Volker Racho

Hi Yusuf! Experte = Du. Ja, wir waren erst am überlegen, ob wir die Router-Betreuung auch selber machen wollen, aber die kostet uns "nur" 40 EUR im Monat und wir haben eine 24/7-Hotline, Überwachung usw. ink. Dafür können wir uns dann um wichtigere Sachen kümmern. DAS ISO-OSI-Modell ist schon klar und verstanden, aber zwischen Theorie und Praxis gibt es mehr als sich unsere Schulweisheit erträumen lässt. Z.B. habe ich gesagt bekommen, ich solle nicht 'unternehmen.de' als Domänen-Name nehmen, da dies ggf. Probleme mit der DNS-Auflösung bringen würde. Ich will halt nur sicher gehen. Eine große Firewall gibt's nur für den zentralen Internetzugang. Sorry, mein Ausländisch ist etwas verrostet. Die Clientverwaltung wird völlig neu mit OUs (Finanzbuchhaltung, Personalbuchhaltung, Clients von Einrichtung 1 usw.) abgebildet, ja. Und für die gibt's dann später mal die etsprechenden GPOs. Okay, ich glaube, jetzt ist alles (erstmal) geklärt. Dir vielen, herzlichen Dank für Deine Hilfe! MassDestruction

Hallo Yusuf! Ich habe mich - nach Ansicht der Hardware - dafür entschieden einen neuen Server zu kaufen mit dem ich dann die Migration vornehmen kann. Sowohl die Domäne, die IP und der NetBIOS-Name werden ganz anders heissen, so dass Komplikationen dahingehend nicht zu erwarten sind. Allerdings habe ich noch eine Zusatzfrage, wo ich doch gerade den Experten hier am Wickel habe: Über VPN (2 MBit/s synchron) werden dann ja die einzelnen Einrichtungen mit der Verwaltung verbunden. Die VPN-Router sind dann von Lancom und werden von Externen eingerichtet. Jetzt müssen wir aber die IP-Bereiche neu ordnen und ich möchte mich versichern, dass das was ich tue auch fuktioniert: Alle Server & Clients sollen ja nun in die neue Domäne 'unternehmen.de' und gliedert sich in, sagen wir mal, für weitere Standorte. Ich möchte die IP Bereiche wie folgt vergeben: - Verwaltung: 192.168.0.* - Einrichtung 1: 192.168.1.* - Einrichtung 2: 192.168.2.* - Einrichtung 3: 192.168.3.* ... Die Server sollen jeweils eine *.9-er Nummer bekommen, also 192.168.0.9, die Router (intern) jeweils die *.1. Mehr als 200 Rechner/Netzgeräte pro Einrichtung sind bestimmt nicht zu erwarten. Durch die Router und das VPN getunnelt sind die Bereiche transparent, d.h. im gesamten Netz sichtbar, richtig? Und sehe ich das - inshalla es alles klappt wie geplant - dann so in der AD (u.a. des Verwaltunsgservers) so aus? - AD-Standorte & Dienste -- unternehmen.de --- Sites --- Verwaltung (192.168.0.*/255.255.255.0) ---- Client 1 (192.168.0.2/255.25.255.0) ... --- Einrichtung 1 (192.168.1.*/255.255.255.0) ---- Client 2 (192.168.1.2/255.255.255.0) ... --- Einrichtung 2 (192.168.2.*/255.255.255.0) ... Danke für Deine Hilfe! MD

Nun ja, drücke ich mich vielleicht unbeholfen aus. Nun, zu allererst müsste ich ja mit dem Server in unserer Verwaltung anfangen, der demnächst den "ersten DC der neuen Domaine 'unternehmen.de" sei soll (früher: PDC), jetzt aber noch der (einfache) DC der Domäne 'Unternehmen' ist. Von diesem kann ich doch mit dem Tool nicht die Benutzer in irgendeine andere Domäne schieben, weil ja erstmal keine weitere da ist. Aber für die Umfimirung muss ich ihn ja runterstufen (-'Unternehmen) und wieder promoten (+ 'unternehmen.de'). Wie handle ich in der Zwischenzeit die Benutzer- und Computerkonten? Danke für Deine Geduld! Md

Hallo Yusuf! Danke für die hilfreichen Links auf Deinem Blog. Ich werde sie bald abarbeiten. Damit komme ich klar. Also erst mit dem ADMT die Benutzer und Gruppen in die andere Domäne migriren und dann depromoten und neu promoten. Aber werden beim depromote nicht die Benutzer in die normale Windows-Nutzerverwaltung gechrieben und dann beim repromote für die neue Domänenzugehörigkeit wieder aus der Windows-Benutzerverwaltung in die AD übernommen? Oder verschiebt das Tool die Benutzer richtig in die neue Domäne und "löscht" sie vom Quellsystem? Beim demnächstigen Hauptserver-DC - mit dem ich ja irgendwie anfangen muss - kann ich natürlich die Nutzer nirgendwohin schieben. Da müsste das dann ja schon so funktionieren, damit mir auch diese Nutzer nicht flöten gehen, oder? Meinst Du den wirklichen Account "Administrator" (die gibt es bei uns nirgendwo) oder die faktischen Administratoren (die heissen bei uns alle 'it' und haben auf allen DC-Systemen das gleiche Passwort)? Besten Dank! MD

Hallo MS-Experten! Ich habe Windows Vista x64 laufen und möchte unter Virtual PC 2007 meinen Windows XP Pro-Rechner virtuell "nutzen". Wie stelle ich das am besten an? Wie erstelle ich ein in VPC2K7 bootbares Abbild meines XP-Systems? Ein neues System im VPC2K7 erstellen und installieren ist klar, aber wie ein "reales" Image einbinden? Gruß, MD

Hallo Daim! Ich danke Dir für Deine sehr ausführliche und gute Antwort und Tipps! Das hilft mir weiter. Ich denke, ich werde um eine Neustrukturierung der Domain(s), Server und IPs nicht umhin kommen. Die ganze IT-Umgebung ist seit ihrer Einführung vor 5 Jahren so schnell (zusammen)gewachsen, das ich noch nicht absehen konnte, wie das wohl am besten zusammen passt. Es wird wohl - gerade in Hinsicht auf Unternehmensgröße usw. - auf einen Ein-Domänenmodell hinaus laufen. Das verlangt vorab natürlich viel Planung für die Umsetzung bei den internen und externen Diensten. Das macht auch im Bezug auf den Exchange-Server und Gruppenrichtliniennutzung mehr Sinn. Eigentlich in jeder Hinsicht. Das ist zwar einmalig sehr viel Aufwand, aber man hat es dann schüssig. Wie eine Domänenmigration der Benutzer funktioniert, kann ich mir mit entsprechenden Tools vorstellen, jedoch habe ich keine Ahnung - wiel noch nie gemacht und nötig - , wie ich dann den DC der Domaine umfimieren kann. Der heisst nämlich jetzt "Unternehmen" und soll dann in der neuen Struktur dann "unternehmen.de" heißen und damit auch die Anmeldedomäne für alle Rechner des Unternehmens vorgibt. Gibt es dafür auch ein Tool oder geht das ebenfalls mit dcpromo hin und her? Die anderen - jetzt noch - Domaincontroller der einzelnen Domainen "subunternehmen 1" usw. sollen dann als DC es Stadortes dienen. (-> Aufallsicherheit und sonstige Dienste). Unter_Admins wird und soll es nicht geben, dafür ist a) unser Unternehmen zu klein (800 Leute) und b) unsere User zu wenig kenntnisreich und Wollens. Da bin ich auch froh drum. Auch hier die Frage, welche Option ich beim dcpromo wählen muss, um diese "als weiteren Server zur Domaine hinzufügen" und doch nicht bei "sub.unternehmen.de" (wird das nicht automatisch so erstellt?) zu landen, sondern nur als Server mit (replizierter AD) in der Domäne "unternehmen.de"? Auch das habe ich noch nicht gemacht. Gruß & Dank MD

Hallo! Wir haben ca. 10 kleine Server (alle Win2K3 mit ADS) in zehn einzelnen Einrichtungen mit je so ca. 20 Nutzern in unserem Unternehmen. Jetzt werden alle diese Einrichtungen über eine Standortvernetzung (VPN/IPsec) miteinander bzw. mit unserer Zentrale verbunden. Die eingesetzen Router haben natürlich NATing und IP-Masquarading, so dass sie ihre IP-Bereiche behalten könnten. Die einzelnen Standorte haben feste IPs. Dazu habe ich ein paar Fragen, die ich so hier nicht beantwortet gefunden habe. Ich habe einige Ahnung von Netzwerkbetreuung, Win2K3 und ADS usw., jedoch für diese präkare Aufgabe wollte ich mich vorab nochmals genauer informieren. 01. Ich möchte alle Nutzer aus allen "Häusern" auf unserem Verwaltungsserver (neu, Win2K3 R2) zusammensammeln, u.a. da dieser auch demnächst einen Exhange 2K7-Server mit den Nutzeraccountinfos bedienen soll, aber auch weil sich dann prinzipiell jeder an jedem Rechner des Unternehmens aber über deren Server anmelden können soll. In der Umsetzung bin ich relativ flexibel, da ich das Ganze stufenweise abarbeiten kann (eine Einrichtung nach der anderen). Wie bewerkstellige ich das am besten? 02. Ist es ratsamer die IPs auf den Clients - sie sollen feste IPs behalten - fortlaufend neu zu vergeben oder können diese so bleiben wie sie sind (weil die Router ja NAT/IP-Masqu.) unterstützen)? Wir wollen natürlich optimalen User-Support durch Fernwartung leisten können. 03. Wenn das wie auch immer geschehen ist, möchte ich auch einen komplettes Backup des DC der Verwaltung erstellen, d.h. das ganze 1:1 auf eine gleiche Hard- und Softwareinstalltion übertragen, also quasi ein BDC einrichten. Mit besten Grüßen, MD

Ja, Loopbackmodus in der Gruppenrichtlinie für eben diese OU gesetzt. Auch die einschränkenden Einstellungen. Jetzt habe ich die Authentifizierten Benutzer noch mit reingenommen, den TS neu gestartet, jedoch tut sich nichts. Alles genau wie vorher. Das gibt's doch gar nicht. Bin ich zu ****? Ich habe nun auch nochmal die erzeugten Benutzerprofile auf dem TS gelöscht - ebenfalls ohne Belang. Muß ich auf dem TS denn generell vielleicht auch der Loopbackmodus eingeschaltet werden?

Sind die Anhänge zu kristallin? Das Einbinden des Computerkontos habe ich jetzt nachgeholt und beide Server mehrfach (nach Feierabend) neu gestartet. Der TS will um keinen Preis diese GRL annehmen. Zwar läuft in einer Command-Box ein kurzes Script ab, aber die in der GRL für die Terninamserver Nutzer gemachten Einstellungen, werden nicht umgesetzt, weder bei der Direkt- noch bei der Remoteanmeldung. Grrrr! Wo könnte ich was Wichtiges übersehen haben? MoD

Hallo IThome! Vielleicht kannst Du mir nochmals weiterhelfen. Leider übernimmt der Terminalserver (DWM-197) nicht die Einstellungen die ich auf der Richtlinie auf der OU-Gruppe "Terminalserver" (in der die Benutzergruppe "Terminalserver Nutzer" und der TS, also DWM-197, sind) übernehmen. Ich habe mit dieser Richtlinie versuchshalber mal nur "Netzwerkumgebung und Arbeitsplatz auf dem Desktop anzeigen" für die TS-Nutzer unterbunden. Ihc habe mit gpupdate/force die Übernahme der Richtlinie auf dem TS und auf dem DC forciert und beide neu gestartet. Die DNS-Auflösung (nslookup) von Seiten des TS und des DC sind korrekt. Auf dem TS-Remotedesktop wird aber weiterhin die Netzwerkumgebung und der Arbeitsplatz auf dem Desktop angezeigt. Ich habe es jetzt so eingerichtet und hoffe richtig oder Du kannst ersehen, wo ich falsch liege: (Bild 1) OU "Terminalserver" erstellt. Darin die Sicherheitsgruppe "Terminalservernutzer" erstellt, der generell die Remotedesktopbenutrzer und eine Vesuchsperson, die ich für die TS-Anmeldung benutze, angehören. Weiterhin habe ich dahinein den TS (DWM-197) geschoben. Auf den "Eigenschaften von Terminalserver"/Gruppenrichtlinie habe ich eine Gruppenrichtlinie "Terminalservernutzung" neu erstellt. (Bild 2) Wiederum auf den Eigenschaften dieser "Terminalservernutzung"-Richtlinienverknüpfung habe ich die Sicherheitsberechtigungen für die "Terminalserver-Nutzer" und die Remotedeskztopbenutzer auf 'Lesen' und 'GRL übernehmen' gesetzt. Für Admins habe ich 'GRL verweigern' angehackt und die Authentifizierten Benutzer ganz rausgenommen. (Bild 3) für die Richtlinienbearbeitung von "Terminalservernutzung" habe ich neben dem Loopbackverarbeitsungsmodus (ersetzen) eben nur die Eigenschaften zum Ausblenden der beiden Symbole auf dem Desktop angehackt. Kannst Du mir sagen, wo mein Fehler liegt? Gruß, MoD P.S.: Diese Dateianhangsrestriktionen sind ja einen Gruppenrichtlinie für sich.

Danke, ich fühle mich erhellt und glaube, ich habe es begriffen. Werde ich am Montag gleich ausprobieren. Na, ich modereiere selber fünf Foren, eines mit ähnlicher Aufgabe, wie dieses hier, und da werden die Profis unter den Nutzern oft etwas unwirsch, wenn Neulinge etwas "Selbstverständliches" fragen. Schöne WE soweit! MoD

Danke schonmal für Deine flote Antwort, IThome! Tut mir leid, dass ich nochmals **** nachhacken muss, aber ich will das verstehen und klar kriegen. GR sind nämlich noch nicht so meine Stärke. a) Auf dem TS ist KEIN ADS, DNS usw. Die reine Win2K-Installation mit TS-Dienst als Domainenmitglied FIRMA, richtig? b) Der Loopbackmodus wird WO eingestellt? Auf dem TS oder dem Dc oder beiden? c) Die Richtlinie "TS-Nutzung" wird auf dem DC für die Gruppe "TerminalServer User" erstellt und "Terminal Server" und "TerminalServer User" werden mit "Gruppenrichtlinie übernehmen" beaufschlagt, richtig? MoD

Hallo Leute! Ich habe einen Win2K3-Server mit TS installiert. ADS ist nicht installiert, somit ist der TS ein reiner Memberserver, richtig? Jetzt möchte ich den Server für die TS-Nutzer abdichten, jedoch für mich als Admin offen halten. Dazu habe ich unter Einsatz von Gruppenrichtlinien auf einem Terminal Server eine an sich gute Anleitung gefunden aus der ich aber dennoch nicht recht schlau werde. Der Server ist ja auch lt. o.g. Empfehlung KEIN Domaincontroller. DC in irgendeiner Form ist der Server aber erst dann, wenn ADS installiert ist, sagt zumindest MS: http://support.microsoft.com/kb/238369/de. Richtig? Oder kann ich ADS installieren ohne den Server zum DC zu machen? Das würde einige Dinge erklären. Z.B.: 1) Wie erstellt man eine OU, wenn doch kein Active Directory installiet ist? Ich kann dann doch lediglich über die lokale Nutzerverwaltung eine "Gruppe" erstellen und mit Benutzern füllen. 2) a) Wo erstellt man eine eigene Sicherheitsgruppe ohne ADS? b) Wo kann ich die Sicherheitseinstellungen der Richtlinie einsehen? Sicherheitseinstellungen haben Richtlinien doch auf Servern ohne ADS gar nicht. Hier gilt doch die lokale Richtlinie via gpedit.msc ????????????????????????????????????????????????????????????????????????????? Oder ist das etwa so gemeint: Ich habe meinen normalen Win2K3-Domänen Controller (DC) für die Domäne (FIRMA) und meinen rein als Win2K3-Server aufgesetzten Terminalserver (TERM, ohne ADS, ohne DNS), der Mitglied der Domäne FIRMA ist. Ich erstelle auf dem DC eine OU "TerminalServer". In diese OU packe ich das Computerkonto "TERM". Ich erstelle eine Sicherheitsgruppe "TerminalServer User". Und erstelle dort auf dem Reiter "Eigenschaften" eine neue Richtlinie "TS-Benutzung". Auf dem Reiter "Sicherheit" der Richtlinie "TS-Nutzung" lösche ich die "Authentifizierten Benutzer" und "Adminstratoren" heraus und füge "TerminalServer User" und "TerminalServer" jeweils mit dem Recht zu "Lesen" und die "Gruppenrichtlinie übernehmen" hinzu. Dann definiere ich die neue Richtlinie "TS-Nutzung" mit den genannten Vorgaben für TS, also wie von MS empfohlen und von "gruppenrichtlinien.de" vorgeschlagen. Ich habe das bis jetzt nicht ausprobiert, da ich unseren DC nicht lahmlegen will. Kann mir jemand sagen, ob das so richtig ist und ob ich es richtig verstanden habe? Danke MoD

Hey, super. Danke! Nicht günstig, aber alles was ich will. Muß nur noch der Chef abnicken. Gruß, Mass

Hallo! Da wir das bei uns in der 4ma noch nie durchgeführt haben und nur rein theoretisch ein bißchen Bescheid wissen (Bücher sind vorhanden und schon angelesen), möchten wir gerne eine Schulung in Exchange 2007 machen. Möglichst in der Nähe (PLZ 481XX). Im Netz habe ich dazu aber nichts gefunden. Wenn möglich könnte die Schulung auch von MS angeboten sein. Die Schulung sollte mind. die Planung, die Installation, Konfiguration und die Einrichtung und den Zugriff aus OL2K3 von mehreren Standorten umfassen. Hat jemand von Euch soetwas schon gemacht und kann uns da etwas empfehlen? Danke für Antworten und Tipps! Mass

Hat niemand eine Idee, einen Tipp?

Hallo! Wir möchten demnächst für unser Unternehmen einen Mailserver auf Basis Exchange 2007 und Windows 2003 R2 x64 realisieren. Dazu suche ich noch ein, zwei Bücher, die das Thema umfassend und verständlich abbilden und erklären. Zuerst würde uns eine Dummie-Einführung reichen und dann ein weiteres Buch, welches sich in die Tiefe arbeitet und Dinge abdeckt wie Vorrausetzungen, Installation und Konfiguration und Feintuning. Bei Amazon gibt's ja zig Empfehlungen dazu, aber wirklichen Rat erhoffe ich mir eher hier von den Frontkämpfern. Gruß und Dank! MD

Aua! Ja, mit rechter Maustaste kann man sie dann über die Einstellungen konfigurieren. Das hat gut geklappt. Gibt einiges mehr zu lernen bei dem neuen ServerOS. "Lt. Dan konnte immer alles so erklären, dass ich es verstand." (Forrest Gump) Ich danke Dir! MD

Hallo Necron! Wäre ich nie drauf gekommen. Da eröffnen sich noch ganz andere gesuchte Funktionen. Aber - vielleicht eine dumme Frage: Wo finde ich die Default Domain Policy? Vielen Dank dafür! MD

Hi! Was glaubst Du, warum MS auf x64 wollte? -> grösserer, adressierbarer Speicherbereich. :D Im Enst: Ich denke 5 Gigabyte sollte es in der Konstellation schon sein. Exchange 2007 selber braucht lt. Roadshowinfo sowieso infolge des erweiterten Funktionsumfangs mehr Speicher. 20 Fächer allerdings sind nicht die Masse. Bietet Microsoft Forefront Security eine Art von Wartungsmodus, der - ähnlich einer SQL-Installation - die Informationen zusammenlegt und komprimiert? Beste Grüße, MD

Hallo! Ich habe auf meinem Miniserver zuhause seit gestern Windows "Loghorn"/2K8 Beta 3 Enterprise laufen. Das klappt soweit ganz gut. Auch eine Domäne habe ich aufgesetzt. Jetzt möchte ich einen neuen Nutzer anlegen und erhalte bei der Passwortvergabe die Meldung, dass das Passwort nicht den geltenden Kennwortrichtlinien entspräche. Das kenne ich schona aus zahlreichen Win2K3-Installationen une es ist ja über die Sichereitsrichtlinien für Domänen und Domänencontroller konfigurierbar. secpol.msc oder gpedit.msc zeigen mir hier nur unabänderliche Werte (grau hinterlegt) an. Ich würde auch gerne ein konformes PW vergeben, wenn ich die Komplexizitätsvorrausetzungen kennen würde. Aber: In Longhorn finde ich eben diese Sicherheitsrichtlinien für D und DC nicht mehr. Wie heisst das jetzt resp. wo kann ich die kennwortrichtlinien ändern? Danke für Eure Hilfestellung MD