dmetzger

Es geht halt nicht mit Bordmitteln des SBS 2003. Irgendwo muss ja auch noch Platz sein für Drittanbieter.

Aha.

Etwas vom Wichtigsten beim Aufsetzen eines SBS 2003 - und man kann das immer nur predigen und wiederholen - ist die Abarbeitung der 10 Punkte auf der Aufgabenliste UNMITTELBAR nach der Installation des Betriebssystems. Das ist Teil der Installation. Microsoft lässt das Fenster nicht einfach aus Spass aufpoppen, sondern weil das Abarbeiten der Aufgabenliste unabdingbarer Bestandteil der Einrichtung ist.

In Zukunft lautet also die erste Frage an jeden, der ein SBS-Problem berichtet: "Hast Du die Aufgabenliste abgearbeitet? Hast Du sie wirklich abgearbeitet? Nein - dann komm später wieder, wenn die Hausaufgaben gemacht sind!"

wenn ich die Server boote ist es doch egal in welcher Reihenfolge dies passiert oder?

Ich würde in einer Domäne immer deren 1. DC zuerst vollständig booten, also hier den SBS, damit die FSMO-Rollen vorhanden und verfügbar sind, wenn die weiteren DCs gestartet werden.

Wie lautet das Ergebnis von "netdom query fsmo" über die Kommandozeile?

Ist das ein Doppleposting? Wird das Thema nicht schon hier behandelt?:

http://mcseboard.de/showthread.php?t=69449&highlight=sbs

Ein manueller Start gelingt auch nicht?

3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Bestätigung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für denselben Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 auf http://support.microsoft.com aufgelistet sind, durchgeführt werden.

So wie es aussieht, vermisst Dein SBS einen 2. DC. Aus Deinem Thread lese ich, dass ein solcher mal existiert hat (Du erwähnst einen W2K3), der nicht fachgerecht aus AD entfernt wurde. Nun findet der SBS seinen Replikationspartner nicht mehr und anerkennt sich selbst nicht mehr als Schemamaster. Da aber die Installation von Exchange Server 2003 eine Schemaerweiterung verlangt (mit adprep.exe /forestprep und adpreb.exe /domainprep), bleibt der Installationsskript des SBS an dieser Stelle hängen.

Was Du nun tun sollst, liest Du aus dem oben zitierten Abschnitt. Ebenfalls solltest Du den in Abschnitt 1 erwähnten AB-Artikel konsultieren.

Am Ende ist es möglicherweise wirtschaftlicher, die Nutzerdaten und Postfächer zu sichern und den SBS von Grund auf neu aufzusetzen, um die Daten anschliessend über ein aktuelles Backup wieder einzuspielen.

Ebenso solltest Du über die Sicherungsstrategie nachdenken. Ein SBS lässt sich standardmässig nicht mit einer Sicherung wiederherstellen, die älter als 60 Tage ist (Verfalldatum der AD-Informationen). Der im SBS eingebaute Sicherungsassistent hilft Dir bei der Konfiguration einer wöchentlichen Vollsicherung, von Der Du wenigstens drei drei letzten aufbewahren solltest. Über NTBackup.exe kannst Du zusätzlich tägliche inkrementelle oder differentielle Backups konfigurieren, von Denen Du ebenfalls wenigstens die letzten drei Wochen aufbewahren solltest, und zwar extern auf Bändern oder Festplatten.

Wie richte ich dann aber ein, dass eine Mail bla@domain.de an blafasel@domain.local geht, und beim Versenden der user \\doman\blafasel als bla@domain.de verschickt wird.

Die Adresse blafasel@domain.de muss die Hauptadresse sein (Standardrichtlinie, wenn diese E-Mail-Domäne für alle Empfänger gilt). Exchange muss für die Zustellung in domain.de authoritativ sein. Die Adresse blafasel@domain.local muss bei den erweiterten Nutzereigenschaften (Reiter "E-Mail-Adressen") ebenfalls eingetragen sein.

Hast Du schon mal versucht, ein neues Adminkonto einzurichten, dieses zur Gruppe der Schema- und Organisations-Admins hinzuzufügen und dann die Installation unter dem neuen Konto durchzuführen?

Ein Client hatte allerdings 3 Dialer und vier Trojaner, die Antivir PE mal eben übersehen hat.

Das höre ich auch immer wieder von anderer Seite. Ein Wechsel scheint angebracht. Versuch vielleicht auch noch ein, zwei andere Produkte, ehe Du Dich entscheidest.

Für mich stellt sich weiter die Frage, ob Du ICS ersetzen solltest. ICS funktioniert in der Regel tadellos, und möglicherwesie wird durch ein Ausweichen auf eine andere Lösung das Symptom bekämpft, nicht aber die Ursache. Damian hat wahrscheinlich recht, wenn er die Malware als Ursache Deiner Probleme vermutet und eine Neuinstallation der Rechner vorschlägt. Allerdings solltest Du diese voneinander trennen und erst wieder vernetzen, wenn jedes System unabhängig voneinander frisch aufgesetzt sowie mit aktueller Antivirensoftware und konfigurierter Firewall versehen ist. Dann solltest Du überlegen, welche Programme in Zukunft noch etwas auf Deinen Rechnern verloren haben. Über die Tauschbörsen wird ja im Moment ziemlich viel elektronisches Ungezifer verteilt, und Du willst ja nach der Arbeit nicht wieder die nächsten Dialer und Trojaner einfangen.

Wenn Ihr schon Experten fragt, dann folgt auch ihrem Rat.

Zu überdenken ist in diesem Fall möglicherweise auch die Sicherungsstrategie. Laut dem angegebenen Datum ist die letzte Sicherung dieses DCs ja schon eine geraume Weile her.

Kriegt McAfee oder F-Secure irgendwo als Download umsonst? Oder müsste ich das kaufen?

Du musst sie kaufen. Ich kann beide Produkte empfehlen, auch G Data und Kaspersky liefern gute Produkte für Einzelplatz- und Netzwerkanwendung. G Data hat auch Pakete für 3 PCs und mehr und im Moment eine Preisaktion wegen Geburtstags der Firma.

Ich kann bisher keine fehlerhafte Konfiguration erkennen. IP-Adressierung ist korrekt. Emule ist bei einer DFÜ-Verbindung sicherlich ein Problem, weil das Programm gleichzeitig unzählige IP-Verbindungen aufbaut, NAT belastet und auch sonst im Netzwerk nichts verloren hat. Wirf es weg und kauf die Filme. Du fährst damit langfristig erheblich besser.

Eine weitere Möglichkeit ist eine unstabile DFÜ-Verbindung. Da müsstest Du mal mit Deinem Provider sprechen. Fakt so weit scheint mir, dass das interne Netz klaglos funktioniert, Gateway und DNS-Server korrekt eingetragen sind, aber eben die Verbindung immer wieder mal abreisst, ausser beim Server. Seltsam scheint mir indes, dass Du offenbar auch dann externe Adressen von den Clients pingen kannst, wenn diese keine Webseiten mehr zeigen können. Das deutet auf DNS-Probleme hin.

Ich bin im Moment zugegeben etwas ratlos, weil ich die Geräte nicht selbst vor Ort untersuchen kann.

Jetzt wären noch die Daten eines Clients vor und während einer Unterbrechung hilfreich.

Ich bin nun bis ca. 22 Uhr besetzt und schau anschliessend wieder in den Thread.

Habt Ihr eine dynamisch zugewiesene IP vom Provider? Welche Fehlermeldungen und NDRs gibt es? Arbeitet Ihr mit einem Smarthost oder mit DNS?

Also grundsätzlich: Wie sieht überhaupt die Konfiguration aus?

Nimm was anderes, nicht den Norton - welcher ist das überhaupt ;)

Man hört über den Norton ja oft wenig Schmeichelhaftes. Ist aber ohnehin ein guter Tipp in einer solchen Situation: Das Antivirenprogramm deaktivieren und ein anderes zur Prüfung heranziehen. Man findet grad auf Maschinen mit Norton AV ganz erstaunliche Dinge, wenn man mal Kaspersky, F-Secure oder McAfee darüber lässt;-)

Mein nächster Vorschlag ist, beim nächsten Auftreten des Problems über die Komandozeile ipconfig /all auf einem der betroffenen Clients auszuführen und das Ergebnis hier zu posten.

Mir scheint, dass das interne Netz problemlos funktioniert, dh. keine Probleme mit dem DHCP-Miniserver des ICS vorliegen. Die Frage ist nun, ob auch NAT funktioniert. Das ist die Netzwerkadressübersetzung, die dafür besorgt ist, dass Daten trotz nur einer externen IP an die korrekte interne IP weitergeleitet werden. Zu diesem Zweck werden Tabellen erstellt. Die Zahl der gleichzeitig aktiven Einträge ist jedoch beschränkt.

Tritt das Problem nur beim Surfen auf, oder sind gleichzeitig andere Programme internetaktiv, zum Beispiel Tauschbörsenprogramme (die NAT sehr, sehr belasten)? Was ist der kleinste gemeinsame Nenner aller Störfälle?

Außer das ab und an mal Warnmeldungen drinstehen, weil das Limit an gleichzeitigen TCP-IP-Verbindungsversuchen erreicht wurde. Allerdings auch dann, wenn die Client-Rechner aus sind.

Hier würde ich nun doch aufhorchen. Möglicherweise hast Du einen Dialer auf dem Serverrechner, der Deine Internetverbindung abklemmt und eine dieser furchtbar teuren Mehrwertnummern zu wählen versucht. Das ist bei DFÜ-Verbindungen ja möglich, anders als bei Breitband. Dazu passen würde auch Deine Beobachtung, dass immer mal wieder ein Einwahlfenster aufflackert.

Nachtrag: Kannst Du Freigaben auf dem Serverrechner von den Clients aus erreichen, wenn die Internetverbindung nicht mehr möglich ist?

Wie bereits gesagt

Du hast vieles schon gesagt, das Problem ist aber nicht gelöst. Darum fragen wir nach.

Für mich sieht Deine Konfiguration eigentlich gut aus. Office den Computern zuzuweisen, funktioniert in all meinen Netzen problemlos. An was kann es also liegen?

Gibt es evt. unterschiedliche Sprachversionen für Betriebssysteme und Office? Ein Berechtigungsproblem kann es fast nicht sein, da sonst die Fehlermeldung "Zugriff verweigert" aufscheinen würde.

versuchts Du möglicherweise, eine Einzelplatzpackung von Office zu verteilen?

Ich habe das jetzt noch mal in meiner Testumgebung nachgeschaut. Wenn ich Office unter Software in der Systemsteuerung entferne wird Office deinstalliert. Nach dem erneutem Öffnen von Software ist das Office-Packet aber wieder da. (ich denke mal es ist veröffentlicht). Beim Versuch eine doc Datei zu öffen oder unter Start Word starten wird es erneut installiert. Jedoch wird es nicht mehr beim Rechnerstart gleich wieder installiert.

Das ist das übliche Verhalten, wenn die Software den Nutzern zugewiesen (nicht veröffentlicht!) wird. Windows Installer legt dann alle Verknüpfungen an, installiert aber die Software nicht. Beim ersten Aufruf eines entsprechenden Dokuments oder Klicken auf eine Programmverknüpfung startet die Installation. Wird das Paket lokal vom Nutzer entfernt, werden die Verknüpfungen bei der nächsten Anmeldung repariert, und das Spiel beginnt von vorne.

Wird eine Software für Nutzer veröffentlicht, werden keine Verknüpfungen angelegt. Stattdessen kann die Software über die Systemsteuerung installiert werden.

Grundsätzlich ist es besser, Office den Computern zuzuweisen, wenn PCs von mehreren Nutzern benutzt werden und alle Zugriff auf Office haben sollen. Sonst findet die Installationsprozedur bei jeder Anmeldung eines neuen Nutzers statt, auch wenn Office auf der gleichen Station schon für andere installiert ist.

Um nochmals nachzufragen: Outlook ist nun den Benutzern zugewiesen, nicht den Computern? Existiert auf den Rechnern der Benutzer auch kein Icon für Outlook (unter "Programme")?

Deine Konfiguration scheint mir absolut korrekt zu sein. Der Exchange muss für die Zustellung zuständig sein, sonst sucht er automatisch extern nach der entsprechenden Domäne.

meines Wissen muss (!) Office (oder in dem Falle Outlook) über ein MST installiert werden.

Per GPO-Softwareverteilung können nur MSI- oder ZAP-Dateien verteilt werden. Das gilt auch für Office.

...sonst würde ich eine Neuinstallation und AD Import/Export vorziehen...

Dies denke ich ebenfalls. In meinen Systemen hat es stets genug aktuelle Sicherungen, die kann man ja auch mal im Nicht-Notfall nutzen;-) Ich zieh jedenfalls in den nächsten Wochen mal einen Probeumzug durch, um gerüstet zu sein, und berichte hier die Ergebnisse.

Danke für Deine Bemerkungen. Gute Nacht!

@Kohn

Ein sehr interessanter Ansatz, tatsächlich. Aber was meinst Du: Würde die Sache mit einem Restore ab Backup nicht auch funktionieren? Oder eben über eine Festplattenspiegelung - eine Platte aus dem alten Server in den neuen, Spiegelung wiederherstellen, SBS neu aktivieren?

Wie alt ist das Image?

Was hier meistens hilft: Computer aus der Domäne in eine Arbeitsgruppe nehmen, neu starten, Computerkonto in AD zurücksetzen, Computer wieder in die Domäne aufnehmen.