Lifeforce

"Lokale" Berechtigungen können für Ordner, darin enthaltene Unterordner und Dateien auf der Basis des NTFS-Dateisystems unterschiedlich gesetzt werden, gelten aber auch, wenn über das Netzwerk darauf zugegriffen wird. "Freigabe"berechtigungen werden für Ordner gesetzt, die für den Zugriff über das Netzwerkfreigegeben werden. Die für die Freigabe gesetzten Berechtigungen gelten gleichermaßen für alle darin enthaltenen Unterordner und Dateien. Die hier gesetzten Berechtigungen haben lokal keine Auswirkungen. Es gibt eine generelle Grundaussage: Freigaben öffnen, NTFS schränkt ein. Denn ist eine Freigabe auf einer NTFS-Partition erstellt worden, gelten beim Zugriff übe das Netzwerk beide Berechtigungsebenen und müssen in Einklang gebracht werden. Dazu werden zuerst die effenktiven Berechtigungen z.B. auf der Freigabeseite ermittelt, dann die effektiven Berechtigungen z.B. auf der NTFS-Seite. Die endgültige Berechtigung ist dann die restriktivere der beiden Seiten. Ausnahme: es wurde eine Berechtigung explizit verweigert, dann geht diese explizite Verweigerung vor.

Eric Tierling, Windows Server 2003, 2. Auflage (Die zweite Auflage muss es sein!) William Boswell, Windows Server 2003 Marc Minasi, Mastering Windows Server 2003 oder, wenn du kein Geld ausgeben möchtest :) aber dennoch gute Informationen willst, dann schau auf die Seite http://www.realtimepublishers.com und registrier dich dort. Dort bekommst du völlig legal Bücher als PDF-Dateien gratis.

Auch mit dem vordefinierten Admin nicht? Sind die NTFS-Berechtigungen auf dem Rechner für C:\ mit Vererbung nach unten für JEDER auf VERWEIGERN gesetzt worden? Dann kann sich auch keiner anmelden.

Du hast 2003 Server installiert. Und daraus einen DC gemacht? Oder ist der neu aufgesetzte Server ein Mitgliedsserver in einer Domäne? Wenn das der DC ist, hast du das über AD Benutzer und Computer durchgeführt, bist dort im Container Users beim Administrator mit der rechten Maustaste ins Kontextmenü gegangen und hast Umbenennen ausgewählt, den Administrator umbenannt, dich sofort abgemeldet und mit dem neuen Namen wieder angemeldet?

Da müsste sowohl ham.local.dns als auch ber.local.dns stehen. Das eine ist dann - jenachdem wo du schaust - die primäre Zone, das andere die sekundäre Zone. Außerdem sollten die Einträge für die Reverse Lookup Zonen auftauchen. Ist dem so?

Der Profilpfad erwartet entweder keine Eingabe (das ist dann das lokale Profil) oder einen UNC-Pfad (das ist der Verweis auf eine Netzwerkfreigabe), wo die servergespeicherten Profile abgelegt werden. Der UNC-Pfad für servergespeicherte Profile hat die Form \\COMPUTERNAME\FREIGABENAME\%username% wobei COMPUTERNAME der Name des Rechners ist, auf dem du das ganze speichern willst, FREIGABENAME der Name für einen freigegebenen Ordner ist (Ordner erstellen und über dir rechte Maustaste ins Kontextmenü in den Reiter Freigabe und das ganze dort erstellen), der für die Gruppe JEDER die Berechtigung VOLLZUGRIFF besitzt. Für den Basisordner gilt sinngemäß das gleiche.

Funktioniert die externe Platte den an einem anderen Rechner? Konntest du das testen?

Was ist das für ein Domänencontroller: Windows 2000 oder Windows 2003? Du arbeitest mit dem Dateisystem NTFS? Ist hier irgend etwas an den Standardberechtigungen verändert worden? Vielleicht hatte die Gruppe "Jeder" Vollzugriff und das wurde aus Sicherheitsgründen geändert. Vielleicht wurde sie durch andere Gruppen mit entsprechenden Berechtigungen ersetzt. Beliebt ist dann dabei, das Systemkonto bei den neuen Berechtigungen zu vergessen (In dem Laufwerk -z.B. C:\-, in dem die Auslagerungsdatei geschrieben werden soll, muss entweder die Standardgruppe "Jeder" oder das Konto "System" Vollzugriff besitzen). Dienstprogramme, die die Auslagerungsdatei verwenden, können sonst möglicherweise nicht ausgeführt werden, wenn das Systemkonto nicht über ausreichende Berechtigungen auf dem Laufwerk verfügt, für das die Auslagerungsdatei konfiguriert ist.

Das mit den sekundären Zonen war schon der richtige Ansatz und ich hätte es genau so gemacht. Wenn du in das Stammverzeichnis des Betriebssystems unter system32 und dort unter dns schaust, sind dort die Zonendateien für die sekundären Zonen also nicht enthalten? Und es steht nichts in DNS-, System oder Anwendungsprotokoll (vielleicht auch eine zeitgleiche Meldung, die vielleicht gar nichts mit DNS ursächlich zu tun hat, aber vielleicht auffallend ist)?

Ja. :) Warum?

Zitat aus: http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&displaylang=en The Active Directory Migration Tool (ADMT) version 2.0 provides an easy, secure, and fast way to either upgrade from Windows NT Server 4.0 to Windows Server Active Directory service or restructure Windows Server Active Directory domains between forests or within a forest. The tool migrates users, groups, and computers between domains in a way that allows users to have access to their resources and applications at all times. Version 2.0 includes new features, such as password migration, a scripting interface, and a command line interface, that make migrations easier. Das unterstrichene dürfte der für dich relevante zitierfähige Teil sein.

IP-Adressen der beiden Server statisch im gleichen Netzwerk konfigurieren. Auf dem ersten Server als Admin anmelden und den Installationsassistenten für das AD "dcpromo" unter Start - Ausführen aufrufen. Du richtest einen DC für eine neue Domäne in einer neuen Struktur in einer neuen Gesamtstruktur ein. Bei den Abfragen musst du einen Domänennamen eingeben, z.B. larifari.local und einige weitere Abfragen beantworten. Du kannst alle bestätigen. Irgendwann sagt er dir, der DNS-Server könne möglicherweise nicht gefunden werden und ob er das für dich erledigen soll. Sag dann einfach ja. Wenn die Hardware und der Platz ausreicht, sollte alles funktionieren. Nach dem Reboot ist dann der erste DC fertig. Wenn der läuft. In der IP-Konfiguration die eigene IP-Adresse las bevorzugter DNS-Server eintragen. Im zweiten Server in der IP-Konfiguration als bevorzugten DNS-Server die IP-Adresse des ersten DC eintragen. Dann auch hier "dcpromo" ausführen als "Weiterer DC in einer bestehenden Domäne". Die Domäne muss dann angegeben werden, z.B. wieder larifari.local und du musst dich mit einem Admin-Konto dieser Domäne ausweisen. Der Rest kann dann bestätigt werden und wenn auch hier Hardware und Platz reicht, läuft das durch. Nach dem Reboot dauert es dann was, bis sich die ADs repliziert haben und dann hast du ein ausfallsicheres AD (aber noch kein ausfallsicheres DNS :mad: ). Aber das ist eine andere Geschichte ...

In der Servercluster-Verwaltung. Hier hast du doch auch den virtuellen Server eingerichtet und die entsprechenden Resourcen zugeordnet. Hier siehst du auch die beteiligten Knoten und welcher Knoten gerade der Besitzer der Gruppen und Ressourcen ist. Übrigens: wenn du dich in die Cluster-Materie einarbeitest, ist das folgende Buch eine wirklich gute Hilfe -> Eric Tierling, Windows Server 2003 (2. Auflage). Die zweite Auflage ist wichtig. Hier wird das Thema Cluster auf gut 60 Seiten grundlegend gut erklärt (und anderes nebenbei auch). Habe ich in keinem anderen Werk bisher so vorgefunden. Ist für eine erste Einarbeitung in die Materie super geeignet. Darauf kann man dann gut aufsetzen.

In welchen Funktionsebenen sind denn die Gesamtstrukturen? Sind in allen beteiligten Domänen ausschließlich W2K3 DCs im Einsatz?

Du warst mit der nächsten Frage schneller. Wäre eine Möglichkeit, du solltest aber die ursprüngliche boot.ini für alle Fälle mit bootcfg /copy sichern. Zeige doch erst mal über die Option bootcfg /list den Inhalt der boot.ini an und poste ihn ggfs.

Der Eintrag des ARC-Pfades in meinem Post war ein Beispiel. Die Frage ist, wie viele Partitionen hatte dein Rechner vorher, wieviele hat er jetzt noch, und wie sah seine boot.ini aus ?

Partitionen werden durchnummeriert, beginnend bei 1. Auf diese Nummerierung wird in der boot.ini im ARC-Pfad Bezug genommen. Sieht z.B. so aus: multi(0)disk(0)rdisk(0)partition(2)\WINDOWS Dieser Eintrag verweist z.B. auf die zweite Partition auf der ersten Platte, dort liegt das Stammverzeichnis des Betriebssystems und damit auch die HAL. Wird nun die Partition 1 gelöscht, werden die Partitionen neu durchnummeriert und die ehemalige Partition 2 wird zur 1. Nur: Die Boot.ini weiß nichts davon und sucht nun das Stammverzeichnis in einer Partition 2, die so ja nun nicht mehr existiert. Du musst also versuchen, an die boot.ini zu gelangen und sie zu ändern.

Welcher Knoten ist denn der Besitzer der entsprechenden Clustergruppe ? :)

Was genau willst du denn machen? ADMT ist für einen Domänenumzug auch zwischen W2K3"Domänen" geeignet. Reine Windows 2003-Server verfügen über kein AD (wenn sie nicht gerade im Application Mode eingerichtet sind).

Alle Antworten findest du hier: http://support.microsoft.com/default.aspx?scid=kb;en-us;316639 Kurz gesagt: generell geht es, aber vorher müssen einige Dinge erledigt werden, und der Weg kann steinig werden ...

Es geht weniger um den SP1 als mehr um das Betriebssystem. Ein "Checked System" ist ein Betriebssystem mit speziellen Debuggingmöglichkeiten und wird in Entwicklungsumgebungen z.B. für die Entwicklung von Kerneltreibern und ähnlichem eingesetzt. Ein normales Service Pack greift hier nicht. Diese Betriebssystemvarianten gibt es im freien Handel nicht zu kaufen. Wenn das nun ein Entwicklungsserver ist, wäre ich mit jeglicher Veränderung vorsichtig. Wenn das ein Server ist, der privat irgendwo steht, möchte ich nicht fragen, woher komt er. Ausnahme - aber das kann ich mir nicht vorstellen - es handelt sich noch um eine Release Candidat-Version oder vergleichbar, dort sind auch noch die Debuggingmöglichkeiten enthalten.

Anwendung von Benutzerrichtlinien auf im AD nicht existierende Benutzer ?

Bestehen die Computernamen aus Groß- und Kleinbuchstaben? Seit XP taucht das beschriebene Phänomen dann auf. Dabei reicht es, wenn in einer Arbeitsgruppe bloß ein Rechner auch Kleinbuchstaben besitzt. Original dürfen NetBIOS-Namen nur aus Großbuchstaben bestehen. Schau mal, ob das bei dir zutrifft. Ansonsten kann es ja nur an den Benutzerkonten (identisch bis hin zum Kennwort auf beiden Rechnern?) und den Einstellungen an den Rechnern liegen (Einfache Dateifreigabe verwenden - auf beiden Rechnern Häkchen gesetzt oder nicht?).

Möglichkeiten zur "Wiedergewinnung der Daten im KB-Artikel 255742 (http://support.microsoft.com/kb/255742/EN-US/) Verfahren zur Wiederherstellung verschlüsselter Datendateien. Wenn da nichts dabei ist, haste du schlechte Karten.

Hatten die Benutzer sich schon einmal an ihren Computern angemeldet, bevor du die Einträge wie beschrieben im Benutzerprofilpfad eingetragen hast ? Dann prüfe doch mal als Administrator auf einem solchen Client unter Systemsteuerung - System - Erweitert - Benutzerprofile - Einstellungen, welcher Profiltyp dort eingestellt ist. Falls lokal, dann ändere ihn auf servergespeichert. Das lokale Profil sollte dann aber physikalisch nicht mehr vorhanden sein.