Jump to content

Renator

Members
  • Gesamte Inhalte

    116
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Renator

  1. So... nun bin ich heute schon etwas weiter. Laut dieser Quelle ist der Umzug gar nicht so schlimm: http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx Ok... habe nun relativ problemlos meine neue PKI aufgebaut. Ich warte nun mal einen Tag bis sie garantiert im AD ist und werde dann mal die Vorlagen bei der alten raus nehmen. Dann muss ich nur noch warten bis alle Zertifikate abgelaufen bzw. bei der neuen PKI geholt wurde. War doch erstauntlich leicht. Vielen Dank trotzdem!
  2. Hallo, ich würde gerne unsere PKI komplett neu aufbauen. Hier wurden über Jahre hinweg von irgendwelchen externen Firmen teilweise einfach irgendwelche Stammzertifikatsstellen installiert und auch wieder deinstalliert etc. Nachdem die Thematik Lync, Office 365 etc. immer näher rückt und ich auch grundsätzlich mal ein wenig Ordnung schaffen wollte, werde ich das nun hier "einfach" mal anpacken. Ok zum ersteren: Ich werde eine rootCA brauchen, welche dann am besten nach der Einrichtung einer subCA offline geschaltet wird. Sinn und Zweck der Geschichte ist klar und auch verständlich. So nun darf ich im AD ja keine 2 PKIs haben. Und wenn ich nun bereits eine rootCA auf einem DC habe, bekomme ich diese zwar vermutlich auch auf einen anderen Server migriert, aber ich müsste weiterhin diesen schrecklichen kryptischen aktuellen Namen behalten. Und wenn ich schon Ordnung mache... dann gleich richtig. Auf der anderen Seite will ich ja auch nicht alle aktuell vergebenen Zertifikate verlieren, zumal ich mir nicht wirklich sicher bin, was es für Folgen hat, wenn plötzlich die Computerkontozertifikate von den DCs ungültig werden etc. Also muss irgendwie sanft migriert werden. Wie geht das am besten? Und: Das CA Zertifikat wird automatisch über das AD verteilt? Hier werden nämlich irgendwelche uralten rootCA Zertifikate von irgendwelchen nicht mehr vorhandenen CAs verteilt. Wie kann ich das los werden? In den Gruppenrichtlinien habe ich so nichts gefunden. Danke!
  3. Moin, so ok, dann fangen wir mal von vorne an: Der Grund ist eigentlich ziemlich einfach: Es gehen die IP Adressen aus. Außerdem wurde WLAN eingeführt. Nebenzu sollte ja noch die Netzwerkperformance ein wenig besser werden, wegen den Broadcasts. Außerdem habe ich VoIP mal getrennt. Hier habe ich alle Ports Richtung Clients einfach getagged und die VoIP Geräte entsprechend auch. Grundlagenkenntnisse sind soweit vorhanden. (Soweit ich das einschätzen kann) Ein Wenig was habe ich bereits umgesetzt. Also: Am Switch 1 hängen auch einige Clients an Ports mit untagged 20. Diese bekommen auch vom richtigen DHCP aus dem richtigen Scope eine Adresse. Ich vermute, dass vom Switch 2 Richtung Switch 1 irgendwie der Adressbereich und/oder der Tag verloren geht. Von der grundsätzlichen Sache würde ich es so beschreiben: Client an untagged XX Port -> Switch tagged xx Port -> Switch tagged xx Port (und eventuell noch mehr Switche dazwischen) -> untagged 1 Port an VM mit DHCP mit div. Scopes. Es handelt sich um HP Switche. Hier mal auszugsweise die Config: vlan 10 name "10.x" no ip address tagged 2,10-18 exit Und verdammt. Ohweh! Sorry Fehler gefunden. Eieiei... Ok, gut... dann klappt das also doch so. Gibt es vielleicht sonst noch irgendwelche Tipps, die ich hier überhaupt nicht berücksichtige? Mit dem VoIP VLAN bin ich mir noch nicht so sicher, ob das der richtige Weg ist. Ich hätte VoIP gerne getrennt, aber physikalisch möchte ich nicht unterscheiden müssen ob da nun ein PC oder ein Telefon rein darf. Viel mehr Möglichkeiten habe ich ja nicht? Danke!!!
  4. Hallo, ich versuche mich gerade intensiver mit VLANs und Routing zu beschäftigen, um hier das Netzwerk etwas in Ordnung zu bringen. Grundsätzlich wollte ich diverse Gebäude auf dem Gelände und teilweise die Gebäude im einzelnen ein wenig in eigene VLANs packen. Das Ganze soll nicht in einem Step passieren und hat eigentlich auch keine große Eile und nebenbei Step by Step umgesetzt werden. Nebenbei wird auch der alte DHCP Server dann irgendwann durch einen neuen ersetzt bzw. neue Ranges landen im neuen DHCP. Der Umfang und die Planung welche Bereiche wo rein und in welches VLAN ist mir soweit erst einmal klar. Ich habe nur irgendwie eher ein paar Probleme vom Verständnis von VLAN im Allgemeinen. Nehmen wir an ich habe VLAN 1, 10, 20, 30. An Switch 1 ist nun der Port 2 mit VLAN 10 getagged. An Port 1 (untagged 1) hängen über vmware diverse DHCP Server in dem IP Adressen-Bereich 192.168.1.0/24. An Port 2 hängt ein anderer Switch (2) ebenfalls 20 getagged. Die Ports für die Clients sind untagged. Am Switch 1, sozusagen dem Core Switch, habe ich dann im VLAN 20 die IP helper-address vom DHCP mit dem Bereich 192.168.20.0/24 eingetragen. Nun holen sich die Clients an einem untagged 20 Port aber trotzdem noch vom DHCP aus VLAN 1 eine IP Adresse. Switch 2 kann aber kein Routing und kennt somit auch keine IP helper-address. Ok nun geht also unterwegs irgend und irgendwie der Tag verloren. Muss ich zusätzlich noch alle Ports zu den Virtualisierungshosts taggen? Und dann entsprechend virtuelle Netzwerkkarten taggen? Irgendwie stehe ich da aufm Schlauch... Danke!
  5. Namensauflösung tut. Die Ereignisprotokolle sind so langweilig wie es nur sein kann, keine Auffälligkeiten. WINS läuft... obwohl eigentlich für nichts mehr notwendig. Es ist halt witzigerweise momentan wieder nur bei einem einzigen Client. Wenn ich an diesem Client in dem entsprechenden Scanordner meinetwegen eine leere txt erstelle, dann refresht er das Folder sofort und die PDFs erscheinen. Zumal... es läuft ja so: Drucker scannt zu PDF und legt es per SMB auf dem Server ab. Client läuft zum Arbeitsplatz (dauert so 2 Minuten, bis dahin ist der Speichervorgang abgeschlossen) und öffnet über ein gemapptes Netzwerklaufwerk den Ordner mit den gescannten Dateien: Nichts neues. Dann wartet er entweder ein paar Stunden und irgendwann erscheint es mit der alten Uhrzeit oder man erstellt einfach eine leere Datei oder kopiert irgendwas. Sonst ist Windows einfach nicht zum Refresh zu bewegen. Was mir auch noch aufgefallen ist: Ich habe mal spaßeshalber, als die PDF nicht sichtbar war sie per Copy & Paste über eine Remotesteuerungssitzung (denke mal System Center nimmt das RDP Protokoll?) von meinem Rechner in den Scanfolder über den Client reinkopiert. Der betreffende Client hat nicht gefragt ob sie überschrieben werden soll oder so ähnlich, sondern es hat sich so dargestellt als wäre der Kopiervorgang extrem schnell. Einfügen: Zack da. Hab nun auch einfach mal bewusst eine sehr große PDF genommen. Der Client meint wohl wirklich zu kopieren.
  6. Sorry... aber an der Leiche muss ich noch einmal scharren. Jetzt häuft sich das Problem von heute auf morgen plötzlich wieder. Von allen möglichen Clients kein Problem. Mit Admin, ohne... wie auch immer. Nur bei einem Benutzer wieder Probleme. Nach ca. 30 Minuten sind die Dateien noch nicht sichtbar. Aktualisieren bringt nichts. Datum von allen Scannern geprüft. Passt überall bis auf wenige Sekunden Abweichung.
  7. Hallo, ich habe vor einigen Wochen ein Update von Exchange 2007 auf 2013 gemacht. Bis auf die öffentlichen Ordner ist mittlerweile nun auch alles auf den neuen Exchange Server umgezogen. OWA, Outlook Anywhere etc. funktioniert alles wie es soll. Sogar das Ereignisprotokoll ist sauber. Allerdings passiert es nun, dass Mitarbeiter irgendwelche Lese und/oder Löschbestätigungen von extrem alten Mails (zum Teil so alt, da waren diese noch nicht einmal bei uns angestellt...) und zwar mit externen Lesern. Allerdings kommt die Bestätigung von internen Mitarbeitern die zu diesem Zeitpunkt der theoretischen Ursprungsmail aber auch noch nicht im Haus waren. Das ganze passiert allerdings nicht querbeet bei allen, sondern nur bei ein paar Mitarbeitern. Und meist in der Nacht und dann auch immer so 10er bis 20er Packen. Jemand eine Idee, wo das herkommt und wie ich das abstellen kann? Danke!
  8. Hallo, ja danke! Scheinbar muss es wirklich auf so etwas hinauslaufen. Habe mit einer kleinen c# Programmierung bereits angefangen, aber irgendwie... naja trotzdem schade, dass es da keine Boardmittel gibt!
  9. Hallo, die internen Kontakte könnte ich ja beim Exchange irgendwie sinnvollerweise gleich im AD pflegen oder? Die Felder reichen mir dicke aus und niemand muss dann hinterher den AD Kontakt (also E-Mail aktivierten Benutzer) wieder mit einem Kontakt aus einem öffentlich Ordner oder persönlichen Kontaktordner verknüpfen. Denke mal, dass das einigermaßen sinnvoll ist. So nun möchte ich aber diesen Aufwand an eine andere, nicht IT lastige, Verwaltungsabteilung abtreten. Wie kann ich hier sauber Rechte vergeben, dass diese eben nur die relevaten Daten ändern können, wie Adresse, Abteilung, Vorgesetzter etc. aber nicht die E-Mail Adresse oder ähnliches? Ich habe im Exchange 2013 einem Benutzer einmal Testweise in eine leere Administratorrolle gepackt die nur die Rechte Mail Recipients hat. Nun darf diese aber für meinen Geschmack ein wenig zu viel! Hat hier jemand etwas Praxiserfahrung? Ich möchte ungern in der IT-Abteilung selber über 100 Benutzer selbst pflegen... Vielen Dank!
  10. Hallo, vielen Dank erst einmal für die Antworten. Ich bin seit knapp 10 Jahren als SysAdmin tätig. Ich denke nicht, dass ein MTA unbedingt sinnvoll ist. Ist eher fraglich ob das dann nicht vielleicht sogar negativ betrachtet wird? Allerdings habe ich mich eben immer nur damit beschäftigt, was ich momentan brauche. Nachdem ich zum Beispiel Direct Access bisher nie zum Einsatz gebracht habe, weiß ich zwar, was es so ungefähr ist und wozu es gut ist, aber kenne mich null mit der Konfig aus. Outlook Anywhere hingegen wäre nun nicht so das Problem, je nachdem wie die Fragen gestellt sind.
  11. Hallo, ich möchte endlich einmal anfangen ein paar Zertifizierungen zu machen. Nachdem ich gerade genug Luft habe, habe ich mir überlegt ob das wohl im Selbststudium möglich ist. In der Theorie müsste ich mir die passenden Bücher von Microsoft kaufen und diese dann ordentlich durcharbeiten. Eine kleine Testumgebung mit Server, Active Directory etc. habe ich sowieso immer rumstehen. (Technet sei dank, habe ich auch alle Programme etc) Wenn das getan ist: Prüfung anmelden, ablegen, glücklich sein. Soweit, so gut. Ziel von mir wäre wohl MCSE Server Infrastructure. Um dahin zu kommen müsste ich doch mit der MTA Zertifizierung anfangen oder? Dazu müsste ich die Prüfungen 349+365+366+367 ablegen? Edit: Ok, das MTA ist scheinbar nur für Azubis, also würde ich gleich mit den MCSA Sachen anfangen? Danach würde ich dann auf dem Weg zum MCSA noch 410+411+412 machen? Der Rest wäre dann Prüfung 413+414? Ok, wie viel Zeit habe ich für den ganzen Prozess? Was passiert, wenn ich mal ein paar Monate Pause machen will? Für die Bücher und die Prüfungen habe ich so 2.000 bis 3.000€ kalkuliert. Reicht das? Gibt es irgendwie vergleichbare Tests? Würde gerne wissen, wie so etwas ungefähr aussieht. Ich brauche keinen Test zum auswendig lernen oder so, sondern würde gerne grundsätzlich mal eine Struktur und Art der Fragestellung sehen. Besten Dank euch!
  12. Renator

    AD Login Script

    Ich mache es so und es funktioniert: call \\server.local\batch\1.bat call \\server.local\batch\2.bat die jeweiligen bat Dateien beende ich hinterher mit einem exit. Kein Problem, klappt super ;)
  13. Hm, ok, interessant wären dann hier noch die Auswirkungen auf die Infrastruktur und Server. Geht Lync von "unterwegs" bei einer firma.local überhaupt ohne VPN? Geht der Exchange mit mehreren AD-Domänen etc. hier gibt es mit Sicherheit noch tausende andere Dinge, welche bedacht werden sollten. Aus diesem Grunde würden mich Erfahrungen und praktische Anwendungen andere Admins interessieren.
  14. Erst einmal danke für den Link. Kannte ich schon. Unsere Lösung hier erscheint dort gar nicht ;) Was mir dazu noch einfällt: Wenn man mit Subdomains arbeitet, um das Ganze zu unterteilen, kann das ja entsprechend lang werden. Und manchmal ist es ja dann auch nicht einfach hier wirklich auseinander zu halten. Manche Mitarbeiter sitzen in Deutschland, arbeiten aber viel mit England und haben eine .co.uk Mailadresse etc. schwierig... dann ist vielleicht doch die offizielle Mailadresse nicht mehr der Anmeldename und der Vorteil der gleichlautenden Domäne ist wieder dahin. Toll wäre eine Möglichkeit aus der Mailadresse den richtigen AD Benutzer zu generieren. Automatisch, bei jeder Anmeldung... ;) Von daher finde ich die Organisation in einer komplexen Struktur interessanter als die Benennung an sich. Danke! Edit: Ein paar Abkürzungen raus...
  15. Hallo, an diesem Standort hier gibt es einen ziemlich kryptischen Domänenname, dessen Logik sich natürlich keinem normalem Anwender erschließt. Grundsätzlich war das erst einmal kein Problem, da bei der Domänenanmeldung an einem PC meist schon alles vorgegeben ist etc. langsam unangenehm wurde es zum Beispiel bei der Anmeldung von ActiveSync oder Outlook Anywhere, wenn hier die Benutzer selber etwas machen mussten. In Zukunft soll dann noch Lync etc. folgen und ich würde es für die Anwender gerne übersichtlicher und angenehmer gestalten. Zusätzlich ist hier alles ziemlich gewachsen in den letzten Jahren. Ich denke am einfachsten ist es doch, wenn der externe Domänenname auch intern verwendet wird. Zum Beispiel firma.de, wenn man nun globaler denkt wäre vermutlich firma.com besser und wenn es sich um einen Firmenverbund handelt, dann wohl eher gruppenname.com. Und hier weiß ich dann ehrlich nicht mehr sicher, wie man dann unterteilen sollte. Natürlich kommt es klar auch auf die Struktur der Firma an, aber sollte man einen weltweiten Forest machen? Und dann je Unternehmen einen Tree? Oder je Land einen Tree? Oder Subdomains oder umgekehrt? Und dann stellt sich die Frage nach dem Weg dort hin: Domäne einfach umbenennen? Oder komplett neu erstellen und dann mir einer Vertrauensstellung Stück für Stück in die neue Domäne packen? Wie verkraftet der Exchange etc. das umbenennen? Was passiert mit mobilen Geräten beim umbenennen? Um nochmal auf den Punkt zu kommen: Mich interessiert, wie andere die Probleme der Domänenstruktur angehen und wie man am besten dort hin kommt. Danke!
  16. Habe ich im Abo. Viel uninteressanter Kram drin, aber ab und an trifft es genau den Bedarf. Häufig werden auch Produkte und Software vorgestellt, welche eher unbekannt sind. Ist ganz praktisch um zu erfahren was es überhaupt gibt.
  17. Also wenn ich in meinem Outlook 2013 (mit funktionierenden öffentlichen Ordnern, allerdings an EX2007) öffne habe ich auf der rechten Seite den Kalender und kann auch die kommenden Tage sehen. Dazu muss man unter Ansicht -> Aufgabenleiste -> Kalender anhaken. Das mit den Icons ist so auf den ersten Blick wohl wahr, aber dafür kann ich nun sagen, welche genau ich sehen möchte und in welcher Reihenfolge. Also packe ich mir die wichtigsten 4 vorne hin, die restlichen kann man über ... öffnen und alles ist gut. So passen dann auch mehr Ordner in die Navigationsleiste. Ich finds super. Außerdem läuft bei mir Outlook 2013 (Windows 7, 64bit) gefühlt sogar etwas flotter als das Outlook 2010. Man muss halt den Cache wieder erhöhen, sonst eiert er ständig auf dem Server rum.
  18. ERP Systeme über VPN sind nicht so einfach. Meistens sind SQL Anwendungen über VPN nicht sonderlich performant. Denke über Terminalserver, Citrix oder ähnliches nach. Zumindest ein rodc wäre auch zu empfehlen.
  19. Hallo, sorry, dass ich diese Leiche schon wieder anfasse. Das Problem besteht bei mir sporadisch an einigen Rechnern leider immer noch. Es ist leider nicht nur bei gescannten Dokumenten, sondern auch bei kopierten oder gespeicherten. Zuerst dachte ich, dass das Problem quasi nur dann auftritt, wenn der Speichervorgang nicht am Rechner selbst statt findet. Leider nicht: Beispiel: Ich kopiere an Rechner1 eine Datei auf Laufwerk Z in den Ordner A von Ordner B. Auf Rechner1 sehe ich erst nach 10 Minuten, dass die Datei da ist. Auf Rechner2 ist sie sofort zu sehen. Wir haben zwischenzeitlich sogar den Virenscanner gewechselt. Außerdem sind alle Rechner ansonsten auf dem gleichen Stand. Deshalb kann ich mir die Probleme noch weniger erklären. Es scheint aber wirklich eher ein Explorer Problem zu sein. Jemand eine Idee, ob der Explorer irgendwie cached oder sowas? Danke!
  20. Für die 2008er R2 brauchtest dann doch auch noch einen Patch oder? Lieber nimmst du die ältere und supportete Variante! SQL Server 2008 Service Pack 1: http://www.microsoft.com/en-us/download/details.aspx?id=20302 Cumulative update package 11 for SQL Server 2008 Service Pack 1: http://support.microsoft.com/kb/2413738/en-us Damit sollte es dann auch klappen.
  21. Hallo, ich glaube das Problem rührt eher daher, dass es die Setuproutine von Autodesk ist und dieser scheint es gar nicht zu passen auf irgendeine Art und Weise verteilt zu werden, wenn der Quellenpfad nicht zu 100% dem ursprünglichen Quellenpfad (vollständiger UNC Name) ist. Die ****e Routine greift immer wieder auf den eingerichteten Pfad zurück. Wie dem auch sei... ich habe es nun so gelöst, dass ich das Setup neu einrichte und dann gleich auf dem sccm. Gesetzt den Fall ich würde einen weiteren Standort einrichten, würde die ganze Geschichte natürlich wieder auf den Bauch fallen. Ich bin nun erst einmal zufrieden. Danke!
  22. Du hast wohl Recht. Admin Rechte sind nicht gleich Administrator - Account. Alternativ zu einem "fremden" Explorer, sollte es doch auch funktionieren die explorer.exe als "Adminstrator" zu starten?!
  23. Ich glaube Visio wird ein wenig überladen, wenn du wirklich jedes einzelne Kabel dokumentieren will oder? Bzw. Dokumentierst du wirklich jedes einzelne Patchkabel? Wahnsinn. Ich würde in 10 Jahren noch dokumentieren, wenn ich das heute anfangen würde! Respekt!
  24. Na ok. Du versuchst lokal auf den Ordner zu kommen. Somit sind es die Sicherheitseinstellungen auf Dateiebene. Nun dann schaue dir die Sicherheitseinstellungen von dem Ordner einmal an. Wer ist alles drin und welche Gruppen mit welchen Rechten. Vererbt wird ja nichts sagst du. Dann kuck dir noch, wie der Vorposter sagt, den Besitzer an. So nun schaust du, ob deine Domänen-Admin, Mitglied irgendeiner in oben genannten Fällen Mitglied ist. Zum Schluss solltest du noch prüfen, ob du WIRKLICH als Domänen-Admin am Server angemeldet bist und nicht als lokaler Admin. Viel mehr Möglichkeiten gibt es nicht... außer vielleicht ein ernsthaftes NTFS Problem. Neuer Server? Kein Problem: Checkdisk drüber laufen lassen!
  25. Hallo, habe hier einen SCCM 2012 mal zu Testzwecken am laufen. Prinzipiell ist er auch funktionstüchtig: SCCM Client kann ich mit push verteilen. Endpoint Protection wurde auch testweise an einen Testclient ausgerollt. Ebenso war ich dazu in der Lage .msi über Anwendungen auszurollen. Nun stolpere ich allerdings über die Pakete: Wenn ich ein Paket so einrichte, dass es auf den sccm-Server kopiert wird, dann funktioniert es soweit. Aber eigentlich möchte ich das nicht, da viele Pakete (konfigurierte unattended Installationen) bereits fertig auf einem Fileserver liegen habe. Bzw. bei manchen Paketen funktioniert das auch gar nicht... Wenn ich nun den Inhalt nicht auf den sccm kopieren lasse, dann bekomme ich bei manchen Installationroutinen den Fehler, dass Dateien zur Installation unter \\sccm\smspkgc$\"Paket-ID"\ usw. nicht zu finden sind. Was auch logisch ist... es ist ja nicht da! Wie bringe ich dem sccm bei, dass der Pfad stimmt? Es ist so als würde die setup.exe (zB) unter \\sccm\smspkgc$\"Paket-ID"\ gestartet und nicht unter \\dateiserver\freigabe\programm\. Bei dem Programm in sccm ist aber unter starten in "\\dateiserver\freigabe\programm\" eingetragen. Achso noch etwas: Ich warte zwischen den Änderungen immer einige Stunden, damit ich sicher gehen kann, dass diese auch durchgegangen sind. Geht das auch irgendwie schneller? Bzw. gibt es eine Möglichkeit das ordentlich zu prüfen? Danke!
×
×
  • Neu erstellen...