blub

holst dir am besten einen Sniffer wie ethereal und lässt dir im Trace die Packetsize anzeigen. Dann siehst du dei MTU aus allererster Quelle

cu

blub

hi,

prädestiniert sind Blades z.B. für (Citrix-)Terminalserverfarmen oder Domaincontroller in RZ-Dimensionen. Alles wovon man grössere Stückzahlen einheitlicher Hardware möchte und was man in der Breite skalieren möchte.

cu

blub

hi,

solche chefs verstehen nur ein Argument zur Einführung neuer Techniken: Kosteneinsparung!! wobei Personaleinsparung in der IT sehr gut gut ankommt. Besonders wenn externe Berater (und seien es nur Vertriebsfuzzis irgendwelcher MS-Partner) zur Entscheidungsfindung hinzugezogen werden, ist dieses Argument garantiert ganz oben (security, support,...wen kümmerts?? )

Versteh das ein bischen als Warnung für deine Argumente...einige eurer IT-Leute würden wahrscheinlich Einfluss, Verantwortung etc. gewinnen, aber einige werden evtl. ziemlich verlieren.

cu

blub

Hallo,

Verwendet jeman von euch den Passwortmanager?

rundll32 Keymgr.dll,KRShowKeyMgr

Kann man den irgendwie per Skript, Policy etc. betanken? Stells mir ganz interessant vor, um Usern beim Zugriff auf ein bestimmtes Laufwerk etwas mehr Rechte zu geben, als sie eigentlich haben.

cu

blub

hi,

du kannst mal nach "bootvis" googlen. Das ist ein ehemaliges Tool von MS, das den XP-Bootvorgang analysiert. Die Ursache für langsames Booten können Treiber, DNS-Server, alternde Hardware und noch 101 andere Dinge sein. Mit Bootvis kommst du aber dahinter

cu

blub

wobei zum Geldsparen die Onlineversion http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/7cb7e9f7-2090-4c88-8d14-270c749fddb5.mspx unschlagbar sein dürfte ;)

cu

blub

das ist aber erstmal nur NAP für RAS. Noch interessanter wirds unter http://www.microsoft.com/Nap

cu

blub

Hi,

mittels dem XP/2003 Boardmittel eventtriggers.exe und blat (http://www.blat.net) geht das recht einfach

http://www.windowsitpro.com/Article/ArticleID/45886/45886.html

cu

blub

einen gut gesicherten single dhcpserver oder einen StandBy-Redundanzserver halte ich durchaus für die beschriebene Umgebung für "vernünftig". Die Kosten sind in beiden Fällen überschaubar

cu

blub

kommt mir irgendwie bekannt vor :D

http://www.mcseboard.de/showthread.php?t=11738&highlight=installation

cu blub

Hi xcooldj,

Egal wie du es aufziehst, mit einer kleinen Doku ist es nicht getan. Wenn du den DHCP-Design Guide nicht verstehst, versuch dir das fehlende Wissen noch zu besorgen, bevor du loslegst.

Es gibt kaum was peinlicheres vor dem Chef, wenn vor der Optimierung alles einigermassen lief, und nach der Optimierung des Systems die Ausfälle zunehmen. Die Gefahr sehe ich bei dir.

Für eine Testumgebung wirst du 3 o. 4 Rechner benötigen. (1 Dc, 1 Client und 1 oder 2 DHCP-Server je nach Redundanzkonzept). Ideal wäre ein moderner, dicker XP-Client mit 2 GB RAM und MS-VirtualServer. Damit kannst du Netze, Router und alles andere simulieren.

Zum Thema Ausfallsicherheit hast du die Wahl zwischen:

-Splitscoping (=80/20 Regel), davon halte ich generell nicht viel (s.o)

-Clustering ist die Edellösung, erfordert eine Menge Kapital und zusätzlich Cluster-Knowhow. Halte ich bei euch für viel zu gross. Mit VirtualServer lassen sich übrigens auch Cluster simulieren http://www.microsoft.com/technet/prodtechnol/virtualserver/deploy/cvs2005.mspx

- standby DHCP-Server. Erfordert realtiv viel DHCP und DNS knowhow, ist aber machbar und prinzipiell für deine Umgebung sinnvoll. Da musst du sicher sehr viel testen und dokumentieren

- ein DHCP-Server, abgesichert durch regelmässiges Backup und schnelles Restore evtl. mit Cloning z.b. Ghost . Möglicherweise in deiner Situation das beste Verfahren.

cu

blub

Hi buzzer,

- was machst du z.B. nach dem Ausfall eines DHCPs, wenn der andere DHCP dann zu 100% vollgelaufen ist.? Wie stellst du dann die ursprüngliche 70/30 Redundanz schnell wieder her?

- Was machst du mit festen Reservierungen? doppelt pflegen?

- Und wenn mal Troubleshooting DNS/ DHCP ansteht, dann driftet das Konstrukt ins endgültige Chaos ab.

Wiegesagt, in kleinen Testumgebungen OK, in etwas grösseren Umgebungen ist scopesplitting keine Alternative. Dann lieber mit schnellem Restoreplan versuchen, die Downtime des DHCP-services möglichst kurz zu halten. Ein paar Stunden ohne DHCP sind ja meistens verkraftbar

cu

blub

Hallo xcooldj,

Beginnen solltest du mit der Design-Literatur, die vom Hersteller selbst angeboten wird.

Enterprise Design for DHCP

Dort werden unter anderem auch Möglichkeiten der DHCP-Redundanz diskutiert (Ein 70/30 Scopesplitting wäre sicher keine glückliche Alternative für ein etwas grösseres Netzwerk wie das Deine). Beachten und Verstehen musst du weiterhin die enge Verknüpfung DHCP<->DNS (z.B. Gruppe DNSUpdateproxy)

cu

blub

dann musst du dein lokales DNS erstmal in Ordnung bringen. Sind z.B. die ganzen SRV-Records vorhanden?

cu

blub

Hallo,

das ganze hat meinen verdacht wieder auf die DNS einstellungen gelenkt... doch ich habe alle möglichen konfigurationen ausprobiert, die mir eingefallen sind...

 

beim server den server selbst als ersten DNS-Server, den Router als zweiten, den des ISP als dritten... an den clients dasselbe spiel... ich hab sogar verschiedene reinfolgen getestet... bringt nichts...

Hi,

Wenn der erste DNS-Server existent ist, frägt der Client die DNSServer Nummer 2 bzw. 3 gar nicht mehr, unabhängig ob der erste DNS eine Antwort kennt oder nicht.

Du musst in den DNS - Einstellungen mit Forwarding bzw. conditional forwarding arbeiten. Setz deinen Server als ersten DNS-Server in den TCP/IP Einstellungen und richte am DNS-Server unter Forwarding eine Weiterleitung auf den DNS-Server deines Providers ein.

cu

blub

Hallo onebit,

es ist einfacher als du dir vorstellst: Benenn den Namen in der userverwaltung um und das wars. Ab Exchange 2000 bedient sich auch Exchange der AD-Datenbank.

Der Name ist nur ein Sysnonym für die eigentliche Userkennung und das ist die unveränderliche sogenannte DomänenSID.

cu

blub

gibts überhaupt ein logoff-Event ??

cu

blub

um welche Windowsversion bzw. servicepack gehts denn? Lt. dem eventid-Artikel wurde in w2k-SP2 und SP3 an der Filereplikation ordentlich nachgebessert

cu

blub

Hi,

wenn wir mal Gulps letzten Link auf die technische Referenz als Bibelwort betrachten, wirds doch noch eindeutig ;)

A security identifier (SID) is a value of variable length that is used to uniquely identify a security principal or security group.

cu

blub

GUID hat jedes Objekt, SID wiegesagt nur die Sec.Principals

(bin ich mir jetzt zu 98% sicher :cool: )

cu

blub

hi velius

Es gibt aber auch Domänen SID's (Benutzer, Gruppen, Computer, usw. ...eben jedes Objekt).

nicht ganz. nur die sog. securityprincipals, also user, computer und services

cu

blub

Hi Gulp,

Tatsächlich kann es auch im Domänenumfeld in manchen ungünstigen Konstellationen zu doppelten Domänen-SID's kommen (Thema: RID-Master auf GlobalCatalogue DC, verspätete Replikation bei Vetrauensstellungen und mehr), die man bei MS mit Hilfe von SIDFiltering in den Griff bekommen kann. (MS KB 315062 )

Man lernt nie aus.., aber

-was hast du denn gegen einen Ridmaster auf einem GC? (Infrastructurmaster OK, aber RID)

-was wird denn in so einer Vertrauensstellung so repliziert (egal ob verspätet oder rechtzeitig)?

- kannst du bitte näher beschreiben, wie man mittels Sidfiltering doppelte SIDs in den Griff bekommt. Kann ich nur eine der doppelten SIDs damit ausfiltern?

cu

blub

Hallo Kohn,

Für viele (wahrscheinlich die Mehrheit aller) Admins passt dein Vorschlag der dezentralen Adminworkstation genau.

Trotzdem gibts auch Szenarien, wo ein oder zwei Admin-TerminalServer, oder ein AdminDC geschickter ist. Stell dir ein grosses Netz mit relativ vielen Admins und noch mehr Usern mit delegierten Adminrechten vor. Das können schnell 500 + X Admin-Workstations werden und jeder dieser User richtet sich eine individuelle MMC mit adminpak.msi ein.

Problem 1: Wie stellst du sicher, dass alle Admin(User) die korrekten (freigegebenen) Snapins benutzen? (Ein XP SP1 Client zerschiesst z.B. ADM-Dateien auf ungepatchten 2003-er DCs, sobald du eine Gruppenrichtlinie öffnest)

Problem 2: du musst in deiner Firewall für alle AdminPCs entsprechende Ports öffnen. Damit können User sich irgendwelche LDAP-Tools aus dem Internet installieren)

Problem 3: Ein Monitoring der Adminaktivitäten gestaltet sich schwieriger

Zentrale Administration auf wenigen, definierten Rechnern, auf denen zentral vorgegeben ist, was installiert wird, macht schon auch Sinn.

cu

blub

Hi,

Ich würds hiermit machen

http://support.microsoft.com/default.aspx?scid=kb;en-us;837243

Bei http://www.Sysinternals.com gibts tcpview. Damit müsste es genauso gehen

cu

blub

Alle DCs einer Domäne habe die gleiche SID.

Kaum vorstellbar! Dann könnten Domaincontrollerkonten in keiner Gruppe Mitglied sein oder irgendwo berechtigt werden.

cu

blub