Lawe

Auf dem Server läuft ein SFTP Server und genau in dessen Freigabe sichern mehrere Appliance ihre Konfiguration ;)

Guten Morgen Zusammen, ich habe nun die ersten Server auf 2012 R2 umgestellt (von 2008 R2). Nun hab ich ein kleines Problem mit dem Monitoring. Wir überwachen Teilweise das Änderungsdatum von Ordner um sicher zu stellen dass gewissen Backups usw. innerhalb dieses Ordners geschrieben wurde. Nun ist es so, dass egal wann rein geschrieben wurde das Änderungsdatum erst aktualisiert wird wenn ich manuell im Windows Explorer diesen Ordner öffne, bzw. im Windows Explorer F5 drücke. Wie kann ich denn dieses Verhalten ändern dass es wieder wie bei 2008 R2 ist? Laut google soll man die Option "last access timestamp" ändern. Dies bringt aber nichts. Irgendwelche Ideen? Gruß Lawe

Dankeschön für eure Hilfe, wir versuchen jetzt beide Lösungen (Linked Mailbox und Exchange Online).

Ein Exchange Server kann doch nicht andere Domänen "bedienen" - so war mein letzter Stand. Es sei denn Mann (also der Admin) baut den Ressourceforrest. Ich glaube wir haben den Ressourceforrest falsch verstanden. Wir dachten wir müssen eine eigene Domain erstellen die diesen Ressourceforrest "bereitstellt". Dass wir unsere bestehende firmaA.local nehmen - daran haben wir ehrlich gesagt gar nicht gedacht. Sprich firmaD.local erstellen - Trust einrichten. Postfächer erstellen und gut is?

Hallo Zusammen, folgende Problemstellung bringt und Admins gerade mächtig ins Grübeln. Bestehende Domäne firmaA.local Bestehende Firma B als OU in der Domäne firmaA.local Bestehende Firma C als OU in der Domäne firmaA.local Diese verwenden aktuell einen Gemeinsamen Exchange was auch soweit ok ist. Nun Kommt aber noch die Anforderung dass es eine firmaD geben soll, die notfalls via Brechstange kurzerhand getrennt werden kann und somit Autark arbeiten kann. Diese soll von Anfang an eine eigene Domäne bekommen, also firmaD.local firmaA.local & firmaD.local via Domain Trust verbinden und gut ist. Allerdings kennt der Exchange Server ja nur ein Forrest und kann nicht übergreifend arbeiten. Wir hatten jetzt die Idee eines eigenen Exchange Forrests zu erstellen (allerdings rät hiervon jeder ab und es gibt auch nicht wirklich Doku dazu). Andere Idee wäre getrennte Domänen, und Exchange Online zu verwenden. Unser Exchange Server ist schon ein 2013er womit es eigentlich kein Problem sein sollte wenn firmaD.local Exchange Online Postfächer verwendet. Irgendwie habe ich da aber Bauchschmerzen. Gibt es die Möglichkeit dies Irgendwie anders zu lösen so dass trotz getrennter Domänen der eine Exchange für alle verwendet werden kann? Gruß Lawe

Hallo Zusammen, ist es eigentlich möglich einen RODC via LDAPS only zur Verfügung zu stellen? Es gibt natürlich die Methode mit der Keule und ich mache den 389 Port einfach zu aber ich befürchte dass der RODC dann nicht sauber läuft... Per GPO habe ich zwar einiges gefunden aber eine Option die besagt dass der RODC ausschließlich LDAPS spricht finde ich leider nicht. Auch google hat dafür leider keine passende Antwort für mich parat :-/

Inzwischen selbst gelöst. Falls jemand vor dem gleichen Problem stehen sollte: Wenn der Firewall Admin sagt dass alle benötigten Ports offen sind. Hat er das gesagt - ob es so ist solltet ihr selbst überprüfen ;-)

Hallo zusammen, habe noch ein paar Fragen / Probleme zu einem RODC in der dmz. Hier mal der Aufbau: Standort A (Netz 10.x.x.x) 2 DCs, 1 RODC Standort B (Netz 10.x.x.x) 2 DCs Standort C Domain Trust onyl (via VPN 192.x.x.x) 1 DCs Standort D (Via VPN 192.168.X.X) 1x RODC Standort A,B,C funktionieren einwandfrei. Auch die Replikation untereinander funktionieren sauber. Standort D ist neu. Der RODC ist installiert und läuft soweit auch. Im Active Directory Standord und Dienste ist Standort D auch eingerichtet und der Inter-Site Transport passt auch meiner Meinung nach. Hier ist aber schon Problem 1: Beim klick auf die RODC Connection (FRS) ->Jetzt Replizieren kommt folgende Meldung: "Beim Versuch den Namenskontext "domain.local" von Domönencontroller Standort A (DC1) zu syncronisieren, ist folgender Fehler aufgetrenten: "Der Namenskontext wird entweder gerade entfernt oder wird nicht vom angegebenen Server repliziert" Problem 2: auf dem RODC in Standort D im Ereignis Log sind folgende Fehler: Fehler 2847 - Die Konsistenzprüfung... bla Zusätzliche Daten; Falscher Parameter.87 Fehler 2850 - Die Konsistenzprüfung hat versucht, .... Problem 3: RODC an Standort D will mit allen DCs reden: Laut FIrewall Protokoll will der RODC an Standort D mit allen DCs reden. Er darf aber aufgrund diverser Policys nur mit den DCs an Standort A reden. Ist dies evtl. die Ursache für die ganzen Probleme? Wie kann ich verhindern dass der RODC an Standort D nur mit den DCs von Standort A reden möchte? Leider ist Standort A und Standort B im gleichen Subnetz und lässt sich somit mit Active Directory Standort und Dienste nicht trennen. Gruß Lawe

Version 2010 kann mit dem aktuellen SP3 auch den 2012er Server ;-)

Guten Morgen, ich suche ein (Freeware / OpenSource) Tool mit welchem ich unsere Internen Ips sowie der DMZ Zentral verwalten / Dokumentieren kann. Das IPAM vom 2012 Server fällt leider aus da nicht jedes System vom DHCP eine IP bekommt und wir auch Linux im Einsatz haben. Wie sind eure Erfahrungen bisher mit solchen Systemen? Was kann man empfehlen? Ich habe bisher nur folgendes gefunden. Was ich allerdings schon fast als "zu groß" bezeichnen würde. Gruß Lawe

noch was zum Thema Lion: wenn ihr ein 2008er Server oder höher als DC habt versucht man folgendes: in der Host Datei des Macs die ipv6 Adresse des DCs nebst DNS Name eintragen. Hat bei mir wahre Wunder gewirkt ;-) Gruß Lawe

Radius geht leider nicht.

Ich möchte, dass sich Benutzer (bestehende AD benutzer) an Applikationen welche in der dmz laufen mit ihren normalen AD Benutzer Authentifizieren können. Also LDAP ;-) Da ich aber keinen Vollwertigen DC, bzw. einen RODC in die dmz stellen möchte dachte ich an ADLDS. Hier hätten wir auch die Möglichkeit zusätzliche Attribute zu erstellen die wir benötigen.

Nach meine etwas ungeschickt formulierten Beitrag neuer Versuch :-) Erst mal eine Grundsätzliche Frage: Muss der Server welcher das ADLDS Hostet und in der dmz steht wirklich mitglied der Domäne sein? Wenn ja ist dies die Ursache für mein Erstes Problem ;-) Adamsync meckert nämlich "ungültige Anmeldeinformationen" Was wäre die Alternative? Export des gesamten ADS per ldifde und anschließender Import im ADLDS? Wie habt ihr das gelöst mit ADLDS und Syncronisation AD -> ADLDS? Gruß Lawe

Ist relativ Problemlos. Falls du mit der 2010 keine Probleme hast (diese hatten wir leider Haufenweise) würde ich auf R3 warten. Beta Test usw. ist schon fertig, sprich kommt demnächst.

Hallo Zusammen, momentan besteht unsere Netzwerkdokumentation sowie die Dokumentation der Server aus Visio, XLS und einem aelbstgebasteltem Tool :-) Die Client sowie Software Dokumentation wird bereits von unserem Deployment System abgedeckt. Da wir auch den IT Grundschutz nach und nach Implementieren möchten testen wir gerade diverse Tools. Dabei sprang uns förmlich IdoIT ins Auge. Das Tool an sich genügt auch unseren Anforderungen. Allerdings wird ein entscheidendes Kriterium nicht erfüllt. Das Automatisierte Scannen des Netzwerkes auf (neue)Komponenten,Clients,Server. Hat zufällig jemand für IdoIT eine passende Lösung. Die Lösung mit OCS Inventory ist aufgrund der Agent Abhängigkeiten leider keine wirkliche Lösung. Google hilft in diesem Fall auch nicht wirklich. Habt Ihr Ideen, Lösungen? Ich bin auf eure Antworten bzw. Alternativen gespannt. Gruß Lawe

Hallo Zusammen, werde Mitte des Jahres Schulungen für die Kurse 70-640, 70-642, 70-646 bekommen und dann auch Zeitnah die Prüfungen ablegen. Vorher möchte ich natürlich schon einmal üben, üben und üben ;-) Welche Bücher sind denn zu empfehlen? Noch immer die 2008er von MS Press. Oder kommt etwas demnächst eine Neuauflage für 2008 R2? ich dachte an folgendes Set: MCITP Windows Server 2008 Server Administrator CorePack - Original Microsoft Training für Examen 70-640, 70-642, 70-646 Gruß Lawe

Noch nicht mal eine Idee? Boah warum hab ich immer solche Probleme *g*

Hallo Zusammen, folgendes ist gegeben: Funktionierender 2008 R2 Server mit der Remoteserver Rolle (RD /TS) Wir haben nun Access 2000 auf diesem Server installiert. ich möchte nun Quasi die Citrix Funktionalität der Dateiumleitung nachbauen :-) Sprich ich habe eine benutzerdefinierte Dateierweiterun ala .xyz auf den Clients. Wenn ich diese Anklicke soll automatisch das Access 2000 vom Remotedesktop Server benutzt werden. Für sowas gibt es ja eigentlich die Option "Clienterweiterungen für dieses Programm mit RemoteApp verknüpfen" bei der MSI Option. Nur wie bekomme ich dem Ding die benutzerdefinierte Version hin ;-) Gruß Lawe

Jep, da hast du recht. Wir suchen gerade noch alternativen. Solange müssen wir uns leider so damit behelfen. ist von MS Seite eigentlich etwas in diese Richtung geplant?

Okay hier erst mal was zur Struktur: Internet <-> dmz <-> rodc_dmz <-> Intranet Die Netzte sind so abgesichert dass eine Kommunikation nur zum jeweils nächsten Netz kann. Zusätzlich dürfen nur bestimmte Systeme aus der dmz überhaupt auf die rodc_dmz. In der dmz stehen X Applikations und Webserver. In der rodc_dmz steht nur der rodc. Geplant ist dass sich interne user die im AD sind an den Applikations und Webservern mit ihrem internen AD Konto an diesen Authentifizierne können. Zusätzlich werden Später noch ein paar Externe Benutzer dazu stoßen die wir ebenfalls über das ADS dann Pflegen möchten. Ich glaube was die Kennwortrichtlinien und Kennwortsperrrichtlinien betrifft ist es am besten wenn ich das so lasse wie wir es haben.

Danke, teste ich gleich morgen.

Mhhh Ok. Du meinst also einfach so lassen wie es ist ;-) Da ich den RODC nun in eine zweite dmz verschoben habe sollte da auch reichen. Zum Thema RODC und Sicherheit in der dmz findet man leider nicht viel detailliertes und Erfahrungsberichte...

Damit z.B. per Brute Force nicht willkürlich Konten gesperrt werden. Ich würde dann die Richtlinie so anpassen, dass nach 5 Versuchen das Konto für 30min gesperrt ist und danach automatisch wieder freigeschaltet wird. Dies passt natürlich nicht zu den bisherigen richtlinien.

Hallo Zusammen, bei einem RODC wird die Anmeldung falls die Kennwörter nicht zwischengespeichert sind ja zu einem Normalen DC weitergeleitet. Auf diesem gelten ja die normalen Kennwortrichtlinien was sperren usw. betrifft. Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben? Gruß Lawe