olc

Hi, im besten Fall machst Du mit Windows Boardmitteln eine lokale Sicherung von mindestens 2 DCs pro Domäne inkl. Systemstate. Diese Backups ziehst Du dann per Backup Exec von den Systemen ab. Hintergrund: Backups mehrerer DCs bieten Dir eine Möglichkeit, im Fehlerfall eines Systems noch ein zweites, drittes etc. Backup bereit zu haben. Eine Boardmittel-Sicherung verhindert Probleme im Support Fall, außerdem liegt sie lokal, was den Restore Vorgang (z.B. über das Netzwerk) beschleunigt. Es verhindert auch Probleme, solltest Du keine Netzwerkverbindung haben. Usw. usf. :) Viele Grüße olc

Hi, Microsoft testet seit Windos Server 2008 / Vista ausschließlich mit aktiviertem IPv6. Deaktivierst Du das protokoll, ist das zwar voll supported, aber nicht getestet. Einige Produkte setzen IPv6 voraus, so etwa Direct Access, Branch Cache oder meines Wissens auch Teile von Exchange 2010. Bevor Du es also abschaltest solltet Ihr besprechen, ob Ihr Euch der Implikationen der Deaktivierung bewußt seid. Siehe auch - Arguments against disabling IPv6 - Romania Networking Team Blog - Site Home - TechNet Blogs - Why you should leave IPv6 alone - Random thoughts of a Premier Field Engineer - Site Home - TechNet Blogs - IPv6 for Microsoft Windows: Frequently Asked Questions Schaut vielleicht auch einmal darauf, wie Ihr IPv6 in Eurer Umgebung einrichten könntet bzw. ob Ihr einen Mehrwert dadurch habt und welche Aufwände dafür anfallen würden. Viele Grüße olc

Hi Mona, "Authentifizierte Benutzer" beinhaltet auch Computerkonten. Der Name führt ein wenig in die Irre. Entferne bei Bedarf die "Authentifizierten Benutzer" oder ändere den Anwendungsbereich der Richtlinie durch eine andere Verlinkung und die normalen Systeme sollten nicht mehr mit der Policy "versorgt" werden. Viele Grüße olc

Hi, so einfach ist das in der Form nicht. Du kannst zwar sogenannte "proxy objects" in AD LDS anlegen, aber die erfüllen im Kern Deine Anforderung nich otpimal. Obwohl Du denen auch eigene Attribute zuweisen könntest - die Frage ist jedoch, wie Deine Applikationen damit umgehen? Generell wäre auch eine Directory Synchronisation Lösung interessant, so wie der FIM, DirX o.ä. Aber das ist sicherlich etwas viel / zu groß für Dein Vorhaben. Warum möchtest Du eigentlich eigene Attribute im AD anlegen? Nur für die Personalnummer? Dafür gibt es schon ein AD Attribut: Employee-ID attribute D.h. bevor Du überhaupt weiter überlegst: Wofür genau sollen die genau genutzt werden, welche Daten stehen darin und welche Applikatonen greifen wie darauf zu? :) Viele Grüße olc

Hi zusammen, auch mein Senf dazu (keine 2 Cent) ;) : Ich stimme Nils vollkommen zu - natürlich kommt es wie immer auf den konkreten Anwendungsfall an, jedoch sind die Argumente von Nils genau der Grund dafür, warum heute im Normalfall keine "leere" Stamm- oder Accountdomäne mehr von den meisten Unternehmen eingerichtet wird. Dazu gibt es diverse Guides von Microsoft selbst, auch Gartner und Konsorten (was immer man von ihnen auch halten mag) plädieren für ein Single Forest - Single Domain Modell. Aus betriebswirtschaftlichen, organisatorischen und administrativen Gründen. Active Directory Consolidation as a Design Philosophy Viele Grüße olc

Hi Benni, schau einmal hier hinein: Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de Viele Grüße olc

Hi, die URL des OCSP Responders muß natürlich "gleich" sein oder per GPO entsprechend angepaßt werden. Ansonsten kannst Du den Responder einfach "neu installieren". ;) Viele Grüße olc

Hi, Du mußt die Migration der privaten Schlüssel manuell durchführen, siehe dazu: Viele Grüße olc

Hi, wenn Du nur Windows 7 (Clients) haben möchtest und nicht auch Server einbeziehen möchtest, dann muß es so aussehen: SELECT version FROM Win32_OperatingSystem where Version >= '6.1' and ProductType = '1' Dabei wären dann auch Windows 7+1 Systeme usw. mit dabei. Willst Du auch das nicht, sondern wirklich nur Windows 7 Systeme, sieht der Filter so aus: SELECT version FROM Win32_OperatingSystem where Version like '6.1%' and ProductType = '1' "*" Filter sind übrigens nicht effizient, daher hat es Sinn, etwa nach "version" zu filtern und nicht alle Werte zurück zu liefern, obwohl Du sie gar nicht brauchst. :) Viele Grüße olc

Hi, ist der Virenscanner DFSR kompatibel? Viele Grüße olc

Über "Start" fahren (ganz links in die Ecke) --> Settings --> Power ;)

Hi, der "Trust" wie von blub beschrieben ist Voaussetzung. Jedoch muß das Zertifikat der SC ausstellenden CA im NTAuth Speicher vorliegen, damit es am Client / DC für die SmartCard Authentifizierung genutzt werden kann. Siehe dazu: Guidelines for enabling smart card logon with third-party certification authorities Viele Grüße olc

Hi, die Anmeldung / Authentifizierung selbst übernimmt nicht die CA, sondern die DCs. Die CRL ist jedoch zwingend erforderlich (in den Standardeinstellungen) - ist keine aktuelle CRL erreichbar während der SmartCard Anmeldung, schlägt diese fehl. Genau an diesem Punkt setzt also die "hohe Verfügbarkeit" für die CA ein bzw. sollte einsetzen. Viele Grüße olc

Hi Daniel, Also gab es dann doch den entscheidenden Hinweis im Debug Log. :) Vielen Dank für Deine Rückmeldung und viele Grüße olc

Hi, meines Wissens löst der Neuaufbau des Staging Verzeichnisses keine Initialreplikation aus. Egal ob auf einem oder mehreren Servern initialisiert. Viele Grüße olc

Hi Stephan, Bevor Du in die fachlichen Themen einsteigst, definiere wo Du hin willst. Eine PKI ist nicht Selbstzweck, sondern erfüllt die Anforderung der erhöhten Sicherheit. Stell Dir die Frage, wie hoch Dein Sicherheitsniveau sein soll. Ohne SmartCards zum Beipsiel wirst Du etwa für E-Mail Signaturen kein wirklich "hohes" Sicherheitsniveau erreichen. 80% Zielanalyse, 20% Umsetzung. :) Viele Grüße olc

Hi Stephan, was Du damit realisieren möchtest, ist ein anderes Thema als das Ursprüngliche. ;) Ggf. neuen Thread öffnen, zum Urspungsthema ist m.E. alles gesagt. :) Viele Grüße olc

Hi, was für eine Art der Authentifizierung? Da es sich um Benutzer handelt, wären SmartCards natürlich sehr gut, was insgesamt jedoch einigen Aufwand generiert und damit auch Kosten. Roaming Profiles und/oder Credential Roaming benötigt einiges an Planungs-, Test- Überwachungs- und Wartungsaufwand. Aber das gilt natürlich auch für SmartCards. Viele Grüße olc

Hi Daniel, ein Deaktiveren des AV Scanners reicht nicht, damit der Filtertreiber nicht mehr aktiv ist. Du müßtest es deinstallieren. Avira supported meines Wissens DFSR nicht offiziell in Ihren Listen. Aber vielleicht hat sich da auch etwas geändert. Es gibt sicherlich eine WMI-Methode zum Löschen des Cleanups. Aber Du kannst es Dir auch einfach machen, indem Du den DFSR Dienst stoppst, den Inhalt des Staging Ordners löschst, um danach den DFSR Dienst wieder zu starten. Die Staging Daten werden danach neu aufgebaut, was etwas CPU und HDD Last verursachen kann - je nach anstehender Replikationsdatenmenge im Backlog der Zwischenzeit. Meines Wissens sollte es mit diesem Vorgehen keine Probleme geben. Insgesamt halte ich es für wenig wahrscheinlich, daß das zu kleine Staging Quota verantwortlich dafür ist, daß der DFSR Dienst "durcheinander" gekommen ist. Es wäre das erste Mal, daß ich so etwas höre. :) Viele Grüße olc

Hi Daniel, willkommen an Bo(a)rd, :) im Normalfall sollte es keine "Inkonsistenzen" in den Staging Verzeichnissen geben - was nicht heißt, daß sich die Verzeichnisse vom Inhalt her nicht unterscheiden können. Das kann der Fall sein, daß ja mehrere Replikationspartner existieren. Wenn Du handles auf den Staging Dateien hast, ist die Chance groß, daß es sich um einen Virenscanner o.ä. Filtertreiber handelt, der dort Dinge tut, die er lieber bleiben lassen sollte. Welchen AV-Scanner hast Du im Einsatz - supported dieser DFSR? Das Pre-Seeding ist hier erläutert: Get out and push! Getting the most out of DFSR pre-staging - Ask the Directory Services Team - Site Home - TechNet Blogs Viele Grüße olc

Hi Stephan, das ist "by design" so. Als eine Möglichkeit könntest Du "Credential Roaming" einsetzen - aber ganz ehrlich: Schau Dir das ganz genau an, bevor Du es vielleicht einsetzt. Die potentiellen Probleme mit der Technik sind komplexer, als es auf den ersten Blick scheint. Alternativ Roaming Profiles oder SmartCards. Viele Grüße olc

Hi, Du kannst innerhalb der "DO" Angabe auch andere Dinge tun. So etwa das ERRORLEVEL abfragen (in etwa so, ungetestet): FOR /F "skip=2 tokens=2*" %%A IN ('reg query "HKLM\%arch%\Ghostgum\GSView" /v 4.9') DO ( set GS_VAR=%%B\gsview IF NOT ERRORLEVEL 0 ECHO "Es trat ein Fehler bei %%A auf." ) Viele Grüße olc

Hi, ab 2003 R2 hast Du ein sehr gutes Tool dafür im Betriebssystem mit dabei: File Server Resource Manager Viele Grüße olc

Hi, "Sichern" ist das, was Du suchst. ;) In der neuen Umgebung dann mittels "Importieren" einpflegen. Sollten Sicherheitseinstellungen in den GPOs vorhanden sein, kannst Du die beim Import angebotenen "Migrationstabellen" nutzen. Viele Grüße olc

Hi lefg, die SID unterscheidet zwischen "lokalem System" und dem Computerkonto im AD. Welche SID benötigst Du denn? ;) [*]Lokal: PsGetSid.exe \\Computername [*]AD: PsGetSid.exe Computername$ (sAMAccountName des Computers) Ansonsten gingen auch PowerShell etc., aber wenn es Dir so reicht...? :) Viele Grüße olc