Jump to content

dmetzger

Expert Member
  • Content Count

    2,588
  • Joined

  • Last visited

Community Reputation

10 Neutral

4 Followers

About dmetzger

  • Rank
    Expert Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Wenn das Paket bereits vorbereitet ist und im "Updates"-Ordner der Installationsquelle eine Custom.msp existiert, genügt der Aufruf \\Installationsquelle\setup.exe zur Verteilung. Du kannst zuvor auch per if exist oder reg query prüfen, ob das Paket bereits installiert ist, so dass nicht mit jedem Computerstart eine Installation versucht wird.
  2. - Wie lautet die genaue Meldung? - Haben die Benutzer die Berechtigung, ihr Kennwort zu ändern (SELF/SELBST -> Zulassen -> Kennwort ändern)?
  3. Evt. defekte Netzwerkkarte oder Option "Energieverwaltung" aktiviert: "¨Computer kann Gerät ausschalten..."?
  4. http://blogs.technet.com/b/filecab/archive/2009/05/28/dfsrdiag-exe-replicationstate-what-s-dfsr-up-to.aspx http://technet.microsoft.com/en-us/library/cc754229.aspx http://blogs.technet.com/b/askds/archive/2011/07/13/how-to-determine-the-minimum-staging-area-dfsr-needs-for-a-replicated-folder.aspx
  5. Externe Clients können ohnehin nicht nach dem SCP in Active Directory suchen, es sei denn, sie sind per DirectAccess angebunden (was nach derzeitiger Abhörlage eher nicht der Fall sein sollte). Es bietet sich somit an, für jeden Standort zusätzlich eine Standort-spezifische Empfängeradresse für die Postfachbenutzer zu erstellen (akzeptierte Domäne, Adressrichtlinie). Externe Benutzer geben im Outlook-Einrichtungsassistenten die Standort-spezifische E-Mail-Adresse und ihr PW ein, und Outlook sucht an 3. Stelle automatisch nach der URL https://autodiscover.<Standort>.<Domäne>/Autodiscover/Autodiscover.xml. In der externen Zone kann für diese zusätzlichen SMTP-Domänen jeweils ein Host-Eintrag (A) sowie ein SRV-Eintrag (_autodiscover._tcp.<SMTP-Domäne> getätigt werden. Das funktioniert in anderen Organisationen einwandfrei. Ggf. kann ein HTTP Redirect über Port 80 an einem der Standorte eingerichtet werden, sofern eine freie öffentliche IP verfügbar ist. http://blogs.technet.com/b/exchdxb/archive/2012/05/10/troublshooting-autodiscover-exchange-2007-2010.aspx http://support.microsoft.com/kb/2612922 POP-Abholung muss bei Deiner Konfiguration sein, da Zustellungen an die gleiche SMTP-Domäne in 3 verschiedene Exchange-Organisationen ein Problem sind. Wenn Du mit Standort-spezifischen SMTP-Domänen arbeitest, könntes Du aber auf SMTP-Zustellung wechseln.
  6. Mir erschliesst sich der Inhalt des Bildes nicht, da zu klein. :( Aber eine Grundsatz-Aussage: Vermeide Deny-Einträge für GPO. Erstelle stattdessen eine Sicherheitsgruppe für die Benutzer oder Computer, für die ein GPO wirksam sein soll, und arbeite mit der Sicherheitsfilterung. Das funktioniert immer und ist die empfohlene Vorgehensweise.
  7. Mir sind sehr grosse AD-Infrastrukturen bekannt (80'000+ Benutzer), die sich über mehr als 80 Länder erstrecken. Die kommen mit einer einzigen Domäne bestens zurecht. Jede weitere Domäne verursacht weiteren Aufwand, wie Norbert bereits zu bedenken gegeben hat. Jede Domäne braucht nicht nur minimal zwei Domänencontroller, sondern eigene OU-Strukturen, eigene GPO, eigene Administratoren, es müssen Namens- und Verwaltungskonzepte festgelegt und durchgesetzt werden, Mitgliedschaften in wichtigen Sicherheitsgruppen kontrolliert werden (jede Domäne hat Domänenadmins... ;) ), die Dokumentation wird umfangreicher und eine AD-Wiederherstellung aufwändiger, etc. Evt. existieren Anwendungen, deren Lizenzierung auf eine Domäne beschränkt ist (mir sind z.B. entsprechende Dokumentensysteme bekannt). Man tut sich also meisten sehr viel mehr Arbeit an, ohne wirklichen Gewinn daraus zu ziehen. Es muss nicht möglichst kompliziert sein. Alles Geniale ist einfach...
  8. Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013. Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen Sicherheitsgruppen sind. Es hat sich für Admins auch in hochsicheren Umgebungen bewährt, möglichst nahe am Standard zu arbeiten. Wenn es kritische Objekte in AD gibt, die Du vor Deinen Benutzern verbergen willst, kannst Du auch eine versteckte OU-Teilstruktur erstellen und die Objekte darin platzieren. Ebenfalls zu bedenken ist die Option "Restore defaults" in den "Advanced Security Settings" von OUs und Domänen. Diese Option stellt ohne weitere Nachfrage die standardmässigen ACL wieder her, und all die liebevoll gepflegten zusätzlichen Einträge sind weg (inkl. Berechtigungen für Exchange) resp. die ggf. entfernten "Authenticated Users" wieder da. Wenn Du AD also hoch sicher machen möchtest, gibt es weit mehr anzufassen, wie Nils schon angemerkt hast ("Restricted Groups" fallen mir u.a. ein). Und es kann Dir niemand garantieren, dass Dir die Änderungen nicht irgendwann auf die Füsse fallen, weil Microsoft in seiner Road Map nicht Deine kundenspezifischen Anpassungen berücksichtigt hat. :D
  9. Zertifikatsanforderungen lassen sich GUI-basiert oder mit dem Kommandozeilenwerkzeug "certreq.exe" handhaben. Dokumentation gibt es bei Microsoft. http://technet.microsoft.com/en-us/library/cc754246.aspx http://technet.microsoft.com/library/cc725793.aspx
  10. GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> "Ausführliche im Vergleich zu normalen Meldungen" -> aktivieren
  11. Du solltest Dich eingehender mit den Grundlagen von DNS und speziell "Split-DNS" beschäftigen, z.B.: http://msdn.microsoft.com/en-us/library/ms954396.aspx -> "Using Split-Brain DNS" http://technet.microsoft.com/en-us/library/cc772774(v=ws.10).aspx
  12. Weil nicht jeder es schafft, konzentriert bis zum Ende durchzuziehen. ;) Bist Du sicher, dass es ein Empfänger- und nicht ein Absenderproblem ist? Vielleicht kommen die E-Mails verspätet an, weil sie verspätet ausgeliefert wurden?
  13. Es heisst übrigens Schemaerweiterung, nicht Schemaersetzung. ;) http://technet.microsoft.com/en-us/library/cc773309(v=ws.10).aspx "How the Active Directory Schema Works"
  14. Wahrscheinlich ja. Habe allerdings bei einem Kunden auch schon einen TMG als Domänenmitglied gesehen, auf dem E2K10 mit CAS/HT/MB installiert war. :shock:
  15. Gemäss Deinem Bildschirmfoto existiert die Partition; sie wird in der Datenträgerverwaltung korrekt und als "fehlerfrei" angezeigt. In der Auflistung der Laufwerke ist sie ebenfalls enthalten, allerdings ohne Darstellung des belegten Speicherplatzes. Das ist das übliche Verhalten, wenn der angemeldete Benutzer keine Zugriffsberechtigung hat. Wurden die Gruppe "Benutzer" aus der ACL des Laufwerks entfernt? Warum ist der Datenträger 2 in einen dynamischen konvertiert?
×
×
  • Create New...