dmetzger

Ist schon eine Weile her, dass ich mich mit Windows 2000 Server und Windows 2000 Professional auseinandersetzen musste...:rolleyes:

... aber ich meine mich zu erinnern, dass beide schon eine Ereignisanzeige hatten, in der relevante Einträge zu finden sind.

Du benötigst eigentlich bereits für die sichere Installation des SQL Servers mehrere solche Dienstkonten, z.B. für den Datenbankdienst, den SQL Server-Agenten, die Analysedienste etc.

Dabei handelt es sich oft um Standard-Domänenbenutzer, die bei der erstmaligen Installation eines SQL Servers der Gruppe lokaler Administratoren zugeordnet werden müssen. Nach der Installation des ersten SQL Servers werden sie für den Betrieb dieses und die Installation weiterer SQL Server aus der Gruppe lokaler Administratoren entfernt und bleiben Standardbenutzer mit minimalen Rechten.

Falls Du DCs mit W2K8/W2K8R hast, kannst Du auch mit Managed Service Accounts arbeiten. Diese werden per Powershell erzeugt und sind mehr Computer- denn Benutzerkonten. U.a. ändern sie alle 30 Tage ihr Kennwort, bieten also eine höhere Sicherheit im System. Hingegen kann jedes dieser verwalteten Dienstkonten nur auf einem Server verwendet werden (d.h. Du benötigst für jeden SQL Server auf verschiedenen Servergeräten je eigene solche Dienstkonten). Standard-Domänenbenutzerkonten können dagegen für SQL Server auf mehreren Servergeräten verwendet werden.

Soweit klar?

@Autowolf:

Kennst Du die Suchfunktion dieses Forums?

http://www.mcseboard.de/tipps-links-5/beta-examen-sbs-20111-a-172941.html#post1067891

Denn so einfach ist das nicht, wie sich das anhört.

Doch, so einfach ist es.

1. Auf allen bestehenden Geräten (Server, Drucker, Firewall) mit fixen IP-Adressen die Subnetzmaske auf 255.255.248.0 ändern;

2. DHCP-Bereich anpassen: 192.168.24/21, verfügbarer Adressenbereich (ohne Ausschluss) = 192.168.25.0 bis 192.168.27.254

Alle Geräte mit festen IP-Adressen bleiben im Adressenbereich 192.168.24.1 bis 192.168.24.255, und zwar ohne IP-Adressenänderungen. Alle DHCP-Clients wandern im gleichen Subnetz in den Adressenbereich 192.168.25.0 bis 192.168.27.254.

Das lässt sich im laufenden Betrieb erledigen. :)

Du brauchst das Microsoft Office 2010 KMS Host License Pack:

Downloaddetails: Office 2010 KMS Host License Pack

Ist der Schlüsselverwaltungsdienst (Port 1688) in der Windows Advanced Firewall des KMS-Hosts eingehend aktiviert?

gibt es eine Möglichkeit zu kontrollieren ob der KMS-Host richtig läuft ?

"slmgr -dli" auf dem KMS-Host (ohne An- und Ausführung).

Seid Ihr diesem Hotfix bereits begegnet?:

Event ID 3092 is logged when you try to replicate certain public folder messages from Exchange Server 2003 to Exchange Server 2007

Ich muss zugeben, Dir sprachlich leider nicht folgen zu können. Deutsch scheint nicht Deine Muttersprache zu sein, viele Sätze sind mir unverständlich. Wäre Englisch ggf. besser für Dich?

OT:fragt sich gerade, wie man einem MVP und einem MCM für AD so ignorieren kann, wenn es um AD fragen geht

Das ist das gute Recht des TO. Wir können nur beratend einwirken, doch am Ende muss jeder selbst entscheiden, welchen Weg er gehen will. Nur weil wir es besser zu wissen meinen, heisst das nicht, dass andere unser Wissen würdigen müssen. :D

Alles Geniale ist einfach. Deshalb ist es so schwer zu erkennen.

Muß ich dann auf jedem Domaincontroller diesen Ordner erstellen mit den Office ADMX und en-us ADML Dateien damit die Policy überall wirkt?

Nein, denn jeder Domänencontroller dieser Domäne repliziert die Sysvol-Freigabe und damit auch den darin enthaltenen Ordner "PolicyDefinitions".

alles was du ins Sysvol kopierst wird normalerweise per AD Replikation auf jeden DC repliziert.

Siehe Präzisierung oben. Die Sysvol-Freigabe wird per FRS oder DFSR repliziert.

Best Practices for Sysvol Maintenance

"The System Volume (Sysvol) is a shared directory that stores the server copy of the domain's public files that must be shared for common access and replication throughout a domain."

oder eine Software finden, welche unsere Dateien ohne Replikation nach anderen Server migriert.

Microsoft Outlook -> Exportieren als PST.

Doch was ist mit dem Inhalt des Ordners muß ich das mitnehmen, oder kann ich einfach einen Ordner anlegen unter Sysvol\Policys und dann nur die Office sachen rein kopieren.

Ja, Du musst- Sobald der Ordner "\\<DOMÄNE>\sysvol\<DOMÄNE>\Policies\PolicyDefinitions" existiert, wird automatisch dieser beim Starten der GPMC auf einem DC oder Client nach Vorlagen durchsucht, und was nicht vorhanden ist, kann auch nicht gefunden werden.

Etwas Grundlagenstudium wäre in Deinem Fall sicher von Nutzen, damit Du auch weisst, was Du tust, wenn Du es tust:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Die einfachste Art, die zentrale Ablage zu erstellen, ist das Kopieren des Ordners "c:\windows\PolicyDefinitions" in den Pfad "\\<DOMÄNE>\sysvol\<DOMÄNE>\Policies".

Der Eintrag lautet bei uns 'Nur Sichere'.

Das genügt und ist auch die bessere Wahl, da ausschliesslich Domänengeräte ihre Einträge aktualisieren dürfen/können (siehe ACL auf den jeweiligen Computerobjekten in der DNS-Zone).

In Deiner DNS-Stammzone <DOMÄNE> existiert ein Unterordner "_tcp". Befindet sich darin ein SRV-Eintrag "_VLMCS", der auf Deinen KMS-Server verweist?

ich komme trotzdem noch mal auf die Grundsatzfrage zurück: Warum eine neue Domäne? Gibt es irgendeinen zwingenden Grund dafür?

Wenn die Domäne nicht umbenannt werden soll, würde ich auch eher eine Schemaerweiterung in der bestehenden vornehmen, die neuen DCs einbinden, die alten aus dem System nehmen und die Funktionsebenen hochstufen.

Aufwand zum Testaufbau wurde durch den Linuxer auf 2-3 Mann Tage gerechnet, dann noch Trouble Shooting und die Ungewissheit wie lange es geht,

Installation und Einrichtung Forefront TMG 2010 in einer Standardkonfiguration inkl. Betriebssystem und OWA/ECP = ca. 4 - 5 Stunden.

Willkommen

Das ist jetzt aber eine wirklich rekordverdächtig knappe Problembeschreibung. Du willst umfangreiche Hilfe, aber trägst Deinen Beitrag nicht bei.

Interssant wären z.B. die OWA-Veröffentlichungsregel, die Authentifizierungsmethode auf dem Exchange Server 2003, fehlerbezogene Meldungen in der Ereignisanzeige etc.

Ich werde sie am Freitag ablegen. Am Donnerstag ist zuerst noch eine von zwei Betas für den Lync Server dran. :cool:

Also alle Angaben ohne Gewähr :-)

Na, das ist ja hilfreich. :rolleyes:

Vielleicht mit etwas mehr Gewähr hier:

The Official SBS Blog - Site Home - TechNet Blogs

Discontinued features in Windows SBS 2011 Standard

•Integration with Office Live

•Forefront™ Security for Exchange Server, trial version

•Windows Live® OneCare™ for Server, trial version

•Windows SBS Desktop Links gadget for Windows Vista®

da war je richtig Gedrängel heute früh hier im Thread

Ja, schön dass wieder mehr Bewegung in diesen Thread kommt, eine Weile lang schienen nur Edgar und Esta ihn am Leben zu erhalten. Und natürlich Kamikatze, der oft das Licht zu früh löscht, so dass sich unsereins den Kopf stösst.

Prüfungen korrigieren, Dokumentationen schreiben, Projekte überwachen - das neue Jahr hat angefangen, bevor das alte aufgehört hat, oder so. Die Silversternacht auf dem Campingplatz im warm beheizten Motorhome ist längst eine Erinnerung aus einem ganz anderen Leben. Schön, dass Ihr alle wieder zurück seid. Sogar Daim habe ich heute kurz im Forum bemerkt. :)

So etwas zum Beispiel:

File Replication Software - GlobalSCAPE Wide Area File Services (WAFS) WAN optimization software for fast data access and file replication and synchronization

Abgesehen von MS Firewall-Lösungen ISA 2004/2006 und TMG 2010 hab ich das noch nirgends gesehen.

Schon sind wir zu zweit! :)

Um es klarzustellen:

Ich habe die formularbasierte Anmeldung an OWA erwähnt, nicht Outlook Anywhere. Das OWA-Formular habe ich bis heute nicht auf einer Linux-Firewall entdeckt. Aber ich lasse mir das lernwillig gerne zeigen.

SharePoint 2010 Foundation oder SharePoint 2010 Server.

Direkte Informationen zu Deiner Frage findest Du hier:

Understanding (the Lack of) Distributed File Locking in DFSR - Ask the Directory Services Team - Site Home - TechNet Blogs

Wir bevorzugen die externe Authentifizierung auf einem vorgelagerten Forefront TMG 2010 gegenüber einer externen Authentifizierung direkt auf einem internen Domänencontroller, was ein SBS ja ist.

Ein sichtbarer Vorteil eines Forefront TMG 2010 ist z.B., dass er OWA-Formulare darstellen kann und erst nach erfolgreicher Authentifizierung den Benutzer zum Exchange Server durchreicht (was ein SBS ja auch ist). Eine kleine Linux-Firewall kann das nicht, sondern sie macht Port-Weiterleitungen zum SBS. Man ist als externer Benutzer somit bereits auf dem SBS, bevor man überhaupt mit der Authentifizierung angefangen hat.

Ein Kollege von mir demonstriert regelmässig Sicherheitsverantwortlichen, wohin das führen kann. :D

Was Du suchst, ist:

{-s <Server> | -d <Domain>}

"Connects a computer to a remote server or domain that you specify. By default, dsquery connects the computer to the domain controller in the logon domain."

Dsquery server

Im SBS 2011 ist kein Forefront TMG 2010 enthalten, weder in der Standard Edition noch im Add-on mit einer zweiten W2K8R2-Serverlizenz und SQL Server 2008 R2.

Die integrierte Sicherheit bezieht sich auf Funktionen wie die Header Firewall von Exchange Server 2010 SP1 :D. Im Ernst: die Windows Advanced Firewall, Windows Server Backup, WSUS etc.

Wir empfehlen SBS-Kunden tatsächlich, einen Forefront TMG 2010 vorzulagern. Der muss natürlich separat gekauft werden, inkl. zusätzlicher Serverlizenz für W2K8R2 plus Pizza-Box.