grizzly999

Einige. Für das Übernehmen von Gruppenrichtlinien muss der Client sich erst mal authentifizieren. Dazu braucht er LDAP Kerberos, DNS?, und vor allem RPC. Und RPC bedeutet zunächst Ports von 1024-65535. Außerdem Port 137 oder 445 zum Zugriff auf die Freigabe. Hier eine Liste: http://support.microsoft.com/default.aspx?scid=kb;en-us;179442 Und den Prozess findet du bei http://www.gruppenrichtlinien.de unter "Grundlagen\Anmeldung" grizzly999

Es zieht die Domänenrichtlinie. Normale Reihenfolge und damit auch Wirksamkeit der GPOS. 1) lokal 2) Standort 3) Domäne 4) OUs Was meinst du mit "Drucker installieren"? Lokale Drucker? Das darf nur ein Admin oder Hauptbenutzer mit zusätzlichen Rechten. Siehe auch: http://support.microsoft.com/default.aspx?scid=kb;en-us;297780 grizzly999

Das Problem dürfte mit zeimlicher Sicherheit in den Benutzerrechten auf dem (den) DC(s) liegen. Neben dem aktivierten Remotedesktop und der Mitgliedschaft in der Remotedesktopbenutzergruppe muss auf einem DC auch noch das Benutzerrecht "Anmeldung: Terminalserveranmeldung zulassen" gesetzt sein. grizzly999

Ich würde mal so aus dem Stehgreif behaupten, dein gateway1 kennt die Route ins Netz 192.168.2.0 nicht. Entweder dort die Rückroute eintragen oder auf gateway2 NAT machen. Diese These wurde anhand der wenigen Infos erstellt und erhebt nicht den Anspruch der Richtigkeit ;) :D grizzly999

Wir kennen deine DNS-Umgebung leider nicht :( , sollen aber Fragen dazu beantworten. Naja, dann halt allgemein: wenn der DNS, der für die Subdomäne zuständig ist, nicht authorisierend für die obige Domäne ist, aber über eine Weiterleitung die Namensauflösung macht, dann gibt er eine nicht-authorisierende Antwort zurück, das ist korrekt. Heißt die Root-Domäne wirklich nur Firma, oder <Firma.irgendwas> ? grizzly999

Zunächst sieht die 127.0.0.1 etwas seltsam aus. War die Abfrage auf dem DNS selber, und er hat sich selber nicht mit seiner IP als DNS-Server eingetragen? grizzly999

Wie schon angesprochen: du kannst ein WHOIS-Abfrage machen, z.B. hier http://www.dnsstuff.com/ Es gibt weiterhin die Möglichkeit, beim zuständigen Provider der IP eine Abuse-Beschwerde einreichen, meist an "abuse@<domain>". Dann erschöpfen sich auch schon die technischen Möglichkeiten deinerseits, und die Hilfestellungen hier im Board . grizzly999

Backups nur vom Ordner Sysvol und NTDS, kein anderes Backup? Z.B. vom Systemstatus? grizzly999

Dann gehe mal weiter runter, 1300 grizzly999

Den, den du heruntergestuft hast, der hat ja kein AD mehr, das man bereinigen müsste. Das Ganze muss auf einem der Verbleibenen geschehen (am besten einer aus dem selben Standort). Falls der Zwnagsheruntergestufte auch irgendwelche FSMO-Roles hatte, sollte man die auch auf einem anderen DC übernehmen. Und die DNS-Namensauflsöung sollte auf den Verbliebenen auch sauber weiter funktionieren. grizzly999

Wissen wir noch nicht, das wird sich erst Anfang Januar herausstellen. Ich gehe aber mal davon aus, das VUE die Aktion zum 3. mal verlängert .... :) grizzly999

Ah, das war gar nicht der einzige. Dann ist natürlich Nacharbeiten auf dem verbliebenen angesagt, so wie hier: http://support.microsoft.com/default.aspx?scid=kb;en-us;216498 (Ich bevorzuge die ADSIEdit-Methode, aber Vorsicht, das ist scharf wie ein Skalpell). Im DNS muss man ihn auch von Hand überall rauspflücken. Falls mehr als ein DC verblieben sind, dann Sorge tragen und Kontrollieren(!!), dass die Änderungen dorthin replizierert werden und er dort auch überall raus ist. grizzly999

Mit forceremoval habe ich bisher jeden DC wieder heruntergestuft bekommen. Aber zu dem DNS-Problem kann ich aus der Ferne nur mutmassen. Womöglich nicht alle erforderlichen DC Einträge vorhanden, oder er erreicht ihn gar nicht erst ... grizzly999

Über die rechte Maustaste auf der OU, dort "Objektverwaltung zuweisen" kann man mit dem Wizard Benutzern, besser noch Gruppen ;) , die Verwaltung von Objekten gezielt zuweisen. grizzly999

Könnte ein DNS-Problem zu sein. Allerdings heißt der Befehl zum "gewaltsamen" herunterstufen "dcpromo /forceremoval", und ist standardmäßig auch nur bei 2003 verfügbar. Bei 2000 braucht man das installierte SP4 oder einen speziellen Hotfix bei Microsoft. grizzly999

Genau darum bin ich der Meinung, es liegt an der MTU-Größe. Diese setzt man im Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID-der externen NIC} Die GUID der externen NIC findet man ganz einfach, indem man in die ganzen GUIDs reinschaut und diejenige raussucht, in der die IP-Konfiguration der externen Karte drin steht. Dort muss der Wert MTU als DWORD eingefügt werden, und dann der entsprechende Wert eingetragen werden. Wenn man ihn dezimal, z.B. 1400, einträgt, darafu achten, dass man auch dezimal und nicht hexadezimal ausgewählt hat. Der Wert erscheint dann im regedit hexadezimal und in Klammern der dezimale Wert. Dann rebooten. grizzly999

Sieht mir nach einem Problem mit der MTU-Größe aus. Verringere diese mal auf dem ISA, auf 1400 oder sogar bis runter auf 1300. grizzly999

Ich verschiebe den mal von MCSE-Allgemein nach Windows-Allgemein grizzly999

Hallo und willkommen im Board :) ...... den www-Eintrag eintragen. grizzly999

nein, wenn er sagt, dieDomäne sei nicht verfügabr, dann findet er sie (einen DC) auch nicht. Der Administrator war wohl schon mal angemeldet, und wird mittels der cached credentials angemeldet. Die Clients haben den DNS der Domäne in den IP-Eigenschaften eingetragen? P.S: Die nslookup-Felermeldung basiert auf einer fehlenden Reverse-Lookup Zone für das Netz. grizzly999

Kann eigentlich nur so sein, dass auf deinem Client in deiner DNS-Suffix-Suchliste nichts drin steht ("ipconfig /all" gibt Aufschluss). grizzly999

Hab ich jetzt nur das hier gefunden: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dssbl_dfr_gkvm.asp grizzly999

Ich sehe das vom Standpunkt der Sicherheit nicht als Schwarz-Weiss-Angelegenheit, bzw. Meine-Sache <-> Deine-Sache. Sicherheit geht alle an, und besonders in diesem Fall zuständigkeitsbereichübergreifend (mei, Worte gibt's auf Deutsch :rolleyes: ). Wenn ihr wirklich Sicherheit für Netz und WLAN wollt, dann solltet ihr euch mit 802.1x auseinandersetzen, das bietet sehr hohe Sicherheit für WLANs und das LAN! Aber da braucht man die Eingriffe und Kompetenzen (nebst taiglicher Hardware) auf beiden Seiten. Just my2cts grizzly999

Zu 1) Also, natürlich zuerst den 2 DC mit W2k installieren. DNS auf diesem einrichten, und dafür sorgen, dass er die Zone für die Domäne bekommt und auch ohne DC1 Namen auflösen kann (auf sich selbst zeigen lassen). Dann erst DC1 herunterstufen. Dieser kann aber auch als Memberserver weiter als DNS fungieren (Zone dann nur Sekundär), empfehle ich auch aus Redundanzgründen. Zu 2) Ja, das geht problemslos, auch hier ist zuvor die korrekte DNS-Namensauflösung wichtig. Daher vielleicht die künftigen DCs zuerst zu DNS Servern machen, Sekundäre Zone vom Hauptstandort holen und auf sich selber zeigen lassen. Wichtig wäre auch noch, um Handarbeit zu vermeiden, im Hauptstandort auf dem DC (nur falls noch nicht geschehen!) zuerst alle Standorte und Subnetze im AD Standorte und Dienste einrichten. Dann sind die Aussenstellen DCs nachher gleich im richtigen Standort. Dann die Server in den Aussenstandorten mit dcpromo hochstufen. grizzly999

Hallo Andreas und willkommen an Board :) Ich hoffe du fühlst dich hier wohl, und viel Spaß im Board ;) grizzly999