dmetzger

Wenn das Paket bereits vorbereitet ist und im "Updates"-Ordner der Installationsquelle eine Custom.msp existiert, genügt der Aufruf \\Installationsquelle\setup.exe zur Verteilung. Du kannst zuvor auch per if exist oder reg query prüfen, ob das Paket bereits installiert ist, so dass nicht mit jedem Computerstart eine Installation versucht wird.

- Wie lautet die genaue Meldung?

- Haben die Benutzer die Berechtigung, ihr Kennwort zu ändern (SELF/SELBST -> Zulassen -> Kennwort ändern)? 

Evt. defekte Netzwerkkarte oder Option "Energieverwaltung" aktiviert: "¨Computer kann Gerät ausschalten..."?

http://blogs.technet.com/b/filecab/archive/2009/05/28/dfsrdiag-exe-replicationstate-what-s-dfsr-up-to.aspx

http://technet.microsoft.com/en-us/library/cc754229.aspx

http://blogs.technet.com/b/askds/archive/2011/07/13/how-to-determine-the-minimum-staging-area-dfsr-needs-for-a-replicated-folder.aspx

Kann man zb den Outlook-Clients der anderen Standorte beibringen nach einer anderen Adresse (wie zb autodiscover-standort2.xyz.de) zu suchen?

Externe Clients können ohnehin nicht nach dem SCP in Active Directory suchen, es sei denn, sie sind per DirectAccess angebunden (was nach derzeitiger Abhörlage eher nicht der Fall sein sollte). Es bietet sich somit an, für jeden Standort zusätzlich eine Standort-spezifische Empfängeradresse für die Postfachbenutzer zu erstellen (akzeptierte Domäne, Adressrichtlinie). Externe Benutzer geben im Outlook-Einrichtungsassistenten die Standort-spezifische E-Mail-Adresse und ihr PW ein, und Outlook sucht an 3. Stelle automatisch nach der URL https://autodiscover.<Standort>.<Domäne>/Autodiscover/Autodiscover.xml.

In der externen Zone kann für diese zusätzlichen SMTP-Domänen jeweils ein Host-Eintrag (A) sowie ein SRV-Eintrag (_autodiscover._tcp.<SMTP-Domäne> getätigt werden. Das funktioniert in anderen Organisationen einwandfrei. Ggf. kann ein HTTP Redirect über Port 80 an einem der Standorte eingerichtet werden, sofern eine freie öffentliche IP verfügbar ist.

http://blogs.technet.com/b/exchdxb/archive/2012/05/10/troublshooting-autodiscover-exchange-2007-2010.aspx

http://support.microsoft.com/kb/2612922

POP-Abholung muss bei Deiner Konfiguration sein, da Zustellungen an die gleiche SMTP-Domäne in 3 verschiedene Exchange-Organisationen ein Problem sind. Wenn Du mit Standort-spezifischen SMTP-Domänen arbeitest, könntes Du aber auf SMTP-Zustellung wechseln.

Mir erschliesst sich der Inhalt des Bildes nicht, da zu klein. :(

Aber eine Grundsatz-Aussage: Vermeide Deny-Einträge für GPO. Erstelle stattdessen eine Sicherheitsgruppe für die Benutzer oder Computer, für die ein GPO wirksam sein soll, und arbeite mit der Sicherheitsfilterung. Das funktioniert immer und ist die empfohlene Vorgehensweise.

Mir sind sehr grosse AD-Infrastrukturen bekannt (80'000+ Benutzer), die sich über mehr als 80 Länder erstrecken. Die kommen mit einer einzigen Domäne bestens zurecht. Jede weitere Domäne verursacht weiteren Aufwand, wie Norbert bereits zu bedenken gegeben hat. Jede Domäne braucht nicht nur minimal zwei Domänencontroller, sondern eigene OU-Strukturen, eigene GPO, eigene Administratoren, es müssen Namens- und Verwaltungskonzepte festgelegt und durchgesetzt werden, Mitgliedschaften in wichtigen Sicherheitsgruppen kontrolliert werden (jede Domäne hat Domänenadmins... ;) ), die Dokumentation wird umfangreicher und eine AD-Wiederherstellung aufwändiger, etc. Evt. existieren Anwendungen, deren Lizenzierung auf eine Domäne beschränkt ist (mir sind z.B. entsprechende Dokumentensysteme bekannt). Man tut sich also meisten sehr viel mehr Arbeit an, ohne wirklichen Gewinn daraus zu ziehen.

Es muss nicht möglichst kompliziert sein. Alles Geniale ist einfach...

Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013.

Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen Sicherheitsgruppen sind.

Es hat sich für Admins auch in hochsicheren Umgebungen bewährt, möglichst nahe am Standard zu arbeiten. Wenn es kritische Objekte in AD gibt, die Du vor Deinen Benutzern verbergen willst, kannst Du auch eine versteckte OU-Teilstruktur erstellen und die Objekte darin platzieren.

Ebenfalls zu bedenken ist die Option "Restore defaults" in den "Advanced Security Settings" von OUs und Domänen. Diese Option stellt ohne weitere Nachfrage die standardmässigen ACL wieder her, und all die liebevoll gepflegten zusätzlichen Einträge sind weg (inkl. Berechtigungen für Exchange) resp. die ggf. entfernten "Authenticated Users" wieder da. Wenn Du AD also hoch sicher machen möchtest, gibt es weit mehr anzufassen, wie Nils schon angemerkt hast ("Restricted Groups" fallen mir u.a. ein). Und es kann Dir niemand garantieren, dass Dir die Änderungen nicht irgendwann auf die Füsse fallen, weil Microsoft in seiner Road Map nicht Deine kundenspezifischen Anpassungen berücksichtigt hat. :D

Zertifikatsanforderungen lassen sich GUI-basiert oder mit dem Kommandozeilenwerkzeug "certreq.exe" handhaben. Dokumentation gibt es bei Microsoft.

http://technet.microsoft.com/en-us/library/cc754246.aspx

http://technet.microsoft.com/library/cc725793.aspx

GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> "Ausführliche im Vergleich zu normalen Meldungen" -> aktivieren

Du solltest Dich eingehender mit den Grundlagen von DNS und speziell "Split-DNS" beschäftigen, z.B.:

http://msdn.microsoft.com/en-us/library/ms954396.aspx -> "Using Split-Brain DNS"

http://technet.microsoft.com/en-us/library/cc772774(v=ws.10).aspx

1. warum treten Probleme immer Freitag kurz vor dem Feierabend auf?  :p

Weil nicht jeder es schafft, konzentriert bis zum Ende durchzuziehen. ;)

2. weshalb kommen Mails von einem Kunden mit 8 Stund verspätet an (Empfänger Exchange 2010)? Wo könnte ich nach den Ursachen suchen, der Mailheader sagt leider nichts aus.

Bist Du sicher, dass es ein Empfänger- und nicht ein Absenderproblem ist? Vielleicht kommen die E-Mails verspätet an, weil sie verspätet ausgeliefert wurden?

Es heisst übrigens Schemaerweiterung, nicht Schemaersetzung. ;)

http://technet.microsoft.com/en-us/library/cc773309(v=ws.10).aspx

"How the Active Directory Schema Works"

Wahrscheinlich die Edge Rolle.

Wahrscheinlich ja. Habe allerdings bei einem Kunden auch schon einen TMG als Domänenmitglied gesehen, auf dem E2K10 mit CAS/HT/MB installiert war. :shock:

Gemäss Deinem Bildschirmfoto existiert die Partition; sie wird in der Datenträgerverwaltung korrekt und als "fehlerfrei" angezeigt. In der Auflistung der Laufwerke ist sie ebenfalls enthalten, allerdings ohne Darstellung des belegten Speicherplatzes. Das ist das übliche Verhalten, wenn der angemeldete Benutzer keine Zugriffsberechtigung hat. Wurden die Gruppe "Benutzer" aus der ACL des Laufwerks entfernt?

Warum ist der Datenträger 2 in einen dynamischen konvertiert?

Bitte Lösungsvorschläge oder nützliche Infos.

Forderst Du das ein, oder bittest Du darum? Dies ist ein auf Freiwilligkeit basierendes Forum. Lösungen fordern kann man von Leuten, die dafür bezahlt werden.   ;)

Ich werde zurückhaltend, wenn jemand als Problembeschreibung einfach einen ellenlangen Log ins Board kopiert und dann in die Runde ruft: "Bitte eine Lösung her!"

Dein Log weist auf eine fehlerhafte Konfiguration der statischen Adressierung hin. Nun stellt sich die Frage, ob dies Ursache oder Symptom ist. Hierzu müsstest Du etwas fleissiger werden und mehr Information z.B. zur E2K10-Topologie (eine oder mehrere Sites für Postfachserver in der gleichen DAG, etc.) liefern. Du hast auch nicht erzählt, ob Du den Cluster-Validierungstest auf dem einen Knoten, der sich bereits in der DAG befindet, ausgeführt hast oder nicht, und ob darin Fehler oder Warnungen vorkommen. Mir fällts schwer, ohne solche Informationen kluge Lösungsvorschläge zu machen, die nicht aus dem Blauen gegriffen sind.

Meinst Du mit "Upgrade EX2010SP2 TMG", dass Du einen TMG 2010-Server betreibst, auf dem auch Exchange Server 2010 läuft?

Hilft evt. das hier?:

http://support.microsoft.com/kb/2691586

"An update is available for Windows 7 and Windows Server 2008 R2 KMS hosts to support Windows 8 and Windows Server 2012"

Ich meine, dass aus den Logdaten hervorgeht, in welche Richtung zu suchen ist. Hast Du sie selbst auch gelesen oder nur einfach mal schnell ins Board kopiert? :rolleyes:

Nein, ist nicht vorgesehen. Sonst gäbe es bei ausgehenden Regeln ebenfalls einen Reiter "Benutzer".

An anderer Stelle haben wir das mit einer Kombination von verbindlichem Profil und Ordnerumleitungen gelöst. Damit kann man Benutzern zwar das Speichern von Dateien auf dem Desktop nicht verbieten, aber alle auf dem Desktop gespeicherten zusätzlichen Dateien sind nach der nächsten Anmeldung nicht mehr vorhanden. Dies geht einher mit entsprechender Vorab-Kommunikation zu den Nutzern.

Diese GPO wirkt auf die gesamte Domäne.

Da dieses GPO auf die gesamte Domäne wirkt, wirkt es auch auf alle Benutzer in dieser Domäne, die in untergeordneten OUs eingeordnet sind. ;)

Wie kann ich vorgehen,wenn ich diese GPO zwar auf Terminalserver-Benutzer wirken lassen möchte aber nicht auf Benutzer welche sich an einem PC anmelden?

Nicht mit einem GPO, das auf alle Benutzer einer Domäne wirkt...

Ich kann diese Ordnerumleitung ja nur in einer Benutzer-GPO definieren...

Natürlich, ist ja eine Benutzereinstellung. ;) Du kannst aber verschiedene Ordnerumleitungen in verschiedenen GPO festlegen und auf Teilmengen der Benutzer anwenden.

Der Loopback-Modus ist auf "Ersetzen" eingestellt...

Grossartig. Nun müsste man nur noch erfolgreich raten, auf welche Computer-OU die Loopback-Verarbeitung wirkt, ob das Benutzerrichtlinien-GPO mit den Einstellungen für die Ordnerumleitung sicherheitsgefiltert ist, ob die Zielcomputer das GPO mit den Benutzerrichtlinien lesen dürfen, etc.

Die wirkenden Einstellungen kannst Du auf den Zielsystemen mittels ""powercfg -q {GUID des Energiesparplans}" auslesen.

Du möchtest Dich vielleicht in dieser Teilstruktur der Registry genauer umsehen:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes

Dann findest Du hier einige Hinweise:

Managing Power with Group Policy: Part 3 of 3 - Ask the Directory Services Team - Site Home - TechNet Blogs

Deine Überlegung entspricht weder üblichen noch bewährten Methoden der PKI-Migration.

Wenn die bestehende CA keine Zertifikate mehr ausstellen soll, entfernst Du die auszustellenden Zertifikatvorlagen unter dem Knoten "Zertifikatvorlagen".

Eine zweistufige PKI besteht aus einer Offline Root CA, die Standalone und wirklich offline ist. D.h. sie hat keinen Netzwerkadapter, das OS wird telefonisch aktiviert, es werden keine Patches eingespielt etc. In der zweiten Stufe existiert mindestens eine ausstellende Enterprise-CA als Domänenmitglied. Die CRL der RootCA und das Stammzertifikat publizierst Du per certutil.exe in Active Directory und ggf. per http.

Das alles ist ausreichend bei Microsoft Technet dokumentiert und auch hier im Board mehrfach besprochen. Google und die Boardsuche helfen gerne.

Wobei ich RBAC und "einfach" nicht unbedingt in einem Zusammenhang bringen würde.

 

Eher "RBAC ist mächtig, aber dafür auch komplex". ;)

So viel mir bekannt ist, handelt es sich um das Zusammenspiel von Sicherheitsgruppen und ACLs. Die Grundlagen kann man lernen. Komplex scheint mir nur, was ich konzeptionell (noch) nicht verstanden habe. ;)