HerrPaschulke

UPDATE: Windows 7 Clients können sich nicht zu einem Drucker über den DNS CNAME verbinden. Windows XP Clients (mit Administrator-Anmeldung) können sich über den DNS CNAME verbinden, ohne Administrator-Anmeldung gehts jedoch leider nicht :-(

Hier eine gute Doku zu dem Thema DisableStrictNameChecking

Step 14 - Add DisableStrictNameChecking Registry Key

Das setzen des REG-Keys war erfolgreich, leider besteht das Problem weiterhin, auch nch Serverreboot. Was kann denn das noch sein? (Muss ich noch was an dem Printmanagement oder irgendwo an dem Server was einstellen?)

Ist das n reg Key den man am Client setzen muss oder per gpo? Oder muss man da am Server auch noch mal was setzen?

also das ganze funzt in meinen Tests, werde das nächste Woche mal mit dem einen oder anderen Anwender testen, danke für eure Hilfe.

Hier geht es nun weiter für mich mit dem Thema Drucken über DNS:

http://www.mcseboard.de/windows-server-forum-78/druckserver-dns-cname-ansprechen-184264.html

Vielleicht kann ja der eine oder andere hier auch einen Tipp geben. ;-)

Hi,

ich würde gerne von unseren Clients unseren Druckserver (Windows 2008 R2 Standard SP1) nicht über seinen echten Hostname/Computername ansprechen, sondern einen DNS-CNAME dazu anlegen und die Drucker darüber mappen. Unsere Anwender mappen die Drucker selbst (Teilweise mit Unterstützung) und bekommen sie nicht via GPOs (wäre in unserer Org-Struktur nur sehr schwierig zu realisieren).

Ich habe dem Druckserver (Memberserver) bereits ein zusätzliches SPN gegeben (Tipp eines Kollegen der so etwas schon mal gesehen hat):

setspn -A host/print.location.service.domainname computername-des-druckservers

Trotzdem erhalte ich eine Fehlermeldung am Client der den Drucker dann über \\print.location.service.domainname\druckerfreigabename oder über http://print.location.service.domainname/printers => usw. mappen will.

Hat das schon mal jemand so realisiert? Kann jemand helfen? Wäre super :-)

der DFS-R Hotfix für 2003 R2 ist KB2462352

meine Testclients konnten nun immer das loginscript ausführen. Das Einzige was seltsam ist dass ein Domänen-Benutzer auf "\\domainname\FS\location01-folder01" zugreiffen darf während er auf "\\domainname\FS" nicht zugreiffen darf. Etwas komisch. Kann sich das von euch einer erklären? Geht es hier um irgendwelche "Verwaltungsberechtigungen" in dem DFS-Namespace?

DCs sind 2003/2003R2/2008R2, wobei auf den 2003r2 auch der hotfix für die neue DFS Verwaltung installiert ist, habe die Unterlagen welcher DC welche Version und kb Nummer des hotfixes leider auch erst morgen wieder parat :)

habe ausserdem aktuell noch das Problem dass manche DCs zwar das share anzeigen, dieses jedoch nicht zugreifbar ist (sind so wie ich gesehen habe 2003er DCs, wir sind im Mixed Mode 2008/2003). 2008 haben wie es aussieht keine Probleme. Freigabeberechtigungen und NTFS-Rechte sind bei allen gleich :-(

was kann den dass wieder sein?

ist es eigentlich "normal" dass sich bei uns manchmal als Antwort auf \\domainname\... auch Domaincontroller aus anderen Lokationen melden obwohl der der Domaincontroller an der eigenen Lokation "verfügbar" ist? Warum antworten manchmal andere DCs zuerst?

also ich habe über DFS mal folgendes gemacht:

neuer namespace der FS für Fileservices heisst

\\domainname\FS

darunter gibt es nun einen DFS-Link "location01-folder01" der auf einen memberserver verweist

ich kann aber per net use nur "\\domainname\FS" und nicht "\\domainname\FS\location01-folder01" anbinden da dass kein echter Ordner sondern nur ein DFS-Link ist oder?

dies würde mich dann vor die nächste Herausforderung stellen :)

habs nun doch hinbekommen, sorry, hab mich vertan weil noch nicht alle DCs diesen namespace haben gabs auch keine Freigabe dazu, test mal weiter :-)

DFS habe ich immer nur gute Erfahrungen gemacht wenn der Fileservice auf einem Domain Controller läuft.

ich kann ja entweder domain-based namespaces erstellen, wenns aber kein DC ist habe ich ja schon verloren

oder aber ein stand-alone namespace, hier ist der namespace-name aber der Servername, der ja in 4-5 jahren wieder wechselt :-(

das ist das Problem mit DFS. Oder bekommt man dass auch irgendwie dynamisch mit der stand-alone Variante hin?

habe mal bischen getestet, in der 2008R2/win7 Welt alles ohne Probleme, in der 2003/xp Welt Fehlanzeige. Bekomme da immer Fehlermeldungen wenn man auf eine Ressource über den DNS CNAME oder als zweiten A-Record zugreiffen will:

(lediglich ping geht, da kann man den Namen immer auflösen)

Fehlermeldung ist:

Verbindung wurde nicht hergestellt, weil ein identischer Name bereits im Netzwerk vorhanden ist. Wählen Sie "System" in der Systemsteuerung, um den Computernamen zu ändern, und versuchen Sie es erneut.

:-(

jarazul wie hast du das gelöst?

Hi,

wir tauschen alle 4-5 Jahre unsere Server aus, darunter für jede unserer Lokationen mind. 1 Fileserver (15 lokationen), macht also ca. 3 Fileserver pro Jahr. Da sich der Servername so gut wie immer ändert habe ich die Idee zu der ich gerne eure Meinung hören würde:

Quelle: \\SERVEROLD\SHAREOLD (192.168.1.1)

Ziel: \\SERVERNEW\SHARENEW (192.168.1.2)

Ich migriere grundsätzlich immer über Robocopy.

Dann passe ich Login-Scripte an etc.

Wo es regelmässig zu Probleme kommt sind Folder Redirection bei Anwendern die einen mobilen Computer haben und die Eigenen Dateien synchronisieren. Hier müssen wir dann regelmässig in der Registry folgendes gesetzt werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NetCache]

"FormatDatabase"=dword:00000001

Das ist das Problem.

Die Idee war nun die ganzen Freigaben/shares über DNS-Einträge zu realisieren, sprich ich erstelle einen DNS-A Record

z.B. 192.168.1.1 => SERVEROLD.fqdndomainname => locationserverxyz

Die ganzen Scripte verweisen auf den DNS-Eintrag locationserverxyz

Bei einer Migration nun werden die Daten per Robocopy migriert und nur noch der DNS-Record angepasst/ersetzt und dass müsste es doch dann gewesen sein.

Was meint ihr dazu? dass ggf jemand so im Einsatz?

Danke schon mal fürs Feedback.

Also unterschiedliche patchstände nutze ich nicht es gibt die Möglichkeit und die finde ich gut wenn man von einem Fachbereich noch keine Freigabe hierfür bekommen würde. Ziel ist bei uns auch alles auf aktuellem stand zu halten.

Wie oft musste ich den SQL Server neu starten und damit die halbe Firma lahmlegen nur weil es Probleme mit einer Datenbank gab, mit Instanzen ist dies alles erledigt, außer man muss den kompletten Server rebooten, also ich kann es nur empfehlen. Viele Dienstleister fordern sogar eine eigene Instanz bzgl. Berechtigungen etc.

Instanzen brauche ich um Bereiche/Abteilungen etc zu trennen. Für jede Instanz gibt es eigenständige SQL Dienste, Service Packs können einzeln hochgezogen werden etc.

ist aus meiner Sicht ne feine Sache.

Dachte nur MS beschränkt dass in der Standard Edition auf weniger wie 50 Instanzen, das war der einzige Gedanke dabei als ich max. 50 Instanzen gesehen habe :cool:

Hi,

ich habe hier eine Übersicht bei MSDN bzgl. SQL 2008 R2 "Maximale Kapazität" gefunden.

Spezifikationen der maximalen Kapazität für SQL Server

Ist es wirklich so dass man bei der Standard Edition von SQL 2008 R2 (SP1) maximal 50 Instanzen auf einem single Server laufen lassen kann? Da ich demnächst auf unserem Server demnächst die sechste und siebte Instanz aufsetzten muss fragt man sich dann noch irgendwann mal wieviel noch geht :D

Moin,

 

das kommt darauf an, wie viele Drucker es sind und wie wichtig die für die Geschäftsprozesse sind. In den meisten Umgebungen reicht es aus, die Drucker auf einem neuen Server neu einzurichten und freizugeben. Das ist i.d.R. deutlich schneller, einfacher und risikoärmer, als mit einem Restore herumzufummeln.

 

Gruß, Nils

es sind halt zwischen 5-150 Drucker pro Server :D (Backup davon wäre halt schon was feines :cool:)

DHCP, DNS machen sie alle noch und manche noch Druckserver

DHCP kann ich regelmässig scriptgesteuert exportieren

DNS ist AD-integriert also brauche ich da eigentlich auch nichts

Druckserver halt, kann ich den irgendwie speziell sichern?

Hi,

habe in meiner Umgebung 11 DCs an unterschiedlichen Standorten, zentrales Backup.

Bei den 2003er und 2008R2 DCs sichere ich per NTBACKUP und Windows Image Backup den Systemstatus täglich auf eine Backup-Partition bzw. einen anderen Server in der Lokation und lasse ihn noch zusätzlich zur Zentrale kopieren. Da Windows Image Backup und der 2008er ja allgemein mehr Daten zu sichern hat reicht mir bei einigen Lokationen die Nacht nicht mehr für den Kopiervorgang zur Zentrale.

Wenn ich einen Serverausfall habe und bin auf das Backup angewiesen, könnte ich aber auch mit nem älteren Stand (z.B. vom Wochenende) aus NTBACKUP oder Windows Image Backup wiederherstellen. Das AD zieht doch dann die Änderungen wieder gerade auf dem wiederhergestellten DC (ist ja eigentlich bei ner täglichen Sicherung auch nicht anders, da gabs ja auch schon Änderungen nach der Sicherung)? Oder liege ich da falsch?

PS: Andere Daten liegen auf den DCs ohnehin nicht bei uns rum bzw. werden anders gesichert, es geht also "nur" ums Betriebssystem.

Wir sind im fragelichen Fall auf 2008. Bei 2003 würden wir mit Specops arbeiten.

Meinst das hier ja Password Policy - Stronger Windows Passwords | Specops Password Policy

Muss ich mir mal anschauen, wir sind ja noch nicht komplett auf 2008 :-(

Danke für die Tipps... :-)

Bestimmt nicht. Wofür?

also ich macht dann alles in einer 2003er Domain mit einer Kennwortrichtlinie? oder seid ihr auf 2008?

Step-by-Step brauch ich eigentlich nicht, wäre auch zu viel verlangt :D

Habt ihr ne separate Domain dafür?

bingo, das ist es, habt ihr so was auch so realisiert?

kann schlossen werden der Ganze Vorgang bei uns in der Firma ist obskus. Danke für eure Hilfe und Tipps :)

bei uns läuft eine Analyse für eine Portauthentifizierung und den Einsatz von RADIUS (ich bin da nicht so tief drin, macht bei uns eine andere Fraktion). Jedenfalls will man Drucker und andere Geräte die nicht im AD angelegt sind im AD anlegen, offensichtlich Username = MAC-Adresse & Passwort = MAC-Adresse. Also Username = Passwort.

Das ist das was dahinter hängt. Einmalig könnte man natürlich unsere vielen Drucker und Geräte anlegen aber im täglichen Business jedes mal die Kennwortrichtlinie abschalten müssen um einen "User" anzulegen ist eigentlich nicht zielführend.

Das Thema mit der Sicherheit darf natürlich auch nicht links liegen gelassen werden.

Ich wollte mich einfach mal schlau machen wie so was zu realisieren ist. AD seitig gibt es eben die 2-3 Möglichkeiten. Aber vielleicht muss man das ganze Konzept nochmal überarbeiten (wie gesagt, andere Fraktion ;-)