dmetzger

Wie viele Leute sind schon mit dabei? Ich könnte eine Menge über Active Directory vortragen, stundenlang:D

Du darfst als MCT nur MOCs unterrichten, die in Verbindung mit Examen stehen, die Du selbst bestanden hast. Als MCSE 2003 musst Du Dich somit aufdatieren und z.B. die Zertifizierung als MCITP Windows Server 2008 Enterprise Administrator erlangen, damit Du einen vollständigen Lehrgang für diese Zertifizierung unterrichten darfst. Kursteilnehmer bevorzugen Trainer, die ein grosses Praxiswissen im unterrichteten Gebiet einbringen und teils anspruchsvolle Fragen ausserhalb der Lehrmittel ebenfalls beantworten können. Das spricht sich herum und führt zu weiteren Aufträgen.

Hast Du zuvor "eseutil /r" ausgeführt? ("If a database is in a "Dirty Shutdown" state it is strongly recommended that before proceeding with repair, recovery is first run to properly complete database operations for the previous shutdown.") How to Run Eseutil /P (Repair) in Different Scenarios

Nein. Du markierst nur die genannte Teilstruktur als autoritativ. Der Rest der Datenbank ist nicht autoritativ und wird daher beim nächsten Systemstart per Replikation eingehend auf den aktuellen Stand des 2. DCs aufdatiert. Der 2. DC wiederum übernimmt per eingehender Replikation die wiederhergestellte Teilstruktur. Oder den Umgang damit zu lernen und per Richtlinie zu definieren, wer dieses Werkzeug in welchem Umfang nutzen darf. Wir benötigen Adsiedit und den Attribut-Editor fast täglich auch in produktiven Umgebungen und schätzen die Tatsache, dass er ab W2K8 eingebaut ist.

Du wirst somit um einen zweimaligen Neustart eines der DCs nicht herumkommen. Welchen Du nimmst, spielt keine Rolle, es sei denn, Du hast nur vom einen einen Snapshot oder eine Sicherung der ntds.dit (sprich Backup). In diesem Fall nimmst Du den DC, von dem der Snapshot oder die Sicherung existiert. Es gibt einen schnellere und eine übliche Variante. Die schnellere wende ich selbst bei Kunden an, wenn ich die Wiederherstellung vor Ort kontrollieren kann und die Verantwortung trage; sie funktioniert zuverlässig, ist aber nicht offiziell unterstützt. In Deinem Fall möchte ich ausschliesslich ein dokumentiertes und unterstützte Verfahren anführen. Im Grundsatz umfasst dies: 1. DC zur Wiederherstellung bestimmen und über die Systemkonfiguration als Startoption "Abgesicherter Start" -> "Active Directory-Reparatur" wählen (erspart das rechtzeitige Drücken von F8 während des Systemstarts"; 2. System neu starten (Reparaturmodus); 3. AD aus Sicherung wiederherstellen und den Subtree "CN=Public Key Services,CN=Services,CN=Configuration,DC=FIRMA,DC=DE" autoritativ markieren; 4. Startoption über die Systemkonfiguration auf normalen Systemstart ändern. System neu starten. Replikation durchführen "repadmin /syncall /AeP"; 5. Mit Adisedit prüfen, ob der Subtree wiederhergestellt ist; 6. Funktionalität der CA prüfen. Lass mich wissen, ob Du erfolgreich bist.

Ist es der einzige DC, und um welches OS handelt es sich? Die ntds.dit hilft mit Sicherheit. Aber ich muss zuerst die Antwort auf meine Frage erhalten.

Wie bist Du beim AD Restore vorgegangen (Schritt für Schritt)?

Interne Aufrufe von OWA werden somit nicht intern aufgelöst, sondern extern (per DNS-Server von dyndns.info). Versuche Folgendes: 1. Im internen DNS die Zone "dyndns.org" anlegen; 2. den Hosteintrag "www" mit dem IP-Ziel 204.13.248.116 in diese Zone eintragen (damit Du weiterhin die externe Website von dyndns.info aufrufen kannst; 3. den Hosteintrag "wolf-breisach" mit der privaten IP-Adresse des Exchange Server 2010 in diese Zone eintragen; 4. auf dem internen Testclient den DNS Cache leeren (ipconfig /flushdns); 5. erneut intern OWA aufrufen. Was stellst Du fest?

Ok, soweit verstanden. Du willst nur, dass bestimmte eigene Geräte dem Zertifikat vertrauen, nicht die ganze Welt. Wenn der OWA-Zugriff von extern klappt, nicht aber von intern, solltest Du die interne Namensauflösung prüfen (DNS). Hast Du intern eine Zone "dyndns.info" oder "wolf-breisach.dyndns.info" mit korrespondierenden internen IP-Adressen für den OWA-Zugriff angelegt? Kannst Du intern die Adresse für den OWA-Zugang pingen, was sagen nslookup und tracert? Windows Server 2008 oder Windows Small Business Server 2008? Wie genau hast Du das Zertifikat auf dem IIS erstellt - selbstsigniert, Domänenzertifikat einer internen CA? Ist die Adresse xxx.dyndns.info irgendeine fremde oder ebenfalls auf Dich registriert, und hast Du jemals für diese Adresse ebenfalls ein internes Zertifikat ausgestellt? Wie lautet die Adresse ohne Verschleierung?

USB 3.0 hilft bestimmt. Das bedeutet aber die Anschaffung eines neuen Notebooks, das dies unterstützt.

Kommt auf die Umgebung an. Wenn Du eine schnelle Platte hast und eine einzelne VM darauf läuft, ist der Unterschied nicht gewaltig. Mit dem Billig-Notebook mit langsamer Platte werden die VMs auch mal stocken, sofern mehrere VMs laufen sollen (z.B. VMs in zwei Gesamtstrukturen zwecks Test mit Vertrauensstellungen, z.B. VMs zum Üben von Exchange-Migrationen etc.) Falls Du dazu neigst, die VMs auf externen USB-Festplatten zu speichern, solltest Du sie auf mehrere verteilen, falls mehrere VMs gleichzeitig laufen sollen. Wir stellen fest, dass wir Hosts beliebig um Prozessorenkerne und RAM aufstocken können, aber wenig Nutzen davon haben, wenn wir die VMs nicht auf ebenfalls möglichst viele Laufwerke (Spindeln) verteilen können, die zudem möglichst schnell sind (produktiv lieber 15K als 10K). Es finden ja gleichzeitig viele Schreib- und Lesezugriffe auf Platten statt, auf denen mehrere gleichzeitig laufende VMs untergebracht sind. Einfach und einleuchtend genug erklärt? Unsere eigenen Testumgebungen laufen auf zwei Rackservern HP DL380 G6 mit den schnellsten Platten. Das ist zum Anfangen bestimmt völlig unnötig. Wir stellen aber auch für mobile Demoumgebungen mit mehreren VMs fest, dass diese auf einem aktuellen Notebook HP Elitebook 8540w sicht- und spürbar besser laufen als einem HP Compaq 6710b:-)

How certificate chains work Du hast mit Deiner internen CA versucht, ein Zertifikat für die Adresse wolf-breisach.dyndns.info auszustellen? Würde das funktionieren, wären Zertifikate per se ausgehebelt und nutzlos. Ich empfehle folgende Optionen: 1. Stammzertifikat Deiner internen CA manuell auf ActiveSync-Geräte verteilen, damit sie Zertifikaten vertrauen, die Deine interne CA ausgestellt hat. Internes SSL-Zertifikat für OWA mit FQDN Deiner internen Domäne erzeugen (z.B. "webmail.wolf-breisach.de") und dafür sorgen, dass dieser FQDN von extern erreichbar ist (Hosteintrag externer Nameserver, registrierte Domäne z.B. "wolf-breisach.de" und fixe öffentliche IP-Adresse). 2. Kommerzielles SSL-Zertifikat für OWA mit FQDN Deiner registrierten Domäne kaufen(z.B. "webmail.wolf-breisach.de") und dafür sorgen, dass dieser FQDN von extern erreichbar ist (Hosteintrag externer Nameserver, setzt registrierte Domäne z.B. "wolf-breisach.de" voraus und fixe öffentliche IP-Adresse voraus). Kommerzielle SSL-Zertifikate gibt es z.B. bei rapidSSL.com. - Du kannst kein kommerzielles Zertifikat kaufen, das auf die Adresse wolf-breisach.dyndns.info lautet: DynDNS.com SSL Certificates Readme "Third-party SSL certificates cannot be used with our free Dynamic DNS hosts, including the certificates we offer. You may use self-signed certificates for Dynamic DNS hosts. If you need the security of our certificates for business transactions or corporate use, you may wish to create your own domain registration and DNS service and purchase SSL certificates for your new domain."

Was wir tun: - Installation von Windows 7 Enterprise als Arbeits-OS; - Einbindung einer VHD mit Windows Server 2008 R2 Hyper-V als zweite Startoption.

Geht es der Muttergesellschaft darum, dass Ihr die Domäne der Firma A weiter selbst administrieren sollt, ohne dass Ihr Enterprise Admins seid oder Euch zu Enterprise Admins machen könnt? Geht es um die Konsolidierung von bisher getrennten Exchange-Organisationen? Die Leute in diesem Forum möchten Dir uneingeschränkt mit dem Blick aufs Ganze die beste Hilfe geben. Vor diesem Hintergrund würde ich ebenfalls gerne die Beweggründe des IT-Managements verstehen, denn möglicherweise haben sie mit ihrem Vorgehen absolut Recht und wir können ebenfalls etwas lernen.

- Haben die betreffenden DCs mehr als 1 Netzwerkadapter? - Existieren DNS-Einträge auf Netzwerkadaptern der betroffenen DCs, die auf externe DNS-Server verweisen? - Hast Du die DCs selbst konfiguriert, oder übernimmst Du von einem früheren/anderen Administrator/Dienstleister?

Gibts. HP EliteBook 8540w -> 16 GB RAM mit 4 mal 4 GB RAM.

Microsoft empfiehlt 8 GB RAM als Mindestanforderung für einen Exchange Server 2007 mit den typischen Rollen Hub Transport, Client Access und Mailbox. Das ist genau, was unter anderem auf einem SBS 2008 läuft. In Testumgebungen mit weniger als 6 GB RAM ist das Bedienen des SBS keine Freude. Produktiv raten wir in Kundenumgebungen zu 16 GB RAM oder mehr (Maximum ist 32 GB RAM). Wir sprechen in der Regel von Rackservern wie HP DL380, nicht von Notebooks oder PCs. Ein Gedanke zum "klein anfangen". Der SBS ist ein Server für kleine Firmen, nicht ein kleiner Server. Er erfordert Kenntnisse in Active Directory, DNS, DHCP, Exchange Server, SharePoint Services 3.0, Terminaldienste, IIS, Zertifikatsdienste etc.; in der Premium-Edition kommt SQL Server 2005/2008 hinzu. Das ist für den Anfang weit mehr als für die Installation eines Windows Servers mit Basisidiensten nötig ist.

Das ist übliches Verhalten. Du kannst unter einem Namespace mehrere Hundert oder Tausend Ordner mit Ordnerzielen erstellen. Der DFS-Pfad für einen domänenbasierten Namespace lautet jeweils \\<Domäne>\Namespace\Ordner. Overview of DFS Namespaces What's New in Distributed File System in Windows Server 2008 R2

Wenn der Netbios-Name der gleiche bleiben soll, gibt es diesen empfohlenen Weg: 1. bestehende Domäne in eine neue Gesamtstruktur/Domäne mit anderem Netbios-Namen migrieren; 2. migrierte Domäne erneut in eine neue Gesamtstruktur/Domäne mit dem alten Netbios-Namen migrieren. Wir hatten vor zwei Tagen innerhalb der MCM Directory-Gruppe eine E-Mail-Diskussion, in der es genau um diesen Fall ging. Die ebenfalls diskutierte Variante der Umbenennung einer bestehenden Domäne vor der Migration (Rendom, seit W2K3 möglich) wurde mehrheitlich verworfen, da nicht garantiert ist, dass bestehende Anwendungen anschliessend weiter funktionieren. Z.B. wird das Umbenennen einer Domäne nur von Exchange Server 2003 SP1 unterstützt, nicht aber von Exchange 2007/2010. Dazu gibt es einen Technet-Artikel, der dies ausführlich beschreibt, allerdings offenbar mit einem Fehler, der in nächster Zeit von der Exchange-Gruppe korrigiert werden soll (falsch ist darin die Bemerkung, dass KEINE Version von Exchange Server die Änderung des Netbios-Namens unterstützt): Introduction to Administering Active Directory Domain Rename Marc Grote hat dazu eine Anleitung verfasst, mit dem Fazit: "I have tested domain rename only in a Lab environment and I cannot recommend doing a domain rename in a production environment." http://www.msexchange.org/tutorials/Domain-Rename.html Bleibt der Weg, zweimal zu migrieren, mit der damit verbundenen Bürde, dass Du zweimal die ACLs frisch setzen musst. Ich rate persönlich von einer .local-Domäne ab, da wir damit immer wieder verschiedenste Probleme erlebt haben (Apple Macs im Netzwerk, interne PKI etc.). Es spricht nichts dagegen, intern den gleichen Domänennamen zu verwenden wie extern ("firma.de") oder ggf. eine Subdomäne im gleichen Namensraum (extern "firma.de", intern "corp.firma.de"). Es gibt aber da wie in jeder Glaubensfrage unterschiedliche Meinungen mit jeweils einleuchtenden Argumenten, und es wurde hier auch schon reichlich darüber diskutiert, z.B.: http://www.mcseboard.de/windows-server-forum-78/domain-local-lieber-domain-de-117015.html

Und dies ist die Version für W2K8 R2: Server für NIS

Die Abfolge wäre soweit korrekt. Man müsste vor Ort die Logdateien Deines DCs prüfen, um ggf. einen Hinweis zu finden, weshalb die beiden Gruppen nicht angelegt wurden. Ist mir selbst in Testumgebungen mit kombinierten DCs/DHCP-Servern nie passiert. Gemäss Websuche (Foreneinträge) und MS-internem KB bist Du jedoch nicht der Einzige, der sich mit diesem Problem herumschlagen musste/muss. Produktiv rate ich mit Ausnahme von SBS-Installationen davon ab, den DHCP-Serverdienst auf DCs zu installieren. DCs sind in der Regel in meinem Umfeld dezidierte Domänencontroller/DNS-Server/DFSN-Server. Da gibt es die beiden genannten domänenlokalen Gruppen nicht, weil der DHCP-Serverdienst auf Mitgliedservern läuft. Daim beschreibt die Unterschiede in seinem vorab erwähnten Papier.

How to backup and restore SBS 2003 Falls der alte Server noch hochgefahren werden kann, evt. auch: http://support.microsoft.com/kb/884453

Welche Warnung von den ursprünglich vielen meinst Du genau? Wurde sie neu generiert, oder stammt sie noch aus der Zeit vor dem Neustart?

Ja. Hast Du zuerst den DHCP-Server installiert und anschliessend dcpromo ausgeführt, oder umgekehrt?

Der Befehl schreibt keine SPNs, sondern listet die bestehenden für den betreffenden Host auf. Laut dem Ergebnis sind alle benötigten Dienstprinzipalnamen eingetragen - das wollte ich wissen.