dmetzger

Wie Günther sagt: Ein einziges Zertifikat genügt für einen SBS 2011. Geotrust hat Dir das zweite umsonst angedreht. ;) Mit "Exchange extern einrichten" meinst Du wahrscheinlich externe Clientverbindungen zu Postfächern in Exchange Server 2010 auf dem SBS. Du erwähnst ein Obstgerät, und das sind ja die letzten, die sich um nicht passende Serverzertifikate kümmern. In den "Tools" des Exchange Server 2010 findest Du den Remote Connectivity Analyzer. Der hilft Dir an dieser Stelle möglichweise. Auf dem SBS 2011 solltest Du das Zertifikat über den Assistenten hinzufügen, nicht direkt im IIS.

Was nicht heisst, dass nichts dazu existiert. ;) Wonach Du suchst, ist "Exchange RBAC" und "New-ManagementScope". Das lässt sich mit Google oder der eingebauten Exchange-Hilfe ganz einfach bewerkstelligen. Du müsstest da nicht tagelang darauf warten, dass es einer von uns tut. :rolleyes: New-ManagementScope: Exchange 2013 Help Exchange 2010 Role Based Access Control (Part 1) Role Based Access Control Exchange 2010 | Articles

Vielleicht möchtest Du ein paar mehr Informationen liefern als "Herr Doktor, ich habe Bauchschmerzen, wie bekomme ich die wieder weg?". Was sind die "komischen Nebeneffekte", was steht in der Ereignisanzeige?

msconfig -> "Start": Ist "Abgesicherter Start" aktiviert?

Du meinst also "Single". http://www.mcseboard.de/windows-server-forum-78/dfs-freigaben-erst-sichtbar-dienstneustart-159940.html#post982918 Oder: Unter dem Registrierungsschlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs" zum Wert "DependOnService" den Eintrag "NTDS" hinzufügen. Einen neuen DWORD-Wert "DelayedAutostart" erstellen und den Wert auf "1" festlegen. How to delay loading of specific services

Was hast Du denn für ein AD? :shock: Und wenn Du ganz, ganz genau im Container "Builtin" nachguckst - immer noch nicht? ;) Meistens spät Nachts, oder auch mal zu anderen Zeiten? Z.B. wenn Du versucht hast, diese Gruppe zum Mitglied einer anderen zu machen?

Das solltest Du nach Möglichkeit unterlassen, denn wir haben schon beobachtet, dass zu viel "Herumspielen" mit diesem Dienst die DFS-Replikation beeinträchtigen oder vollständig stoppen kann. Dies betrifft vor allem, aber nicht nur initiale Replikationen. Aus Deinen kurzen Zeilen geht nicht hervor, wie DFSN/R in Eurer Umgebung konfiguriert ist. Dieses Wissen ist für eine seriöse Analyse unabdingbar. Also bliebt es für den Moment bei zwei Links zu Lesestoff, der Dich interessieren könnte: Five ways to check your DFS-Namespaces (DFS-N) configuration with the DFSDIAG.EXE tool - Jose Barreto's Blog - Site Home - TechNet Blogs The Missing Links - Ask the Directory Services Team - Site Home - TechNet Blogs

Willkommen Kannst Du erläutern, was ein "Standalone" Domänencontroller ist? Im Prinzip Ja, da es sich um eine Fehlermeldung handelt. :rolleyes: Können denn Clients per DFSN auf Freigaben zugreifen? Erscheinen die Meldungen in regelmässigen Abständen (stündlich) in der Ereignisanzeige oder nur nach einem Neustart des Servers?

Ein Werkzeug, das wir bei Kunden in solchen Fällen zur Analyse verwenden: Download: Windows Assessment and Deployment Kit (ADK) für Windows® 8 - Microsoft Download Center - Download Details

- Ist das Exchange Server 2010 Service Pack 1 oder höher installiert? - Hat die Sicherheitsgruppe "Exchange Trusted Subsystem" Lese- udn Schreibberechtigungen auf dem Zielordner? - Ist der ausführende Benutzer Mitglied der "Mailbox Import Export"-Rolle? Add the Mailbox Import Export Role to a Role Group: Exchange 2010 Help

Grundlagenwissen zu Dingen, mit denen man sich beschäftigt, schadet nie. :D How Windows Time Service Works: Windows Time Service

Troubleshooting the PXE Service Point and WDS in Configuration Manager 2007 - The Out Of Band Management Support Team blog - Site Home - TechNet Blogs

Hier will tatsächlich jemand das Rad neu erfinden. ;) Neben csvde.exe gäbe es auch das Active Directory-Modul für die Windows PowerShell mit dem get-ADUser cmndlet: Get-ADUser

TMG 2010 mit Mainstream-Support bis 14.04.2015 resp. Extended Support bis 14.04.2020; oder dann ein UAG. Es ist jeweils ein SAN-Zertifikat erforderlich, um die Zugriffs- und Autodiscover-Adressen abbilden zu können.

Alle Deine Fragen werden hier beantwortet: MCSA: The foundation for your career in IT Hier kannst nachschlagen, welche Examen zu welchen Zertifizierungen führen und wie sich die 2008/2008R-Linien von den 2012-Linien unterscheiden.

Ist für die Outlook-Clients der Cache-Modus aktiviert? http://support.microsoft.com/default.aspx?scid=kb;en-us;831124&wa=wsignin1.0

Am 15. und 20. August 2012. Die Resultate sind bei mir sowohl bei Prometric wie im MS Transcript sichtbar.

Ich schlage Kunden jeweils vor, ihre interne Stammdomäne (Gesamtstruktur) nicht als xxxx.de einzurichten, sondern als yyy.xxxx.de (d.h. mit einer Subdomäne des öffentlich registrierten Domänennamens). Der Grund ist DirectAccess, auch wenn Kunden dies zur Zeit noch nicht einsetzen. Entwerfen der DNS-Infrastruktur für DirectAccess "In einer Umgebung ohne Split-Brain-DNS unterscheidet sich der Internetnamespace vom Intranetnamespace. Die Contoso Corporation verwendet z. B. im Internet contoso.com und im Intranet corp.contoso.com. Da alle Intranetressourcen das DNS-Suffix corp.contoso.com verwenden, leitet die NRPT-Regel für corp.contoso.com alle DNS-Namensabfragen für Intranetressourcen an Intranet-DNS-Server weiter. DNS-Namensabfragen für Namen mit dem Suffix contoso.com entsprechen nicht der corp.contoso.com-Intranetnamespaceregel in der NRPT und werden daher an Internet-DNS-Server gesendet." "Bei einer Bereitstellung ohne Split-Brain-DNS ist für die NRPT keine zusätzliche Konfiguration erforderlich, da keine Doppelung der FQDNs für Intranet- und Internetressourcen auftritt. DirectAccess-Clients können sowohl auf die Internet- als auch auf die Intranetressourcen ihrer Organisation zugreifen."

Das ist korrekt. :D Gross im amerikanischen Sinn sind das DOD oder WalMart. Wir sprechen hier von Tausenden von Standorten und vielen 100'000 Clients. Interessant am MCM-Programm ist auch nicht die Goldkante, sondern das in Redmond direkt vermittelte Wissen. Ich hatte bereits mehrere Jahre als MCT die Directory Services unterrichtet und in Redmond trotzdem nach den ersten 2 Stunden das Gefühl, im Chinesisch-Unterricht gelandet zu sein. ;) Ich habe dort in 2 Wochen mehr gelernt und verstanden als in den Jahren zuvor. Das ist der wahre Wert und auch nicht das Ende allen Lernens, sondern erst der Anfang davon. Hier im Board gibts doch zahlreiche Leute ohne MCM-Zertifizierung, die absolut top sind. :cool:

Du fragst Grundlagen ab. Handelt es sich um zwei Gesamtstrukturen oder um zwei Domänen in der gleichen Gesamtstruktur? Gibt es Small Business Server auf einer oder beiden Seite/n? Ist Kerberos-Authentifizierung zwischen Gesamtstrukturen erforderlich? Soll eine Vertrauensstellung mit selektiver oder domänen-/gesamtstrukturweiter Authentifizierung funktionieren? Du solltest Dir jemanden ins Haus holen, der mehr als schwache Erinnerungen zu diesem Thema vorweisen und Dich bei der Umsetzung unterstützen kann. Wenn es sich um eine Vertrauensstellung zwischen Gesamtstrukturen handeln sollte, müssen die Risiken bewertet und dokumentiert werden, damit die Art der Vertrauensstellung sauber geklärt werden kann. Sonst sind ggf. dann Zugriffe möglich, die keiner haben wollte -> Hinweis: "Authentifizierte Benutzer".

Solche Fragen sind nur möglich, wenn minimalstes Grundlagenwissen vollständig fehlt. :rolleyes: How the Active Directory Schema Works: Active Directory "The schema is replicated among all the domain controllers in the forest, and any change that is made to the schema is replicated to every domain controller in the forest."

Weshalb rufst Du denn nicht diskmgmt.msc auf?

Im Moment sind keine weiteren Rotationen für MCM Directory fest geplant. Von daher kann sich der TO sehr entspannen und abwarten, ob und was in dieser Richtung kommen wird. Redmond baut im Moment das ganze MCM-Programm um, und gut möglich ist, dass es tiefgreifende Änderungen geben wird. Klar ist, dass eine nächste Rotation bereits auf Windows Server 2012 basieren würde.

Bitte halte mich auf dem Laufenden. ;) Hatte mich bei einem Kunden mehrere Tage lang nur mit diesem Punkt beschäftigt und den Vorhang mit ProcMon dokumentiert. Das mit der Registrierung müsste soweit einleuchten. Ist ja eine ähnliche Geschichte wie wenn man eine Richtlinieneinstellung aktiviert und später auf "Nicht konfiguriert" setzt.

Nicht wirklich. Aber da wir bei der Anwendung von Richtlinieneinstellungen in die Registrierung schreiben und ein Verweigerungseintrag auf einem bereits angewendeten GPO kein Registry Cleaner ist... ;) Die Einstellungen des Knotens "Internet Explorer-Wartung" werden im Gruppenrichtlinienobjekt (GPO) unter dem Ordner "User" in einer Textdatei gespeichert. (Der vollständige Pfad lautet "C:\Windows\Sysvol\Sysvol\Domain\Policies\ {GUID des GPO}\User\Microsoft\IEAK".) Diese Datei heisst "install.ins" und kann mit einem Texteditor betrachtet werden. Bei der Benutzeranmeldung am Clientcomputer wird die Datei "install.ins" aus der "Sysvol"-Freigabe in die lokale Kopie des Benutzerprofils kopiert. Im ersten Schritt wird ein temporärer Ordner "Custom Settings.tmp" im Pfad "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer" erstellt. Im Ordner "Custom Settings.tmp" wird die Kopie der Datei "install.ins" (sowie weitere Konfigurationsdateien für den Internet Explorer) im Unterordner "Custom0" abgelegt. Zum Abschluss des Kopiervorgangs, der über das Netzwerk erfolgt, wird der Ordner "Custom Settings.tmp" in "Custom Settings" umbenannt. Der vollständige Pfad zur Datei "install.ins" lautet somit: "C:\Users\%username%\AppData\Local\Microsoft\Internet Explorer\Custom Settings\Custom0\install.ins" Und diese Datei wird durch einen Verweigerungseintrag auf dem GPO nicht gelöscht, wenn sie bereits auf dem Client existiert.