woiza
-
Gesamte Inhalte
2.063 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von woiza
-
-
Hi,
ich habe mir auch das 270er Buch von Microsoft bestellt. Mal sehen wie ich damit voran komme.
Die Frage würde mich natürlich auch interessieren!
Ja, muss sie...
Gruß
woiza
-
Müsste SERVER2 nicht eigentlich auch unter den A Einträgen im DNS auftauchen?
Ist das Häkchen auf Server 2 für die DNS-Registrierung gesetzt?
-
Lass in den Netzwerkeinstellungen bei beiden DCs nur den ersten als DNS-Server fragen. Zusätzlich wirf die DNS-Zone auf dem 2. Server weg.
Dann mach auf deiden Maschinen ipconfig/registerdns. Dadurch sollten dann beide in der gleichen DNS-Zone stehen und auch beide diese Zone abfragen. Dadurch sollte sich das Replikationsproblem lösen lassen.
Durch die 2 primären Partitionen hast du das Phänomen, dass jeder Server andere Infos vom DNS bekommt, weil diese quasi unabhängig sind. D.h. die Zone 1 kann vielleicht Server 1 liefern, aber nicht Server 2 und umgekehrt. Funktionierende DNS-Auflösungen sind aber Grundvoraussetzung für die Replikation.
Wenn die Replikation wieder tut, würde ich die Zone ins AD integrieren, dann bekommt sie der andere Server automatisch ab.
Gruß
woiza
-
hallo forum
kann eine ad-integrierte primäre zone einen zonentransfer an eine sekundäre standard-dns zone (ohne ad-integration) vornehmen. wie schaut es umgekehrt aus: kann ich von einer standard primären dns-zone nach ad-integriert sekundär zonen übertragen.
gruss und dank
tim
Ja und nein. Bei AD-integriert gibt es keine sekundären Zonen. Sek.Zonen sind ja Readonly, während primäre beschreibbar sind. AD-integrierte Zonen sind aber auf jedem Rechner beschreibbar, das ist ja der Vorteil.
Aber natürlich kann eine AD-Zone an einen sek. Server, etwa BIND transferiert werden. Dazu muss einfach das Häkchen "Zonenübertragung zulassen" gesetzt werden. Zusätzlich sollte aus Sicherheitsgründen spezifiziert werden, an welche Server übertragen werden darf.
Gruß
Woiza
-
Händelt es sich um eine Singledomain-Umgebung? Wenn ja, dann sollte es nicht 2 Primäre DNS-Zonen geben. Siehst du denn unter Sites & Services jeweils beide DCs?
-
Was würdet ihr empfehlen, um wieder einzusteigen? Welche Prüfungen brauche ich und was für Materialien verwendet man heute? Gibt es immer noch den Völk, Transcender und Braindumps?
Frank
Die Prüfungsliste gibts bei MS, ich würde mit 70-270 anfangen, die ist recht easy, dann gibts schnell ein Erfolgserlebnis.
http://www.microsoft.com/learning/mcp/mcse/windows2003/
MCSE+I gibts nicht mehr, dafür aber MCSE+M und MCSE+S.
Den Völk gibtrs noch, habe ich aber noch nie verwendet, weil ich die Prüfungen Englisch mache. Ich verwende die roten Exam Cram Bücher von QUE.
Die blauen MSPress Bücher (also die grünen auf deutsch) verwende ich zur Vertiefung bei Themen, die mir aus der Praxis unbekannt sind (RAS+ VPN :D ). Überhaupt ist Praxis essentiell, ohne werden die Prüfungen sehr schwierig. In dem Fall würde ich mir ein Testlabor mit VMWare anlegen und üben, üben...
Transcender finde ich eine gute Sache für die letzten Abende vor der Prüfung, um einfach sicher zu gehen, dass alles sitzt, nur damit zu lernen, reicht, wenn überhaupt, nur, wenn wirklich erhebliche Praxiserfahrung da ist. Im Vergleich zu NT 4.0 hat das Niveau deutlich angezogen.
Braindumps sind in diesem Forum mit Recht ein rotes Tuch, die sind daran Schuld, das der Ruf des MCSE so in den Keller ging. Allerdings kann ich mir auch nicht vorstellen, dass Braindumps alleine genügen.
Den gestiegenen Anspruch sieht man auch an den gesunkenen Absolventenzahlen ;) :
http://www.microsoft.com/learning/mcp/certified.asp
Aber wie gesagt, Braindumps haben hier nichts zu suchen.
Gruß und fröhliches Lernen (bin auch gerade an 290)
woiza
-
ping IP-ADRESSE >log.txt
Damit kommt die Ausgabe von Ping direkt in die log.txt (Pfad kann natürlich angepasst werden.
Ich weiß nur nicht genau wie man des am besten macht, dass der da evtl in die logdatei des Datum mit rein Schreibt und die Ausgaben immer unten anhängt. mann könnte allerding auch für jeden Tag eine eigene Batchdatei erstellen (Montag, Dienstag, Mittwoch) und die dann im Wochenrhythmuss überschreibt.
ping IP-ADRESSE >log.txt überschreibt log.txt
ping IP-ADRESSE >>log.txt hängt an
-
Die kostenlose Variante wäre ADMT von Microsoft. Allerdings findet da nicht direkt eine Verschmelzung statt, vielmehr werden die Inhalte der einen Domäne in die andere verschoben.
Eine komplette Verschmelzung ist nicht möglich, wäre ja auch kompliziert weil beide u.U. unterschiedliche Schemas, Display Specifier usw haben.
Gruß
woiza
-
Was lief an deinen MOC-Kursen falsch?
Ich habe bis jetzt nur gute Erfahrungen damit gemacht.
mfg Dark-Knight
Es lief nix falsch, es ist halt nur so, dass wir eine recht große Umgebung (~40000 User) haben. Und da ist dann vieles aus den MOC-Kursen nicht anwendbar, weil die meist auf kleinere Umgebungen abzielen.
Beispielsweise wird im Exchange MOC die Migration von 5.5 nach 2003 hauptsächlich als Inplace-Upgrade, bzw. mit ADC behandelt. Beides ist aber praktisch nicht durchführbar, wenn ca. 100 NT 4.0 Domänen in 20 AD-Domänen migriert werden sollen.
Bei den AD-Kursen (habe beide Upgrade Kurse 2000 -> 2003 besucht) fehlten mir persönlich tiefergehende Infos zu den Kommandozeilentools, wie NTDSUTIL, repadmin usw. Auch wird nur sehr oberflächlich auf die Replikation eingegangen (KCC, ISTG...). Die einzelnen Partitionen und ihr Aufbau kommen so gut wie gar nicht vor.
Ich weiß nicht, ob das jetzt Werbung ist, ich würde das jetzt eher als Beispiel verstehen, aber in BB gibt es ein kleines Schulungsunternehmen, das Vertiefungskurse anbietet, die weit über die MOC-Kurse hinausgehen, z.B.
- Erzwungene Übernahme (Seize) von Betriebsmastern (Schema, RID, Domain Naming Master).
- Entfernen von "Leichen" durch ADSIEDIT bzw. NTDSUTIL Meta Data Cleanup
- KCC und ISTG Inter-Site Topology Generator.
- Ring- und Spanning-Tree-Topologie; Site Link Bridge.
- Monitoring Active Directory Replikation
- Suchen nach gelöschten Objekten (Tombstones)
- Display Specifiers Management
usw.
Zusätzlich finde ich eben bei Spezialthemen, wie Exchange Disaster Recovery o.ä. einen 2 Tages-Workshop besser, als das, was bei MOC abgedeckt wird.
Außerdem muss man bei MOC-Kursen ziemlich Glück haben, was die Trainer angeht. Ich hatte einen Trainer, der zwischen Kursen und Consulting abwechselt, da konnte man einiges mitnehmen. Im Exchangekurs wars dafür ein "reiner" Trainer, der z.B. bei Schwierigkeiten mit dem SSL-Zertifikat einfach den VirtualServer zurückgesetzt hat. Das ist dann nicht so toll.
Gruß
woiza
-
Hi,
also ich bekomme meinen MCSE komplett bezahlt. Das einzige Manko - Samstagskurse.
Obwohl? Dann hat man wenigsten am Wochenende auch noch was vernüftiges zu essen :p
Gruß
Pille
MCSE bekomme ich nur die Prüfungen bezahlt, weil man da bei uns schon schlechte Erfahrungen gemacht hat. Da sind schon Leute eneni Monat nach der letzten Prüfung gegangen. ;)
-
Ja, wenn sie nötig sind. Ist der Vorteil im Öffentlichen Dienst. Gehalt ist nicht so toll aber jede Menge Kurse. Letztes Jahr insgesamt 6 Wochen. :D
Ich mache übrigens keine MOC-Kurse mehr, der letzte Exchange-Moc hat mir gereicht. Es gibt eine Menge Anbieter, die spezielle Kurse oder Workshops anbieten, das bringt meist mehr.
-
Kann man es nun umgehen, dass jemand nen Rechtsklick dafür machen muss, sondern beim öffnen der Konsole immer der Runas-Anmeldedialog erscheint oder aber die Option "im Autorenmodus starten" erst gar nicht bei Rechtsklick auf die Dateiname.msc erscheint?
Danke ersteinmal für die Serverlösung - das war das Hauptproblem!
Technet (oder Windows Hilfe und runas suchen):
Eine Verknüpfung mit runas anlegen:
runas /user:Domänenname\Benutzername "mmc c:\admin\myadmin.msc"
Den Autorenmodus kann man mit Policies verbieten.
Unter Benutzerkonfiguration/Adm. Vorlagen/Microsoft Management Console/Autorenmodus für Benutzer nicht zulassen
Hier können auch einzelne Snapins für die Benutzer erlaubt oder verboten werden.
-
Wenn ich das richtig interpretiere reicht für eure Anforderungen eine Domäne für alle aus. Wenn ich 2 Bereiche komplett trennen möchte brint es mir auch nichts 2 Domänen in einer Gesamtstruktur (egal ob Unter- und Überdomain oder 2 Strukturen) zu erstellen.
Es gibt schon Szenarien, in denen Child Domains sinnvoll sind, z.B. kann in der Child Domain der Domänenadmin zusätzliche DCs ins Leben rufen, ohne dies in den anderen zu können.
-
In der AD Verwaltung kann ich jetzt immer nur eine Domäne ansehen bzw. bearbeiten hab jetzt momentan nicht die Möglichkeit das zu Testzwecken alles aufzusetzen, wie würde dass dann in der AD Verwaltung aussehen?
Klar, weil die einzelnen Domains in deinem Szenario nix miteinander zu tun haben. Du müsstest für "richtige" Subdomains beim DCPromo erst auswählen
"Domain Controller for a new Domain" und dann "Child Domain in an existing domain tree" oder so ähnlich und nicht "Domain in a new forest", dann siehst du alle Domänen unter Domains and Trusts in einer Baumstruktur.
Im AD eingetragene Subnetze? Was meinst du damit?Check mal unter %systemroot%\debug\netlogon.log, ob da ne Menge Einträge drin sind.
Etwa so:
09/14 04:20:03 "DOMAIN": NO_CLIENT_SITE: "Machine" "IP"
-
Wir haben hier mehrere Netze am Standort die getrennt bleiben müssen deshalb müssten wir schon mit Subdomains arbeiten aber von den Richtlinien im AD her haben die dann alle das gleich die dürfen nur nicht auf die selben Files zugreifen.
Also doch einen DC für Apfel.local und dann in jedes Netz einen eigenen DC mit Subdomain?
Gibts da gute Seiten zwecks AD Planung so n paar Begriffe sagen mir z.b. noch nichts bzw will mich da noch mehr reinfuchsen weil ich erst am Anfang des ganzen stehe. Z.B. das lenken des Anmeldeverkehrs über die Standorte. Danke schon mal!
Nochmal, die verschiedenen Subnetze haben nichts mit der Frage der Domänenanzahl zu tun. Die pysikalische Topologie wird komplett über die Sites abgebildet. Das währe grob das Pendant zu Exchange Routinggruppen. Die Domäne wäre dann grob die Administrative Gruppe.
Den Filezugriff kann man über NTFS-Berechtigungen lösen.
Mein Vorschlag ins Blaue, ohne jetzt die Struktur genau zu kennen, wäre:
-1 Domäne
-abhängig von der Zuverlässigkeit (weniger der Geschwindigkeit) der Verbindungen zwischen den Netzen kann man pro Netz eine Site (nicht Domäne) aufbauen. Sollte die Verbindung stabil sein und nicht allzuviele Mitarbeiter vor Ort sitzen, würde ich mir den DC vor Ort sparen. Die Anmeldung frisst nicht viel Bandbreite, daher einfach das "kleine" Subnetz der Site eines größeren Standortes zuweisen, dann geht die Anmeldung dorthin.
-Profile, Eigene Dateien usw. können dann auf einem lokalen Fileserver liegen.
Generell gilt: je mehr DCs miteinander replizieren müssen (bei uns ca.90), desto komplexer wird die Struktur. Da muss dann fürs troubleshooting schon einiges an Wissen dasein.
Wir haben eine mit euch vergleichbare Domäne, die aus vielen relativ kleinen Standorten (ca 10-30 MA) besteht, die über ein ganzes Bundesland verteilt sind. Für diese Struktur gibt es genau 2 Sites mit je 2 DCs an den größten Standorten, die übrigen Standorte sind mit ihren Subnetzen an diese Sites angebunden und haben vor Ort lediglich Fileserver.
Eine gute Seite wüsste ich jetzt nicht, aber ich könnte dir auf alle Fälle die O'Reilly Bücher zum Thema empfehlen. vor allem das Cookbook ist Gold wert. Auch gut ist das MITP Buch Active Directory von O. Kümmel.
-
Den Satz versteh ich jetz noch nich so ganz........
Eine 2. Möglichkeit die ich mir überlegt habe wäre eine Domäne "Apfel.local" und fertig. Und dann eben 2-3 DCs verteilt im Bereich aufstellen nur wäre da dann das Problem zu kontrollieren wer sich wo anmeldet weil wie gesagt wir auf den Netzwerktraffic achten müssen.
Kleiner Nachtrag zu Single-Domain vs. Multidomain.
Diese Entscheidung ist hauptsächlich eine Frage des Administrationsmodells, sprich habe ich Domainadmins, die alles betreuen sollen, oder will ich getrennte Domainadmin-teams haben.
Zusätzlich ist dies noch eine Security-Überlegegung. Habe ich in verschiedenen Bereichen andere (höhere) Anforderung an die Default Domain policy, etwa in Bezug auf Passwortrichtlinien usw.
Last but not least (leider) gibt es noch den Fall, dass sich bestimmte Einheiten "Sehen" wollen, so nach dem Motto "Wir hatten bis jetzt ne eigene NT Domäne, also wollen wir weiter ne eigene Domäne haben"
Im Falle eines Multidomain-Forrests sollte nach Möglichkeit die Rootdomäne leer bleiben, das bringt gewisse administrative Vorteile.
-
So also insgesamt soll rauskommen dass wir eine Domäne "Apfel.local" haben, unter diese Domäne werden dann untergeordnete Domänen geschoben (das muss so ein zwecks organisatorischen Gründen und des Willen des Unternehmens) sprich ich hab dann "Birne.Apfel.local", "Banane.Apfel.local"...usw. für die einzelnen untergeordneten Gruppen.
Wenn die Domain Birne.Apfel.Local unabhängig von Apfel.local installiert wurde, wenn also beim DCPromo ausgewählt wurde "Create new Domain in a new Forrest", dann stellt dieser DC für sich einen eigenen Forrest mit allen 5 FSMOs dar. Er hängt nur aus DNS-Sicht unter Apfel.local.
Wir haben bei uns ein ähnliches Konstrukt. Einige Abteilungen bestehen auf getrennten Forrests (zwecks Geheimhaltung), sind aber in einem gemeinsamen DNS-Namensraum angesiedelt. Unser zentraler DNS delegiert also die Zone Birne.Apfel.local an die unabhängige Domäne und bei Birne ist die Apfel.local als Stammhinweis eingetragen.
Eine 2. Möglichkeit die ich mir überlegt habe wäre eine Domäne "Apfel.local" und fertig. Und dann eben 2-3 DCs verteilt im Bereich aufstellen nur wäre da dann das Problem zu kontrollieren wer sich wo anmeldet weil wie gesagt wir auf den Netzwerktraffic achten müssen.Beide Möglichkeiten haben Vorteile. Allerdings kommst du bei keiner von beiden um eine Neuinstallation der DCs herum. Der Anmeldetraffic hat übrigens nix mit der Domäne zu tun. Das wird über die im AD eingetragenen Subnetze gesteuert, die dann der entsprechenden Site zugeordnet werden. Das funktioniert bei Single- und Multidomain-Umgebungen. Wenn das Subnetz deines Clients nicht im AD eingetragen ist, meldet er sich unetr Umständen sonstwo an. Außerdem gibts dann ne Latte von Fehlermeldungen.
Edit:
Da fällt mir noch was ein. Hat, wenn ich eine untergeordnete Domäne z.b. eben "Birne.Apfel.local" erstelle, diese dann auch einen eigenen Schemamaster? Wenn ich dich richtig verstanden haben dann hat jede dieser untergeordneten Domains die 3 wichtigen FSMO-Rollen jeweils einmal?!
Wäre es dann überhaupt möglich das ganze über den Schemamaster von "Apfel.local" so zu verwalten dass dieser praktisch zentralisiert für das Schema verantwortlich ist?
Was ist untergeordnet?
Wenn du lediglich untergeordnet im Sinne von DNS-Subdomains meinst, dann sind diese ja eigenständige Forrest (s.o.)
Wenn du damit eine Subdomain aus AD-Sicht meinst, dann hat diese Subdomain keinen eigenen Schemamaster, da das Schema im ganzen Forrest gleich sein muss.
Anders ausgedrückt: Es gibt im Forrest nur eine Schemapartition (und eine Configuration, aber die lassen wir jetzt mal weg) und auf der kann nur der Schemamaster schreiben.
Die untergeordneten Domänen haben dann folgende 3 FSMOs:
-RID-Master
-PDC Emulator
-IS Master
-
Bin fast 29und hoffentlich vor 30 MCSE :)
-
-Start, Ausführen, MMC.exe
-in der MMC dann Datei/Snapin hinzufügen, hier dann Benutzer und Computer hinzufügen
-DC auswählen
-Datei/Optionen, dann Konsolenmodus auf Benutzermodus - Vollzugriff
-Häkchen "Änderungen nicht speichern" setzen, übernehmen
-Datei, Speichern unter, fertig :cool:
-
Das lässt sich schwer beantworten, kommt auf deinen bisherigen Hintergrund an. Womit hast du bisher zu tun gehabt?
Ich habe mir die Security-Spezialisierung auch angesehen und frage mich, wie aussagekräftig eine Zertifizierung für ISA ist, wenn ich in der Praxis noch nie einen gesehen habe.
Von daher, wenn du schonmal mit Mail zu tun gehabt hast, würde ich Exchange machen. Es dürfte auch mehr Exchange-Installationen, als ISA geben.
Aber Vorsicht: Exchange ist mehr, als nur Postfächer verwalten...
Da kommen auch noch Clustering, Migration, Public Folders usw. hinzu.
-
Wenn du z.B im öffentlichen Dienst bist bringt dir das Zertifikat null ( also null Kohle ).
Doch, es bringt was, nämlich die Chance auf einen Job. Ich habe ein IT-Studium absolviert und bin bei einer Stelle nicht zum Zug gekommen, weil ein anderer Bewerber (mit Bauing.-Studium) den MCSE zusäzlich hatte.
Da kannste auch noch CCNA etc sein. Juckt die dort nicht. Die wollen zwar das du diese Zertifikate vorweisen kannst, aber effektiv mehr Kohle gibts nicht.Mehr Kohle gibts nicht, das stimmt...
Ich spreche aus Erfahrung.Ich auch... :D
Aber empfehlen würde ich es dir trotzdem ihn zu machen.In der freien Marktwirtschaft ist es durchaus so das du mehr Kohle bekommst und defintiv besser zu vermitteln bist, wenn du einen MCSE oder CCNA vorweisen kannst und dann auch verstehst worums geht ;)
Ich würde ihn auch machen, bzw. mache ihn gerade. Ich denke das Wichtigste ist der letzte Halbsatz. Man sollte nicht unbedingt das große Geld bei Zertifizierungen vor Augen haben, sondern die Chance nutzen, zu lernen, lernen und noch mehr zu lernen. Der Rest kommt von allein.
-
Mit ADMT läuft das ja so ab dass ich dann meine Objekte aus dem AD (Nutzer Gruppen Computer) in eine OU einer Zieldomäne verschiebe.
Korrekt...
Das is dann so gewollt?Jagut, das weiß ich nicht. Das versuche ich ja herauszufinden...
Ich möchte dass die jetztigen einzel Domänencontroller die alle für sich alleine arbeiten sprich alle FSMO Rollen beinhalten unter einen Schemenmaster unterordnen. Der Schemenmaster wird dann die AD Struktur verwalten seh ich das richtig? Die untergeordneten DCs werden sich diese dann replizieren?Nein.
Erstens geht das technisch nicht und zweitens ist das auch nicht ganz die Funktionsweise von AD. Ich hole mal etwas aus.
Bei NT war nur der PDC beschreibbar, die BDCs haben lediglich Read-Only Kopien. Das ist äußerst bescheiden, wenn ich eine große, geografisch verteilte Umgebung habe, die ich in einer Domäne unterbringen will. Der Benutzer im Hamburg müsste danns seine Benutzer auf dem PDC in München anlegen.
Daher sind im AD alle DCs beschreibbar und auch prinzipiell gleichberechtigt. Jetzt gibt es bestimmte Aufgaben, die auf keinen Fall mehrfach vorhanden sein sollten.
Man stelle sich vor, in Hamburg wird eine Schemaerweiterung durchgeführt und in München zur gleichen Zeit eine andere, inkompatible. Oder beide würden gleichzeitig den Exchange-Forrestprep durchführen.
Bei der nächsten Replikation rummst es gewaltig. Daher hat MS das Konzept der FSMO Rollen eingeführt. Diese können von Server zu Server verschoben werden (Flexible), dürfen aber pro Domain/pro Forrest nur einmal vorhanden sein (Single). Diese sind dann Chef für bestimmte Dinge, die nur sie dürfen.
Der Schemamaster hält nicht die Struktur des AD, sondern ist für das LDAP-Schema zuständig, sprich er hat als einziger Schreibrecht auf die Schemapartition. Im Schema wird beschrieben, welche Objekte angelegt werden dürfen, welche Attribute Pflicht sind usw. Alle Schemaänderungen müssen hier durchgeführt werden.
Die AD-Struktur verwaltet, wenn man so will, der Domain Naming Master. DIeser ist zuständig, wenn neue Domänen hinzugefügt werden.
Beide sind im Forrest einmalig.
Der RID-Master verwaltet die RIDs, d.h. er vergibt RID-Pakete an die einzelnen DCs, damit keine RID doppelt verwendet werden.
Dann gibt es noch Infrastruktur-Master und PDC-Emulator, die lasse ich jetzt mal weg.
Für deinen konkreten Fall heißt das, dass in dem Forrest, der dann später der zentrale sein wird, alle Rollen mindestens einmal vorhanden sind, falls Multidomain, dann gibt es die drei Domain-FSMOs entsprechend mehrfach.
Die einzelnen DCs stellen jeder für sich auch einen Forrest dar. Also gibt es dort einen Schemamaster, sowie einen DN-Master. DAher kann dieser auch nicht einem anderen Forrest beitreten.
Von daher: was spricht dagegen mit ADMT den Content u migrieren, das ist doch das einzig interessante aus den "Einzelmaschinen". Danach können diese DCs plattgemacht werden und in den neuen Forrest installiert werden.
-
Wenn ich das richtig verstehe, willst du mehrere Gesamtstrukturen in eine konsolidieren. Dann würde es nicht viel bringen, die gesamte AD-Struktur mit LDIF oder was auch immer zu exportieren und wieder zu importieren. Bestimmte Konten und Gruppen wären sonst in den einzelnen Import-Files ja doppelt und dreifach vorhanden.
Ich würde den Content der Domänen mit ADMT in die zentrale Struktur migrieren.
Auch für das Szenario "Umzug von Server1 nach Server2" würde ich diesen Weg nicht wählen. Lieber die zweite Maschine als zusätzlichen DC aufnehmen, die Replikation abwarten und dann die Rollen und DNS umziehen.
Ansonsten zur Info:
-
sieht aus der Ferne nach Netzwerkproblem aus. Was sagt denn netdiag? Gibt es bei den Eventeinträgen weiter unten noch Fehlercodes? Hat der Server mehrere NICs?
DNS Problem
in Windows Server Forum
Geschrieben
Bin mir nicht ganz sicher, vermute aber mal Server 2