stronzo75

Hallo, Ich habe eine Windows 2008R2 Domäne mit Windows7 Clients. Jetzt habe ich in meiner Domäne einen Server auf den nur bestimme User bzw. Rechner zugreifen dürfen und natürlich auch die DC's. Ich habe gelesen, dass man das jetzt am besten mit der Windows Firewall macht. Nur irgendwie funktioniert bei mir das nicht so ganz bzw. es funktioniert schon aber so **** es klingt ich bin mir nicht sicher warum. Hätte jemand von Euch bitte ein Beispiel, wie man das ganze am besten lösen kann. Vielen Dank

Hallo, entschuldige die späte Antwort. Wir haben in einer Außenstelle den RODC installiert, weil dort kein Admin vor Ort ist und wir uns nur etwas absichern wollen, falls etwas mit dem Server wäre und wir dann die Paßwörter einfach zurücksetzen können. Ich mußte den DC neu installieren, weil bei einem RODC gibt es den Punkt Create the DNS directory partition gar nicht. Auf einem normalen DC gibt es den Punkt. Die ForestDNSZone- und DomainDNSZone-Einträge haben bei der ersten Installation wirklich gefehlt. Bei der erneuten Installation hat dann alles gepaßt. Vielen Dank gruß Josef

Hallo, danke für Deine Infos. Das mit dem Create the DNS directory partition habe ich auch schon gelesen. Ich bin mir nicht sicher, ob ich das wirklich machen kann, weil ja der DNS sonst gut funktioniert. Ich werde mir die Hinweise noch am Wochenende genau durchlesen. Hast Du das Create the DNS directory partition vielleicht schon einmal gebraucht. Danke gruß Josef

Hallo, ich habe eine Windows 2003 Domäne bei der ich gerade dabei bin die DC's auf Windows 2008 umzustellen. Jetzt habe ich vor einiger Zeit schon einen Windows 2008R2 DC installiert. Nun habe ich einen Windows 2008R2 RODC installiert und bei der Installation angegeben, dass der RODC mit dem 2008R2 DC replizieren soll. Die Installation des RODC verlief ohne Probleme und im AD werden neu angelegte User zwischen den DC's repliziert. Ich habe nur ein Problem mit dem DNS. Auf den RODC wurden die AD integrierten DNS Zonen nicht repliziert. Es ist auf den DC's eingestellt, dass DNS zu allen DNS Servern in der Domäne repliziert werden soll. Im eventlog vom DNS stehen jede Stunde die Event ID's 4514 und 4513. The DNS server detected that it is not enlisted in the replication scope of the directory partition <partition>. This prevents the zones that should be replicated to all DNS servers in the <forest> forest from replicating to this DNS server. To create or repair the forest-wide DNS directory partition, open the DNS console. Right-click the applicable DNS server, and then click 'Create Default Application Directory Partitions'. Follow the instructions to create the default DNS application directory partitions. For more information, see 'To create the default DNS application directory partitions' in Help and Support. DNS funktioniert ja sonst auf allen anderen DC's und darum denke ich es kann nicht an der Directory Partition liegen. Habt Ihr eine Idee wie ich es schafen könnte, dass der DNS doch noch repliziert wird? Ich habe den DNS schon neu installiert. Das hat aber nichts geholfen. Vielen Dank Josef

Hallo, eigentlich steht keine Beschreibung dabei. Wenn ich die Policy bearbeite öffnet sich das Fenster, wie wenn ich im Internet Explorer unter extras Optionen die Trusted Sites bearbeite. Kann es sein, dass es gar keine Policy gibt um die Trusted Sites zu leeren. Weil wenn ich ja beim XP Client die Trusted Sites händisch lösche und dann ein gpupdate /force mache, dann sind die Trusted Sites da, wie ich es in der Policy eingestellt habe. Es könnte ja sein, dass ein User selber auch Trusted Sites macht und die Policy darum nur neue Einträge dazu macht aber nichts löscht. Aber wie bringe ich dann die alten Einträge los? Vielen Dank für Deine Hilfe gruß Stronzo

Hallo, ich habe auf einem Windows 2008R2 DC die Internet Explorer Enhanced Security ausgeschaltet. Ich habe dann am Server die Vertrauenwürdigen Seiten eingetragen die ich gerne auf die Clients verteilen möchte. Ich habe dann eine neue GPO geöffnet bin dann unter User Konfiguration/Windows Settings/Internet Explorer Maintenance/Security/Security Zones and Content Ratings zu den Policy Einstellungen gegangen. Unter Security Zones and Privacy habe ich den Punkt Import the current security zones and privacy settings ausgewählt und bin auf den Punkt Modify gegangen und habe dann mit Continue bestätigt. Die Trusted Sites die auf dem Windows 2008R2 Server eingetragen sind wurden dann ohne Probleme importiert. Ich habe dann die Policy wieder geschlossen und die Trusted Sites wurden auf alle XP Clienst verteilt. Das hat ohne Probleme funktioniert. Jetzt sollte ich aber wieder ein paar Einträge von den Trusted sites löschen. Ich bin genau gleich vorgegangen wie beim Erstellen der Policy nur ich habe zwei Einträge gelöscht. Ich sehe auch im Setting der Policy, dass die gelöschten Einträge fehlen. Wenn ich die Clients jetzt neu starte oder auch ein gpupdate /force mache, die Einträge bleiben drinnen. Wenn ich aber beim Client alle Trusted Sites händisch lösche und dann ein gpupdate /force mache dann sind die Trusted Sites da ohne die gelöschten Einträge. Irgendwie löscht die GPO nicht die Trusted Sites wenn dort schon Einträge drinnen sind. Habt Ihr eine Idee was das sein könnte? Vielen Dank stronzo

Hallo, danke für die Antwort. In diesem Fall gibt es dafür keine generelle Einstellung? Ich muß in diesem Fall die Mailbox mit der Powershell anlegen. Den User selber kann ich ganz normal im AD anlegen? Danke stronzo

Hallo, ich habe einen Exchange 2007 und ich möchte gerne einstellen, wenn ich eine neue Mailbox anlege, dass OWA und Active Sync standartmäßig deaktiviert ist. Geht das? Danke stronzo75

Hallo, ich habe einen Windows 2008 R2 Terminalserver installiert und z.B: den Calculator über Web veröffentlicht. Der Client ist Windows Vista mit SP2. Jetzt habe ich auch noch SSO eingestellt(Am Terminalserver habe ich unter Sicherheitsstufe verhandeln eingestellt und am Vista Client habe ich die lokale Policy für Delegierung von Standardanmeldeinformationen zulassen eingestellt). Wenn ich mich jetzt mit dem Internet Explorer mit dem TS Server verbinde muß ich mich am Anfang anmelden und dann sehe ich die veröffentlichten Programme. Wenn ich dann auf das veröffentlichte Programm Calculator klicke, bekomme ich wieder eine Anmeldung und ich weiß nicht warum. Eigentlich dürfte er mich hier nicht mehr nach einem Paßwort fragen. Was mache ich falsch? Brauche ich etwa ein gültiges Zertifikat damit SSO auf einem Windows 2008 R2 Server funktioniert? Auf einem Windows 2008 Server hat das ganze sonst ohne Probleme funktioniert. Danke für Eure Hilfe Josef

Hallo, ich habe einen Windows 2008 R2 Terminalserver installiert und z.B: den Calculator über Web veröffentlicht. Der Client ist Windows Vista mit SP2. Jetzt habe ich auch noch SSO eingestellt(Am Terminalserver habe ich unter Sicherheitsstufe verhandeln eingestellt und am Vista Client habe ich die lokale Policy für Delegierung von Standardanmeldeinformationen zulassen eingestellt). Wenn ich mich jetzt mit dem Internet Explorer mit dem TS Server verbinde muß ich mich am Anfang anmelden und dann sehe ich die veröffentlichten Programme. Wenn ich dann auf das veröffentlichte Programm Calculator klicke, bekomme ich wieder eine Anmeldung und ich weiß nicht warum. Eigentlich dürfte er mich hier nicht mehr nach einem Paßwort fragen. Was mache ich falsch? Brauche ich etwa ein gültiges Zertifikat damit SSO auf einem Windows 2008 R2 Server funktioniert? Auf einem Windows 2008 Server hat das ganze sonst ohne Probleme funktioniert. Danke für Eure Hilfe Josef

stimmt danke für Eure Hilfe

OK danke für Eure Hilfe ich dachte nur, dass es für eine Firma mit 60 Leuten einfacher ist, das ganze mit dem Provider zu machen und dadurch hat die Firma weniger Aufwand, da man mit 60 Leuten wahrscheinlich nicht extra einen Mitarbeiter für die EDV hat. Aber das geht natürlich auch, schon auf der Firewall einen Spamfilter einsetzen (dadurch kommen die Spams gar nicht zum Exchange) und den MX Record auf die öffentliche IP des Routers setzen und selber senden und empfangen (so wie ich es bei einem Post geschrieben habe). Ich glaube das würdet Ihr empfehlen.

ja genau sonst macht mein eigener Exchange die Namensauflösung für den MX Record für die Mail die nach extern geht und würde die Mail selber an den Empfänger schicken. So macht das der Smarthost des Providers. Ich habe nur gelesen, dass das für kleinere Firmen am besten ist.

Hallo, Beim Smarthost sehe ich den Vorteil, das ich weniger arbeit habe und mich nicht selber um die Namensauflösung nach extern kümmern muß. Viele sagen immer wenn man eine kleinere Firma hat, sollte man auf jeden Fall einen Smarthost verwenden. Der Kunde möchte, sowenig Aufwand wie möglich und es sollte nicht zuviel kosten. Also DMZ und Edge kommt eher nicht in Frage. Zu dieser Lösung: Falls der Kunde lieber eine gehostete Lösung möchte, kannst du z.B. mit dem Hosted Filtering von Microsoft arbeiten, oder dem eines anderen Anbietern. In diesem Fall wird der MX-Eintrag auf den Hosted Filtering-Anbieter gesetzt. Je nach Anbieter wird die Zustellung nach Intern dann über eine Software realisiert (FPE) oder direkt via SMTP, wo du ein Portforwarding mit passendem Source-Filter setzen würdest. Habe ich das so richtig verstanden: Ich konfiguriere auf dem internen Exchange Server als akzeptierte Domäne die E-mail Domäne die ich beim Provider reserviert habe. Ich mache einen Sendeconnector und gebe dort den Smarthost des Providers an (schon wieder Smarthost). Der Smarthost relayed meine Mails an den externen Empfänger. Ich lasse beim Provider (wenn er das unterstützt) einen MX Record für meine Domäne zu einem Server bei sich machen. Dieser Server filtert dann die Mails auf Spam und Viren (müßen dem Provider dann meine E-mail Adressen bekannt sein? Ich kenne das nur vom SBS wo die POP 3 Konten beim Provider liegen oder nimmt er einfach alle Mails für meine Domäne an). Dann werden die Mails per smtp zu meiner offizielen IP des Routers geschickt. Dort habe ich ein portforwarding auf meinen Exchange (Port 25 smtp und 443 OWA). Auf meinem Exchange habe ich einen Anonymen Empfangsconnector auf einer eigenen IP gemacht. Mein Exchange Server legt die Mails in die Postfächer der User. Die Mails die keinen gültigen Empfänger haben, lehnt mein Exchange dann einfach ab. Ich kann auf meinem Exchange sowieso noch einen Virenscanner installieren und den Antispam von Exchange. Ginge das so? Danke stronzo

Hallo, danke für Deine Antwort. Ich verstehe das nicht ganz: Smarthosts werden nur für den Versand eingesetzt. Was du vorhast ist eher ein Hosted Filtering o.ä. Das kannst du natürlich machen, wir haben eine Kunden die das z.B. mit Cleanmail machen. Die Zustellung erfolgt dann per SMTP. Smarthost nur für den Versand OK. Was meinst Du mit Cleanmail, hat das der Kunde auf seinem Exchange Server installiert (ich glaube das ist eine Software für die Spamfilterung). Könntest Du mir vielleicht ein Beispiel schreiben wie Du es machen würdest bei einer Firma mit ca. 60 Mitarbeitern. Ich habe eine fixe externe IP. Wohin würdest Du den MX Record setzen (würdest Du auf der Firewall von der Firma einen Spamfilter installieren). Mir wäre es am liebsten, wenn ich beim Versand den Smarthost des Providers angeben könnte, der dann meine Mails weiterleitet. Ich mache dann meinen MX Record auf einen Server beim Provider (ich dachte das kann der Smarthost sein über den ich auch schicke) der die Mails für meine Domäne annimmt, auf Spam filtert und an meinen Exchange schickt. Geht das überhaupt so Danke für Deine Hilfe gruß stronzo

Hallo, könnt Ihr mir bitte einen Tipp geben, wie Ihre folgende Aufgabe lösen würdet: Eine Firma mit Exchange 2007 und ca. 60 Mitarbeitern. Ich denke für den Versand von den Mails ins Internet ist es am besten über den Smarthost vom Provider zu gehen, denn ich denke eine direkte Namensauflösung mittels MXRecords für eine so kleine Firma sich nicht rentiert. Ich würde dann den MX-Record von meiner E-mail Domäne auf den Smarthost von meinem Provider machen, dass der dann die Mails bekommt die an meine Domäne gesendet werden. Würdet Ihr jetzt auf dem internen Exchange Server der Firma eine Drittanbieter Programm insallieren um die Mails per Pop vom Provider abzuholen (manche Provider unterstützen ja ein Sammelpostfach zum abholen von Mails die an eine bestimmte Domäne gehen) und dann so an die internen User verteilen? Ich glaube der Vorteil ist hier, dass der Provider auch die Spamfilterung machen kann und falls mein Exchange mal nicht läuft die Mails beim Provider liegen bleiben und so nicht verloren gehen. Oder kann der Smarthost die Mails die an meine Domäne geschickt werden, einfach an meinen internen Exchange weiterschicken (ich muß dann auf der Firewall die Ports freischalten und forwarden auf den internen Exchange) und ich mache bei meiner Firma die Spamfilterung. Dann müßte ich die Mails nicht per POP beim Provider abholen. Oder wie würdet Ihr das ganze lösen? Vielen Dank stronzo

Hallo Frank, danke für die Antwort. Da habe ich geschlafen, Du hast recht, wenn er eingeschränkt ist hat er 4 mal 255 und darum meintest Du das 32er Netz. Danke gruß Stronzo

Hallo, danke für Deine Antwort aber ich komme noch nicht ganz mit. Was meinst Du mit einem 32er Subnetz? Wenn ich z.B. ein Klasse C Netz habe und der Client (es ist z.B. ein Laptop von meiner Domäne) meldet sich in der Domäne an, dann kann er einen ping zum DC oder Fileserver machen oder der User kann auch auf die Freigaben zugreifen. Meinst Du, dass ich im DHCP in der Option 121 nur die Server (bzw Route) angeben kann mit denen der Client kommunizieren darf? Funktioniert das auch in einem Klasse C Netz? Danke Stronzo

Hallo, ich habe einen Windows 2008 DC mit NAP und DHCP installiert. Es funktioniert eigentlich alles ganz gut. Jetzt hätte ich aber eine Frage. Wenn ein Client keine aktuelle Virendefinitation hat möchte ich, dass der Client mittels NAP einem extra DHCP Bereich zugewiesen wird und dort nur Zugriff auf seine Wartungsserver hat. Wenn der Client dann alle Updates bekommen hat, soll er nach einem neustart dem "richtigen" DHCP Scope zugewiesen werden, damit er dann den normalen vollen Zugriff auf die Domäne hat. Geht das? Ich habe im Internet nichts gefunden. Ich glaube nur mit einem Scope Bereich und mit angegeben Wartungsservern geht das nicht. Dann hat der nicht konforme Client ja auch Zugriff auf die anderen Server im Netz. Hat jemand schon Erfahrung damit bzw. geht das ganze nur mit 802.1x? Danke stronzo

Hallo, aehm wo bist Du denn überall dabei Nils? Entschuldigung ich suche die Einstellung ziemlich dringend. Darum habe ich es in zwei Foren geschrieben. Danke für die Antwort. gruß stronzo

Hallo, ich habe eine Windows 2003 Domäne mit Windows XP Clients. Jetzt sollte ich per GPO einstellen, dass die User Ihre Zeitzone ändern dürfen. Jetzt habe ich aber dafür keine Policy gefunden, es gibt nur eine Policy, dass Sie die Systemzeit ändern können. Kann es wirklich sein, dass es eine solche Policy nicht gibt oder habe ich sie einfach nur übersehen? Danke Stronzo

Hallo, ich habe eine Windows 2008 Domäne und einen Vista Client mit SP1. Jetzt wollte ich eine Policy machen, damit eine lokale Gruppe am Vista Rechner erstellt wird. Das ganze hat erst funktioniert als ich den Patch KB943729 Clienterweiterungen für Windows Vista installiert habe. Ich dachte, wenn ich auf dem Vista Rechner SP1 installiert habe, brauche ich den Patch nicht mehr. Liege ich da falsch? Danke stronzo

Hallo, danke für Eure Antworten. Wie funktioniert das genau mit dme KMS Server? Muß ich da beim Server gar keinen Key mehr eingeben? danke stronzo – au ganz vergessen es sind eigene Server nicht für Kunden stronzo

Hallo, ich habe eine Windows 2008 Server CD. Jetzt möchte ich diese CD so herrichten, dass ich den Produkt-Key in die CD integrieren kann bzw. bei der Installation nicht mehr angeben muß. Es gibt ja von Microsoft das Programm Windows AIK wo ich ein unattend.xml File machen kann. Nur dort steht der Produkt-Key drinnen. Kennt jemand den Vorgang wie ich das am besten mache? Das wichtigste ist, dass man nachhher den Key nicht sieht (irgendwo in einem File). Vielen Dank Stronzo

Hallo, ja an so 30 Tage habe ich auch gedacht. Was passiert eigentlich, wenn meine Lease bis jetzt auf 100 Tage eingestellt war und ich stelle Sie auf 30 tage zurück. Kann es da Probleme geben mit den bestehenden Leases? gruß stronzo