Renator

So... nun bin ich heute schon etwas weiter. Laut dieser Quelle ist der Umzug gar nicht so schlimm: http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx Ok... habe nun relativ problemlos meine neue PKI aufgebaut. Ich warte nun mal einen Tag bis sie garantiert im AD ist und werde dann mal die Vorlagen bei der alten raus nehmen. Dann muss ich nur noch warten bis alle Zertifikate abgelaufen bzw. bei der neuen PKI geholt wurde. War doch erstauntlich leicht. Vielen Dank trotzdem!

Hallo, ich würde gerne unsere PKI komplett neu aufbauen. Hier wurden über Jahre hinweg von irgendwelchen externen Firmen teilweise einfach irgendwelche Stammzertifikatsstellen installiert und auch wieder deinstalliert etc. Nachdem die Thematik Lync, Office 365 etc. immer näher rückt und ich auch grundsätzlich mal ein wenig Ordnung schaffen wollte, werde ich das nun hier "einfach" mal anpacken. Ok zum ersteren: Ich werde eine rootCA brauchen, welche dann am besten nach der Einrichtung einer subCA offline geschaltet wird. Sinn und Zweck der Geschichte ist klar und auch verständlich. So nun darf ich im AD ja keine 2 PKIs haben. Und wenn ich nun bereits eine rootCA auf einem DC habe, bekomme ich diese zwar vermutlich auch auf einen anderen Server migriert, aber ich müsste weiterhin diesen schrecklichen kryptischen aktuellen Namen behalten. Und wenn ich schon Ordnung mache... dann gleich richtig. Auf der anderen Seite will ich ja auch nicht alle aktuell vergebenen Zertifikate verlieren, zumal ich mir nicht wirklich sicher bin, was es für Folgen hat, wenn plötzlich die Computerkontozertifikate von den DCs ungültig werden etc. Also muss irgendwie sanft migriert werden. Wie geht das am besten? Und: Das CA Zertifikat wird automatisch über das AD verteilt? Hier werden nämlich irgendwelche uralten rootCA Zertifikate von irgendwelchen nicht mehr vorhandenen CAs verteilt. Wie kann ich das los werden? In den Gruppenrichtlinien habe ich so nichts gefunden. Danke!

Moin, so ok, dann fangen wir mal von vorne an: Der Grund ist eigentlich ziemlich einfach: Es gehen die IP Adressen aus. Außerdem wurde WLAN eingeführt. Nebenzu sollte ja noch die Netzwerkperformance ein wenig besser werden, wegen den Broadcasts. Außerdem habe ich VoIP mal getrennt. Hier habe ich alle Ports Richtung Clients einfach getagged und die VoIP Geräte entsprechend auch. Grundlagenkenntnisse sind soweit vorhanden. (Soweit ich das einschätzen kann) Ein Wenig was habe ich bereits umgesetzt. Also: Am Switch 1 hängen auch einige Clients an Ports mit untagged 20. Diese bekommen auch vom richtigen DHCP aus dem richtigen Scope eine Adresse. Ich vermute, dass vom Switch 2 Richtung Switch 1 irgendwie der Adressbereich und/oder der Tag verloren geht. Von der grundsätzlichen Sache würde ich es so beschreiben: Client an untagged XX Port -> Switch tagged xx Port -> Switch tagged xx Port (und eventuell noch mehr Switche dazwischen) -> untagged 1 Port an VM mit DHCP mit div. Scopes. Es handelt sich um HP Switche. Hier mal auszugsweise die Config: vlan 10 name "10.x" no ip address tagged 2,10-18 exit Und verdammt. Ohweh! Sorry Fehler gefunden. Eieiei... Ok, gut... dann klappt das also doch so. Gibt es vielleicht sonst noch irgendwelche Tipps, die ich hier überhaupt nicht berücksichtige? Mit dem VoIP VLAN bin ich mir noch nicht so sicher, ob das der richtige Weg ist. Ich hätte VoIP gerne getrennt, aber physikalisch möchte ich nicht unterscheiden müssen ob da nun ein PC oder ein Telefon rein darf. Viel mehr Möglichkeiten habe ich ja nicht? Danke!!!

Hallo, ich versuche mich gerade intensiver mit VLANs und Routing zu beschäftigen, um hier das Netzwerk etwas in Ordnung zu bringen. Grundsätzlich wollte ich diverse Gebäude auf dem Gelände und teilweise die Gebäude im einzelnen ein wenig in eigene VLANs packen. Das Ganze soll nicht in einem Step passieren und hat eigentlich auch keine große Eile und nebenbei Step by Step umgesetzt werden. Nebenbei wird auch der alte DHCP Server dann irgendwann durch einen neuen ersetzt bzw. neue Ranges landen im neuen DHCP. Der Umfang und die Planung welche Bereiche wo rein und in welches VLAN ist mir soweit erst einmal klar. Ich habe nur irgendwie eher ein paar Probleme vom Verständnis von VLAN im Allgemeinen. Nehmen wir an ich habe VLAN 1, 10, 20, 30. An Switch 1 ist nun der Port 2 mit VLAN 10 getagged. An Port 1 (untagged 1) hängen über vmware diverse DHCP Server in dem IP Adressen-Bereich 192.168.1.0/24. An Port 2 hängt ein anderer Switch (2) ebenfalls 20 getagged. Die Ports für die Clients sind untagged. Am Switch 1, sozusagen dem Core Switch, habe ich dann im VLAN 20 die IP helper-address vom DHCP mit dem Bereich 192.168.20.0/24 eingetragen. Nun holen sich die Clients an einem untagged 20 Port aber trotzdem noch vom DHCP aus VLAN 1 eine IP Adresse. Switch 2 kann aber kein Routing und kennt somit auch keine IP helper-address. Ok nun geht also unterwegs irgend und irgendwie der Tag verloren. Muss ich zusätzlich noch alle Ports zu den Virtualisierungshosts taggen? Und dann entsprechend virtuelle Netzwerkkarten taggen? Irgendwie stehe ich da aufm Schlauch... Danke!

Namensauflösung tut. Die Ereignisprotokolle sind so langweilig wie es nur sein kann, keine Auffälligkeiten. WINS läuft... obwohl eigentlich für nichts mehr notwendig. Es ist halt witzigerweise momentan wieder nur bei einem einzigen Client. Wenn ich an diesem Client in dem entsprechenden Scanordner meinetwegen eine leere txt erstelle, dann refresht er das Folder sofort und die PDFs erscheinen. Zumal... es läuft ja so: Drucker scannt zu PDF und legt es per SMB auf dem Server ab. Client läuft zum Arbeitsplatz (dauert so 2 Minuten, bis dahin ist der Speichervorgang abgeschlossen) und öffnet über ein gemapptes Netzwerklaufwerk den Ordner mit den gescannten Dateien: Nichts neues. Dann wartet er entweder ein paar Stunden und irgendwann erscheint es mit der alten Uhrzeit oder man erstellt einfach eine leere Datei oder kopiert irgendwas. Sonst ist Windows einfach nicht zum Refresh zu bewegen. Was mir auch noch aufgefallen ist: Ich habe mal spaßeshalber, als die PDF nicht sichtbar war sie per Copy & Paste über eine Remotesteuerungssitzung (denke mal System Center nimmt das RDP Protokoll?) von meinem Rechner in den Scanfolder über den Client reinkopiert. Der betreffende Client hat nicht gefragt ob sie überschrieben werden soll oder so ähnlich, sondern es hat sich so dargestellt als wäre der Kopiervorgang extrem schnell. Einfügen: Zack da. Hab nun auch einfach mal bewusst eine sehr große PDF genommen. Der Client meint wohl wirklich zu kopieren.

Sorry... aber an der Leiche muss ich noch einmal scharren. Jetzt häuft sich das Problem von heute auf morgen plötzlich wieder. Von allen möglichen Clients kein Problem. Mit Admin, ohne... wie auch immer. Nur bei einem Benutzer wieder Probleme. Nach ca. 30 Minuten sind die Dateien noch nicht sichtbar. Aktualisieren bringt nichts. Datum von allen Scannern geprüft. Passt überall bis auf wenige Sekunden Abweichung.

Hallo, ich habe vor einigen Wochen ein Update von Exchange 2007 auf 2013 gemacht. Bis auf die öffentlichen Ordner ist mittlerweile nun auch alles auf den neuen Exchange Server umgezogen. OWA, Outlook Anywhere etc. funktioniert alles wie es soll. Sogar das Ereignisprotokoll ist sauber. Allerdings passiert es nun, dass Mitarbeiter irgendwelche Lese und/oder Löschbestätigungen von extrem alten Mails (zum Teil so alt, da waren diese noch nicht einmal bei uns angestellt...) und zwar mit externen Lesern. Allerdings kommt die Bestätigung von internen Mitarbeitern die zu diesem Zeitpunkt der theoretischen Ursprungsmail aber auch noch nicht im Haus waren. Das ganze passiert allerdings nicht querbeet bei allen, sondern nur bei ein paar Mitarbeitern. Und meist in der Nacht und dann auch immer so 10er bis 20er Packen. Jemand eine Idee, wo das herkommt und wie ich das abstellen kann? Danke!

Hallo, ja danke! Scheinbar muss es wirklich auf so etwas hinauslaufen. Habe mit einer kleinen c# Programmierung bereits angefangen, aber irgendwie... naja trotzdem schade, dass es da keine Boardmittel gibt!

Hallo, die internen Kontakte könnte ich ja beim Exchange irgendwie sinnvollerweise gleich im AD pflegen oder? Die Felder reichen mir dicke aus und niemand muss dann hinterher den AD Kontakt (also E-Mail aktivierten Benutzer) wieder mit einem Kontakt aus einem öffentlich Ordner oder persönlichen Kontaktordner verknüpfen. Denke mal, dass das einigermaßen sinnvoll ist. So nun möchte ich aber diesen Aufwand an eine andere, nicht IT lastige, Verwaltungsabteilung abtreten. Wie kann ich hier sauber Rechte vergeben, dass diese eben nur die relevaten Daten ändern können, wie Adresse, Abteilung, Vorgesetzter etc. aber nicht die E-Mail Adresse oder ähnliches? Ich habe im Exchange 2013 einem Benutzer einmal Testweise in eine leere Administratorrolle gepackt die nur die Rechte Mail Recipients hat. Nun darf diese aber für meinen Geschmack ein wenig zu viel! Hat hier jemand etwas Praxiserfahrung? Ich möchte ungern in der IT-Abteilung selber über 100 Benutzer selbst pflegen... Vielen Dank!

Hallo, vielen Dank erst einmal für die Antworten. Ich bin seit knapp 10 Jahren als SysAdmin tätig. Ich denke nicht, dass ein MTA unbedingt sinnvoll ist. Ist eher fraglich ob das dann nicht vielleicht sogar negativ betrachtet wird? Allerdings habe ich mich eben immer nur damit beschäftigt, was ich momentan brauche. Nachdem ich zum Beispiel Direct Access bisher nie zum Einsatz gebracht habe, weiß ich zwar, was es so ungefähr ist und wozu es gut ist, aber kenne mich null mit der Konfig aus. Outlook Anywhere hingegen wäre nun nicht so das Problem, je nachdem wie die Fragen gestellt sind.

Hallo, ich möchte endlich einmal anfangen ein paar Zertifizierungen zu machen. Nachdem ich gerade genug Luft habe, habe ich mir überlegt ob das wohl im Selbststudium möglich ist. In der Theorie müsste ich mir die passenden Bücher von Microsoft kaufen und diese dann ordentlich durcharbeiten. Eine kleine Testumgebung mit Server, Active Directory etc. habe ich sowieso immer rumstehen. (Technet sei dank, habe ich auch alle Programme etc) Wenn das getan ist: Prüfung anmelden, ablegen, glücklich sein. Soweit, so gut. Ziel von mir wäre wohl MCSE Server Infrastructure. Um dahin zu kommen müsste ich doch mit der MTA Zertifizierung anfangen oder? Dazu müsste ich die Prüfungen 349+365+366+367 ablegen? Edit: Ok, das MTA ist scheinbar nur für Azubis, also würde ich gleich mit den MCSA Sachen anfangen? Danach würde ich dann auf dem Weg zum MCSA noch 410+411+412 machen? Der Rest wäre dann Prüfung 413+414? Ok, wie viel Zeit habe ich für den ganzen Prozess? Was passiert, wenn ich mal ein paar Monate Pause machen will? Für die Bücher und die Prüfungen habe ich so 2.000 bis 3.000€ kalkuliert. Reicht das? Gibt es irgendwie vergleichbare Tests? Würde gerne wissen, wie so etwas ungefähr aussieht. Ich brauche keinen Test zum auswendig lernen oder so, sondern würde gerne grundsätzlich mal eine Struktur und Art der Fragestellung sehen. Besten Dank euch!

Ich mache es so und es funktioniert: call \\server.local\batch\1.bat call \\server.local\batch\2.bat die jeweiligen bat Dateien beende ich hinterher mit einem exit. Kein Problem, klappt super ;)

Hm, ok, interessant wären dann hier noch die Auswirkungen auf die Infrastruktur und Server. Geht Lync von "unterwegs" bei einer firma.local überhaupt ohne VPN? Geht der Exchange mit mehreren AD-Domänen etc. hier gibt es mit Sicherheit noch tausende andere Dinge, welche bedacht werden sollten. Aus diesem Grunde würden mich Erfahrungen und praktische Anwendungen andere Admins interessieren.

Erst einmal danke für den Link. Kannte ich schon. Unsere Lösung hier erscheint dort gar nicht ;) Was mir dazu noch einfällt: Wenn man mit Subdomains arbeitet, um das Ganze zu unterteilen, kann das ja entsprechend lang werden. Und manchmal ist es ja dann auch nicht einfach hier wirklich auseinander zu halten. Manche Mitarbeiter sitzen in Deutschland, arbeiten aber viel mit England und haben eine .co.uk Mailadresse etc. schwierig... dann ist vielleicht doch die offizielle Mailadresse nicht mehr der Anmeldename und der Vorteil der gleichlautenden Domäne ist wieder dahin. Toll wäre eine Möglichkeit aus der Mailadresse den richtigen AD Benutzer zu generieren. Automatisch, bei jeder Anmeldung... ;) Von daher finde ich die Organisation in einer komplexen Struktur interessanter als die Benennung an sich. Danke! Edit: Ein paar Abkürzungen raus...

Hallo, an diesem Standort hier gibt es einen ziemlich kryptischen Domänenname, dessen Logik sich natürlich keinem normalem Anwender erschließt. Grundsätzlich war das erst einmal kein Problem, da bei der Domänenanmeldung an einem PC meist schon alles vorgegeben ist etc. langsam unangenehm wurde es zum Beispiel bei der Anmeldung von ActiveSync oder Outlook Anywhere, wenn hier die Benutzer selber etwas machen mussten. In Zukunft soll dann noch Lync etc. folgen und ich würde es für die Anwender gerne übersichtlicher und angenehmer gestalten. Zusätzlich ist hier alles ziemlich gewachsen in den letzten Jahren. Ich denke am einfachsten ist es doch, wenn der externe Domänenname auch intern verwendet wird. Zum Beispiel firma.de, wenn man nun globaler denkt wäre vermutlich firma.com besser und wenn es sich um einen Firmenverbund handelt, dann wohl eher gruppenname.com. Und hier weiß ich dann ehrlich nicht mehr sicher, wie man dann unterteilen sollte. Natürlich kommt es klar auch auf die Struktur der Firma an, aber sollte man einen weltweiten Forest machen? Und dann je Unternehmen einen Tree? Oder je Land einen Tree? Oder Subdomains oder umgekehrt? Und dann stellt sich die Frage nach dem Weg dort hin: Domäne einfach umbenennen? Oder komplett neu erstellen und dann mir einer Vertrauensstellung Stück für Stück in die neue Domäne packen? Wie verkraftet der Exchange etc. das umbenennen? Was passiert mit mobilen Geräten beim umbenennen? Um nochmal auf den Punkt zu kommen: Mich interessiert, wie andere die Probleme der Domänenstruktur angehen und wie man am besten dort hin kommt. Danke!