warbird001

Hallo Alle,

vielen Dank fuer eure Hilfe.
Im laufe der Suche ist mir aufgefallen das ich am Anfang etwas uebersehen habe - DFS.
Der Laufwerke sind in einem DFS eingebunden und werden ueber GPO an die Benutzer verteilt.

Greift der Benutzer(a) direkt auf den Server zu z.b indem er
\\dateiserver\verzeichniss1
im Explorer eingibt dann stimmt alles, die Zugriffsrechte gelten dann wie erwartet.

Greift Benutzer(a) aber ueber den DFS Pfad \\domain.intern\freigabe auf das gleich Verzeichniss zu dann hat er deutlich mehr Rechte als gewuenscht.
Dabei macht es keinen Unterschied ob der Zugriff ueber per GPO gemountetem Laufwerk oder direkt ueber den Explorer erfolgt.

vor 45 Minuten schrieb XP-Fan:

Ist der User auf den Server in der lokalen Admin Grp drin?

Ist er als Domänen Admin unterwegs?

In der lokalen "Administratoren" Gruppe des Servers ist der Nutzer nicht.

In der "Domänen Admin" Gruppe des AD auch nicht.

vor 9 Minuten schrieb XP-Fan:

Hallo,

 

definiere mal bitte genauer was du unter Zugriff verstehst.

 

User sieht Dateien und Ordner, kann aber nicht öffnen / bearbeiten.

User kann Dateien öffnen und bearbeiten.

Der User sieht die Dateien, kann die Dateien Öffnen , bearbeiten und auch Löschen

vor 1 Stunde schrieb Sunny61:

Als der betroffene User in einer cmd ein whoami /groups aufrufen, was wird ausgegeben?

"Administratoren" und "dateiadmins" ist bei "whoami /groups" nicht zu sehen.

Abgesehen von den Gruppen die in "Active Directory Benutzer und Computer" auch zu sehen sind, tauchen da noch ein paar Gruppen auf die ich nicht ganz genau zuordnen kann.

Sowas wie:

NT-AUTORITÄT\INTERAKTIV

NT-AUTORITÄT\Authentifizierte Benutzer

NT-AUTORITÄT\Diese Organisation

LOKAL

Bei diesen Gruppen steht als Typ: "Bekannte Gruppe"

Wenn ich das mit meiner eigenen (non Admin) Benutzeranmeldung vergleiche.... die tauchen auch bei meiner Anmeldung auf.

Guten Tag,

ich habe hier das Problem das ein Benutzer(a)auf DatenVerzeichnisse zugreifen kann auf die er eigentlich keinen Zugriff haben sollte.

Die Rechtevererbung auf diese DatenVerzeichnisse wurde bei Erstellung deaktiviert und die Zugriffsrechte manuell neu gesetzt.

Auf das Verzeichniss haben Zugriff:
"dateiadmins"
"Administratoren"
"system"
"derbenutzer-dem-die-dateien-gehoeren"

Der Benutzer(a) der auf das Verzeichniss Zugriff hat ist nicht
"der-benutzer-dem-die-dateien-gehoeren"
und er ist NICHT Mitglied in den Gruppen
"dateiadmins" und "Administratoren".
Trotzdem hatt er in den Verzeichnissen Read/Write Zugriff.

Wenn ich den beiden Gruppen - "Administratoren" und "dateiadmins" - die Zugriffsrechte fuer das Verzeichniss wegnehme dann hat auch der Benutzer(a) keinen Zugang/Zugriff mehr zu den Verzeichnissen.
Der Benutzer ist aber KEIN Mitglied in den beiden Gruppen.

Wenn man eine Kopie des Nutzers ueber "Active Directory Benutzer und Computer" erstellt, so hat der neue erstellte Benutzer keinen Zugriff.

An der Gruppenzugehoerigkeit scheint es also nicht zu liegen, die sind Identisch.

OS ist Windows Server 2016

Es scheint nur dieser eine (File)Server betroffen zu sein. Auf anderen Servern scheint Benutzer(a) keine auffaelligen Rechte zu haben.

In den AD GPOs und der Lokalen GPO habe ich nicht auffaelliges finden können, weiss aber auch nicht so genau wo ich da genau hinsehen muesste.

Wenn ich mir auf unserem DC in einer Powershell

Get-ADGroupMember Administratoren -recursiv

ansehe ist der Benutzer(a) nirgendwo zu sehen.

Hat jemand ne Idee wo ich noch suchen kann?

Moin,

 

sind die DCs nur DC oder führen sie noch andere Software aus?

Was ist nach dem Hardwareausfall passiert? Wurden die Server nur wieder eingeschaltet? Oder habt ihr was anderes gemacht, z.B. ein Image zurückgespielt?

 

Sofern die DCs nur DC sind, ist es normalerweise am besten, den defekten DC abzuschalten und aus dem AD zu löschen. Da es sich um Windows 2003 handelt, muss man dazu ntdsutil nutzen, der Vorgang ist aber dokumentiert. Könnte allerdings sein, dass man die zugehörigen KB-Artikel nicht mehr ohne Weiteres findet.

 

Die FSMO-Rollen kann man auf einen der anderen DCs übertragen, dabei im GUI bestätigen, dass der alte Server nicht mehr erreichbar ist. Oder mit ntdsutil und seize arbeiten. Der alte Rolleninhaber darf dann nicht mehr online gehen (Netzwerkkabel entfernen und nicht wieder anstecken).

 

Gruß, Nils

Der DC nacht zusaetzlich noch DHCP. Der DC wurde nach dem Crash nur eingeschaltet. Bisher wurde kein Backup/Image irgendeiner Art zurueckgeschrieben.

Hallo Alle

Bei einem Hardware Ausfalls an unserem ersten DC (server1) sind die beiden DCs unserer alt umgebung aus dem Tritt gekommen.
Es handelt sich um zwei w2k3 DCs auf denen eine w2k3 Domaene Laeuft. In der Domaene melden sich keine normalen Anwender mehr an sie muss aber wegen einer sehr speziellen Software bis auf weiteres weiterlaufen.

Auf dem ersten DC(server1) der alle AD Rollen innehat taucht seit dem vorfall die gleiche Fehlermeldung (Ereignisskennung: 13508) auf wie auf dem Server7. Ansonsten ist auf server1 nichts weiter zu sehen.
Auf den anderen server(server7, server4) taucht unter anderem noch Ereignisskennung: 4 KRB_AP_ERR_MODIEFIED auf.

Mir sind fuer so eine Situation 2 Moeglichkeiten Bekannt:
1. Den server1 non-Authoritiv aus einem Backup wiederherstellen,
   -> server1 vom Netz trennen, mittels ntbackup non-authoritiv wieder einspielen, neu starten, netzwerk anschliessen und hoffen das die zwei sich wieder syncronisieren.
   Ich bin mir aber unsicher ob das beim Inhaber aller AD Rollen so einfach machbar ist.

2. Den Server1 komplett entfernen und server7 mittels ntdsutil (SEIZE) zum Inhaber aller Rollen zu machen.

Ist das so richtig oder gibt es bei Ereignisskennung 4 - KRB_AP_ERR_MODIFIED noch einen anderen Loesungsweg?
Die Kompletten Ferhlermeldungen habe ich unten angehaengt.
Danke.

ciao
Stefan:wq

Der zweite DC (server7) bringt seit dem Vorfall folgende Meldungen im Ereignissprotokoll:

Bereich Verzeichnissdienst:
---
Ereignistyp:    Warnung
Ereignisquelle:    NtFrs
Ereigniskategorie:    Keine
Ereigniskennung:    13508
Datum:        26.03.2017
Zeit:        16:27:12
Benutzer:        Nicht zutreffend
Computer:    SERVER7
Beschreibung:
Der Dateireplikationsdienst konnte die Replikation von SERVER1 nach SERVER7 für c:\windows\sysvol\domain mit DNS-Namen server1.ausbildung.XXX.de nicht aktivieren. Es wird ein neuer Versuch gestartet.
 Mögliche Ursachen für diese Warnung sind:
 
[1] Der DNS-Name server1.ausbildung.xxx.de von diesem Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf server1.ausbildung.xxx.de nicht ausgeführt.
[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.
 
 Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 21 07 00 00               !...    


Bereich System:
Ereignistyp:    Fehler
Ereignisquelle:    Kerberos
Ereigniskategorie:    Keine
Ereigniskennung:    4
Datum:        27.03.2017
Zeit:        10:24:36
Benutzer:        Nicht zutreffend
Computer:    SERVER7
Beschreibung:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war . Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---

Auf den 2 Mitgliesservern der Domaene tauchen folgende Fehlermeldungen immer wieder auf:
Im Bereich System:

---
Ereignistyp:    Fehler
Ereignisquelle:    Kerberos
Ereigniskategorie:    Keine
Ereigniskennung:    4
Datum:        27.03.2017
Zeit:        12:13:57
Benutzer:        Nicht zutreffend
Computer:    SERVER4
Beschreibung:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war DNS/server1.ausbildung.xxx.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Im Bereich Anwendung:
Ereignistyp:    Fehler
Ereignisquelle:    Userenv
Ereigniskategorie:    Keine
Ereigniskennung:    1030
Datum:        27.03.2017
Zeit:        11:41:33
Benutzer:        AUSBILDUNG\adm
Computer:    SERVER4
Beschreibung:
Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Ereignistyp:    Fehler
Ereignisquelle:    Userenv
Ereigniskategorie:    Keine
Ereigniskennung:    1058
Datum:        27.03.2017
Zeit:        04:40:01
Benutzer:        AUSBILDUNG\Administrator
Computer:    SERVER4
Beschreibung:
Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={2DB7F410-FBBF-4A0F-91F8-E4358F91C537},CN=Policies,CN=System,DC=ausbildung,DC=xxx,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ausbildung.xxx.de\SysVol\ausbildung.xxx.de\Policies\{2DB7F410-FBBF-4A0F-91F8-E4358F91C537}\gpt.ini> vorhanden sein. (Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---

 

Hallo Alle


Wenn ich einen Windows 2012R2 Server als DC in eine Domaene Einbinden will in der bisher nur 2008R2 DCs vorhanden sind und die im 2008R2 Modus betrieben wird, will der 2012R2 eine Schemaerweiterung durchfuehren?
Ist es nach diese Schemaerweiterung noch moeglich neue 2008R2 DCs einzubinden, oder bin ich ab da auf 2012R2 und neuer festgelegt?

ciao
Stefan:wq

Hallo Alle,

Ausser dem Klassiker \ hatte ich auch einige andere escapings bzw encodings fuer das Leerzeichen ausprobiert,

U+0020
20
32
%20
#32
\32

als das Problem auftrat hat keins davon geholfen.

Merkwuerdigerweise funktioniert die Anbindung jetzt.
Der Inhalt von AUTHLDAPURL  - ldap://****** - muss in doppelte Anfuehruengszeichen(") gesetzt werden, dann geht sowohl das Leerzeichen als auch deutsche Sonderzeichen im OU Namen. (hier wars ein Ü)
Ich kann leider nicht mehr nachvollziehen was eigentlich das Problem war.
Danke

ciao
Stefan:wq
 

Hallo Alle

Gibt es im AD eine Moeglichkeit eine OU mit einem zweiten Namen anzusprechen?

(So eine Art symbolic Link)

Es geht darum einem Apachen Zugriff per LDAP zu ermoeglichen.

Die OU um die es geht enthaelt Leerzeichen, der Name der OU darf aber nicht geaendert werden.

(Ordre de mufti)

Der LDAP Zugriff funktioniert grundsaetzlich. Nur nicht wenn es um OUs geht die Leerzeichen enthalten.

ciao

Stefan:wq

Hallo Alle

Ich habe hier immer wieder das Problem das Devices (z.b Rechner oder IP Drucker) aus anderen IP Netzen nicht ereichbar sind obwohl sie es sein sollten. Das Problem tritt nur auf wenn der Zugriff aus einem anderen Netz erfolgt sind die Devices im gleichen Netz ist alles in Ordnung.

Erst wenn ich von der IP des betroffenen Devices einen Ping auf das Gateway mache ist die Verbindung auf einmal da. Das Gateway ist unser Core Switch ein HP J8698A 5412zl. Bei den Rechnern ist Pingen vom Rechner zum Gateway kein Problem, bei den Druckern schon. Im Moment regele ich das indem ich den Drucker ausschalte und die IP des Druckers kurzfristig einem anderen Rechner zuordne.
Hat jemand eine Idee was das Problem ist? In den Logs des Switches ist nichts zu sehen. Ich weiss im Moment nicht wo ich weiter suchen soll.
Danke

ciao
Stefan:wq
 

Nein, warum sollte man dazu extra Lizenzen kaufen (sehe ich erstmal keinen Grund)? Hat der Kollege dazu denn auch mal einen entsprechenden Artikel parat, wo er diese Info her haben will?

 

Bye

Norbert

Er ist im Fruehjahr auf einem MS-Lizensseminar (2 Tage) gewesen und meinte das das da erwaehnt worden waere.

ciao

Stefan:wq

Hallo Alle

Hier steht die Installation einer Zertifizierungsstelle auf einem w2k8r2 an, um eigene Zertifikate erstellen zu koennen.
Verwendet werden sollen diese Zertifikate im internen Netz, einem von aussen fuer Mitarbeiter zugaenglichen exchange/owa und
einigen unserer Server auf die via Internet zugegriffen wird.

Nun meint ein Kollege das man bei der Verwendung von mittels Microsoft Software selbsterstellten Zertifikaten extra Lizensen kaufen muesse.
Ich hoere das zum ersten mal. Ist da was dran?

ciao
Stefan:wq

Anwendungen bzw Hilfsmittel die sich nur im Nutzerkontext anpassen lassen haben wir einige. Insbesondere Fehlersuche ist hier in 90% aller faelle gar nicht anders Moeglich als mit der Anmeldung des Benutzers. In unserem "alten" Netz war es noch so das die Passwoerter der Nutzer noch bekannt waren.

Dadurch brauchte der Benutzer nicht umbedingt vor Ort zu sein wenn wir uns um ein Problem gekuemmert haben.

Das mit den Passwoertern soll sich eigentlich aendern.

Wenn dadurch aber Fehlersuche nur mit Termin vor Ort moeglich ist,

nunja ich lass mich ueberaschen wohin das Fuehrt. Das muss dann die Chefetage entscheiden.

Vielen Dank fuer eure Hilfe.

ciao

Hallo Alle

Ein Administrator muss Einstellungen in einem Benutzeraccount vornehmen dafuer setzt er das Kennwort des Nutzers zurueck.
Wenn der Benutzer versucht sich wieder anzumeden bekommt er erstmal nur eine Meldung mit der Aufforderung sich beim
Service zu melden damit diese ihm sein neues Passwort mitteilen.
 

Es ist eine Windows 2008 R2 Domaene (Sowohl Server als auch Modus)

Ist sowas ueber GPO einstellbar?

ciao

Moin,

 

 

ja, sollte gehen.

 

 

Wovon genau wird da abgeraten? Ich sehe jetzt kein grundsätzliches Problem.

 

 

Wenn es um die Frage geht, ob Benutzerkonten direkt Mitglied in DL-Gruppen sein dürfen: Ja, dürfen sie. Das A-G-DL-P-Prinzip ist nur eine organisatorische Empfehlung, keine technische Notwendigkeit.

 

Schöne Grüße, Nils

o.k , scheint erstmal alles geklappt zu haben. Danke Schoen

ciao

Stefan:wq

Hallo Alle

Ich bin im Moment dabei 3 bestehende Forests in einen neuen zu ueberfuehren.
Jeder dieser Forests enthaelt nur eine Domaene. Die drei bestehenden sind ueber
externe Vertrauenstellung mit der neuen Domaene verbunden.
In der Zeit des Uebergangs muessen die jeweiligen Benutzer der 4 Forests auch auf Dateien in den jeweils
anderen Forests zugreifen koennen

Alle Gruppen ueber die Dateizugriffsrechte in den 3 alten Domaenen geregelt werden
sind globale Gruppen. Damit ist erstmal keine Verschachtelung ueber die Forestgrenzen
hinweg moeglich.

Nun ist es hier moeglich diese globalen Gruppen zuerst zu universellen Gruppen und dann wieder
zu lokalen Gruppen zu machen was dann eine Verschachtelung moeglich macht.

Allerdings haette ich dann erstmal  Domaenenlokale Gruppen mit ca 60 Benutzerkonten.
Die koennte ich zwar mit der Zeit in eine andere globale
Gruppe umziehen, aber erstmal haette ich einen Zustand von dem ausdruecklich abgeraten wird.

Muss ich mit Problemen rechnen wenn ich das so mache? Oder wird vorm hinzufuegen von Benutzern
zu domaenenlokalen Gruppen nur aus Organisatorisch / Verwaltungtechnischen Gruenden abgeraten?

Die 3 alten Forests/Domaenen sind alle im Windows 2003 Modus.
Der Neue ist im Windows 2008 R2 Modus.

ciao
Stefan:Wq

Hallo,Haben diese einfachen, dummen Switches denn überhaupt eine MAC-Adress? Ich meine nein, trotzdem habe ich eben mal nachgeschaut, an den hier rumliegenden Dingern ist keine MAC-Adress vermerkt, IP-Adressen an unbekannt sind auch nicht vergeben.

 

Eine MAC-Adresse benötigen nur konfigurierbare Switches. Oder?

 

Wie wollte man denn Adressen auch berücksichtigen, wollte man deshalb die vorhandenen Geräte aufbohren, ersetzen? Auch konfiguriert man doch nicht täglich an den Switches rum. Die MAC-As von Switches sind zu dessen Konfiguration, zu nichts anderen.

 

Weiter, nicht jeder Port jedes Switches im Netz muss zu jedem Zeitpunkt alle Adressen eines Netzes kennen, vielfach ist das vollkommen überflüssig: Der Switch 5 in Raum 203(Gebäude 2) braucht die Adresse des PC 18 in Raum 411(Gebäude 4) nicht kennen, die beiden haben nichts miteinander zu tun. Bei Bedarf lernt der Switch dazu, sendet einen Broadcast. Sollte eine Tabelle mal überlaufen, dann wird sie gelöscht und die Lernerei beginnt von neuem, fertisch ist die Laube.

 

Gibt es ein konkretes Problem, das zur Eröffnung des Thread führte?

Ja, klar.

Es geht um Netzwerkgewschwindigkeit die mitunter stark variert, das gilt

haupsaechlich fuer die Reaktionszeiten, ein Durchsatzproblem habe ich bisher

nicht feststellen koennen.

Es geht auch darum das immer mal wieder in unterschiedlichem Masse

Fehler auftauchen die in der Ereignissanzeige der Clients als

mrxsmb bezeichnet werden.

Kurz gesagt ist das ein Allgemeiner Netzwerkfehler der nicht naeher

spezifizert ist.

Die genau ID und Bezeichnung habe ich derzeit nicht greifbar.

Das ganze Netz ist eine einzige Layer2 Broadcast Domaene.

Interne Router gibt es nicht.

Anzahl der Clients bis zu ca 300 Plus ca 10 Server. Dazu kommen noch Drucker die

direkt ueber IP angesprochen werden.

Wenn ich nun die Managbaren Switches hinzuzaehle komme ich in bzw ueber

den Bereich von 341 der mit den 2KB Switchen gerade noch so abdeckbar scheint.

Hintergrund ist folgender: Der Austauch aller Geraete auf einen Schlag ist

nicht moeglich. Derzeit wird ausgetauscht wenn es im jeweiligen Raum gerade

Organisatorisch guenstig ist.

Stellt sich die Frage ob es was bringt sich unter allen Umstaenden auf die

Raeume mit den alten Geraeten zu Konzentrieren.

Wenn die alten (nicht Managbaren, mit 1024 und 2048 Speicher) Switches bei

der Zaehlung der Mac's miteingerechnet werden muessen dann bringt es wars***einlich

nichts. Dann liege ich auf jedenfall bei ueber 400 Mac's .

Hallo,

 

die billigen Switche, werden in der Regel aus 8-Port Controllern von Realtek aufgebaut. In einem 24 Port, sind dann 3 Chips dieser und ein Bridge-Chip enthalten. Diese Chips haben jeweils 8k MAC Einträge.

 

Somit kannst du davon ausgehen, dass dein Switch 8k MACs lernen kann.

 

Alle andere Access-Layer Switche, die ich kenn, haben ebenfalls 8k Einträge (z.B. Cisco). Erst Distribution Layer haben 12k Einträge.

 

mfg

hmm, ein Vergleich mit aktuellen Realtek's hinkt wohl.

Die Dinger sind Schaetzungsweise 4 (Rubytech) bis 10 (Deltacom) Jahre alt.

Die aktuellen Linksys Modelle die wir ebenfalls einsetzen koennen lt. Datenblatt

8000 Eintraege.

Die Frage ist eher ob diese "dummen" Switches in der Gesamtzaehlung

der im Netzwerk vorhadenen MAC's beruecksichtigt werden muessen.

Was für Switche sollen das sein?

Ein kleiner HP Procurve hat zum Beispiel lt. Beschreibung Platz für 8000 Einträge (entspr. 48kB)

 

@Soapp: Der Uplink-Port eines Switches hat all die MAC-Adressen der Rechner eines anderen Switches, daher kann die Tabelle durchaus anwachsen!

Die genauen Typenbezeichnungen habe ich jetzt nicht zur Hand.

Die Herstellernamen sind Deltacom und Rubytech.

Die Dinger haben maximal 8 Ports und werden in der Form nicht mehr hergestellt.

Hallo Alle

Beim nachschauen in diversen Unterlagen ueber Switche bin ich

immer wieder darueber gestolpert das dort

die max Groesse der Mac Tabelle auf 1024 Byte oder 2048 Byte angegeben

wird.

Wenn ich nun ansetze das eine Mac Adresse 6 Byte gross ist heisst das

das die Maximale Groesse des Netzwerks auf 170 bzw 341 Mac's beschraenkt ist?

Nach allem was man so liest sinkt die Netzwerkgeschwindigkeit

stark ab wenn die groesse der Tabellen ueberschritten wird.

Unklar ist mir wie ich da zaehlen muss, das jeder PC eine MAC hatt ist klar.

Zaehlen die Switche selber auch? Solche die mit Weboberflaeche oder aehnlichem

daherkommen bestimmt. Aber was ist mit den kleineren?

danke

ciao

Stefan:wq

Liesdir auch mal diesen artikel dazu durch:

 

Windows Server How-To Guides: Grundlagen der Lizenzierung von Microsoft Produkten, in Volumenlizenzverträgen - ServerHowTo.de

Hab ich getan:

Zitat aus dem Abschnitt "Lizensierung der Server Betriebssysteme"

"Mit jeder CAL darf auf beliebig viele entsprechende Server des Lizenznehmers

zugegriffen werden.

...

Die CALs können wahlweise „per User“ oder „Per Device“ lizenziert werden.

Bei einer Lizenzierung per Device dürfen beliebig viele Mitarbeiter von

dem lizenzierten Gerät aus, auf den Server zugreifen"

In einem bin ich aber unsicher:

Wenn ich

10 Serverlizensen(physikalische Server) und 300 Device Cals(Geraete) habe.

Duerfen dann alle 300 Geraete wahlweise auf die 10 Server zugreifen?

Oder brauche ich dann 3000 Device Cals?

Auf:

http://www.microsoft.com/germany/windowsserver2008/r2-lizenzierung.mspx

Heisst es:

---

"Eine Windows Server 2008 Geräte-CAL erlaubt einem Gerät,

das von einem beliebigen Nutzer verwendet wird, auf Instanzen

von Windows Server 2008 R2 auf den lizenzierten Servern des Unternehmens

zuzugreifen. Die Geräte-CAL ist sinnvoll für mehrere Nutzer,

die abwechselnd von einem gemeinsam genutzten Gerät auf Instanzen von

Windows Server 2008 R2 zugreifen (z.B. in einem Call-Center)."

---

Demnach reichen 300, Oder?

Möglich ist alles aber du brauchst für jede Installation und jedes Gerät eine eigene Lizenz.

Hmm, Installation o.k, Jedes Geraet was heisst das?

Wenn ich einen Server Installiere und z.b 300 User dafuer Lizensiere.

Gilt das dann nur fuer diesen Server?

d.h

Fuer jeden weiteren Server dieser Art muessten wieder z.b 300 User Lizensiert werden?

Was genau meinst du damit?

Bei 2003 kann man anstatt der Nutzer die Anzahl der gleichzeitigen Verbindungen eintragen. Ich weiss aber nicht ob das beim 2008er noch geht.

Hallo Alle

Ich habe hier ein Paeckchen auf dem Tisch liegen, steht drauf:

Windows SrvStd 2008 32 Bit/64 German 1pk DSP OEI DVD 1-4CPU 5 CLt

Wenn ich mit der DVD dem Key nun einen Server Installiere , den ich zuerst als

Teststellung spaeter dann als Produktiv System nutze ,

was muss ich dann beachten wenn spaeter neue Lizensen hinzukommen sollen?

Ist das ueberhaupt moeglich? Kann man den Server dann auch auf Verbindungen Lizensieren?

Der Server soll der erste Domainencontroller fuer ein Netz werden in dem zum

Schluss etwa 300-400 PCs mit Windows XP auf den Clients sein soll.

Die genaue Anzahl der Server die in diesem Netz laufen werden ist derzeit noch nicht absehbar. Koennten 10-30 sein. (einige 2008 bereits vorhandene 2003er)

ciao

Stefan:wq

Ist der zu ersetzende Server wirklich nur Fileserver in der Domäne oder ist er auch DC, DNS, ....?

Er spielt im AD keine weitere Rolle. Also kein DC,DNS, Exchange oder aehnliches.

Genaugenommen ist das ein Autorisierungs und InstallationsServer fuer eine Spezialsoftware.

Das sieht dann so aus das das Installationsprogramm ein Share auf dem Server erstellt.

Von diesem Share wird die Software dann auf dem jeweiligen Client Installiert.

Bei jedem Start des Programms greift der Client auf das Share zu und holt sich

dort seine Lizens.

Deshalb ist auch die Namensgleichheit so wichtig.

Wenn sich der UNC Pfad aendert

gibts auf jedenfall Aerger mit den Clients, im Schlimmstenfall muesste die

Software auf gut 300 Clients manuell neu Installiert werden. )--:

ciao

Stefan:wq