grizzly999

Das ist nicht vorgesehen, erst für einen RODC bei 2008.

Je nach dem was alles unter dein "Punkt Punkt Punkt (...)" fällt, reicht es ja u.U. den User in die Server-Operatoren, die Sicherungs-Operatoren und Netzwerkkonfigurations-Operatoren und Druck-Operatoren zu stecken.

 

 

grizzly999

Von einem SBS-Server übers VPN. Uiuiuiui, das würde ich mir gut überlegen.

 

 

grizzly999

Im DHCP-> Dann Bereichsoptionen (denke, um die geht es), Optionen konfigurieren. Reiter "Erweitert" anklicken, erstes Auswahlfeld oben "Herstellerklasse" (steht defaultmäßig immer auf DHCP-Standardklasse). Dort gibts rechts einen kleinen Aufklapppfeil, dann weiter wie oben beschrieben. 0x1=NetBIOS aktiviert, 0x2=NetBIOS deaktiviert.

 

grizzly999

Wie kann ich mir ein selbstsigniertes Zertifikat bzw. ein Offline CA erstellen?

in dem Link von Nils bezieht sich das ja soweit ich das verstanden habe nur auf den IIS?

Der OCS braucht doch eh' ein IIS, oder?! Dann hat man das ja schon.

Offline CA, das schrieb ich, ja. Da waren die Finger schneller als die Gedanken. Ich meinte natürlich eine Eigenständige CA, also nicht ins AD integriert. Das geht genauso wie eine AD-integrierte, nur dass man im Wizard eine Eigenständige auswählt. Anm.: Die Vorlagen lassen sich da nicht konfigurieren, Computerzertifikate werden dort deshalb nur für 1 jahr ausgestellt und müssen dann erneuert oder nue ausgestellt werden.

 

 

grizzly999

Schau mal im Active Directory Domänen und Vertrauensstellungen ganz oben im Root in die Eigenschaften unter "UPN-Suffixe" rein.

 

 

grizzly999

Das liesse sich sogar mit Boardmitteln lösen (außer das Share erstellen, aber das kann man ja einmal manuell tun ;)).

Forfiles.exe mit diversen einstellbaren Paramtern wäre da eine Möglichkeit. Oder robocopy ....

 

 

grizzly999

Der Eintrag "DEFAULT" kann nur in Verbindung mit einem NUMERIC-Part, einem EDITTEXT-Part oder einem COMBO-BOX-Part genutzt werden, nicht für ein einfaches VALUEON/VALUEOFF". Schau auch mal bei Kollege MArk Heitbrink vorbei, da gibt's gute Hilfe dazu: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Was willst du denn genau mit der Policy setzen? Dann könnte man u.U. besser helfen. Oder vielleicht musst du das Rad ja gar nicht nue erfinden? Inden Administrative Vorlagen unter Computereinstellungen gibt es bei System\Windows-Zeitdienst schon ein paar Voreinstellungen zum Setzen.

 

 

grizzly999

Heute noch nicht hier mitgelesen?! :D

Lies mal hier rein: http://www.mcseboard.de/windows-forum-lan-wan-32/dns-server-per-gpo-149368.html

 

 

grizzly999

Wie groß der Planungsaufwand ist, kommt darauf an, wieviele Stufen die CA hat. In dem Fall wohl nur eine. Da ist der Aufwand gering. Man überlegt, wo die CA laufen soll, wie lange das CA-Zertifikat gültig sein soll, und wie sie heißen soll.

 

Kann ich die, wenn ich damit nur ein Zertifikat für den Communications Server ausstelle die reltiv leicht wieder entfernen?

Öha?! Eine Unternehmens-CA ist nicht dazu da, dass man mit der ein Zertifikat ausstellt und sie dann wieder entfernt. :nene:

Da nimmst du dann besser ein Selbstsigniertes Cert oder ein Offline CA, zumal ja eine AD-integrierte CA ins AD schreibt, und danach auch Teile davon dort liegen bleiben würden. Die kann man zwar manuell wieder rausräumen, z.B. mit ADSIEdit, aber dafür ist das Ganze nicht gedacht.

 

grizzly999

Du sagst, du würdest ihn gerne löschen, heißt für mich, das hast du noch nicht getan. Dann wundert auch die Meldung nicht.

 

Wenn du ihn doch gelöscht hast, wie hast du das getan? Einfach den Server heruntergefahren, dann Platte weg, oder hast du Zertifikatsdienste deinstalliert, aber den Server selber gibt es noch, oder gibt es auch nicht mehr?

Also du solltest schon genauer werden.

 

Prinzipiell kann man sich zum Entfernen einer CA aus dem AD hier schlau machen: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000

 

grizzly999

Z.B. per Script: Automating TCP/IP Networking on Clients:Part 5: Scripting DNS on Clients

 

Oder: Mit DHCP, aber das willst du ja nicht hören. :(

 

 

grizzly999

Für die bestehenden Profile auf dem Server musst du als Admin den Besitz übernehmen (Häkchen für das Übernehmen auch für die Untercontainer nicht vergessen) und dann die Berechtigungen manuell so setzen, dass die Admins UND der Benutzer Vollzugriff haben.

 

Für künftige, neu erstellte Profile auf dem Server, kannst du per GPO setzen, dass die Admiknistratoren gleich mit in die Berechtigungen eingetragen werden:

 

Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile -> Administratoren zu den servergespeicherten Profilen hinzufügen.

 

 

grizzly999

Neben den verlinkten Gründen für Exchange, ist ein WINS dazu da, den Braodcast zu verringern (was du in komprimierter Form so auch wiedergegeben hast).

Außerdem dient er der NetBISO-Namensauflösung in gerouteten Netzwerken. Dabei insbesondere auch dem Computersuchdienst, der ja für den Aufbau der Netzwerkumgebung verantwortlich ist. Wer also in einem gerouteten Netzwerk Wert auf eine einigermaßen aktuelle Netzwerkumgebung legt (korrekt wird die sowieso selten sein), der kommt um WINS fast nicht umhin. Und wenn dann noch irgendwelche Applikationen auf der Netzwerkumgebung aufbauen (manche ältere Applikation mit Agentverteilung tn das, z.B. Enterprise Virenscanner oder Backupprogramme), dann wird's noch wichtiger.

 

 

grizzly999

Hallo und willkommen im Board :)

 

"Angeblich" ...... da wäre mir nichts davon bekannt. Also, das geht.

Es ist allerdings von Microsoft empfohlen, dass die DCs möglichst gleiche Service Packs haben sollten.

 

grizzly999

Lieber MrAndersson,

 

da muss ich jetzt mal eingreifen. Deine Beiträge sind ein einziges unverständliches Wirrwar, und von jemandem, der Hilfe erwartet, erwarte ich

, dass er sich klar und verständlich ausdrückt.

Ich habe mich da wohl auch schlecht ausgedrückt

Ja, so ist es!

 

In dem internen Netz bearbeiten nun alle Mitarbeiter ihre Vorgänge und haben manchmal zusätzlich noch einen Internetrechner, welcher eben nicht in einer Domäne hängt (den Rest habe ich ja schon oben aufgeführt).

Welchen Rest? Da war nicht viel Greifbares aufgeführt. Und du hast jetzt nur gesagt, wer NICHT in einer Domäne ist. Dass der große Rest in einer Domäne ist, dürfen wir vermuten ja?! :rolleyes:

 

Ja, alle70 Internetrechner sollen über den Proxy laufen.

Wer jetzt? Die 70 oder alle Nutzer mit allen rd. 2000 Rechnern? So interpretierte man es nämlich oben, da stand zu lesen:

Nun sollen allen Mitarbeitern ein eigenes Netzlaufwerk (ca. 50 MB) freigegeben werden, auf dem sie Dateien ablegen können und alle Mitarbeitersollen sich mit ihren Rechten von jedem Rechner im Netzwerk aus anmelden können. [........]Hinzu kommt noch, dass die Benutzer nur noch bestimmte Rechte haben sollen (nur auf bestimmten Websites surfen, Ports sollen geblockt werden

 

Die Netzwerkfreigaben ("Home-Ordner") für die jeweiligen Benutzer werde ich dann auf dem Windows 2003 Server einstellen

Um was geht es eigentlich in dem Thread? Um eine Proxy oder einen Fileserver? Und: warum sollen diese "Netzlaufwerke" auf den Proxy mit drauf? Gibt es denn in dem 2000 Rechner zählendem Netz keinen anderen Server, der das erledigen kann?

 

Wie oben schon beschrieben befinden sich ....

Nein, da oben war nichts beschrieben.

 

Auf allen Maschinen läuft Windows XP und der Server für die Domäne soll ein Windows 2003 Server werden.

Wie, was wo, für welche Domäne? Sind die 2000 jetzt doch nicht in einer Domäne?

 

Ich hoffe, dass du mir nun folgen kannst

Bei deinem Geschreibsel kann dir keiner folgen.

 

Hauptproblem ist aber wie gesagt, dass ich nicht genau weiss, wie ich den Proxy implementieren soll.

Naja, aber du hast ja einen guten Vertrauensvorschuss, sie lassen dich immerhin ein 2000-Mann Netz administrieren. :thumb1: :)

 

 

Zusammenfassend:

==============

Es hat mich jetzt sehr viel Zeit gekostet, das Ganze hier mehrmals zu lesen, dann diesen Beitrag hier zu schreiben, und es ist mir und anscheinend den anderen auch nicht ansatzweise klar, was da bei dir Sache ist. Nach 6 Jahren Erfahrung hier im Board weiß ich schon, dass das in seitenlangem Nachfragen Enden wird. Dem will ich vorbeugen:

Du schreibst das Ganze -die Ausgangslage und die exakten Anforderungen - jetzt noch mal tgechnisch korrekt gut verständlich, so dass jeder versteht, was wo ist, welcher Rechern wo hin gehört, usw., zusammen, gerne auch in einem neuen Thread und ich lösche dann den hier. Aber wer Hilfe will, der muss auch was bringen.

 

Danke für dein Verständnis

 

 

grizzly999

Die Anhänge bringen nichts, selbst wenn ich davon ausgehe, das dieserver.txt von DHCP-Server direkt stammt. Da kommt ein DHCP-Discover vom 10.1.1.251 an.

Ohne

a) den Netzwerkaufbau und alle IPs zu kennen und

b) den kompletten Rahmen zu haben

 

ist da wenig zu machen.

 

 

grizzly999

Wenn die Bereiche ordnungsgemäß eingerichtet sind, dann ist die nächste Vermutung, dass der Router das Optionsfeld "giaddr" im DHCP Header nicht korrekt ausfüllt.

1.) Das müsstest du mit einem Netzwerkmonitor überprüfen.

2.) Mit welcher Absenderadresse im IP-Header kommt das DHCP-Discover Paket an? Kannsz du diese Adresse vom DHCP-Server aus anpingen?

 

 

grizzly999

Jo, ist dennoch Mumpf, den sie da rüber gerettet haben. ;)

Mal ganz krass ausgedrückt, wenn mir mein DHCP mit den 80% ausfällt, nicht gleich bemerkt, und das wenn die Leasedauer der meisten Clients abgelaufen ist, z.B. Sonntag nachts, dann hat man ziemlich viel davon, wenn am Montag morgen ein DHCP Server da ist, der noch 20% der Adressen hat, wobei der im Normalfall bestimmt auch einen gutteil der Leases schon vorher rausgegeben hat :(

 

Daher war schon im äußerst guten DHCP Whitepaper von Windows 2000, welches mit Ablaufen des Extended Support von 2000 vom Netz genommen wurde, das völlig richtig mit dem doppelt so großen Bereich und der 50/50 Regel beschrieben. Macht ja aus obiger Überlegung Sinn.

 

Und der Mumpf findet auch noch sein Höhepunkt im Nachfolge DHCP-Whitepaper von 2003, wo zwar die korrekte 50/50 Empfehlung beschrieben wird, aber wohl mit Copy-and-Paste die Überschrift 80/20 drüber steht :cry::cry:

Dynamic Host Configuration Protocol for Windows Server 2003

 

 

grizzly999

Hallo und willkommen im Board :)

 

Ich habe deinen Beitrag von dem anderen abgetrennt, weil

 

1.) Nichts mit dem Thema dort zu tun hat

2.) Gem. Boardregel und allg. Foren-Netiquette das Overtake von anderen Beiträgen nicht gestattet ist, da selten ein Problem im Detail wie ein anderes ist, und außerdem der Beitrag so nie gefunden wird.

 

Zum Thema: ichbin incht der Scripting Held, aber es wird sicher noch ein Experte darauf antworten ;)

 

In diesem Sinne viel Erfolg hier .....

Mandatory Profiles gehen seit Windows 2000 NUR mit servergespeicherten Profilen.

 

 

grizzly999

Am Hauptstandort steht immer noch ein Fileserver, welcher auch das AD mit den FSMO-Rollen, DNS, WINS, DHCP und Printserver beherbergt.

 

Nun möchte ich das Ganze etwas entwirren um das "Klumpenrisiko" und Ausfallzeiten zu minimieren.

Gute Idee :thumb1:

 

First of all: Abhängig, was, wo, wohin, ist u.a. auch welche HW in welcher Aussattung zur Verfügung steht, aber prinzipiell:

1 Server nur AD (FSMO), DNS, Wins und DHCP

1 Server nur als Printserver und zusätzliches AD

1 Server nur als Fileserver

Wenn Rollentrennung, dann richtig. Ein DC ist DC, bestenfalls noch Infrastrukturserver (DNS und vielleicht WINS), aber sonst nichts.

Ein DC ist kein Printserver. Außerdem bietet sich der Fileserver klassischerweise als Printserver an. Heißt ja oftgenug auch "File- and Printserver".

Bei 150 Leuten kann ich mir nicht vorstellen, dass die soviele Printer haben, dass man einen dedizierten Printserver braucht. Und wenn doch, dann bitte nicht auf dem DC :suspect:

 

Im Weiteren habe ich mir überlegt, ob es sinnvoll wäre das Master-AD (FSMO) als virtuelle Maschine mitlaufen zu lassen (z.Bsp. auf dem Printserver). Denn wirklich viel zu tun hat der Server ja nicht

Gegen einen virtualisierten DC spricht nichts, aber warum legst du da Wert auf den FSMO-Inhaber? Es spielt keine Rolle, ob die FSMO Roles auf einem virtuellen DC liegen oder nicht. Sie müssen halt verfügbar sein, wenn man sie braucht.

 

Was durchaus ein möglicher Ansatz ist, alle Server zu virtualisiereung, dazu siehe aber auch den einleitenden Satz.

Welche Virtualisierungslösung steht denn zur Verfügung?

 

@Brainstorm and all:

.... DHCP kannst du entweder die 80/20 Regel anwenden oder ....

Die 80/20 Regel war in ganz frühen NT 4.0 Tagen mal für was anderes gedacht, aber da schon unausgegorener Mumpf. Wenn mann zwei Online-DHCP Server betreibt, dann mit doppelt großem Bereich und korrekt(!) eingerichteter 50/50 Regel.

 

Wie weiter oben von meinen Vorrednern schon erwähnt ist hinsichtlich der AD-Infrastruktur vor allem auf redundante Auslegung der wichtigen Dienste zu achten (DC, DNS, GC, auch WINS) und vor allem, dass die DCs ordentlich gesichert werden. Keine Images!

 

 

grizzly999

Aber die OFFER ist nicht mehr zu sehen, sowohl auf dem Server als auch auf dem Client nicht mehr.

Da liegt als erstes die Vermutung nahe, dass was mit den Bereichen auf dem DHCP nicht stimmt (Fehlkonfiguration).

Was sind denn das für Netze dort draussen, und wie sieht genau die Einrichtung der Bereiche (beispielhaft an einem) auf dem DHCP aus?

 

grizzly999

That's correct, aber was sollte das in dem Fall bringen (außer genereller Wissenszuwachs, der immer gut ist :) ).

 

Erstens kann 2000 sowie so keine WMI-Filter und zweitens will er die Einstellungen für alle haben, da braucht er nix zu filtern. Oder sehe ich was falsch.

 

Just my 2 cents

 

grizzly999

Gerade bei Artzpraxen und anderen Clienten die mit Kundendaten arbeiten, erfüllt diese Vorgehensweise den allg. Vorschriften.

**HÜSTEL** :eek:

Z.B. mit einem gpresult.

Oder in der GPMC mit dem Gruppenrichtlinienergebnissatz.

 

 

grizzly999