IThome

Mal ne Frage, ist auf einem Client, wenn Du nach dem Start RSOP.MSC ausführst, der Computerteil mit einem roten X versehen und wenn Du GPUPDATE /FORCE durchführst und danach wieder RSOP.MSC startest, der Computerteil nicht mehr mit einem roten X versehen ?

Der Tip mit dem anderen Protokoll zum Ausschliessen bestimmter Fehler ist gut ...

Active Directory Benutzer und Computer, Active Directory Schema, Active Directory Standorte und Dienste, Active Directory Domänen und Vertrauensstellungen ...

Ja, das kann man. Was für einen DC hast Du (Betriebssystem) ?

Hm, ich hab das bei Umzügen immer im laufenden Betrieb gemacht. Dazu hab ich erst den Schemamaster, dann den Domain Naming Master und zum Schluss den RID-Pool Master, Infrastrukturmaster und PCD-Emulator umgezogen. Als letztes noch den Standortlizenzserver und alles war gut. Bis jetzt habe ich es immer mit der GUI gemacht (vorher REGSVR32 SCHMMGMT.DLL, sonst kannst Du die Schema-MMC nicht auswählen). Aber mit NTDSUTIL klappt´s natürlich genauso ... Da gibt es eine vorgeschriebene Reihenfolge, wenn ich alle Rollen zeitnah auf einen anderen Server transferieren will ?

Eventuell über das Benutzerrecht "Erzwingen des Herunterfahrens von einem Remotesystem aus" ? Erzwingen des Herunterfahrens von einem Remotesystem Schön ist das aber nicht ...

Und morgen erst (nie wieder Alkohol, nie wieder Alkohol) ... :D

Deine Fehlermeldung deutet darauf hin, dass die Einstellungen für die SMB-Signierung vorher "gegeneinander" konfiguriert waren, z.B. dass der Server wollte , aber der Client nicht konnte. Wenn Du das richtig einstellst, klappt das auch (mit den anderen Clients hat es ja auch mit eingeschalteter SMB-SIgnierung geklappt) ... SMB-Signierung muss nicht laufen, sie bietet ein Stück Sicherheit ...

Hehe, ja, ein bisschen, gestern war nicht wild (Raum vorbereiten, Getränke und Musik hinbringen usw.), aber heute abend geht´s rund (im wahrsten Sinne des Wortes). Vielen Dank nochmal für Eure Glückwünsche, hab ich mich sehr drüber gefreut ... :)

Du klickst gar nicht auf Durchsuchen, sondern gibst den Namen der lokalen Gruppe ein, z.B. Hauptbenutzer. Im oberen Feld fügst Du dann eine Domänengruppe zu , z.B. Domänenbenutzer (da kannst Du suchen). Wenn Du die Administratoren da hingeschrieben hast, musst dort zusätzlich zu der Domänengruppe der Benutzer Administrator und die Gruppe Domänen-Admins zugefügt werden. Gibst Du also als Gruppe die Administratoren an und wählst als Mitglieder die Domänenbenutzer, den Benutzer Administrator und die Gruppe Domänen-Admins , werden alle Mitglieder der lokalen Gruppe Administratoren entfernt und durch die angegebenen 3 Mitglieder ersetzt ...

Vielen Dank an Euch (auch wenn es manchmal ein wenig gehässig ist :D ), wenigstens etwas, was mich heute hoch hält OH GOTT, 40 , in Worten V I E R Z I G :shock:

Du erstellst Dir eine OU, dort hinein kommen alle Computerkonten, auf denen Du die Gruppenzugehörigkeiten geändert werden sollen. In diese OU linkst Du ein GPO, in dem Du unter Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen die Zugehörigkeiten definierst. Bedenke, dass diese Richtlinie ersetzend und nicht ergänzend ist ...

Gibt es Unterschiede in den Einstellungen der SMB-Signierung ? Schalte testweise mal auf dem DC und dem 2000er die SMB-Signierung ab, danach Neustart beider Geräte ...

Man beachte das ;) dahinter ... Der Preis bei diesem Anbieter beträgt 2158,-- € für eine X-550e. Bei diesem Preis sind 2 Jahre Live-Security bei (Livesecurity ist das, was ich mit laufenden Kosten meine). 2 Jahre Livesecurity kosten hier alleine fast 800 Euro . Also kannst Du ja selbst ausrechnen, was der Gerätepreis alleine ausmacht (weit unterhalb 2000 Euro im Bundle, ohne Livesecurity knapp 2000 Euro) ... Naja, Router und VLANs oder was auch immer muss man ja auch konfigurieren können und das mit Rom stimmt auch ... ;)

Wenn er WINS-Server ist, wieso ist er bei den beiden Servern nicht eingetragen ? Oder ist die Ausgabe von IPCONFIG /ALL nicht vollständig ?

Für den IE kann man es erreichen, in dem man "Ausführen" über ein GPO aus dem Startmenü entfernt. Beim Firefox oder Opera ? Keine Ahnung ... :D

Ja, ein DNS-Server, der auf dem DC läuft, mit Active Directory integrierten Zonen, die dynamische Updates zulassen. In den LAN-Einstellungen aller Rechner, die etwas mit der Domäne zu tun haben, steht AUSSCHLIESSLICH dieser Server als DNS-Server und kein Router oder externer DNS-Server ...

Es wurde nicht abgeschafft, das ist ein Bug, für den es einen Patch gibt (tritt nur auf DCs auf) ... Aber warum ICS, benutze, wie Squire schreibt, RRAS ...

Besorg Dir mal die aktuellen Preise, bevor Du hier rumschreist ... ;) unterhalb der Hälfte des von Dir genannten, unteren Preises ... Aber es geht natürlich auch billiger, zumal ja auch laufende Kosten zu berücksichtigen sind. Vorteilhaft ist aber auch, dass ich nicht nur die Netze trennen kann, sondern mir zusätzlich noch Features ins Haus hole, die das gesamte Netzwerk sicherer machen (durch die bessere Filterung). Ich habe diese Box genannt, weil vom TO ein Cisco genannt wurde und die Dinger werden im Allgemeinen nicht zu Schnäppchenpreisen veräussert ... ;)

Da es sich in diesem Fall um die Default Domain Policy handelt, könnte man die Standardrichtlinie mit DCGPOFIX /TARGET:DOMAIN neu erzeugen. Wenn Exchange läuft, müssen zusätzliche Schritte durchgeführt werden ... Dcgpofix The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

An die externe Schnittstelle (frei definierbar) kannst Du entweder direkt das Modem oder auch den DSL-Router anschliessen. Die Büchse ist dann das Gateway für die entsprechenden Netzwerke ... So ganz nebenbei ist die Maschine eine prima Application Layer Firewall/VPN-Gateway(MUVPN) Appliance ...

Wenn schon alle sagen, wie sie es machen würden ... :D Ich würde ne Watchguard X-500 hinstellen mit Fireware hinstellen (6 Schnittstellen) und so die Netze voneinander trennen ...

Wenn Du die Gruppenzugehörigkeiten auf den lokalen Maschinen meinst, kannst Du es via GPO und Eingeschränkten Gruppen machen ....

Was willst Du denn ausgeben ? Router mit mehreren Ports gibt es ja mehrere ...

Poste bitte mal IPCONFIG /ALL des TS und eines Clients ... Habt Ihr mehrere DNS- und WINS-Server ?