dmetzger

Jetzt nochmals mit dem Hund vor die Tür, und dann unter die Decke. Es treiben sich noch wenige Kollegen hier herum, also lasse ich das Licht brennen, damit keiner im Dunkeln stolpert. Gute Nacht, schlaft wohl.

Wenn die Prüfungen eingetragen sind, dauert es in der Regel bis zum nächsten Arbeitstag, bis auch die Certs erscheinen. Das hat mit einem Batch-Job auf den Servern zu tun, der nächtens zur Redmond-Zeit abläuft.

Ja, da muss man NilsK beipflichten. Wir migrieren ja auf Windows 7, um XP loszuwerden, nicht um plötzlich doppelt so viele Computer (physische/virtuelle) und zwei Plattformen pflegen zu müssen (Lizenzen AV, Aktualisierungen etc.). Sicher eine nette Funktion für daheim, aber nicht für ein Umfeld mit 200 PCs.

Installiere eine Windows Server 2008 R2-VHD als zweite Boot-Option auf Dein Laptop und richte den Server als Hyper-V ein. Am einfachsten: 1. install.wim von einem W2K8R2-Installationsmedium kopieren; 2. install.wim in eine VHD konfigurieren mittels wim2vhd/imagex: Windows® Image to Virtual Hard Disk (WIM2VHD) Converter - Home 3. vhd als Startoption einbinden mittels bcdedit

Hallo Hier ist es grau-blau und windig, aber noch trocken. Soll später etwas regnen, bevor es wieder aufklart. Ist halt November. Gestern den ganzen Tag unterwegs, Sitzungen mit bestehenden Kunden, Sitzungen mit neuen Auftraggebern, es geht um Migrationen aller Art. Heute eine zweite Gasflasche fürs Motorhome geholt und dann ab mit dem Hund in den Wald. Am Nachmittag muss ich noch eine Analyse zu einer Schemaerweiterung schreiben und verteilen, es geht um Token-Anmeldungen. Alles in bester Ordnung, alles sauber inklusive OID, und ADAM meldet auch keine Konflikte. Machts gut, schau später mal rein, damit nicht das Licht die ganze Nacht ins leere Zimmer leuchtet.

Es ist einfach, mit einer Google-Suche nach dem Satz "Pro User wird mit 10MB zusätzlichem Arbeitsspeicherbedarf gerechnet" herauszufinden, um welche Software es sich handelt. Da die Systemvorausetzungen öffentlich publiziert sind, spricht nichts dagegen, sie in freier Rede zu disutieren. Ich darf nicht davon abraten, sie zu verwenden, weil ich weder die Qualität der Software kenne und beurteilen kann noch weiss, zu welchem Zweck sie in diesem Fall verwendet werden soll. Für meine eigenen Kunden kann ich sie auf Basis der Anforderungen und Bedingungen hingegen nicht empfehlen. Man könnte sie je nach Stuimmungslage sogar als anmassend empfinden, indem die Sicherheitsarchitektur des Netzwerks diktiert wird - zu verwendende Firewall, zu verwendende AV-Software, IP-Konfiguration der Clients (wahrscheinlich zur Lizenzkontrolle), Verzicht auf Sicherheitsaktualisierungen, Verzicht auf VoiP (QoS ausschalten), lokale Administratorenrechte, Ausschalten der UAC etc. etc. Das ist schlicht nicht hinnehmbar, und in meinem Fall würde ich für meine Kunden nach einer anderen Lösung suchen.

Ja Die virtuellen Verzeichnisse auf dem SBS 2003 lauten "/remote" für den RWW respektive "/exchange" für OWA.

Wenn Ihr nicht gerade täglich viele Tausend PCs in Eure Domäne aufnehmt, könnt Ihr den KMS auf irgendeinem W2K8R2 installieren, der nicht ausgelastet ist. Tipp: Installiert den KMS auf mehreren W2K8R2 zwecks Ausfallsicherheit. Der erste KMS wird automatisch in DNS eingetragen, die weiteren müsst Ihr manuell ergänzen. Auf den KMS-Servern muss eingehend Port 1688 für den Schlüsselverwaltungsdienst geöffnet sein. Ggf. an Firewalls zwischen Subnetzen/Standorten etc. denken und die Advanced Firewall des W2K8R2 prüfen, ob die Regel für Domäne aktviert ist.

Ich schaue mir das später am Tag genauer an, wenn Du bis dann keine Hilfe erhalten hast. Die Logs geben den einen oder anderen Hinweis, aber ich bin jetzt dann bis zum sehr späten Nachmittag bei Kunden und werde nur zwischendurch ins Board schauen. Eine Frage: - ist RRAS auf dem SRV2003-LOKAL installiert?

Willkommen im Club! UAC, die Advanced Firewall und IPv6 sind drei Dinge in Windows 7, die man nie ausschalten soll! Wir haben schon unter XP als Standardbenutzer gearbeitet. Es gibt ja den "runas".

Guten Morgen, Ja, es riecht herrlich nach frischem Kaffee von Edgar. Wo ich herkomme, weiter im Süden, ist es schön und für November mild, dafür gibts keine Küsten, aber Berge. Sieht ganz nach einem blauhimmligen Tag aus. @Edgar, das erinnert mich daran, ebenfalls noch Holz zu holen für den Winter, sonst wirds nichts mit dem Grillieren im Kamin an den freien Abenden, und der Hund wartet vergeblich auf einen Knochen zum Säubern. @Esta, kommt mir bekannt vor, unterrichte zwei Nachmittage die Berufsschüler. Es wird besser mit dem Alter - im ersten Jahr zappeln sie, im vierten sitzen die übrig Gebliebenen in sich gekehrt im verdunkelten Schulzimmer mit blau beleuchteten Gesichtern hinter ihren Laptops und installieren virtuelle Server für ein WDS-Projekt. Dann muss man sie manchmal anstupfen um zu sehen, ob sie sich noch bewegen...

Innerhalb der gleichen Site beginnt die Replikation zwischen Domänencontrollern üblicherweise nach 15 Sekunden und ist im Regelfall nach weniger als einer Minute abgeschlossen. Du kannst den ersten Domänencontroller somit herabstufen und ausser Betrieb nehmen, sobald für den zweiten Domänencontroller nach dem Heraufstufen der ersten Neustart erfolgt ist und Dich mit den AD-Verwaltungsinstrumenten (Benutzer und Computer, Standorte und Dienste) und der DNS-Konsole überzeugt hast, dass alle Daten vollständig übernommen wurden. Du brauchst nicht Stunden oder Tage zu warten.

Ich sehe Replikationsfehler in der Zusammenfassung. Mit den vorhandenen Informationen fällt es mir schwer, ein Bild von Deiner Umgebung zu bekommen, insbesondere woher die Replikationsfehler kommen und zu welchem Zweck in der Domäne Zertifikate ausgestellt wurden. Je nachdem kannst Du die abgelaufenen Zertifikate von den Computern entfernen und ohne interne CA leben, oder Du musst eine neue installieren und die Verteilung von Zertifikaten konfigurieren. Es sprichts nichts dagegen, eine Stammzertifikatsstelle in einer kleineren Umgebung auf einem Domänencontroller zu installieren. In einer grösseren würde ich zweistufig mit Offline RootCA (Standalone) und AD-integrierter IssuingCA arbeiten. Ich meine aus Deinen Informationen jedoch zu lesen, dass Zertifikate von untergeordneter Bedeutung sind. Die zwei wichtigsten Fragen im Moment sind somit: - woher kommen die Replikationsfehler (-> dcdiag.exe)?; - wozu wurde die Zertifikatsstelle ursprünglich eingerichtet, welche Dienste sind davon abhängig, warum wurde die CA später entfernt?

Im Prinzip empfehle ich, Domänencontroller dezidiert als Domänencontroller/DNS-Server laufen zu lassen. Sie sind das Herzstück des Netzwerks und verdienen dies in einer Umgebung mit 80 Nutzern. Es vereinfacht auch die Wiederherstellung, wenn nicht noch jede Menge anderer Dienste darauf laufen. Wie viele Server Du am Ende benötigst und welche Rollen und Dienste Du bündelst, hängt von der Umgebung und der Last ab. Je nachdem können die DCs tatsächlich auch als Dateiserver herhalten, oder die Firma entschliesst sich für dezidierte Dateiserver, die dann z.B. auch die zentralen Druckdienste und DHCP bereitstellen. Wenn aber das Geschäftsmodell der Firma das Drucken zehntausender Seiten täglich ist, möchte sie vielleicht dezidierten Druckserver mit Ausfallsicherheit, etc.

Grundsätzliche Antwort: Das Failover-Clustering der AD-Datenbank ist nicht unterstützt und funktioniert aus einleuchtenden Gründen nicht. Man kann allerdings Domänencontroller als Knoten eines Failover-Clusters für SQL Server nutzen, wobei Microsoft dieses Vorgehen nicht empfiehlt. Man stuft die Server zuerst zu Domänencontrollern hoch und installiert anschliessend den Clusterdienst, wobei gewisse (Leistungs-)Einschränkungen und zusätzlich auszuführende Massnahmen gelten: Windows 2000, Windows Server 2003, and Windows Server 2008 cluster nodes as domain controllers Meinem Kunden würde ich in dieser Situation empfehlen, professionell mit 4 Servern zu arbeiten: - 2 mal Domänencontroller/DNS - 2 mal SQL Server als Failover-Cluster

Nein. Das muss mit einem Redirect (z.B. vorgeschalteter ISA Server/TMG oder direkt auf dem Webserver) eingerichtet werden. Aus dem bisherigen Schriftverkehr meine ich Wissenslücken zu DNS zu erkennen. Diese Lektüre hilft, diese Lücken zu füllen: http://www.microsoft.com/germany/technet/datenbank/articles/600911.mspx

So ist es. How to Choose the Right Volume License Key for Windows

Faules Pack! Wieder keiner da! *Licht an* @Esta: Du bist wahrscheinlich noch im Bett, denn der Praktikant schuftet ja für Dich :rolleyes:

Wireshark Go deep.

Abgesehen von Microsoft Technet ist dieses Buch das aus meiner Sicht beste, das zu Windows Server 2008 R2 geschrieben wurde. Es enthält umfangreiche Passagen zu AD und AD Design: Amazon.com: Mastering Microsoft Windows Server 2008 R2 (9780470532867): Mark Minasi, Darril Gibson, Aidan Finn, Wendy Henry, Byron Hynes: Books

Du suchst diese Richtlinie wahrscheinlich direkt auf dem Windows Server 2008 R2. Dessen Richtlinienvorlagendateien enthalten diese Einstellung nicht, jedoch die Richtlinienvorlagendateien in Windows 7. Mehrere Möglichkeiten: 1. Auf einem Windows 7-Client die Remote Serer Administration Tools (RSAT) installieren und die Gruppenrichtlinienverwaltungskonsole (GPMC) aktivieren. Die Richtlinie anschliessend per GPMC auf dem Client konfigurieren. 2. Die Richtlinienvorlagendateien des Windows 7-Clients in den Ordner "C:\Windows\PolicyDefinitions" des Windows Windows Server 2008 R2 kopieren (ADMX- sowie die ADML-Dateien im Unterordner der gewünschten Sprachversion) und die Richtlinie anschliessend direkt auf dem Server vornehmen. 3. Auf dem Windows Server 2008 R2 den lokalen Ordner "C:\Windows\PolicyDefinitions" vollständig in die Freigabe \\<DOMÄNE>\SYSVOL\<DOMÄNE>\Policies kopieren. Anschliessend Die Richtlinienvorlagendateien des Windows 7-Clients in diesen Ordner \\<DOMÄNE>\SYSVOL\<DOMÄNE>\Policies\PolicyDefinitions kopieren (ADMX- sowie die ADML-Dateien im Unterordner der gewünschten Sprachversion). Die Richtlinie anschliessend per RSAT/GPMC auf dem Client konfigurieren. Zu Punkt 3 die passenden Informationen: How to create a Central Store for Group Policy Administrative Templates in Window Vista Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Interessant. Heisst das, jemand hat die Zertifizierungsstelle Eurer Domäne einfach so entfernt? Falls dem so ist, müsste eine neue eingerichtet werden. Funktioniert denn die Replikation zwischen den beiden Domänencontrollern noch? ("repadmin /replsum * /bysrc /bydest /sort:delta")

In einer reinen W2K8 R2-Domäne (alle Domänencontroller sind Windows Server 2008 R2, Gesamtstruktur- und Domänenfunktionsebenen sind ebenfalls Windows Server 2008 R2) spielt der Infrastruktur Master oder seine Platzierung keine Rolle mehr, sobald der AD-Papierkorb (Recycle Bin Optional Feature) aktiviert ist: 7.1.5.5 Infrastructure FSMO Role

Im Fehlerprotokoll steht: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war." Daraus ergeht, dass bei der Zertifikatsprüfung kein Zugriff auf die Zertifikatssperrliste besteht. Wahrscheinliche Ursache ist die Konfiguration der PKI-Infrastruktur mit Offline-CA und untergeordneter ausstellender CA. Was mir aus der Ferne an möglichen Gründen und Hinweisen spontan einfällt: - Publizierungsintervall für Sperrlisten der Offline CA ist zu kurz; - die Veröffentlichungspfade für Sperrlisten der Offline CA und/oder deren Reihenfolge wurden in den Eigenschaften der Offline CA nicht angepasst (Timeout nach max. 20 Sekunden, erster Pfad wird während 15 Sekunden versucht, dann folgt der zweite Pfad, der dritte wird nicht mehr versucht; LDAP-Veröffentlichungspfad kann/muss bei einer Offline CA ohnehin gelöscht werden); - Offline CA ist Domänenmitglied (sollte alleinstehend konfiguriert sein und mit dem restlichen Netzwerk nie in Berührung kommen -> NIC deaktivieren, Zertifizierungsanforderung der ausstellenden CA, Sperrliste und ausgestelltes Zertifikat der Offline CA für die untergeordnete CA per USB/Floppy transportieren).

Kann es sein, dass Du Outlook Web Access und Remote Web Workplace verwechselst?