Volker Racho

Hallo Daim! Wie immer gute und sehr hilfreiche Antworten von Dir. Den ersten Teil habe ich verstanden. Du weißt alles , oder? AD ohne DNS geht nicht wirklich, richtig, aber man kann bei der Installation ja sagen "Ich kümmere mich später drum" und macht dann erstmal weiter. Aber das ist ja hinfällig. Dass DNS und AD immer nur zusammen funktionieren, ist verstanden. MS sagt ja, dass 90% aller AD-Probelme eigentlich DNS-Probleme sind. Achso, ich hatte es so verstanden, dass ADMT mir nur die Nutzer migriert, aber nicht wirklich die Client(rechner), die sich dann ja - zurückgelassen - in der dann evtl. nicht mehr exitenten Domäne befinden an der sie sich dann stetig versuchen erfolglos anzumelden. Also bleiben mir auch auf beiden Servern, in beiden Domänen die Nutzer erhalten? Quasi kann also dann ein Benutzer Mitglied in zwei Domänen sein, auf der alten mit seiner ursprünglichen ID und auf dem neuen mit seiner alten und neu generierten ID? Nehme ich dann die alte Domäne (resp. DC) ausser Betrieb, ist das dem Client egal, weil er sich dann einfach an der (übrig gebliebenen) neuen Domain anmeldet? Habe ich das richtig verstanden? Das ist ein Thread in dem ich wiedre viel gelernt habe. Beste Grüße & Dank, MD

So, nach längerem Überlegen ist mir doch noch ein Haken - oder vielmehr eine Herausforderung eingefallen. Vielleicht gähnt darüber auch der ein oder andere ... Jedenfalls wäre es nett, wenn mir dabei jemand - schon wieder - weiterhelfen könnte: Ich möchte ja die Benutzer mittels des ADMT 3.0 von einer alten Domäne (hier: kirche-ort) in eine neue (hier: intranetkirche-ort.de) überwechseln (s. Bild). Der neue Server ist aufgesetzt und standby. Jetzt ist es aber so, dass beide ganz unterschiedliche IPs haben (-> an DNS gekoppelt -> an AD gekoppelt). Der alte hat - in gruer Vorzeit mal festgelegt - die IP 172.16.1.3 der neue soll die 192.168.0.3 haben. Jetzt ist es aber so, dass diese beiden Server sich dann aber nicht "sehen", bzw. auch keine Daten austauschen können. Wie bewerkstellige ich damit denn jetzt meine Benutzer/Computerkontenmigration? Folgende Möglichkeiten fallen mir ein, aber welche ist die richtige? 01. Einen Router zwischen die beiden Server klemmen? 02. Den neuen Server mit zwei Netzwerkkarten ausstatten und eine für das 172er-Netz, die andere für das 192er-Netz einrichten udn Routing aktivieren? 03. AD ohne DNS aufsetzen, dem neuen Server kurzzeitig eine 172er IP geben und DNS nach der Migration im Nachhinein konfigurieren? 04. Den alten Server vom Netz nehmen, die DNS und IP-Einstellungen nach 192er-IP ändern und dann die Nutzer migrieren? Oder, wie machend as die Profis? Zusatzfrage: Nach der Umstellung auf die neue Domäne und die neuen IP-Bereiche, können sich die Clients ja erst wieder an der Domäne anmelden, wenn sie ein neues Vertrauenskonto in der Domaine haben. Dazu habe ich es bisher so gemacht, dass die Rechner aus der Domaine raus (-> Arbeitsgruppe) und dann wieder (in die neue) hinein genommen werden, damit das neue Vertrauenskonto erstellt wird. Nun sind es aber ca. 40 Rechner mit denen ich das durchziehen müsste, zudem müsste ich die Benutzerprofile ja auch nach Anmeldungd an der neuen Domaine wieder einrichten oder zumindest wieder einspielen. Geht das irgendwie anders schneller? Vielleicht über eine Sammeleinrichtung anhand der ausgelesenen SIDs der Clientrechner o.ä.? Danke für Eure Hilfe vorab! MD

Nein, leider das auch nicht. Aber die direkte Ansprache der virtuellen verzeichnisse die in die Home Directory gematcht werden, ist schon konfortabeler. Habe es in der Zwischenzeit mit Serv-U Pro hinbekommen. Gene6 läuft auch in der neusten version leider nicht, weil der FTP-Server-Prozess wegen eines nicht näher differenzierbaren Fehlers nicht gestartet werden kann. Danke für Deine Hilfe. MD

Das ging mal gar nicht. Danach gab's nur Probleme, trotz forestprep und domainprep war hinterher AD nicht mehr zu starten oder zu deinstallieren. DNS tat's auch nicht mehr usw. Trotz Intel-Chipsatzund Chip. Also, besser neu gemacht. MD

Danke für die Antwort. Das scheint es zu tun. beste Grüße, MD

Weiß keiner? Hat keiner Tipps?

Na ja, eigentlich waren die Antworten eher mal Hü mal Hott. Aber danke, Deine Antwort hat es nun auf dem Punkt gebracht. Dass für ein ordentliches Exchange irgendwo in der Domane ein ordentliches AD existieren muss, welches immer auf einem ordentlichen DNS basiert, ist klar. Die Frage war nur: Alles auf einer KIste, ja oder nein. Das ist hiermit geklärt. Besten Dank & Gruß, MD

Hat sich eigentlich erledigt. Ein Backup ist Dein Freund. Warum dem so war weiß ich nicht, würde mich aber brennend interessieren. MD

Es ist aber auch der Wurm drin momentan. Ich habe meinen Rechner (Vista 64bit Ultimate) eben einmal aus meiner Heimdomäne nehmen müssen, um etwas zu testen. Ein lokales Benutzerkonto gibt es mit gleichem Namen und Passwort, also sollte das ja kein Problem sein. Dennoch: Beim der Anmeldemaske steht nun der richtige Benutzer und ich gebe das dazugehörige Passwort ein, es kommt "Willkommen" und dann gleich "Abmelden". Danach grüßt sekündlich das Murmeltier. Was ist das? Wie stelle ich das ab? Kann ich ggf. das Passwort zurücksetzen? Danke für Hilfe MD

Hallo! Ich habe unter Longhorn Beta 3 erstmalig einen FTP per IIS aufgesetzt (vorher immer Gene6 benutzt), eine neue FTP-Site erstellt und zwei Ordner als virtuelle Verzeichnisse für Benutzer freigegeben. Soweit alles problemlos. Jetzt greife ich mit einem FTP-Client (von extern) auf den FTP-Server per Dyndns zu und bekomme auch mit meinem Benutzernamen Zugriff, sehe jedoch keines der freigegebenen Verzeichnisse (s. Bild). Eine Fehlermeldung gabe es nicht. Was habe ich vergessen? MD

Gut. Ich mache mal eine Sicherung, probiere das aus und berichte dann mal. Ich habe einen Intel-Chipsatz. MD

Hallo! Dazu habe ich eine Zusatzfrage: Ich setze öfters unterschiedliche Windows XP-PCs für Grafiker auf, die alle ihre (gekauften) Schriftarten-Bundles auch auf den neu installierten System nutzen wollen. Aber wenn ich dann die Hunderte von Schriften ins windows/fonts-Verzeichnis kopiere, muss ich jede einzelne verneinen oder bejaen, was nervt. Das geht doch sicherlich einfacher, oder? Wenn ja, wie? Danke für eine Antwort! MD

Danke, ja, es stimmt. Ich habe mir einen neuen generieren lassen und damit ist die Aktvierung gelungen. Geht denn ein Upgrade von LH Beta 3 auf RC0 oder ist das eine Neuinstallaion? Hat das schon jemand versucht? Besten Dank nochmals! MD

Hallo! Ich habe die Sytsemplatte meines Longhorn Beta 3 Servers getauscht. Aus verschiedensten Gründen war sie nicht clonebar, was auch nicht schlimm war, habe ich's halt eben mal neu installiert. Leider habe ich aber ohne Serienumer weiter gemacht (weil gerade nicht zur Hand) und habe dann die STANDARD Edition genommen, anstatt der ENTERPRISE, für die ich die Serienummer bekommen hatte. Nun gibt es aber keine Seriennummern bei MS (Technet) für die Longhorn Beta 3 mehr. Frage deshalb: Wo kriege ich evtl. noch eine? Oder geht auch die für den RC (Std.) für Longhorn Beta 3? Oder könnte ich den RC einfrach "drüber installieren"/darauf upfraden? Habe keine komplexen EInstellungen vorgenommen. 29 Tage habe ich noch ... Danke für Hilfe! MD

Das genau ist meine Frage: Muß auf dem Mailserver auch gleichzeitig AD und DNS laufen oder muss es nur in der Domaine einen GCS und DC geben von dem der Exchange-Server die Informationen abrufen kann. Für uns also einen Edge-Server, einen Mailserver (300 max. Konten) und mehrere DCs fü Die MSX-Fragen sind gut, aber etwas unübersichtlich. Danke für die Info zum Edge. Ich möchte hier bloß nochmal mein erworbenes Wissen und die Ungereimtheiten überprüfen. Gruß, MD

Natürlich sind wir uns des Risikos bewußt, weshalb wir ja einen Edge-Server mit entsprechenden Appliances vor die Firewall setzen und dahinter erst auf einem dezidierten Port den Exchange-Server leiten. Dort selber möchten wir auch so Dinge wie Anhangsblocking usw. umsetzen, um die Gefahren zu minimieren. Das 16Ter-DSL schafft ja nur den Zugang. Gruß & Dank! MD

Hallo marka! Danke für die flotte Antwort! Wir haben ein Premium XL-Paket dort und so wie ich es sehe sind beide Möglichkeiten machbar. Ich denke, die Geschichte über ein Catch-All hat auch noch den Vorteil, dass die Strato-Spam-Filter mitarbeiten (wenn man das will) und natürlich die Ausfallsicherheit, so dass keine Emails verloren gehen, wenngleich unsere DSL-Leitung in den letzten vier Jahren seit Nutzung nur ein Mal ausgefallen ist -> Bagger hat die Zwangstrennung vorgenommen. Catch-Al heißt alles kommt in ein Emailfach und wird da wie vom Exchange/Edge abgefragt und auf die entsprechenden Postfächer verteilt? Gruß, MD

Hi nochmal! Also, heisst das jetzt AD und DNS JA, ist nötig oder heiist es NEIN, ist nicht nötig? Wie kommt denn aber Exchange an die ganzen Nutzer aus dem AD, denn die möchte ich natürlich nicht alle neu eingeben/anlegen müssen? Ist meine Kenntnis für ADAM für den Edge richtig? Danke für Antworten! MD

Genau das habe ich mich auch gefragt. Aber in den virtuellen Maschinen des MSL ist der Exchange-Server kein DC, hat kein ADS und DNS installiert. Aber das ist dann wohl eine Ausnahmekonfiguration. Okay, dann denke ich hier doch richtig. DNS, ADS sind ein Muss. Ein dazugehöriger Edge-Server würde dann aber kein ADS/DNS bekommen, da dies wohl über ADAM (Active Directory Application Mode) funktioniert, denn die Nutzerkonten sollen natürlich nicht direkt im Internet stehen. Gruß, MD

Hallo! Momentan nutzen wir den Strato-Service für die Mailabfrage unserer Unternehmens-Emails. Die Outlook 2K3-Clients fragen also direkt per POP/IMAP die Konten bei Strato auf post.strato.de ab und senden darüber. Jetzt nehmen wir bald einen eingenen, firmeninteren Exchange 2K7-Edge-Server und einen Exchange 2K7-Exchange-Server in Betrieb. Daher sollen natürlich die Mails über den Edge ihren Weg durch die Firewall auf den Exchange-Mailserver finden und von den Clients dort abgefragt werden. Der Edge bzw. der DSL-Router davor bekommt die feste (externe) IP, richtig? Wie teile ich Strato mit, dass sie dort nicht mehr unsere Emails sammeln sollen, sondern unser Mailserver das nun machen soll? Hat jemand da Erfahrung wie das geht und was man bei Strato ggf. beantragen/ändern muss? Danke für Hinweise! MD

Hallo Kenner! Ist es für den Betrieb eines Exchange 2K7-Servers (auf Win2K3 R2 x64) wichtig oder zwingend notwendig, dass dieser ADS und DNS installiert hat? Oder wäre das gar kontraproduktiv, da ggf. Anmeldeprozesse auf den Mailserver weitergeleitet werden und damit die Performance des Mailprocessing schmälern. Der Mailserver ist nur Mailserver und sonst nix. Für die Anmeldung stehen andere Server mit DNS und ADS zur Verfügung. Beste Grüße, MD

Na ja, da die Wochenenden ohenhin zunehmend schrumpfen, könnten sie eigentlich wirklich wegfallen. Auffallen würd's mir jedenfalls kaum. Momentan fallen mir noch tausend Eventualitäten ein, die ich noch abchecken will, bevor ich loslege. Okay, dann habe ich die Systematik jetzt richtig verstanden und verinnerlicht. Dein Blog ist wirklich eine Goldgrube. Aber das Problem mit dem Gold ist ja hinlänglich bekannt: Wo genau muss man suchen? Besten Dank! MD aka Holger

Hallo Yusuf! Übers Wochenende ist mir - natürlich - noch eine (Verständnis-)Frage eingefallen. Ich habe gelernt, dass Active Directory nicht ohne DNS funktioniert. Jetzt habe ich aber auf den (virtuellen) MSL-Testsystemen (DC1 - 1. Domaincontroller der Domäne; DC2 - Weiterer DC der Domäne; WinXP-Client), dass nur der DC1 DNS & AD hat, der DC2 nur AD und den DC1 als DNS-Server eingetragen hat, ebenso der XP-Client den DC1 als DNS-Sever eingetragen hat. In der Testumgebung funktioniert das ja auch gut. Meine Zusatzfrage daher: Bezogen auf meine geplante Struktur, jedem Standort (Einrichtung) einen eigenen IP-Bereich zu verpassen und die jetztigen Forrest-Server zu normalen, weiteren DCs der neuen Domäne zu degradieren, der (s)einen IP-Bereich verwalten soll (also: (1.) DC1 - 192.168.0.*; DC2´- 192.168.1.* usw.), ist die Frage, ob jeweils jeder dieser "neuen" DCs auch einen DNS-Server installiert haben muss, der seinen Bereich abdeckt. Damit würde der Anmeldeverkehr an der Domäne doch in dem IP-Wirkungsbereich des jeweiligen (DNS)DCs bleiben, wenn ich allen Clients in diesem IP-Bereich den entsprechenden DC als DNS-Server eintrage (alternativ dazu dann doch noch den (1.) DC1 der Domäne)? Dennoch könnte sich jeder Nutzer irgendwo an irgendeiner Arbeitsstation in der Domäne (an irgendeinem "weiteren DC) anmelden. Ich hoffe, die Frage ist nicht zu wirr gestellt. Gruß, MD

Unser Unternehmen heisst mit im Netz 'http://www.unternehmen-ort.de', weil der 'unternehmen'-Teil des Names zu generisch ist und durch einen Ort näher definiert wird, also z.B. statt 'kirche.de' besser mit 'kirche-ort.de' bezeichnet wird. Trotz des übergeordneten Namens ('kirche') haben die Unternehmen dieses Namens von Ort zu Ort aber gar nichts miteinander zu tun, sondern sind eigenständige, unterschiedliche Unternehmen. Daher die AD-Namenswahl. So, nu aber ... Dir auch ein schönes, erholsames Wochenende! MD

Ich bin bei der ev. Kirche Chef ist Pfarrer) als Computerseelsorger angestellt, darf als schon rein aus beruflichen Dingen "glauben" vor "wissen" :p :D Die OUs wollte ich nur nach Einrichtungen gliedern, dann noch nach Arbeitsbereichen. So sehe ich in der Übersicht gleich wo und welche Abteilung. Darunter wird nicht mehr unterteilt, wenn nicht unbedingt nötig. Ich werde wohl auch 'intern.unternehmen.de' benutzen. also in unserem Fall 'intern.unternehmen-ort.de'. Das ist zwar lang, aber passt dann zum Rest. Und die Benutzer müssen es ja nicht eingeben oder auswählen. Wenn es nur eine Domäne gibt, werde ich es so einrichten, dass sie ohnehin nur noch Benutzername und Passwort eingeben müssen und immer automatisch in diese Domäne verbunden werden. Dann kann's ja losgehen ... Oh, Wochenende. MD