iss wirklich der User der kommt und einfach das Laptop einstöpselt..

Wie kann´n ich das verhindern?

Das Einstöpseln werd ich ja nicht verhindern können, aber das der dann keine IP bekommt..

Naja, vielleicht ist es ja möglich, die Netzwerkdosen, die nicht verwendet werden, einfach auch nicht am Patchfeld auflegen.

Da kann der Laptop-User sich an soviele freie Dosen anstöpseln und bekommt trotzdem nichts, weil ja keine physikalische Verbindung besteht. Das verhindert aber nicht, dass er nen PC ausstöpselt.

Ansonsten sehe ich es so wie grizzy. MAC-Adressen am Switch "freigeben" könnte vielleicht noch handlebar sein.

grüße

dippas

Hallo Grizzly,

schön von Dir zu hören.

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste

1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)

2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

Da hast Du sicherlich recht. Alles kann natürlich nicht in den Unterlagen stehen. Wäre auch ne Zumutung für die Schüler sich jedesmal nen Transporter zu organisieren um den Papierberg nach Hause zu schaffen ;)

Du hast den Artikel gelesen?

Du hast im Resource Kit gelesen?

Du hast es ausprobiert?

Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

ja

nein

nein (aber blub hat, Post#20 - und ich werde es auch testen, sobald ich mir ne Testumbegung aufgebaut habe)

na das hoffe ich doch wohl nicht

Aber du hast Recht .... :p

Ironisch oder ernst gemeint? :suspect:

Hey, ich will kein Recht haben, sondern Wissen erlangen. ;)

Ich bin mir durchaus bewusst, dass ich in dieser Sache ein wenig hartnäckig (oder sogar dickköpfig?) bin, aber letztlich bin ich schon auf der Suche nach einer eindeutigen Erklärung. Vielleicht ist ja der Unterschied mixed-mode und native-mode eine Erklärung?

grüße

dippas

Was soll ich sagen: Geiz ist nicht geil sondern ziemlich hirnrissig!

Dem kann ich insbesondere bei so wichtigen Sachen wie Serverabsicherung uneingeschränkt zustimmen.

Wo wir schon bei den wichtigen Sachen sind:

Welche Art USV ist Dir denn angeboten worden?

Meines Erachtens sollte es schon ne Online-USV sein, wobei ich den Preis dafür zu niedrig finde. Ich glaube also nicht das es eine Online-USV ist. Achte mal auf die Unterschiede und wähle nach dem aus, was Dir wichtig ist.

Wichtig sind Dinge wie Überspannungschutz (Stromschwankungen, Blitzeinschlag), Leistung im Verhältnis zum Verbraucher (hier der Server mit seinen eingebauten Komponenten) = Überbrückungszeit, Wartbarkeit, Bypass-Verhalten der USV etc.

50 € für ne USV? Sorry, das ich ketzerisch werde, aber das kann nur ein Akku für nen Walkman sein.

Beispiel:

Mit einer 1000 oder 1500 VA Smart-UPS von APC solltest Du klarkommen. Auch was die Überbrückungszeit anbelangt. Ach ja, Überbrückungszeit: Wie lange braucht denn der Server zum runterfahren? Die kosten aber keine 140 € sondern durchaus 3 - 4 mal soviel. Schau mal auf der Seite von APC nach (http://www.apcc.com). Da gibt´s auch schöne Konfiguratoren ;)

grüße

dippas

Hallo Lex1th,

mit Belkin und Mustek habe ich zwar keiner Erfahrunge, dafür aber mit APC. Und diese Dinger laufen 1a wie auf Schienen.

Natürlich sind die preislich teurer, aber was soll´s, wenn ich ruhigen Gewissens schlafen kann mit dem Wissen, dass das Ding auch im GAU-Fall funzt ;)

Beachte auch Folgekosten wie eine Ersatzbatterie. Wie verhält es sich damit?

grüße

dippas

Sorry, aber im Moment kann ich mit dieser Fehlermeldung deshalb nicht viel anfangen, weil mir spontan nicht einfällt, unter welcher Rubik ist die sortieren soll. Hatte den Fehler selbst noch nicht.

Kannst Du mir da nähere Infos geben? Also, wenn aus dem Ereignisprotokoll kommend, welche Rubrik (System, Anwendung etc.) und vielleicht auch etwas mehr an Infos aus dem Ereignisprotokoll.

Zugriff verweigert klingt ja nach fehlenden Berechtigungen. Die Frage ist halt nur, welche Berechtigungen fehlt ;)

grüße

dippas

hallo Humpi,

na, Munition hast Du ja jetzt genug ;)

Viel Erfolg bei Deinem Vorhaben.

grüße

dippas

Also unter AD-Standorte und Dienste - Site Name- Server stehen beide Server drin. Doch wenn ich beim DC2003-NTDS Settings in die Eigenschaften gehen und da auf Verbindungen klicke. Steht da nur Replizieren von DC2000 | Replizieren nach DC2000. Das kann doch nicht stimmen oder ?

Bei dem DC2000 unter Eigenschaften steht allerdings DC2003 nach DC2003.

Na, damit ist ja zumindest geklärt, dass es tatsächlich nur eine Domäne ist. Das ist schonmal gut.

Das in den Eigenschaften des NTDS am Dc2000 der DC2003 (und umgekehrt) drin steht ist richtig so, denn die DCs replizieren ja jeweils vom anderen.

Wenn Du unterhalb der NTDS-Settings schaust, sollte darin dann "<automatisch generiert> vom Server xyz ..." drin stehen. Damit ist gewährleistet, dass die Server auch tatsächlich miteinander "verbunden" sind.

Auf einen solchen Eintrag "Rechtsklick" und Du kannst beispielsweise die manuelle Replikation anstoßen. Auch findest Du hier Einstellmöglichkeiten bezüglich der replikation, also Zeitplan, Transport (sollte auf RPC stehen) etc.

Mach mal ne manuelle replikation und schaue mal im Ereignisprotokoll (Verzeichnis) nach, was passiert.

grüße

dippas

Wo kann man denn gucken, ob man 2 verschiedene Domänen nutzt?

Der Einfachheit halber kontrolliere doch bitte mal im "AD-Benutzer und Computer" ob unter der OU "Domain Controllers" beide drin stehen. Ist dem so, so handelt es sich um eine einzige Domäne, weshalb Vertrauensstellungen uninteressant würden, denn die beziehen sich ja auf unterschiedliche Domänen.

Dann würden sich fehlenden Benutzerkonten auf dem einen Rechner mit noch nicht erfolgter Replikation begründen lassen. Diese kann man unter "AD-Standorte und Dienste" auch manuell anstoßen. Hier kannst Du auch einsehen, wie die replikation der Server untereinander gestaltet ist.

Steht nur ein Server drin (beisp. am DC2000 nur der DC2000 und umgekehrt), dann hast Du 2 Domänen. Sollten diese auch noch gleich heißen, hast Du ein Problem. Dann wirst Du (vermutlich) bei der Ausführung von dcpromo auf dem zweiten DC nicht angeklickt haben, dass das ein weiterer DC ist, sondern ein neuer. Dann würde es notwendig sein, auf einem DC das AD wieder runter zu schmeißen und neu zu installieren.

Allerdings Vorsicht: mach das NACHDEM Du dich vergewissert hast, dass Du das NICHT beim Schemamaster etc. machst. In Deinem Fall würde ich dcpromo auf dem W2K ausführen und vorher alle Rollen auf den W2k3 übertragen. Dass spart Dir eine Schemaerweiterung auf dem W2k, denn der W2k3 hat ja bereits das durch den E2k3 erweiterte Schema.

<Editiert>

Vergiss ersten Satz des oberen Absatz, ist ein Gedankenfehler, da das voraussetzt, das Du nur eine Domäne hast. Allerdings würden beim Runterschmeißen vom AD am DC2000 die Benutzer logischweise auch weg sein und auf dem W2k3 übertragen werden müssen.

<Editiert Ende>

grüße

dippas

... Ist dadurch natürlich nicht öffentlich registriert. .... Besonders weil es eine Verkaufsseite ist.

Wie, ne öffentliche Verkaufsseite ohne öffentliches (also nicht vertrauenswürdiges) Zertifikat

Ganz ehrlich: Als Kunde würde ich mir den Kauf dann vielleicht nochmal überlegen.

Unter Umständen wäre es was anderes, wenn nur bestehende Geschäftskunden über einen abgeschlossenen Bereich auf die Verkaufsseite kämen. Aber auch da würde ich als Kunde ein wenig die Augenbrauen hochziehen.

Ich glaube, der Einkauf eines "richtigen" Zertifikats sollte - trotz Investitionsstop - dennoch ins Auge gefasst werden.

Du hättest:

a) dokumentiert, dass man Dir (euch) "wirklich" vertrauen kann (dokumentiert durchs Zert.)

b) keine/weniger Probleme mit IE

Denk mal drüber nach und rechne auch Deinem Chef vor, wieviel Zeit es dich bisher gekostet hat, das Problem in den Griff zu bekommen. Wirst feststellen, dass der Preis für das Zertifikat bereits verbraucht ist ;)

grüße

dippas

... hab das Problem gefunden, die Client haben Sich einfach am Falschen DC angemeldet bzw. nicht am DC welcher über den Standort zugeteilt wurde.

Hast Du denn auch herausgefunden, warum sich die Clients am falschen DC angemeldet haben?

grüße

dippas