ccwurm

Hallo Leute, ich bräuchte von den Spezialisten hier mal ein wenig Hilfe... Habe gerade eine Aktion am laufen. In unserer Firma haben wir neben unserem Haupsitz auch fünf Außenstellen. In jeder dieser Außenstellen steht ein Domaincontroller (Win2KServer), welche ich Schritt für Schritt gegen ein neues Modell (Win2K3R2Server) austausche. Im Hauptsitz haben wir zwei DCs, einen Win2KServer und einen Win2K3R2Server. Struktur ist eine Domäne beispiel.de Domänenfunktionsebene ist Windows 2000 Pur. Schema wurde bereits seit einiger Zeit aktualisiert. Jetzt hatte ich gestern das Vergnügen den Ersten DC in der 1. Außenstelle auszutauschen. Dazu habe ich vor ein paar Tagen den Server hier im Haupsitz installiert und hochgestuft zum DC. Anschließend die IP-Adresse auf eine Adresse in dem Netz in der Außenstelle geändert und den Server verschickt. Händisch habe ich dann den Server in die passende Site verschoben (wir haben für jede Außenstelle eine Site mit entsprechenden Subnetz). Vor-Ort wurde der Server an's Netz gehängt und hochgefahren. Nach einer gewissen Zeit hat sich bei AD Sites&Services gezeigt, dass einer der DCs aus unserem Hauptsitz dem DC in der Außenstelle ein <automatically generated> NTDS Eintrag verpasst hat. Leider wurde aber kein Eintrag automatisch in unserem Hauptsitz erzeugt, worauf hin ich einen händisch erstellt habe. Nun habe ich den vorhandenen DC in der Außenstelle demotet und die IP geändert und anschließend dem Neuen DC die IP des alten gegeben und den Namen des alten gegeben. Beim Ändern des Namens bekam ich dann eine Fehlermeldung das der Name schon existiert. Habe daraufhin unter Sites&Services den alten Server aus der Site gelöscht, dann ging die Namensänderung. Über Nacht hat sich dann alles zu den Außenstellen durchrepliziert. Jetzt aber meine eigentliche Frage... Da ich dieses Szenario noch vier mal vor mir habe würde ich gerne wisssen wie ich mit der Replikation umgehen soll. Hatte gestern versucht manuelle über Sites&Services zu replizieren, auch den replmon habe ich bemüht. Irgendwie hat die Replikation dann teilweise schon schneller funktioniert, aber richtig nachvollziehen kann ich es leider nicht. Sollte ich jeden Einzelschritt (alten DC demoten, dann umbenennen, etc.) erst mal irgendwie händisch zu jedem einezlnen DC in der Struktur replizieren oder kann ich gefahrlos das ganze Prozedere durchziehen und die Replikation dann einfach machen lassen? Falls ersteres zutrifft, wie repliziere ich denn zuverlässig händisch? Sorry für den langen Text, wollte es aber einigermaßen übersichtlich machen. Vielen Dank! DerWurm

Vielen Dank für die Info. Hat reibungslos geklappt. Grüße

Hallo Leute, sorry für die Frage, aber ich stehe gerade furchtbar auf dem Schlauch bei einer Sache: Bleiben die selbst erstellten Freigaben auf einem DC nach dem Umbenennen und dem Ändern der IP-Adresse erhalten? Ich denke doch schon, oder? Habe um's Verrecken bei Google nix dazu gefunden :rolleyes: Schande über mich. :rolleyes: Danke!

Alles klar. Dankeschön!

Ich wollte damit sagen, dass bei Prometric nix von Mehrwerststeuer auf der Rechnung (wenn man diesen Recieipt so bezeichnen kann) steht. Ob das ein Problem sein kann für mich?

Hallo zusammen, ich habe am WE meine Steuererklärung mit der tollen WISO Software gemacht! ;) Natürlich habe ich meine Prüfungen und Literatur angegeben und somit abgesetzt. Allerdings ist es ja so, dass Prometric die MWST nicht ausgewiesen hat. Hat damit schon jemand Erfahrungen gemacht, wie sich das beim Finanzamt auswirkt? Grüße ccwurm

@Nachtfalke Vielen Dank! ;) @Howard Mir hätten die 700 Punkte auch grundsätzlich völlig ausgereicht. Bei mir kam relativ viel über die Update Services dran. Aber alles noch SUS! Grüße der Wurm

Hallo Leute, endlich, nach dem dritten Anlauf, habe ich die 70-291 geschafft. Diesmal mit 935 Punkten. Hätte dieses Ergebnis wirklich nicht erwartet als ich mit Herzklopfen die Prüfung abgeschlossen habe. :D Naja, jetzt habe ich gut lachen, ich weiss aber auch, dass diese Prüfung ein wirklich unangenehmes Stück ist! Eins auf das man sich nur sehr kompliziert vorbereiten kann. Allen die diese Prüfung noch vor sich haben wünsche ich viel viel Glück!!!:thumb1: P.S.: Ein besonderer Gruß und Dank geht an Nachtfalke! ;) :D

Hallo, eine kurze Verständnisfrage zu DHCP... In einem gerouteten Netzwerk mit verschiedenen Subnetzen und Bootp fähigen Routern, bzw. mit Relay Agents in jedem Subnetz werden DHCP-Clientanfragen ja sinngemäß an den DHCP-Server weitergereicht und das "giaddr" Feld im Broadcast vom Bootp-Router bzw. Relay-Agenten ausgefüllt. Daher weiss ja auch der DHCP-Server aus welchem Bereich er eine Adresse dem Client vergeben soll. Was ist aber wenn ich ein nichtgeroutetes Netzwerk mit verschiedenen Subnetzen betreibe (alle auf dem gleichen physikalischen Netzwerksegment und ohne Relay Agents), dann bekommt der DHCP-Server die Anfragen ja direkt ab. Habe ich in diesem Fall ohne die Benutzung von Reservierungen überhaupt eine andere Möglichkeit, Clients IP-Adressen aus den verschiedenen Subnetzen passend zuzuordnen? Ich habe das in meiner Testumgebung nachgestellt, jedoch bediente sich der DHCP-Server immer aus dem 1. Bereich in meiner Bereichsgruppierung. Das ist dann wohl auch das logische Verhalten, oder? Eine manuelle Setzung des "giaddr" Feldes ist wohl clientseitig nicht möglich, oder? Danke der Wurm.

Auch von mir Glückwunsch! :thumb1: Ich habe am Montag meinen dritten Anlauf. Puh, hoffentlich pack ich die 291er dann endlich! :rolleyes: Wie hast du dich eigentlich zwischen den fünf Versuchen weiter auf die Prüfung vorbereitet? Immer alles nochmal wiederholt, oder wie?

So, habe jetzt nochmal im Internet gegoogelt und viel rumprobiert. Microsoft schreibt in einem Artikel in der TechNet (hab den Link jetzt leider nicht mehr), dass die Client (response only) Richtlinie grundsätzlich für die verschlüsselte Kommunikation sowohl mit der Server (request security) als auch mit der Secure Server (require security) Richtlinie verwendet werden kann. Einfach deshalb, weil beide eine unverschlüsselte Eingangskommunikation zulassen und anschließend Sicherheit aushandeln. Die Secure Server (require security) Richtlinie bietet halt kein fallback auf unverschlüsselte Kommunikation. Naja, das habe ich auch nochmal in meiner Testumgebung nachgestellt. Sowohl Client <-> Server als auch Client <-> Secure Server. Bei beiden hat die Kommunikation problemlos funktioniert. Lediglich der Ping ist nach Zuweisung der Richtlinien untereinander nicht mehr möglich. Sobald ich die Sicherheitsregel "ICMP Datenverkehr -> zulassen" abwähle, funktioniert auch der Ping untereinander wieder. Wahrscheinlich, weil dieser dann auch verschlüsselt abgehandelt wird und es somit keine Probleme mehr gibt. ich denke halt mittlerweile, dass die beiden Stationen nach Aushandlung der Sicherheit, untereinander keinerlei unverschlüsselte Kommunikation mehr zulassen, auch keinen Ping (ICMP). Ganz einfach deshalb, weil ja die Verschüsselung der ganzen IP-Pakete auch die ICMP-Pakete miteinschließt. Warum diese Sicherheitsregel dann allerdings bei den Sicherheitsrichtlinien definiert ist, kann ich nicht verstehen? P.S.: Ich werde versuchen, mir das ganze demnäscht nochmal mit dem Netzwerkmonitor anzusehen. ccwurm

@ChristianHemker Nein macht er nicht.

Sorry, ich verwende jetzt mal diesen Thread, da es bei mir auch um ipsec geht... Ich bin noch am Verzweifeln... Habe zwei Rechner (ein DC und eine Mitgliedsserver). Beide in derselben Domäne, beide Windows Server 2003. Habe über Gruppenrichtlinien auf den DC die IPSec Richtlinie Server (request security) angewendet und ebenfalls über Gruppenrichtlinien auf den Mitgliedsserver die IPSec Richtlinie Client (response only) angewendet. Der IP-Sicherheitsmonitor bestätigt mir die aktiven Richtlinien auf den Rechnern. Bei Ping von einem zum anderen Rechner geht es kurzzeitig (ca. 2 Antworten kommen zurück), dann ist's vorbei mit der ICMP-Kommunikation. Eine anschließende Telnet Session ist auch nicht funktionstüchtig. Im IP-Sicherheitsmonitor wird keine Sicherheitszuordnung aufgeführt und im EventLog steht auch nichts von einer Sicherheitsaushandlung. Habe das gleiche Szenarion (gleiche IPSec Richtlinien) hier bei uns in der Domäne ausprobiert (mit zwei Workstations), gleiches Ergebnis. Habe dann in meiner Testumgebung von Kerberos Authentifizierung auf Vorinstallierter Schlüssel umgestellt, jetzt krieg ich im IP-Sicherheitsmonitor eine Sicherheitszuordnung zu sehen, aber Ping (ICMP) ist wieder nicht möglich, wobei die Telnet-Session jetzt funktioniert. ICMP sollte eigentlich ohne jegliche Verschlüsselung durchgelassen werden, so ist es zuminest in der Server (request security) Richtlinie eingestellt. Weiter oben im Thread wird auf die verschiedenen IPSec Richtlinien eingegangen, ich dachte eigentlich verstanden zu haben, dass die Client (response only) gründsätzlich dafür geeignet ist, mit der Server (request security) und der Secure Server (require security) Richtlinie verschlüsselt zu kommunizieren? Ich wäre echt dankbar, wenn sich jemand mit meinem Problem auseinandersetzen könnte. Danke!! ccwurm

Hallo IThome, du hattest wohl völlig recht! :rolleyes: Habe jetzt das gleiche Szenario bei mir zuhause nachgebastelt (wieder mit VMWare), habe außerdem darauf geachtet das der VMWare DHCP-Server abgeschalten ist (vielleicht das Problem bei dir?) Naja, was soll ich sagen, nachdem ich jetzt hier das ganze nochmal getestet habe, bekommt der VPN-Client tatsächlich die ganzen Informationen, die ich als Standard-DHCP-Optionen im DHCP eingepflegt habe. Auch die Geschichte mit der Benutzerklasse habe ich ausprobiert. Nach manueller Vergabe einer Klasse am VPN-Client, wie auch am DHCP Server sowie die anschließende Option-Konfiguration für diese Klasse, hat der ganze Spaß auch soweit geklappt. Die Optionen wurden soweit übergeben. ich dachte halt, das der VPN-Client bereits Mitglied der Standard-Routing und RAS-Klasse ist, weil das nämlich nach dem Befehl ipconfig /showclassid angezeigt wird. Aber ein ipconfig /all hat nichts bezüglich Klassen angezeigt. Nach manueller Klassensetzung allerdings schon. Ich denke allerdings das VMWare an meiner Problematik mit diesem Szenario in der Arbeit nicht ganz unbeteiligt ist/war. Danke nochmal für deine Hilfe und Erklärung!

Aber was ist dann... DHCP-Klassenkennungsname.......Standardrouting- und RAS-Klasse ...was ich ja nach einem ipconfig /showclassid auf dem client-rechner unter der ppp-verbindung zu sehen bekomme? Das ist die exakt gleiche Bezeichnung wie im DHCP-Server unter den Benutzerklassenoptionen?? Ich mache das alles mit VMWare. Beide VMWares befinden sich im gleichen physikalischen Netz, aber natürlich schon in unterschliedlichen logischen Subnetzen. (Host-Only Mode).

Warum steht die Benutzerklasse denn nicht in dem DHCP-Inform Paket drinnen? Wenn ich auf dem Rechner, auf dem die VPN-Verbindung eingerichtet ist, einen ipconfig /showclassid ausführe, dann erhalte ich als Ergebnis: DHCP-Klassenkennungsname.......Standardrouting- und RAS-Klasse Und noch einen Eintrag für BootP. Soll heissen ich soll die Standard-DHCP-Optionen benutzen. Dann kann ich aber die Zuweisungen garnicht an lokale und remote-clients separieren! Der Relay-Agent ist eigentlich eingerichtet und zeigte temporär auf alle Netzadapter die ich im Rechner drinnen habe, weil ich mir net ganz sicher war und ich alle mögliche Fehlerquellen ausschließen wollte. Mhh, bitte um Aufklärung. Vielen Dank!

Nach weiteren Suchen und Probieren denke ich jetzt, dass ich das Ganze richtig überblicke. Der RRAS-Server reicht dem VPN-Client tatsächlich nur eine IP-Adresse und die Adressen für DNS/WINS (basierend auf der lokalen Serverkonfiguration) durch. Alle anderen DHCP-Optionen fallen für den VPN-Client weg. Die Benutzerklassen DHCP-Optionen wirken sich nur auf den RRAS-Server DHCP-Client aus, wie z.B. die Lease-Dauer, werden aber nicht zum VPN-Client durchgereicht. Somit machen wohl auch die meisten Benutzerklassen Optionen keinen Sinn für den RRAS-DHCP Client. Außerdem ist es wohl tatsächlich nicht möglich, dem RRAS-Server einen speziellen DHCP-Bereich zuzuweisen. Und warum der VPN-Client als Gateway seine eigene IP-Adresse eingetragen hat, habe ich noch nicht rausgefunden. Die Kommunikation funktioniert jedenfalls! :rolleyes: Ich bitte um Berichtigung! Danke.

Hallo Leute, ich hänge hier an einem Problem in Zusammenhang mit RRAS und DHCP. Bei meiner Teststation (Windows Server 2003 Std.) ist sowohl der RRAS Dienst für VPN-Remotezugriff konfiguriert, als auch der DHCP Server mit einem aktiven Bereich. Der RRAS ist so konfiguriert, dass er sich die IP-Adressen für seine VPN-Clients beim DHCP-Server abholt. Das funktioniert auch soweit ganz gut. Die VPN-Clients können sich verbinden und erhalten sowohl ihre IP-Adresse als auch DNS-Server und GW (als DNS-Server Adresse nutzt der Client wohl einfach die selbe wie der Server). Soweit alles ganz gut. Wenn ich jetzt aber im DHCP Bereichsoptionen für die Standardrouting- und RAS-Klasse definiere, z.B. DNS-Serveradresse, so übernimmt der Client diese nicht. Er führt immer noch den selben DNS-Server wie der RRAS-Server in seinen Einstellungen. Also laut Microsoft übergibt der RRAS-Server dem Client eine zwischengespeicherte DHCP-Lease ohne irgendwelche DHCP-Optionen. Andererseits habe ich aber in der TechNet gelesen, dass diese Standardrouting- und RAS-Klasse genau für solche Zwecke gedacht ist. Außerdem vestehe ich nicht, warum ich nach Aufbau der VPN-Verbindung nach einem ipconfig /all angezeigt bekomme, dass die VPN-Verbindung nicht zur Nutzung von DHCP eingerichtet ist (obowohl dies in der VPN-Verbindung eingerichtet ist). Gibt es eigentlich die Möglichkeit dem RRAS-Server einen speziellen DHCP-Bereich zuzuweisen? Sorry für diesen langen Text aber ich hoffe ihr könnt mir helfen!

@woiza Danke dir für die Infos! :thumb1:

Bei meinem 1. Versuch 632 Punkte: |maximum-----------------------------------------| |-------------------------------- |---------------------------------------------------- |------------------------- |---------------------------------------------------- |----------------------------------------- Bei meinem 2. Versuch 677 Punkte: |maximum-----------------------------------------| |----------------------------------------------- |--------------------------------------- |---------------------------------------- |----------------------------------------- |-----------------------------------------

Naja, ich finde das gehört eigentlich schon hier her :rolleyes: . Kannst du mir denn sagen worauf ich achten sollte bei den Prüfungscentern? Ich verstehe dich so, dass ein Bestehen der Prüfung auch auf das Center ankommt. Ich war eigentlich der Meinung, dass die Center (ob groß oder klein) alle bei der Prüfung soweit identisch sind und das es völlig egal ist wo ich meine Prüfung mache. Wenn ich eine bessere Chance, zu bestehen, bei einem anderen Center habe, dann würde ich das natürlich auch nutzen. Kann es denn tatsächlich sein, dass die Fehler in den Simulationen, oder der Schwierigkeitsgrad der Prüfung abhängig von den Centern ist? Ich meine, ich bin da wirklich sehr flexibel mein Testcenter zu wechseln! :rolleyes: Vielleicht könntest du mir per PN Infos geben, wenn du das hier nicht öffentlich posten möchtest! Ich wäre dir dafür sehr dankbar.

Exakt wie bei mir! Fabrikam läßt grüßen! :D :( :mad:

Tja, das ist ja leider schwer zu sagen. Schließlich ist die Prüfungsauswertung von Microsoft nicht wirklich aussagekräftig. Meine Antworten habe ich nach der Prüfung z.T. auf Funktionalität überprüft, aber an alles kann man sich halt nicht erinnern. Ich persönlich finde das die Prüfung nicht viel anders ist, als z.B. die 70-290. Allerdings habe ich das Gefühl, dass die Prüfung nur ganz wenige Fehler verzeiht und dann hat man einfach keine 700 Punkte mehr. OK und die Szenarien sind schon deutlich umfangreicher und komplexer als bei der 70-290.

Woher weisst du das so genau? Konntest du die Simulationen in den Prüfungscentern denn überprüfen? Ich finde mit solchen Aussagen sollte man wirklich vorsichtig umgehen. Ich kann mir nämlich nicht vorstellen das die Fehler in den Simulationen/Prüfungen auf die Ausstattung der Testcenter zurückzuführen sind. Denn softwaretechnisch nutzen die ja wohl alle das gleiche Zeugs von Prometric/Vue. Was meinst du genau damit? @Ici War die nicht lösbare Simu zufällig eine Simu, bei der man bedingte DNS-Weiterleitung und die Schnittstellenbindung einrichten musste?

Du hast natürlich völlig Recht damit, dass sonst alle vorangegangenen Anstrenungen umsonst gewesen wären. Allerdings muss man sich mal überlegen das so eine Prüfung mind. 140 Euronen kostet und was ich viel schlimmer finde ist, jedes mal wenn man durchfällt, dann wird das nächste Mal auch nicht einfacher. Ich habe jetzt angefangen mir die wildesten Testumgebungen einzurichten, die heftigsten Szenarien durchzuprobieren, nur um mehr Sicherheit zu kriegen und auf alles irgendwie vorbereitet zu sein. Auch wenn das so garnicht möglich ist. Verdammt, hoffentlich bestehe ich diese Prüfung beim nächsten mal. :( :mad: Ciao