grizzly999

Ja, in den MS Dokus ist immer alles richtig eingestellt, oder meinstest du das anders herum, und wenn ja, in welcher Doku. Besser noch, WIE ist denn DNS bei dir genau eingerichtet, und ich meine "Genau"? ;) Keine Ahnung, wo da der Fehler liegen soll, siehe oben. wir sind hier keine Hellseher. grizzly999

Das geht schon so, dann kann derAdmin in "norfolk2 (oder was auch immer) in der OU alles tun, Benutzer anlegen und verwalten, Gruppen anlegen und verwalten, Computerkonten ......, Richtlinienverknüpfungen vornehmen (Keine Richtlinien erstellen!). Aber du hast oben geschrieben: es ist eben die Fragen wie genau du den Terminus "alles darf" definiertst. Wenn darunter nur die Verwaltung der OAD-bjekte der OU Köln fällt, ok. Mehr leistet das von dir zitierte Vorgehen nicht. Ich persönlich habe unter "alles" noch etwas mehr verstanden. grizzly999

Kannst du die Zone _msdcs.domänename.bla manuell erstellen? Wenn ja, AD-integrieren (Gesamtstrukturweit), und nur sichere dyn. Updates zulassen grizzly999

Hallo Günther, Kollega hats mir ja einiges voraus (an Jahren) :D :D Daher: Herzlichen Glückwunsch zum Geburtstag Mach weiter so ... :D Claus

Dann wird das wohl nichts. Du kannst über Benutzerrechte und Berechtigungen Gruppen für bestimmte Ressourcen (z.B. Server-Operatoren oder Druck-Operatoren) vergeben, aber einen "eingeschränkten" Admin gibt es da nicht. grizzly999

Sowas in der Art gibt es, Dumpsec (Freeware) von somarsoft.com Aber: mann muss das Tool halt auf jedem Rechner des Netzwerks laufen lassen. Bei MS ist es nunmal so, dass die Berechtigungen an der Resource hinterlegt werden und nicht zentral wie bei Novell. grizzly999

Nein, das dürfte nicht gehen. ADMT mirgriert Konten zwischen Domänen. Nach Microsoft Theorie und Praxis gibt es nur einen gangbaren Weg: Das original Konto umbenennen (und vielleicht Kennwört ändern) grizzly999

Hallo und Willkommen im Board :) ich verschiebe den mal nach Windows-Allgemein, hat ja nichts mit MCSE zu tun. Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC? grizzly999

Wenn der MD den Zugriff auf den 389 benötigt, kommst du kaum umhin, ihn zu öffnen. Aber du kannst ja im ISA den Port nur für diesen Server öffnen, damit hast du schon mal die Sicherheit, dass kein anderer Rechner den verwenden kann. Ein theoretisches Problem wäre, dass wenn jemand in der DMZ sniffen könnte, der LDAP-Verkehr belauscht werden könnte. In dem Fall könnte man ein VPN zwischen MD und ISA eintrichten mit Fitlerung auf den Port. grizzly999

Das istz doch dieses Problem hier von dir, oder?! http://www.mcseboard.de/showthread.php?t=89689 Keine Doppelpostings !! Closed grizzly999

Bei hohen Sicherheitsanforderungen (nur VPN wenn außerhalb) arbeite ich mit dem MS-VPN Client und zusätzlich lokalen IPSec-Richtlinien. Geht gut. grizzly999

Die Meldung wäre dann üblicherweise eine andere (Die lokale Richtline erlaubt es Ihnen nicht, dass.....) grizzly999

Hier steht, wie es geht, wenn man NT oder 2000 nach XP installiert: http://support.microsoft.com/default.aspx?scid=kb;de;315233 grizzly999

Du musst im RAS-Wizard "Benutzerdefiniert" auswählen und dort dann VPN auswählen grizzly999

Vielleicht Log voll? http://support.microsoft.com/kb/160783/en-us grizzly999

Ich erhelle dich erst mal mit den Boardregeln: http://www.mcseboard.de/rules.php?u=4870#nr10 Wir sind nicht im Heise Forum oder beim Wettbewerb, wer macht den auffälligsten Titel. Da du noch einigermaßen neu bist, schließe ich den nicht, um ihn dich dann mit einem normalen, aussagekräftigen Titel erneut zu posten zu lassen grizzly999

Ok, dann antworte ich ohne Antwort. Ist es ein PDC, dann sollte er nur eine NIC haben, um jeglichen Browser Problemen aus dem Weg zu gehen. Ist es ein anderer Server, der Master Browser ist, dann gibt es Workarounds. Mehr dazu hier im Artikel: http://support.microsoft.com/kb/191611/en-us und: http://support.microsoft.com/kb/188305/en-us grizzly999

Wie man das drehen muss? Naja, recht einfach. Man richtet eine StubZone ein. Fertig. Oder wolltest du das jetzt Step by Step haben? Dann würde ich auf dein Grünes Buch verweisen, auf die Testumgebung, in der du das mal einrichtest und die vielen anderen Artikel bei Microsoft, die das beschreiben grizzly999

Ok, dann weiter mit dem Ratespiel. Ist's ein DC? grizzly999

Motherboard Monitor gibt's auch, Und die meisten Boardanbieter haben auch eigene kleine Software dabei, z.B. ASUS u.a. grizzly999

Hast du schon mal mit dem Netzerkmonitor auf der externen Karte geschut, ob was rübergeht, was rübergeht, ob das NAT auch sauber funktioniert (korrekt eingerichtet ist) und wenn alles ja, ob und was zurückkommt? Solltest du tun, damit das Ganze nicht in eine Ratespiel ausartet. grizzly999

Wo/Wie freigegeben? Macht der SBS Routing? Macht der Routing mit NAT? In beiden Fällen muss man auf dem Server aber nichts freigeben. grizzly999

Ich bezweifle, dass das mit ntdsutil passiert sein soll. Eher LDIFDE oder CSVDE, aber selbst damit muß man mit Filtern arbeiten. Was hast du genau vor? Dann können wir dir vielleicht weiterhelfen. grizzly999

Häh Ist für mich nur Böhmische Dörfer, kommt aber auf's Gleiche raus wie chinesisch :D Ja, ich kenne das Gefühl zu gut :wink2: grizzly999

Nein, aus praktischer Erfahrung, das stimmt nicht. Weder scanstate noch loadstate benötigen eine Domäne. Siehe auch hier: http://support.microsoft.com/kb/321197/en-us grizzly999