woiza

Hi, kann dir ein Skript schreiben, verstehe aber deine Verzeichnisstruktur nicht. Kannst du mir die nochmals erklären. Gruß woiza

Hi, ich verwende dafür dieses Tool. Es klinkt sich ins Kontextmenü des Explorers ein und fragt dich dann, was es tun soll. Sehr genial. Gruß woiza

DN ist der distinguishedName, also CN=Domänen-Admins,OU=RootAdmins,DC=test,DC=local". In dieser Form bekommst du die Gruppen aus dem memberOf-Feld. Wenn das nix ist, müsstest du das Script noch erweitern, indem du ein GetObject auf diesen DN machst und dir dann den "Name" oder sonstwas zurückliefern lässt, analog zu dem, was ich mit dem User tue, um das memberOf zu kriegen. Gruß woiza

Hi, der Portquery sieht gut aus. Sehe ich das richtig, dass die roten Server die DCs von DomainA sind und die blauen von DomainB? Kannst du nochmals genau die Fehlermeldung schildern, die du kriegst?

Hier wäre das mal als Beispiel: Dim objWshNetwork, user, rsString, userDN, objUser, arrGroups, objWshShell Set objWshNetwork = CreateObject("WScript.Network") Set objWshShell = CreateObject ("WScript.Shell") 'der aktuell angemeldete user user = objWshNetwork.UserName 'der LDAP-Suchstring, um den DN des Users zu kriegen. rsString = "<LDAP://dc=test,DC=local>;(&(objectclass=user)(name="& user &"));distinguishedName" Set rs=CreateObject("ADODB.recordset") 'ADO-Abfrage rs.Open rsString,"provider=AdsDSOObject" 'Theoretisch könnten ja mehrere Ergebnisse kommen, praktisch nicht ;-) Do Until rs.EOF 'den DN brauche ich, um das Userobjekt zu kriegen 'ich hätte auch gleich MemberOf machen können, ' aber es ist umständlich mit diesem 'fields ein Array auszulesen userDN = rs.fields("distinguishedName") rs.MoveNext 'Aufruf des Userobjektes Set objUser = GetObject("LDAP://" & userDN) 'Wenns mehrere sind, ist es ein Array, ansonsten macht er eins draus If IsArray(objUser.Get("memberOf")) Then arrGroups = objUser.Get("memberOf") Else arrGroups = Array(objUser.Get("memberOf")) End If 'Ab hier habe ich in arrGroups die DNs der Gruppen des Users 'in der for each kann ich jetzt damit machen, was ich will for each group in arrGroups MsgBox group 'notepad aufrufen, wenn Mitglied der Domänenadmins If group = "CN=Domänen-Admins,OU=RootAdmins,DC=test,DC=local" Then objWshShell.Run "%windir%\notepad " End If next Loop rs.Close

Ja, ich meine die IP Config. Das sieht doch alles ganz gut aus. AD wird sich um die Replikationstopologie kümmern, vorausgesetzt DNS tut. Aber auch das ist ja in deiner Config der Fall. Was ich noch prüfen würde, sind die Ports zwischen den beiden Sites. SInd die offen oder gibt es ACLs/Firewalls...

Wo hast du genau die Schwierigkeiten?

In welcher Form hast du die Gruppen? Als DN?

Jagut, das wusste ich ja nicht. Bin davon ausgegangen, dass er auf sich selber zeigt. Zur Replikation: Ihr habt vermutlich 2 Sites. Diese sind beide im DefaultFirstSiteLink? Dann ist eigentlich alles gut. Habt ihr preferred Bridgeheads? Wenn nicht, kümmert sich AD auch darum.

Ach noch was. Falls DNS AD-integriert ist: Lass zumindest für die Zeit des Umzuges den Clienteintrag des Servers auf einen DNS am Hauptstandort zeigen. Sonst registriert er seine Änderung im DNS und will diese zum Hauptstandort replizieren. Er kann dies aber nicht, weil er von der Zentrale nicht gefunden wird, solange dort die DNS-Änderung nicht bekannt ist. Wie du die Replikation einrichten musst, ist dir geläufig (SiteLinks usw.)? Gruß woiza

Hi, du solltest schauen, ob die Kiste FSMO-Rollen besitzt. In dem Fall können 6 Tage recht lang sein (RID). Zu der Standortfrage: Du kannst die IP einfach ändern und den DC dann an den richtigen Standort verschieben. Allerdings solltest du das Subnetz des Standortes auch diesem Im AD zugeordnet haben, weil sich sonst die Clients von dort überall anmelden, nur nicht da, wo sie sollen. DNS lässt sich so pauschal nicht beantworten. Wenn alles Standard ist, dann sollte es keine Probleme geben. Wenn du aber z.B. die Kiste auf einer anderen Maschine als Forwarder eingetragen hast, musst du diesen Eintrag anpassen. Oder wenn du auf der Maschine sekundäre Zonen hast, musst du evtl. die Zonenübertragung für die neue IP erlauben. Zu WINS kann ich nicht viel sagen, sowas kommt uns nicht ins Haus :D . Ich könnte mir aber auch da vorstellen, dass du die WINS-Replikation nochmal anschauen solltest. Da wird doch glaub ich mit IPs gearbeitet?!? Gruß woiza

Sehe ich das richtig, dass du überprüfen willst, ob der USer in einer bestimmten Gruppe ist?

Den kannst du direkt in der DNS-Konsole ansehen. einfach erweiterte Ansicht. Gruß woiza

Doch, aber nur die aus der eigenen Domäne.

Ja? Warum nicht? Edit: Deswegen heißt das Ding ja auch agDLp

Nö, y ist ja ein Memberserver. Da erstellt er nach Möglichkeit keine Gruppe(n). Die Domänenlokale Gruppe erstellt man mit Active Directory Users and Computers, genau, wie die globalen auch. Dann kann ich die auf beliebigen Rechnern für Permissions verwenden. Gruß woiza

A ccount in eine G lobale Gruppe, diese in eine D omänen L okale Gruppe, darauf dann die P ermissions.

Hi, zu den Mailadressen: die sind von dem Rename nicht betroffen, da die Adressierung ja unabhängig von der AD-Domäne ist. Hier musst du die Recipient Policy entsprechend anpassen. Siehe auch: kb Hast du domain-rename.doc schon angesehen? Da wird die Geschichte mit den UPNs erklärt. Kurz gesagt: Hast du am UPN nix verstellt (implizit) sollte dieser geändert werden. Hast du einen UPN vergeben, dann musst du diesen anpassen. Du kannst dazu alle User über mmc auswählen, markieren und dann in den Eigenschaften ändern. Gruß woiza P.S.: Domain Rename macht keinen Spass, da handelt man sich jede Menge Probleme ein.

Hi, vermutlich werden wir gar keinen MCSE 2007 mehr bekommen. ;) Gruß woiza

Hi, alle Chinesen sind Menschen, aber nicht alle Menschen sind Chinesen. Wichtig ist, zu verstehen, dass AD-Domäne und DNS-Domäne zwei paar Stiefel sind. Es ist durchausmöglich einer AD-Domäne contoso.com anzugehören, aber in der DNS-Domäne bremen.contoso.com registriert zu sein. MS empfiehlt das nicht, aber es geht. Ich versuchs mal zu erklären: AD ist hochgradig abhängig von DNS. Die Clients finden ihre DCs über DNS, die DCs finden sich für die Replikation gegenseitig über DNS, Exchange findet den passenden GC über DNS usw. Und meistens hast du auch je (AD)-Domäne eine DNS-Domäne. Es ist aber nicht zwingend so. Genauso könnte ja in der DNS-Domäne contoso.com ein Client eingetragen sein, der nicht Mitglied der AD-Domäne Contoso.com ist, etwa ein Webserver o.ä. Ich hoffe jetzt nicht nur Verwirrung verbreitet zu haben. Gruß woiza

Poste mal den kompletten DCDIAG. Gruß woiza

Wenn du den Systemstate auf der neuen Maschine einspielst (die bislang anders hieß), dann heißt die Maschine danach so, wie die ausgefallene. Dies sollten die User gar nicht merken. Die Frage ist nur, welche Anwendungen/Dienste sonst noch auf dem Server laufen. Die sind dann eben nicht im Sysstate mit drin. Gruß woiza

Hi, siehe auch MSXFAQ.DE - Exchange Datenbank - ein Blick dahinter Gruß ins schöne Trossingen (schade, dass es kein SNF mehr gibt) woiza

NEIN! Nach einem Vollbackup mit z.B. NTBackup verschwinden die von alleine. Gruß woiza

Hi, keine Frage, dass es Szenarien gibt, wo dies Sinn macht. Wir haben in unserem Testlan auch ne Checkpoint, um die "Schikanen" der Firewalltruppe nachstellen zu können. Aber für die ersten Prüfungen reicht NAT ohne zustätzliche Firewall aus. Für 291 braucht man dann ja sowieso den Microsoft RRAS. Gruß woiza