Jump to content

NilsK

Expert Member
  • Gesamte Inhalte

    17.566
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von NilsK

  1. Moin, den dcdiag-Fehler kannst du ignorieren oder beheben, indem du forestprep /rodcprep ausführst. Die DNS-Konfig ist korrekt? [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Ansonsten sollte folgende Befehlsfolge vom DC aus die nötige Struktur wiederherstellen: net stop netlogon net start netlogon ipconfig /registerdns Gruß, Nils
  2. Moin, das kann man so nicht beantworten, weil es von den konkreten Anforderungen abhängt. Mögliche Elemente zur Umsetzung umfassen organisatorische Vorgaben, wie du sie nennst, Reparaturskripte, eingeschränkte Berechtigungen, gezieltes Aufteilen von Datenspeichern, Umstieg auf andere Techniken (Sharepoint, DMS ...) ... Gruß, Nils
  3. Moin, das Problem dabei ist, dass die Client-Implementierung sich hier nach Windows XP geändert hat, möglicherweise sogar mehrfach. Daher ist es schwer vorherzusagen, was nun wirklich passiert und wie man das in den Griff bekommt. Ich bin mit einem Kunden gerade in einem Projekt, wo das eine Rolle spielt. Eine richtig schöne Lösung scheint es dafür nicht zu geben. Gruß, Nils
  4. Moin, wenn du es mit Gruppen machen willst, dann kehre die Logik um: Gruppe 1 enthält alle Benutzer mit speziellen Funktionen, Gruppe 2 alle ohne diese Funktionen. Gruppe 3 enthält Gruppe 1 und Gruppe 2. Wenn du die User für Gruppe 2 nur per Ausschluss identifizieren kannst, bleibt eben nur eine Skriptlösung. Gruß, Nils
  5. Moin, was du aus deinem Konzept hinbekommst, sind die beiden Exchange-Server, die jeweils nur einen Teil der Mailboxen für die lokalen User halten. Eine durchaus übliche Lösung. Schon bei dem "zentralen Smarthost" wird es aber kritisch. Wo soll der stehen, damit er auch bei Ausfall der WAN-Verbindung noch Mails an die Exchange-Server senden kann? Anhand von was soll er entscheiden, wohin welche Mail geht? Und was gar nicht gehen wird, ist deine Idee zur "Spiegelung" der Mail-Datenbanken an den jeweils anderen Standort. Wenn die Leitung das hergeben würde, könnte man mit demselben Aufwand auch eine "echte" DAG bauen. 4 Mbit werden für sowas aber nicht ausreichen, zumal die Leitung ja sicher auch noch für was anderes gebraucht wird. In solchen Situationen ist es regelmäßig sinnvoller, die User zu den Daten zu holen - also ein zentrales Exchange-System, das man dann vielleicht auch ohne riesige Klimmzüge höher verfügbar machen kann. Die User des anderen Standorts greifen dann darauf zu. Sollte die WAN-Verbindung gestört sein, ist kein aktiver Verkehr möglich, durch Cache-Mode aber immerhin Arbeit mit den vorhandenen Daten. Und parallel schaut man zu, dass man die Verfügbarkeit der Anbindung verbessert. Ständig ausfallende Leitungen muss man heute nicht mehr hinnehmen. Also im Wesentlichen das, was Beitrag #2 schon sagt ... Gruß, Nils
  6. Moin, nein, mit csvde kann man keine Informationen zu bestehenden Objekten hinzufügen. Dafür wäre ldifde nötig. Gruß, Nils
  7. NilsK

    Frage zu icacls

    Moin, doch, meines Wissens wird die Vererbung tatsächlich bei jeder Datei eingetragen. Sonst müsste bei jedem Zugriff auf die Datei die überliegende Ordnerstruktur geprüft werden - so wurde es mir jedenfalls mal erklärt. Du kannst dich ja mal bei Helge Klein melden - da er das Tool gebaut hat, wird er den Hintergrund sicher kennen. In deinem Fall willst du ja keine Vererbung - verstehe ich den Effekt so, dass zwar jede Datei angefasst wird, die Berechtigungen hinterher aber so sind wie gewünscht? Gruß, Nils
  8. NilsK

    Frage zu icacls

    Moin, in der Parameterliste sehe ich etwas von "recursion" und "no", vielleicht hilft das. Aufgrund der kruden Syntax kann ich das leider zeitlich nicht prüfen. Gruß, Nils
  9. Moin, ja, momentan sieht es leider so aus, als sei Windows Server 2016 quasi das Exchange 2013 der Serverbetriebssysteme. Derzeit würde ich auch eher pauschal davon abraten und noch abwarten. Gruß, Nils
  10. NilsK

    Frage zu icacls

    Moin, nimm SetACL oder SetACL Studio. Gruß, Nils
  11. Moin, es ist unkritisch, die Zertifikate da zu löschen. Das Feld ist nur für einen Zweck gedacht: Wenn man innerhalb eines Unternehmens mit (Mail-) Verschlüsselung arbeitet, braucht man den Public Key des Empfängers. Daher kann man den im AD bei dem Useraccount ablegen, damit er dort einfach zur Verfügung steht. Nutzt man sowas nicht, dann braucht man auch die Funktion nicht. Da der Administrator in deinem Beispiel jetzt Zertifikate von (vermutlich) 1000 anderen Usern hat, aber niemand den Administrator danach fragen wird, können die Werte weg. Markieren, löschen, fertig. Es sind auch nur Public Keys, es kann also kein Private Key verloren gehen. Und solange man kein Zertifikat hat, das genau für den obigen Zweck benötigt wird, schaltet man das betreffende Häkchen in der Zertifikatsvorlage auch nie an. Gruß, Nils
  12. Moin, immer gerne. ;) Gruß, Nils
  13. Moin, klingt nach großem Kino. Ich kann das nicht direkt beantworten, aber soweit ich den Prozess verstehe, dürfte das Abschalten des Audit Mode beim nächsten Systemstart zur Ersteinrichtung führen. Ich würde mal davon ausgehen, dass mindestens Exchange das übel nehmen würde. Ich vermutete also ein hohes Risiko, hielte ein Problem für wahrscheinlich. Wäre es mein Kunde, betreute ich ihn, öffnete ich wohl einen Supportcall bei Microsoft? Gruß, Nils
  14. Moin, ich verstehe die Frage nicht recht. Falls du meinst: Funktioniert dieses Verfahren auch, um von 2008 R2 nach 2016 zu kommen (statt nach 2012 R2) - dann denke ich, dass es gehen sollte. Ist aber ebenso ungetestet. Gruß, Nils
  15. Moin, ;) Gruß, Nils
  16. Moin, du solltest auf jeden Fall die ganzen Zertifikate aus dem Attribut userCertificates bei dem Account schnell löschen. Es kann sonst passieren, dass das AD dieses Objekt nicht mehr repliziert, weil es zu groß ist. Da der Account diese Einträge auch nicht braucht (es ist ja eine Fehlkonfiguration in der Zertifikatsvorlage), ist das auch kein Verlust. Gruß, Nils
  17. Moin, doch, ich. :D Gruß, Nils
  18. Moin, interessante Diskussion, aber mir fällt dazu nur ein: "Wenn du kein Nein hören willst, dann frag nicht." Übrigens ein Satz, den ich regelmäßig von Microsoft-Mitarbeitern höre. Gruß, Nils
  19. Moin, <ot>Stegreif. Das kommt von "Steigbügel" (der Bote verkündet die Botschaft in Eile, ohne vom Pferd abzusteigen), nicht von "Stehen und Greifen".</ot> Gruß, Nils
  20. Moin, für ein Versionsupgrade ist die SA dann wenig interessant, das ergäbe nur Sinn, wenn die CALs auch mit SA sind. Für die VM-Portabilität ist die SA für den Server aber nötig, daher kann so ein Szenario erforderlich sein. Wie Norbert meine ich auch, dass das lizenzrechtlich zulässig ist. Wie immer bei sowas natürlich ohne Gewähr. Gruß, Nils
  21. Moin, relevant sind zunächst zwei Größen: Gesamtanzahl der VMs, die der Verbund betreibt Anzahl der Hosts Ihr habt 20 VMs und 3 Hosts. Auf jedem der Hosts müssen die 20 VMs laufen können, also müssen auf jedem Host zu jeder Zeit 20 VM-Lizenzen vorliegen. Einfache Faustregel: ab ca. 12 VMs im Verbund ist die Datacenter-Lizenzierung günstiger als eine Sammlung von Standard-Lizenzen. Also: Jeden Host mit Datacenter lizenzieren. Nun kommt noch Windows Server 2016 ins Spiel: Es sind mindestens 2 CPUs à 8 Cores zu lizenzieren. Praktischerweise also genau das, was die Hosts haben sollen. Lizenzen werden in 2-Core-Paketen verkauft. Pro Host also 8 Pakete. Macht zusammen: 24 Pakete Datacenter. Gruß, Nils
  22. NilsK

    cmd - Sprung zum Pfad

    Moin, oh, Diverses: Tastatur-Shortcuts für Desktop-Icons gehen nicht Vorschaufensterchen auf der Taskleiste klappen kurz auf und sofort wieder ein (sodass man keins auswählen kann) Trackpad-Gesten gehen nicht Drag & Drop geht nicht deine beiden Sachen je nach Laune auch noch anderes Bananaware. Gruß, Nils
  23. NilsK

    cmd - Sprung zum Pfad

    Moin, bei mir geht's. Aktueller Build, aktuell gepatcht. Ich habe bei Windows 10 aber oft den Effekt, dass irgendein Desktop-Feature plötzlich nicht mehr geht. Dann hilft immer ein Neustart. Gruß, Nils PS. Danke übrigens für den Tipp, den hatte ich gar nicht präsent.
  24. Moin, okay, danke. Ohne jetzt eine juristische Laiendiskussion vom Zaun brechen zu wollen: Ganz so einfach ist es auch weiterhin nicht. Bestimmte Verfahren werden auch weiter nicht vorgeschrieben. Man beachte etwa den Passus, dass eine Mail, die nur einen Dokumentanhang transportiert, selbst nicht aufbewahrt werden muss, wenn man das eigentliche Dokument aufbewahrt. Richtig war und bleibt: Man sollte sich beraten lassen und etwas tun. Und richtig war und bleibt auch: Ein fertiges Archivierungssystem kann ein effizienter Weg sein. Ausgemacht ist das aber nicht. Und auch weiterhin sollte man nicht der Angst-Argumentation zahlreicher Hersteller aufsitzen. Lieber ein paar hundert Euro in kompetente Beratung investieren, statt aufgrund von Missverständnissen viel zu hohe Ausgaben zu tätigen (was ich bei Kunden immer wieder sehe - manche machen etwa ihre Vollbackups auf WORM-Medien ...). Aber das nur am Rande, weil es hier gerade aufkam. Gruß, Nils
  25. Moin, aha. Welche? Gruß, Nils
×
×
  • Neu erstellen...