al3x

Hi,

synctoy is ne feine Sache, leider bekomme ich den echo-Modus nicht wirklich in den Griff.

Gelöschte Objekte der Quelle werden im Ziel nicht immer! gelöscht und manchmal tauchen sogar alte verwaiste Objekte, die sowohl in der Quelle als auch im Ziel NICHT mehr existieren wieder auf! Sehr schlecht.....

Auch ein Löschen BEIDER synctoydirectory-indizes hilft da nix! :confused:

Moin!

Bin gerade am überlegen, ob ich nen neuen Member-Server als 2k3 oder als 2k8 in die bestehende 2k3 Domain hängen soll!?

Seht ihr irgendwelche "Komplikationen", Gründe warum ja oder nein?

Es bestehen keine Aussichten den Member-Server später mal zum DC zu machen.

Von daher dürfte es doch auch ein 2008er sein oder würdet ihr in der Domäne die Versionen soweit möglich einheitlich lassen?

Grüße

Alex

klar das kann natürlich auch Sinn machen aber nur wenn du für verschiedene abteilungen verschiedene Computerpolicies benötigst

jo, das kann schon vorkommen: Softwareinstallation oder beim Einsatz von WSUS/ Updateverteilung event. sinnvoll.

schonmal danke für eure Geduld!

Nur so als Anregung ich würde dir empfehlen die Computer Konten komplett von den Usern zu trennen. Also in ne eigene OU auf oberster Ebene zu packen da kannst dann die computerpolicy drauf loslassen.

hm..ich habe bisher die Computer immer in die zugehörigen OUs (Abteilungen) gepackt......

In der Regel wird die Gruppe "Authentifizierte Benutzer" aus der Sicherheitsfilterung entfernt. .

In der GroupPolicyManagement-Console sind die "Auth. Benutzer" entfernt, aber über Eigenschaften des GPO - Sicherheit sind sie noch aufgeführt, allerdings ohne Häkchen bei den Rechten.

Wieso werden die hier nicht gelöscht?

....und wieso sollte man in dem Fall keine Computer in Gruppen packen?

Computer willst du da nicht eintragen.

wieso nicht?....RemoteAccess-Einstellungen werden doch über die Computerkonfig definiert!?

–

Was willst du eigentlich genau in deiner Policy einstellen, handelt es sich nur um User Einstellungen?

In dem Fall geht es um Computer (RemoteAccess).

Ja , mit der Sicherheitsfilterung kannst Du auch auf oberster Ebene arbeiten.

ich meinte in meinem Fall, auf der obersten gemeinsamen Ebene eine GPO erstellen, Vererbung zulassen, ABER per Sicherheitsfilterung die entsprechende "Objekte" hinzufügen?

Heißt also Sicherheitsfilterung greift NUR bei Vererbung bzw. wenn die GPO auch in der OU ist?

Alternative wäre GPO zu verlinken, dann ist es egal wo sich OU und GPO befinden.

Hab ich das so richtig verstanden?

Was meinst Du mit gruppieren ?

analog zu Benutzergruppen......statt jeden Rechner einzeln aufzuführen, für den die GPO gelten soll. Also gleich eine Gruppe anlegen.

Du kannst stattdessen mit der Sicherheitsfilterung arbeiten und Gruppen von Computern und Benutzern erstellen, auf die die verschiedenen GPOs wirken ...

also trotzdem auf der obersten ebene, aber statt vererbung einfach nur die computer unter sicherheitsfilterung eintragen?

kann man computer (objekte) eigentlich auch gruppieren?

Hi,

GPO gelten ja für die User/Computer, die in der gleichen OU sind wie die Richtlinie bzw. in der darunterliegenden OU durch Vererbung.

Kann ich eine OU-übergreifende Gültigkeit nur durch Vererbung/Nicht-Vererbung realisieren?

Bsp:

-domain

----ou1

----ou2

---------ou2.1

---------ou2.2

----ou3

---------ou3.1

----ou4

Ich würde gerne eine GPO definieren (RemoteAccess), mit regeln für die ou1, ou2.1 und ou3.1.

Wenn ich auf oberster ebene (domain) eine entsprechende GPO erstelle, werden die Richtlinien nach unten weiter vererbt, aber was ist mit den OU's, die ich ausklammern möchte? Deaktiviere ich die Vererbung für ou4, dann erbt diese OU von keiner übergeordneten Policy etwas - richtig?

Oder kann man auch ein Art Abhängigkeit da rein bringen, dass die Deaktivierung der Vererbung NUR für EINE übergeordnete Policy gilt?

ehm...hoffe ihr wisst was ich meine :D

thx

Passt Norbert! Danke dir! ......letzter Schliff war der fehlende User!

Hast du mal den Artikel oben durchgearbeitet?

 

1. so wie beschrieben = lokale policy -> gleicher fehler

2. änderungen per gpo übergeben -> abbruch vorher, session wird nicht angezeigt

---------

ok, all done

Norbert!...Perfekt!....DANKE dir! ;)

xp -> xp = erlaubnis verweigert.

xp hat sp3! hm.....was mir noch einfällt, den default hilfeassistent der bei windows als benutzer nach der install da ist, is gelöscht. in der gruppe "remoteunterstützungsanbieter" sind aber die per gpo definierten user/gruppen eingetragen !?

:confused:

achso....ich biete hilfe an!

danke für den link, muss ich mal schauen.

jo klar, hab ich...überall easy und verständlich. aber ich peil irgendwas scheinbar nicht.

xp-xp werd ich noch testen

Hi,

ich weiß das Thema ist alt. Und ja...ich habe gesucht, aber ich hänge trotzdem.

Ich will per GPO die Remoteunterstützung+RemoteDesktop aktivieren.

1.GPO:

Computer/Admin/Windows/Terminaldienste/Remoteverbindungen für Benutzer mit Hilde.....-> aktiv

Computer/Admin/Windows/System/Remoteunterstützung/Angeforderte Rem. -> aktiviert

Computer/Admin/Windows/System/Remoteunterstützung/Remoteunterstützung anbieten. -> aktiviert, wobei Helfer = eine Domänengruppe und der lokale Admin sind

2.Firewall ist aus

Beim Versuch vom Vista-Client auf den XP-Client zu connecten, wird mir noch die Session angezeigt (Rechner\administrator:0) aber dann Abbruch:

"Unterstützuungsangebot konnte nicht gesendet werden"

Berechtigungen?

Was hab ich übersehen?

Ich verstehe das schon. Da anscheinend von den Clients der einen Firma auf den Server der anderen zugegriffen werden soll, (Adressumsetzung mittels Router),

ja, einmal das und dann wird zusätzlich noch ein sep. "VOIP-Netz" dazukommen, das auf jeden Fall vom LAN getrennt werden sollte.

da läuft nur DHCP und DNS, kein WINS.

naja, rein vom bauchgefühl ist mir bei dem gedanken auch net ganz wohl, welche nachteile siehst du denn?

kann jeder layer3 switch ein solches routing?

In diesem Fall würde ich keinen Router nehmen , sondern einen Layer 3 Switch. Die bringen die beste Performance. Viellicht kann der Switch das ja schon.

 

-Zahni

Irgendwie hält sich da jeder ziemlich bedeckt.Hm, also das heißt konkret ein Switch, der hardwarebasiertes Routing unterstützt?

@Lefg: es sind 2 IP-Bereiche, da es unterschiedliche Firmen sind.

sind 2 unterschiedliche IP-netze.

Es wird von Client zu Client, aber hauptsächlich von den Clients (LAN2) zu den Servern (LAN1) zugegriffen....div. DB, Mail, INet-proxy, Fileserver,.....

Ich habe auf die Schnelle keinen GBit-HW_Router gefunden. Naja SOHO ist sicher der falsche Weg, aber ich kann auch keine Highend-Lösung ins Budget mit reinbringen.

Hi all,

haltet ihr folgende Situation für problematisch oder sogar kritisch:

LAN1 -----DC1------LAN2 (=VLAN)

LAN1------SWITCH------LAN2

Sprich, ein ADS-Domaincontroller soll als Router zwischen 2 privaten Netzen dienen.

LAN1 ist vorhanden, LAN2 wird als VLAN auf dem bestehenden Switch (Glasfaser) aufgebaut. Ein Hardware-Router kommt kaum in Frage, da es sich um eine 1000MBit -Leitung handelt.

Ist das permanente Routing auf dem DC sehr belastend (LAN2 < 40 Clients, die alle Serverdienste in LAN1 nutzen) oder habt ihr andere Bedenken bzgl. einer solchen Lösung?

MfG Alex

ok, vielen dank mal vorab.

da muss ich mal schauen...

Hallo Stephan,

ja am neuen Standort schon, aber ich würde ungern am bestehenden Standort die Netzadressen (Netz1) ändern müssen.

Wenn ich dirch richtig verstehe,

1. Switchport -> Vlan mit zB irgendein IP-subnetz von Netz1

2. routing von netz1 auf subnetz im switch definieren

stimmt das so?

was is mit dns, gateway,.... der clients im subnetz? kommen die an den dhcp im netz1 ran?

hoffe ich frage nicht allzu ****! ;)

würde heißen netz1 bleibt bestehen und am standort 2 ein subnetz von netz1 erstellen?

oder muss netz1 auch geändert werden?

richtig! Entfernung glaube ich so 10km, Verbindung erfolgt über direkt über 2 Adern Fiber. An beiden Enden RJ45. Kein Router inklusive.

–

Also, wenn ich dich richtig verstanden habe, möchtest du unterschiedliche Netze habe. Also 192.168.40 für Standort1 und z.Bsp. 192.168.41 für Standort2. Richtig?

Standort1 hat Server

Standort2 hat nur Clients

 

Wie wärs mit einem Router?

ja so ähnlich. Angeblich kann der Switch zwischen subnetzen routen, dachte dann brauch ich keinen Router. Es müssen ja nicht unbedingt 2 komplett getrennte Netze sein.

Was macht denn mehr Sinn? An Standort 2 sollten wenn möglich auch keine "unnötigen" Server benötigt werden.

Mit 192.168.40.0/24 ist ein Raum für 253 Clients vorhanden. Falls mehr benötigt werden, dann kann per Supernetting der Adressraum erweitert werden: 192.168.40.0/23.

Was wäre der Unterschied/Vorteil ggü Subnetting?

Die bestehenden Maschinen muss ich ja alle anpacken bzw. per DHCP.

 

Angenommen man würde ein Subnetz machen, was wäre mit meinen og. Fragen? (Versuche grad nachzuvollziehen:confused:)

 

Wie kommt es eigentlich zu dieser ungewöhnlich erscheinenden Netzwerkadresse 192.168.40?

 

Das resultiert aus einer älteren Implementierung, damals ner Standleitung zu ner Uni. Im Anschluß..nach der Ablösung wurden die Adressen beibehalten.

–

Stehe gerade auf dem Schlauch. Gibt es eine Direktverbindung der Standorte, oder sollen die via Internet vernetzt werden?

 

Gruß, Dirk

 

Direktverbindung per LWL.