al3x

Hallo Leute,

eine Frage an die Migrationsexperten unter euch.

In einer 2003er Domain war in den GPOs unter Benutzerkonfig/...../IE-Wartung/Verbindungen/.. ein Proxy für eine OU hinterlegt.

Nach Migration auf 2012 R2 sind die alten GPO-Settings auch noch vorhanden und aktiv, aber der Eintrag für zB für den Proxy existiert ja nicht mehr im Baum.

Mir ist bewusst, dass die Proxyeinstellung jetzt unter Benutzerkonfig / Einstellungen / Systemsteuerungseinst. / Interneteinstellungen gesetzt werden kann. Aber wie kann man die übernommenen Einstellungen editieren? Theoret. kann ich für den Proxy auch 2 unterschiedliche Einträge angeben.

Oder besteht die einzige Möglichkeit darin, die Policy komplett zu löschen und neu anzulegen?

...da es sehr viele Ordner sind

...da nicht alle Rechte vererbt werden

Hi,

folgendes Problem, kann man einem User bzw. lok. Admin für einen Ordner mit allen Unterordnern Vollzugriff geben OHNE die vorhandenen Berechtigungen zu ändern?

Hintergrund vergleichbar mit:

->der bisherige VollzugriffUser wurde gelöscht und es dümpelt also nur noch eine verwaiste SID herum

->in den vorhandenen Unterordnern sind viele verschiedene Berechtigungen

=> im Prinzip wäre also Besitzübernahme durch den Admin und anschließende Neuvergabe aller Ordnerberechtigungen notwendig! Was ja extrem aufwendig ist...

Oder geht das auch einfacher?

Firewall Regeln und Gateway glaube ich Dir - Kerberos bestimmt nicht :D

Aber ok, das läuft unter "höhere Gewalt"...

Wieso nicht bei Kerberos? ...okay alle configs zu admin_Server, kdc usw. müssten auf den Linuxmaschinen von IP auf Hostname umgestellt werden

Da sei mir die neugierige Frage gestattet: Warum soll sich die IP nicht ändern? "Historisch" überall noch vergraben? Das wäre dann die richtige Gelegenheit, auf Hostnamen - oder noch besser CNames - umzustellen :) Tut nur einmal kurz weh und funktioniert dann bei zukünftigen Migrationen problemlos.

Hallo Martin,

ja auch historisch bedingt. In vielen Systemen (Kerberos, Firewallregeln, Gateway,...) sind die IPs hinterlegt.

HI,

würde bedeuten, die IP eines DC spielt fürs AD nicht wirklich eine Bedeutung?

Ich las mal von folgender Vorgehensweise:

1. alle Rollen von DC1 auf DC2

2. DC 2 herunterstufen und aus der Domäne nehmen

3. IP von DC1-neu ändern auf IP von DC1 und erst dann als Member in die Domäne und dann hochstufen. Ein DC sollte also zum Zeitpunkt des promotens schon die Ziel-IP haben!

4. analog mit DC2 / DC2-neu

Hallo zusammen,

eine 2003er -AD soll zu einer 2012-Domäne migriert werden. Beide 2003er DC´s sollen durch neue phys. Hardware ersetzt werden unter der Prämisse, dass die IP´s gleich bleiben!

Hat jemand dbzgl. Erfahrungen gesammelt und kann event. eine Vorgehensweise nennen?

VG

Alex

Im einfachsten Fall fängt man am Internetrouter an, stellt beim die Subnetmask um, dann am Server, danach am Drucker.und ändert dann  die DHCP-Einstellung(en). In solchen Fällen habe ich ein Umstellen in wenigen Minuten durchgeführt ohne jese Störung des Betriebes. Bei mehr umzustellenden Geräten braucht man eben etwas mehr Zeit.

Genau das meine ich Edgar,

1. Router/Firewall/Gateway/Proxy

2. Server, Drucker, Switche

allein bis das alles in der Praxis angepasst ist, von Firewall-Rules und Routen und und und, da steht der Laden ja nen Tag.

Hallo,

hm, um die Clients mach ich mir auch keine Gedanken, aber das händische Umstellen von Server,Drucker, Switches,... ist sicher nicht transparent zu bewerkstelligen. Ich denke mal hier liegt der Vorteil von VLAN, man konfiguriert alles vor (entsprechende Ports, Routen und neue DHCP-Range) und schieb dann nach und nach die Endgeräte dort hin.

Hallo Leute,

wahrscheinlich für viele ein alter Hut, aber ich würde mal gerne Eure Meinung wissen:

Bei nem Kunden wird das Class C Netz langsam eng (um die 200 Hosts = Server + Clients + Drucker + Management-IPs von USV und Hardware usw..)

Um hier wieder Luft zu bekommen, dachte ich an 1 oder 2 VLANs (zB VLAN1 = Management-IPs, VLAN 2 = virtuelle Desktops). Layer 3 Switch ist vorhanden.

Oder würdet ihr hier die ganze IP-Konfiguration über den Haufen werfen und ein anderes Subnetz verwenden? Im laufenden Betrieb dürfte so eine Aktion aber für ziemlichen Stress sorgen....

Grüße

Alex

nein, ich hab das Konto auch auf einem anderen Gerät erfolglos getestet und beim ActiveSyncTester (App und Software) funktioniert der Zugriff auch nicht - kann also nicht am Gerät liegen....

ja, ich habe auch das ResetAccountsAdminSDHolder-Script mal ausgeführt.

Bisher tappe ich im Dunkeln....

Danke Robert für die schnelle Rückmeldung. Werd ich mal prüfen.......es handelt sich um einen normalen DomainUser, der (afaik) noch nie irgendwo in einer Admingruppe war.

Ich melde Vollzug....

nein, wars wohl leider nicht. der user hat keinen admincount=1!

Hallo,

habe hier einen Exch 2003 SP2, auf den sich einige iPhones per VPN/ActiveSync verbinden.

Bei einem User (Exch im Outlook bereits da) will die Verbindung zum EXCH-Konto per iPhone einfach nicht klappen.

Verbindungsdaten sind natürlich alle identisch angelegt, Gegentest mit der "ActiveSync Tester"-App hat ebenfalls kein Erfolg.

-> Ausstieg immer beim validieren des users:

ActiveSync NOT available

username or PW incorrect or account locked out

User und PW sind korrekt und logischerweise die gleichen wie unter Outlook, wo es ja funktioniert.

In den User-Eigenschaften sind die mobilen Dienste und Protokolle auch alle aktiviert.

Im Protokoll sehe ich einen HTTP 401 Eintrag.

Hat jemand eine Idee woran das liegen kann?

Moin Kollegen,

danke für eure Vorschläge.

Mal sehen wie sich das "Projekt" noch entwickelt...

Moin,

Nein,es geht nicht um mein Haus. PowerLan wäre die Notalternative.

Aber die genannte Möglichkeit klingt ja interessant.

....vielleicht wurde ja auch CAT-Kabel verlegt,aber tae-Dosen draufgesetzt,dann könnte man einfach die Dosen tauschen.Muss ich noch in Erfahrung bringen.

Schonmal danke, falls euch noch was einfällt :-).......

Hallo,

kann man die analogen Telefondosen fürs LAN nutzen?

Problem, in jedem Stockwerk existiert nur jeweils eine tae-Dose. Speedport mit Wlan steht im Keller. Wie krieg ich nun einen weiteren Accesspoint oder PC verbunden?

Es gibt ja tae/rj45- Adapter, zB:

http://www.reichelt.de/DSL-ISDN-Dosen-kabel/AK-FB-ANALOG/3/index.html?;ACTION=3;LA=2;ARTICLE=83049;GROUPID=849;artnr=AK+FB+ANALOG

aber sind die nicht nur explizit für Telefon bzw DSL?

Lässt sich da was machen?

Ja. Mit dem Austausch der Firmware verlierst Du die Garantie. Das ist aber bei dem Preis zu verschmerzen.

 

DD-WRT unterstützt viele Befehle und Funktionen aus Linux. Ich glaube bla!zilla kann Dir hier weiter helfen.

ok, klingt ja interessant. muss ich mir merken.

thx und thumbs up!

Kaufe dir neuen Router (20 € reichen) der mit der Firmware DD-WRT funktioniert.

 

Dort kannst Du alles entsprechend konfigurieren.

 

Kompatible Router:

 

Router Database | www.dd-wrt.com

 

Hilfe zur Konfiguration:

 

Main Page - DD-WRT Wiki

Wie? du meinst von diesem Projekt unterstützte Router können über die 3rdparty Firmware als "normale" LAN-Router missbraucht werden?

Alte Fritzbox vor die neue hängen, an der neuen Internetzugang über LAN1. Dann als NAT Router einbinden. (Keine zugangsdaten werden benötigt / IP definieren ) fertig.

die alte 7050 kann kein DSL RAM an dem Anschluss

Hi,

das Problem kenne ich...

Es wurde in einer neuen Firmware in der Oberfläche deaktiviert, die Funktion ist aber als solches noch vorhanden...

Kannst du das Backup deiner 7050 einspielen?

auf die neue? ja kann ich, einige Einstellungen werden übernommen.

Laut AVM-Support wurde das Routing über mehrere LAN-Ports vor Jahren aus der Firmware gestrichen!

Vorschläge, einen sep. LAN-Router betreffend?

Ich habe die 7390, diese hat ein normalen 4Port-Switch integriert. Die alte 7050 kann den einzelnen Ports jedoch unterschiedliche IP-Adressen zuweisen (aber nur wenn das Gerät auch als DSL-Modem dient).

Hallo,

ich suche eine Möglichkeit zwischen 2 IP-Netzen zu routen. Bisher hat dies meine alte FritzBox 7050 erledigt, als Modem-Router unterstützt sie an den LAN-Ports unterschiedliche IP-Ranges.

Die neueste FB kann dies leider nicht mehr.

Variante 1, die alte 7050 als Router hinter der neuen FB nutzen. Habe es schon einige Stunden versucht, jedoch ohne Erfolg. Es gibt zwar einige howtos, dann muss aber umgeschaltet werden auf "Internetverbindung über LAN1 nutzen", allerdings geht das imho nur innerhalb des gleichen Netzes- also was soll man dann routen?!

Variante 2, einen sep. LAN-Router zulegen, der einfach zwischen zwei oder mehr Netzen routen kann (kein WLAN, kein Internet usw.). Dies scheint mir die fast die bessere Lösung zu sein, kann mir da jemand ein Gerät empfehlen? Auf was sollte man achten?

Variante 3, eine andere Idee?

Hi,

seit der OWA-SSL Zertifikatserneuerung auf einem W2k3 habe ich bei einigen per ActiveSync zugreifenden Mobilgeräten Probleme.

Das neue Zertifikat wurde auf allen Geräten akzeptiert, dennoch klappt der Zugriff auf den EXCH-Kalender mit Gerät A nicht, während Gerät B einwandfrei funktioniert. Die OWA-Seite (https://server01/exchange) zeigt jedoch die korrekten Daten an.

Im IISLog fällt mir auf:

192.168.44.5, -, 4/19/2012, 15:57:24, W3SVC1, SERVER01, 192.168.3.9, 15, 200, 1847, 403, 5, GET, /CertEnroll/server01.domain.de_server01.domain.de.crt, -,

ein 403 bei CertEnroll - wird hier was verweigert?!

Aber warum nur bei dem einen User?