gnoovy

hi daim, vielen Dank für die Antwort. Wenn man das so machen kann bin ich schonmal stolz auf mich, dass so herausgefunden zu haben ;-) ich gebe dir natürlich recht, dass ein "1-domänenmodell" natürlich besser ist, aber falls jemals so eine Anforderung auf mich zukommen sollte, möchte ich halt gewappnet sein ;-)

Hi Daim, vielen Dank für die bisherigen Antworten. Also wie gesagt; Sinn und Zweck des Ganzen ist einfach Wissenserweiterung falls so eine Aufgabe auf mich zukommen sollte. Deshalb meine Frage ob meine Vorgehensweise so korrekt ist / war... Was meinst du zu meinem obigen Vorgehen?

das ist momentan eine Testumgebung. Sinn der ganzen Sache ist, dass ich für einen Produktiveinsatz weiß was zu machen ist

hi leutz, habe eine Domäne winnet.local mit untergeordneter Domäne de.winnet.local und eine neue Domäne in separater Struktur contoso.local erstellt. Meine Frage ist nun ob so korrekt oder ob ihr was anders / besser machen würdet. Folgende Domänencontroller sind den Domänen und somit 3 Subnetzen zugeordnet winnet.local: dc1.winnet.local IP: 192.168.100.33 / 255.255.255.224 de.winnet.local dc2.de.winnet.local IP: 192.168.100.65 / 255.255.255.224 contoso.local dc3.contoso.local IP: 192.168.100.97 / 255.255.255.224 von winnet.local habe ich im dns eine Delegierung in der Forward-Lookup-Zone auf de.winnet.local erstellt. Von de.winnet.local eine normale Weiterleitung zu winnet.local. Zwischen winnet.local und contoso.local habe ich jeweils Weiterleitungen im dns eingerichtet. Die Reverse-Lookup-Zone habe ich unter winnet.local erstellt und als Replizierung den Punkt "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur "winnet.local"" gewählt, damit diese auf die anderen Domänen repliziert wird. Die anderen Server der anderen Domänen haben die Reverse-Lookup-Zonen auch erhalten und sich dort eingetragen. Erstellung der Domänen mit dcpromo über Start-Ausführen-dcpromo. Router: Da für jede Domäne ein eigenes Subnetz eingerichtet wurde habe ich zur Kommunikation zwischen den Subnetzen einen Router auf einer separaten Maschine mittels Routing und Ras konfiguriert. Bei Installation habe ich "Lan-Routing" und "NAT" unter benutzerdefinierten Einstellungen gewählt, da mein Router neben den Netzwerkkarten mit einer IP-Adresse und Subnetz-Mask der jeweiligen Subnetze auch eine Netzwerkkarte besitzt welches in ein Netz mit Internet-Router besitzt. Dadurch können die Server / Clients aller Subnetze ebenfalls ins Internet. Den Router habe ich in die Domäne winnet.local integriert

ok supi, dass mit den Gruppenzuordnung hat so perfekt geklappt. Updates werden vergeben ;-). Wenn ich in der Rubrik Updates - Alle Updates wechsele und über die Option "Genehmigt" und bei Status "Alle" Updates anzeigen lasse, stehen da welche die ich über Wsus allerdings nie ausgerollt habe. Beispielsweise "Microsoft Windows Installer 3.1" / "Update für Windows Server 2003 x64 Edition". Also sind das dann Updates, welche vor dem Einsatz von Wsus installiert wurden oder für keine der eingesetzten Systeme gültig sind? Im Bereich "Prozentsatz installiert / nicht zutreffend" wird hier angezeigt auf wievielen Rechnern das Update bereits ausgerollt wurde? Wenn im Bereich Genehmigung Installieren(1/4) steht bedeutet dies, dass das Update auf einem von 4 Rechnern ausgerollt werden soll?

hi leutz, möchte in einer Vmware-Testumgebung untergeordnete Domänen + neue Domänen in bestehender Gesamtstruktur erstellen. Wenn ich mehrere Subnetze habe (jeder Standord extra Subnetz), brauche ich ja hinsichtlich DNS auch mehrere Reverse-Lookup-Zones. Würdet ihr in der Root-Domäne für jedes Subnetz die Reverse-Lookup-Zones erstellen und auf untergeordnete Domänen, etc. replizieren lassen oder würdet ihr an jedem Standord bei der Erstellung einer untergeordneten Domäne / neuen Domäne die Reverse-Lookup-Zones direkt erstellen?

hi leutz, also das waren die einzigsten Server. Das Ganze ist eine vmware-Testumgebung bestehend aus einem Client, DC und Wsus-Server. Also drei Maschinen. Hatte halt DC und Wsus einige male neu gestartet und die Server wurden nicht den Gruppen zugeordnet. Als ich alle Maschinen heute hochgefahren hatte waren die Server der Gruppe "Server" korekt zugeordnet. Dauert wohl nur einige Zeit? Beim XP-Client gings schneller. Als ich heute einen DC2 integriert hatte, wurde dieser jedoch gleich der Gruppe "Server" zugeordnet. Lag die "Problematik" vlt. daran, dass damals mein DC halt der einzige war der die Gruppenrichtlinien verwaltet hatte und mein Wsus-Server der einzige ist, der halt wsus verwaltet? Meine nun letzte Frage ist wie ich Updates nun auf die Gruppen legen kann. Also genehmigt, nicht genehmigt, etc. Vielen Dank übrigends für eure bisherige Hilfe. :-)

hi leutz, habe mittels GPOs vergeben, dass Server in wsus 3.0 in die Gruppe "Server" und Clients in die Gruppe "Clients" automatisch verschoben werden sollen. Anwendung der Gruppenrichtlinie in wsus 3.0 selbstverständlich aktiviert. Nun ist es so, dass Clients automatisch in die Gruppe "Client" verschoben wird. Mein Domänencontroller und mein Wsus-Server (beide W2k8-Server) werden jedoch nicht automatisch verschoben. Aber warum? GPOs greifen. Liegt das vlt. daran, dass die beiden Server die Dienste zur Verfügung stellen und es deshalb hier nicht automatisch geht?

Mir ist das Phänomen auch mit einem Domänenbenutzer, welcher sich am schreibbaren Dc angemeldet hat, ebenso aufgefallen. Dieser konnte auch das "Verwalten" aufrufen. Allerdings ist mir aufgefallen, dass generell Teilbereiche wie Datenträgerverwaltung, etc. noch durch die Firewall gesperrt zu sein scheinen. Wie können diese durch die Firewall trotzdem bedienbar werden?

hi leutz, ok, vielen Dank für eure Antworten. Habe in der Zwischenzeit auch etwas mehr Licht ins Dunkel bringen können. 1. Der Administrator konnte sich nur bei Erreichbarkeit des schreibenden DCs amelden, da in der Gruppe "Abgelehnte RODC-Kennwortreplikationsgruppe" die Gruppe der Domänen-Admins, etc. aufgeführt sind. Also durchaus korrekt so ;-) 2. Bei der Installation des RODCs kann ja eine Gruppe oder ein User, welcher den RODC verwalten soll, angegeben werden. Der User / die Gruppe steht ja dann unter "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - Eigenchaften - Verwalten von" drin. Mir war hier noch nicht ganz klar wie die Verwaltung ansich nun aussieht. Habe aber herausgefunden, dass der User / die Gruppe nun die Berechtigung auf den Server-Manager des RODCs hat. Also es können Rollen / Features, etc. hinzugefügt werden, Verwaltung des Geräte-Managers, etc. Aber: Warum haben dann andere User oder der Administrator welche nicht direkt in der Verwaltungsgruppe enthalten sind trotzdem die Möglichkeit über "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - rechte Maustast - Verwalten" auf dem schreibbaren DC hier an den Gerätemanager, Datenträgerverwaltung, etc. zu gelangen? Bei letzterem Aufruf der Verwaltung ist mir noch aufgefallen, dass einige Bereiche durch die Firewall von Windows geschützt werden. In wie weit muss ich hier die Firewall anpassen um auf einzelne Teilbereiche wie Datenträgerverwaltung, etc. richtig zugreifen zu können? Hoffe ich habe mich nicht zu umständlich ausgedrückt... ;-)

hi leutz, habe einen RODC unter W2k8 in einer Testumgebung eingerichtet. Gesamtstrukturebene ist rein Windows 2008. Habe als Kennwortreplizierungsgruppe nur die standardmäßig aktivierte RODC-Gruppe belassen und für die Kontenverwaltung eine Gruppe RODC-Verwaltung angelegt. Unter dem RODC-Konto in der OU Domain-Controllers ist unter Verwaltung meine erstellte Gruppe auch eingetragen. Wenn ich hier den Administrator hinzufüge und dann ebenfalls über "Active-Directory Benutzer und Computer" auf das RODC-Konto mit rechter Maustaste klicke und Verwalten aufrufe sagt er mir, dass der RODC nicht erreichbar sei. Oder ist hier mit Verwalten etwas anderes gemeint? Genauso wenn ich den Administrator dieser standardmäßig zugelassenen Kennwortreplizierungsgruppe zuordne kann der Administrator sich nur am RODC anmelden wenn der beschreibbare DC erreichbar ist. Sollte ja aber durch die Gruppe auch ohne schreibbaren DC gehen, oder? Kann es sein, dass der Administrator hier aus Sicherheitsgründen nichts darf oder mache ich hier noch etwas falsch? Habe es auch mal mit einem normalen Domänenbenutzer versucht. Als ich das mit dem Verwalten testen wollte habe ich jedoch festgestellt, dass dieser sich nicht lokal am schreibbaren DC anmelden konnte. Unter der lokalen Sicherheitsrichtline wollte ich Lokal anmelden als Gruppenrichtline aktivieren und dort den User eintragen. Leider ist hier alles ausgegraut. Die Aktivierung der Richtline in anderen Gruppenrichtlinienobjekten hatte ebenfalls nicht gegriffen. Was mache ich hier noch falsch?

Hi Nils, da gebe ich dir vollkommen recht. Ich handle, soweit möglich, sowieso nach dem Kiss-Prinzip. Aber das war jetzt in einer Testumgebung. Hier möchte ich mich im Allgemeinen einfach weiterbilden. Mir ist diese Thematik sehr wichtig und will einfach alles mögliche darüber wissen ;-)

hi leutz, habe ja schon des öfteren Fragen zu Domänenerstellung gepostet. Meine Frage ist nun, ob meine Vorgehensweise ganz allgemein w2k3, w2k8, etc. so richtig ist: 1. Ersten Domänencontroller über Serververwaltung / dcpromo einrichten mit automatischer DNS-Konfiguration 2. Reverse-Lookup-Zone erstellen 2.1 Replizierung Reverse-Lookup-Zone auf Gesamtstruktur replizieren lassen 3. untergeordnete Domäne / separate Domäne dns manuell installieren und Forward-Lookup-Zone manuell erstellen. 3.1 DNS-Suffix manuell angeben 3.2 Eigener Server als primären dns-Server konfigurieren 3.3 dcpromo ausführen 3.4 Prüfen ob Forward-Lookup-Zone Active Directory integriert 3.4.1 Bei Fehlermeldungen mit schwerwiegenden Active-Directory-Fehlern Zonenübertragungen in untergeordneter Domäne deaktivieren 3.4.2 Reverse-Lookup-Zone automatisch replizieren lassen Hatte nach der Erstellung einer Domäne + untergeordneten Domäne nach Neustarts diverse Fehlermeldung, wie etwa: 1053 / 1054 userenv 40960 lsasrv 5781 netlogon 29 / 17 w32time 2087 ntds replication Nur als Auszug. Wenn ich beispielsweise für die erste Domäne einen weiteren domänencontroller einrichte und beide im Bereich Netzwerkumgebung DNS-Server diese über Kreutz konfiguriere, bekomme ich nach dem Reboot eines Servers sogut wie keine Fehler mehr. Kann man also viele Fehler auf die Neustarts zurückführen, da halt einige Dienste einfach noch nicht bereit sind?

hi Nils, also zwecks richtig eingerichtet. Bin ungefähr folgendermaßen vorgegangen: - Ersten Domänencontroller über Serververwaltung / dcpromo einrichten mit automatischer DNS-Konfiguration - Reverse-Lookup-Zone erstellen - Replizierung Reverse-Lookup-Zone auf Gesamtstruktur replizieren lassen - untergeordnete Domäne / separate Domäne dns Forward-Lookup-Zone manuell erstellen. - DNS-Suffix manuell angeben - Prüfen ob Forward-Lookup-Zone Active Directory integriert - Bei Fehlermeldungen mit schwerwiegenden Active-Directory-Fehlern Zonenübertragungen in untergeordneter Domäne deaktivieren - Reverse-Lookup-Zone automatisch replizieren lassen

hmm... also habe ich ebenfalls meine prüfung bestanden, da alles richtig konfiguriert? Zertifikat habe ich keines... genügen auch opfergaben?

naja ein bisschen spannend wollte ich es schon machen ;-) Kein Prob, hier mal die Fehlermeldungen, die verschwunden sind, sobald dieser Server neu gestsrtet wird wenn sdc1 aktiv. 1053 / 1054 userenv 40960 lsasrv 5781 netlogon 29 / 17 w32time 2087 ntds replication

hi leutz, Domänenerstellung w2k3-server winnet.local / de.winnet.local winnet.local: 1. dc1 2. sdc1 de.winnet.local: 1. dc2 Alle Server sind heruntergefahren. Wird dc1 gestartet dauert dies sehr lange. Einige Fehler in Ereignisanzeige gefunden. Sind alle Server oben, wird dc1 neu gestartet. Server gleich oben, keine Fehler dc1 hat sdc1 als zweitdns-server und sdc1 hat dc1 als zweitdns-server. Ist das nun normal, dass der dc1 Anfangs so lange zum Laden braucht?

hi leutz, nur eine Frage ob ich die Domänenerstellung so richtig gemacht habe: Szenario Testumgebung: Erstellung der Domänen winnet.local, de.winnet.local und winnet2.local habe diese Domänen mittels dcpromo eingerichtet. winnet.local: Ausführen dcpromo. Installation + Konfiguration DNS-Server + ADS über dcpromo. Umstellung DNS-Server von Loopback auf IP-Adresse des Servers nach Einrichtung. de.winnet.local Vor Installation setzen Primärer DNS-Server auf eigene IP-Adresse dieses Servers, sekundärer DNS-Server auf IP-Adresse des Domänencontrollers von winnet.local. DNS + ADS-Konfiguration wieder durch dcpromo vornehmen lassen. Nach Installation Entfernung des sekundären DNS-Servers. dcpromo hat Delegierung selbständig in DNS eingerichtet. winnet2.local Vor Installation setzen Primärer DNS-Server auf eigene IP-Adresse dieses Servers, sekundärer DNS-Server auf IP-Adresse des Domänencontrollers von winnet.local. DNS + ADS-Konfiguration wieder durch dcpromo vornehmen lassen. Vertrauenstellungen + Weiterleitungen durch dcpromo korrekt gesetzt. Nachträgliche Einstellungen: Durch dcpromo wurden so wie ich das sehe alle Einstellungen gesetzt. Das Einzige was gefehlt hatte war die Reverse-Lookup-Zone in de.winnet.local und winnet2.local. Diese Zone exisistierte nur auf Server in winnet.local. Dort waren die anderen Server ebenfalls eingetragen. Habe also diese Zone mittels dem Punkt, dass diese auf alle Server in der Gesamtstruktur repliziert werden sollen, verteilt. Nach einer gewissen Zeit war also diese Zone auf den anderen Servern in den anderen Domänen vorhanden. Fazit: Habe ich dies von der Überlegung her so richtig gemacht? Denn wenn ein Server rebootet wird, kommen ein paar Warnungen und oder Fehler in den Ereignisanzeigen. Ich schließe das daraus, dass noch keine weiteren Domänencontrollern in den Domänen eingerichtet wurden. Momentan für jede Domäne nur ein Domänencontroller. Manchmal sieht man auch, dass Fehler im AD oder Warnungen protokolliert werden, bevor unter DNS steht, dass dieser gestartet wurde. Also für mich ein Indiz, dass halt manche Dienste noch nicht komplett hochgefahren wurden. Die Server brauchen auch etwas Zeit, bevor STRG+ALT+Entf gedrückt werden kann. Glaube bei dem Punkt "Computereinstellungen werden konfiguriert" oder wie der heißt.

hi leutz, will oben genannten Drucker an einem Printserver von Linksys betreiben. Allerdings machen mir die Treiber noch Probleme. Dadurch, dass ich keine INF-Datei mit den Druckerinformationen habe, kann ich den Drucker nicht einbinden. Auf einem Laptop habe ich es bisher nur so geschafft, dass ich den Drucker direkt angeschlossen habe, danach Treiber installiert. Als letztes den Anschluss auf den Printserver umgeleitet. Eine Druckerfreigabe will ich nicht einrichten, da ich ja von einer Rechnerabhängigkeit weg will. Weiß einer noch Rat? Eventuell Alternativtreiber welche netzwerkfähig sind?

hi leutz, wisst ihr ob es eine Möglichkeit gibt die firewall der fritz box zu aktivieren, deaktivieren? selbst in den erweiterten einstellungen sehe ich hier keine möglichkeiten... die wlankonfiguration ist standardmäßig auf kanalb. stimmt es, dass hier die firewall nicht greif? kann auch hier nichts einstellen. im handbuch habe ich auch nichts gefunden.

hi leutz, vielen Dank für eure Antworten. @Norbert supi. werde ich mir mal genauestens durchlesen. Nur so für mich zum Verständnis. Ist es normal das mit wins bei einer nslookup-Anfrage bei dc2 und dc3 als dns-suffix winnet.local und nicht de.winnet.local oder winnet2.local ausgibt? wenn ich den kompletten fqdn eingebe löst er ihn richtig auf. Gebe ich wie gesagt nur dc2 oder dc3 ein macht er halt das dns-suffix winnet.local dran. Genauso verhält es sich bei einem nslookup bei dc2 oder dc3. dort wird dann halt dieses dns-suffix angehängt.

hi norbert, kannst du mir da noch weiterhelfen?

hi norbert, wieso stimmt meine dns-konfiguration nicht? Habe bei dc3.winnet2.local dns server installiert und eine Forward-Reverse-Lookupzone erstellt. Dann bei rootdain winnet.local + winnet2.local unter weiterleitungen den jeweils anderen dc eingetragen. Jeder domänencontroller ist auch dns server. Jo, aber muss wins auch im dns konfiguriert werden oder nur in den tcp/ip-einstellungen? Habe halt auf jedem dc wins installiert. Unter dc1 im wins alle Server anzeigen lassen und dort unter jedem Server die jeweils anderen als Replikationspartner eingerichtet. Die Konfiguration kann natürlich Optimierungsfähig sein he... Soll ich mal Screenshots posten?

hi norbert, supi danke für das schnelle posting. AAAAlllssooo 1. Ja ist natürlich Testumgebung zur Einarbeitung und zum lernen. 1. Domäne winnet.local im Subnetz 192.168.100.32 / 255.255.255.224 2. Domäne de.winnet.local im Subnetz 192.168.100.64 / 255.255.255.224 3. Domäne winnet2.local im Subnetz 192.168.100.96 / 255.255.255.224 die 3 Domäne winnet2.local konnte ich erst erstellen, als ich wins auf dc1.winnet.local installiert hatte und diese dc3.winnet2.local in den tcp/ip-konfiguration - wins eingetragen hatte. Ich habe die Testumgebung so eingerichtet, dass jeder Domänencontroller in den unterschiedlichen Domänen einen eigenen DNS-Server hat. Also mit wins sauber konfigurieren meine ich was ich wo alles einstellen und konfigurieren muss. Habe insgesamt dc1,dc2 und dc3. Für jede Domäne halt einen Domänencontroller. Habe auf jedem Wins installiert, unter dns eine wins forward und reverse konfiguration durchgeführt, bei der forward-lookupzone jeden domänencontroller hinzugefügt und unter den tcp/ip konfigurationen ebenfalls überall jeden Server eingetragen. Nslookup: wenn ich nun unter dc1.winnet.local ein nslookup auf dc3 mache, zeigt mir dieser dc3.winnet.local, anstatt dc3.winnet2.local an. Hab ich hier noch was falsch gemacht? Hoffe ich habe mich verständlich ausgedrückt ;-)

hi leutz, habe insgesamt drei domänen. 1. Domäne Subnetz1 2. Untergeordnete Domäne Subnetz2 3. Neue Domäne in bestehender Gesamtstruktur Subnetz3 damit sich die Rechner sehen habe ich mittels Routing und Ras einen Router auf einer separaten Maschine eingerichtet und diese der Domäne Nr.1 hinzugefügt. Bei den Domänen hatte ich nun das Problem, dass sich Domäne 1 und Domäne 2 nicht in der Netzwerkumgebung gesehen haben. Domäne 3 konnte ich gar nicht erstellen. Erst als ich Wins installiert hatte hat das alles funktioniert gehabt. Ist das normal? Wie muss ich Wins konfigurieren, damit es wirklich sauber konfiguriert ist? bei nslookup-anfragen bekomme ich immer das dns-suffix der jeweiligen domäne angezeigt, von welcher ich das lookup mache. ist ja eigentlich so nicht richtig. What can i do?