grizzly999

Du hast die Domänen schon? Sie sind demnach in 2 ADs. Danngeht das nur mit einer aufwendigen Migration und entsprechenden Migrtionstools. Ansonsten eine der Domänen neu aufsetzen und die vorhandene AD einbinden, vom Namen her geht das als eigene Struktur im AD grizzly999

Weiss es jetzt nicht, versuche mich mal schlau zu machen. Aber zum Thema tuer/sparen. Ein Kunde von mir hat neulich für seinen Webserver öffentliche Zertifikate gekauft. Bei TC Trust Center unter 150€/jahr (ich glaube 120€). Das ist wirklich nicht teuer..... finde ich. grizzly999

Ich verstehe nicht ganz, was man da erklären soll. Neben allgemeinen Informationen, und Gruppenmitgliedschaften ist aufgelistet, welche Gruppenrichtlinien der Rechner übernommen hat und welche nicht (mit Grund dafür). grizzly999

Man wird auch auf die Prüfungsinhalte in den Kursen vorbereitet. Aber es ist erklärte Intention von Microsoft, aus erfahrenen Administratoren zertifizierte Administratoren (MCSAs und MCSEs) zu machen und nicht aus jemand, der kaum Ahnung hat -gemeint vor allem kaum praktische Erfahrung - einen nacheislichen MCSA/MCSE. Und wer als erfahrener Administrator diese praktische Erfahrung, für den sind Prüfungen und insbesondere!! die Simulationen machbar. grizzly999

Reicht bei einem DC nicht, zusätzlich braucht man das von mir beschriebene Recht ;)

Da gibt es viele. Aus Zeitgründen poste ich mal einen (die anderen den Rest :D ): Kein Support mehr von Seiten Microsoft, auch keinen erwiterten mehr seit diesem Jahr. D.h. auch keine SPs mehr (gilt schon länger, Patches usw. ?!?!) grizzly999

Du brauchst eine Richtline mit einem speziellen Benutzerrecht, da das ein DC ist ! Entweder eine Richtlinie auf der OU Domain Controllers oder die lokale Richtlinie auf dem DC (besser das erstere). Unter Computerkonfiguration\Windows Einstellungen\Lokale Richtlinen\Benutzerrechte das Recht "Anmeldung am Terminalserver zulassen" gizzly999

Congratulatione Edgar :) :) :) Freut mich, dich als neuen Expert an Board zu haben :cool: Claus

Also darf ich auch mal :D Bei 2003 müssen sich die User nicht merh lokal auf dem Server anmelden können (Benutzerrecht "Lokale Anmeldung zulassen"). Man muss auc nicht die Default Domain Policy verbiegen. Nein, muss man alles nicht. Dennoch, Dr. Melzer hat Recht, die benutzer arbeiten als wären sie lokal angemeldet auf dem DC, im Sinne der Sicherheit ist das ganz und gar nicht (da hat wohl hochfrequenzG5 im Moment auch sein Problem, wenn er sagt, es sei doch das gleich wie vorher auch). Nein es ist nicht das gleiche, der Sicherheistaufwadn ußist enorm höher, die User sehen im Explorer die Platten vom DC!! Sie hätten u.U. Zugriff auf die Verwaltungstools, unsauberes Arbeiten mit berechtigungen und Rechten auf dem DC und der Schaden ist gleich gechätzt :rolleyes: Auf einem Memberserver habe ich diese Risiken nicht. Punkt, das ist Faktum. Daher st diese Möglichkeit z.B. beim SBS auch ganz weggelassen worden. Aber es ist möglich grizzly999

Ist mir schon klar, was du möchtest. Aber ich hatte doch geschrieben.... Tja, was soll ich da machen? Eine Richtlinie erfinden? Du könntest mit VBS-Skript-Bastelei es versuchen (könnte wohl etwas kompliziert werden).

Die von dir angesprochene Richtlinie (und keine andere) bietet die Option. Siehe auch mein Beitrag hier: http://www.mcseboard.de/showthread.php?t=15444 grizzly999

Wenn's aus der Abteilung "günsigtig" und gut sein soll, empfehle ich den Draytek Vigor. VPN-Client? Den integrierten von Microsoft. grizzly999

Was soll bei einem Inaccessible Boot-Device Fehler fixboot oder fixmbr bringen :rolleyes: Wundert mich ja schon, dass da SCSI-System auf dem IDE gebootet hat. Naja, auf jeden Fall kann er mit dem IDE-Treiber nicht vom SCSI-Raid booten, das besagt auch die Fehlermeldung. Dafür sind Images aber auch nicht gedacht, nicht mal normale Backups. Das einzige was du versuchen kannst, ist eine Reparaturinstallation mit der Option F6 um ihm die SCSI-Treiber von Diskette mizugeben. grizzly999

Okay, viele verstreute Informationen, dann kommt plötzlich noch ein DNS über VPN ins Spiel. Fangen wir mal sortiert an: 1.) Welche DNS-Server hat der 1.DC bei sich eingetragen in welcher Reihenfolge? 2.) Hat dieser DNS auf DC1 alle Zonen (FWD und Rverse) drin? 3.) Sind in ALLEN Zonen alle Einträge drin, insbesondere BEIDE NS-Einträge und die A-Records BEIDER DNS? Wenn das alles sichergestellt ist, 4.) zu Testzwecken dafür sorgen, dass der DC1 nur sich selber als DNS eingetragen hat. Ausserdem keine Weiterleitungen etc. im DNS1 drin ist. 5.) Jetzt auf dem DC1 direkt in der Kommandozeile "nslookup DC1a" eingeben. Was erscheint? 6.) Auf dem DC1 nslookup eingeben, an der interaktiven Eingabeaufforderung ls -d domäne.blabla eingeben. Werden alle Einträge gelistet? 7.) dcdiag und netdiag laufen lassen, was gibt der aus? Dasselbe vielleicht noch mal auf einem Client, der nur den DC1 als DNS eingetragen hat grizzly999

Nein, auch unter 2000 war das nicht groß anders. Der im Link beschriebene Unterschied besteht schon, aber die LSA erfordert trotzdem eine Authentifizierung bei Zugriff auf Freigaben. Da ist nichts mit Anonymous-Anmeldung. In die Gruppe Anonymous Anmeldung gehöre ich schon, WENN ich es schaffe, mich anonym anzumelden. Aber nur dann. Und bei Zugriff auf eine Freigabe geht das halt nicht, man probiere es einfach aus ;) grizzly999

Das ist ein generelles problem und meiner Erfahrung nach hilft da nichts, meine das auch mal bei Microsoft gelesen zu haben. In den DNS-Eigenschaften rausnehmen, Reg-Keys setzen, alles ohne Erfolg. Der multihomed DNS trägt sich immer mit allen NICs ein. Da hilft nur: Single-Homed DNS oder das akzeptieren P.S: Lasse mich gerne eines besseren Belehren, aber keine Sprüche oder Links, sondern nachweisliche Konfigurationen. grizzly999

Vielleicht hilft das hier: http://support.microsoft.com/default.aspx?scid=kb;en-us;152513 http://support.microsoft.com/default.aspx?scid=kb;en-us;300956 grizzly999

Dann ists mit Sicherheit der fehlende Reg-Key. Beachte: vorher SP1 vom ISA2004 einspielen. grizzly999

Was du falsch machst weiss ich nicht, da du uns nicht gesagt hast, WIE du bootest. Das geht mit einer Startdiskette, auf der die boot.ini für die zweite Platte angepasst ist. grizzly999

Du hast mich missverstanden, wir reden wie es aussieht die ganze Zeit aneienander vorbei. Mit "Mache neu" meine ich: Die Domäne neu aufsetzen ! Ein ADS-Domänennamen OHNE Punkt, also nicht in der Form meinedom.local oder so, macht nur Probleme und Ärger, und läuft nie richtig, was DNS angeht (wovon du dich hast deutlich überzeugen können) grizzly999

hallo und willkommen im Board :) Ja, die Möglichkeit gibt es. Schaue mal in den Link im 6. Beitrag hier: http://www.mcseboard.de/showthread.php?t=52405 grizzly999

Also OWA Formed Based mit RADIUS-Authentication habe ich mehrfach eingerichtet. Klappt wunderbar, wenn man alles beachtet und es ungefähr so macht: http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/OWA_FBA.htm Ich würde allerdings nicht die SSL-Variante bis zum Exchange machen, sondern nur SSL für Client-ISA, außer es bestehen Gründe, das nintendran auch noch zu verschlüsseln. Und mit "wenn man alles beachtet" meine ich das da: http://support.microsoft.com/?kbid=884560 grizzly999

Ja, wie soll er dann eine integrierte Authentifizierung machen? Da bleibt entweder Standardberechtigung, oder besser noch: RADIUS-Authentifizierung. Da wäre dann noch die Frage, mit oder ohne die neue OWA Veröffentlichung (mit der schönen OWA-Oberfläche beim Einloggen) grizzly999

Sorry, geht so nicht, wie ich es beschrieben habe. Geht eigentlich nur richtig sinvoll über das Verweigern in den Erweiterten NTFS-Berechtigungen. Da kann ich ihm alles einzeln verweigern, außer den ganzen Leseberechtigugnen. grizzly999

Der ISA ist also ein eigenständiger Server? Und er ist in der selben Domäne wie der Exchange? Hatte zwar das schon mal gefragt, aber ..... :rolleyes: grizzly999