Jump to content

NilsK

Expert Member
  • Gesamte Inhalte

    17.566
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von NilsK

  1. Moin, du solltest dich von dem Gedanken verabschieden, beliebig komplexe Anforderungen mit NTFS-Berechtigungen abzubilden. Das System stößt sehr schnell an seine Grenzen, sei es bei der technischen Machbarkeit oder bei der Praktikabilität in der Benutzung. Halte es einfach und berücksichtige rechtzeitige Konzepte, um Fehler - die sich nie ganz ausschließen lassen - zu beheben. Und arbeite bei Dateiberechtigungen nicht mit den vordefinierten "Administratoren", denn dann kommst du schnell mit Bordmitteln nicht mehr weiter. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Gruß, Nils
  2. Moin, seufz. Nimm es uns nicht übel, aber wer gegen Geld Exchange-Troubleshooting macht, sollte schon gewisse Grundlagen für Exchange und Active Directory haben. Und: Es hat schon einen Grund, wenn wir hier fragen und Hinweise geben. Fürs nächste Mal dann. Gruß, Nils
  3. Moin, dass das mit den FSMO-Rollen nichts zu tun hat, hatte ich ja schon gesagt. Du hast also per Zufall einen Exchange 2003 in deiner Umgebung entdeckt? Entschuldige, aber: Respekt. Wie kann man das übersehen? Worauf du jetzt - angesichts der vergurkt klingenden Umgebung - "achten" musst, lässt sich ohne nähere Analyse nicht sagen. Zum ursprünglichen Problem: Hast du geprüft, ob der DC an Standort B den Global Catalog aktiviert hat? Hast du mal mit dcdiag /E die AD-Umgebung geprüft? Das Routing über das VPN ist auch überprüft? Gruß, Nils
  4. Moin, gehören die Sites evtl. noch zum Default IP Sitelink? Gruß, Nils
  5. Moin, naja, es geht ja auch um Angriffe innerhalb eines Unternehmens. Da ist Abschalten von SMB schlicht nicht möglich ... Gruß, Nils
  6. Moin, nein, die Abfrage von $env:USERNAME führt hier nicht zum Ziel. Die gibt den Namen des Users zurück, der das Skript ausführt. Damit lässt sich aber nicht prüfen, ob jemand angemeldet ist. Die Frage, ob jemand lokal (oder überhaupt) angemeldet ist, ist nicht trivial. Die Abfrage per "query session" wurde schon genannt, aber auch das hat seine Tücken: [spaß mit der Konsolen-Session | faq-o-matic.net] http://www.faq-o-matic.net/2013/03/25/spa-mit-der-konsolen-session/ [Monitoring: Ist der Admin an die Konsole angemeldet? | faq-o-matic.net] http://www.faq-o-matic.net/2012/04/30/monitoring-ist-der-admin-an-die-konsole-angemeldet/ Gruß, Nils
  7. Moin, naja, da hast du doch den Fehler. Wenn du dem AD sagst, dass die Außenstellen direkt miteinander verbunden sind, dann nutzt es das auch. Dass dies gar nicht zutrifft, kann das AD ja nicht wissen. Nimm also die Verbindung zwischen den Außenstellen raus, wenn die gar nicht existiert. Gruß, Nils
  8. Moin, Ergänzung: Bei Windows 2012 und R2 sind die "physischen" CPUs relevant, nicht die Cores. Gruß, Nils
  9. Moin, deine gpresult-Abfrage gibt nur die Benutzereinstellungen zurück (jedenfalls laut Screenshot), aber nicht die des Computers. Schau dir mal die Schalter von gpresult an. Gruß, Nils
  10. Moin, fein, aber nächstes Mal beachtest du bitte die Warnung, lässt uralte Threads (sieben Jahre!) in Ruhe und eröffnest einen neuen Thread. Gruß, Nils
  11. Moin, du hast gpupdate /target:computer ausgeführt oder den Client neu gestartet? Gruß, Nils
  12. Moin, nein, du überprüfst noch mal deine Einstellungen: Sites und Sitelinks sind richtig? Subnets sind korrekt zugeordnet? IP-Adressen der DCs passen zu den Sites und Subnets? Automatic Bridging ist aus? Wenn das korrekt ist, sollte der KCC natürlich keine Verbindung zwischen den Außenstellen erzeugen. Gruß, Nils
  13. Moin, wenn es nur bei dieser Anforderung bleibt, ist PowerShell sicher die beste Wahl. Wenn es künftig noch mehr Abgleiche geben kann oder soll, könnte man sich den Microsoft Identity Manager ansehen. Gruß, Nils
  14. Moin, nein, musst du nicht. Aber sind die DCs auch logisch den passenden Standorten zugeordnet? Gruß, Nils
  15. Moin, aha - also fehlten wohl doch noch Angaben, entgegen deinen etwas aggressiven Angaben in Post #3. Nächstes Mal dann vielleicht etwas weniger forsch. Gruß, Nils
  16. Moin, naja, "showrepl" zeigt nur, ob die Replikationsversuche erfolgreich waren. Es bewertet nicht die Topologie. Welche Verbindung zeigt denn der DC in der Außenstelle? Gar keine? Gruß, Nils
  17. Moin, kannst du es mal mit einem lokalen Laufwerk versuchen, z.B. einer USB-Platte? Tritt dann auch so ein Fehler auf? Falls nicht, dürfte das Problem beim Netzwerkzugriff liegen. Falls ja, ist lokal irgendwas im Busch. Produktionssystem? Dann würde ich, wenn das Problem lokal liegt, den MS-Support einbinden. Gruß, Nils
  18. Moin, hm, eigentlich sollte das "einfach so" funktionieren. Und wenn die VM läuft, sollte dort auch "online" stehen, nicht "offline". Ist der Host auf aktuellem Patchlevel? Wohin soll gesichert werden? Ist in den Einstellungen der VM der Dienst für die VSS-Datensicherung aktiviert? Wurde der Host nach dem Auftreten des Fehlers schon neu gestartet? Steht etwas Verwertbares im Eventlog (System, Anwendungen, Anwendungs- und Dienstprotokolle/Microsoft/Windows/Backup/Betriebsbereit)? Gruß, Nils
  19. Moin, Routing richtig konfigurieren, Site Links passend setzen, Bridging aus, manuelle Replikationsverbindungen löschen, abwarten. Dann sollte es sich korrekt einschwingen. Gruß, Nils
  20. Moin, Grundregel: Nicht manuell eingreifen, sondern die Konfiguration so setzen, dass der KCC es automatisch richtig macht. Sobald du manuell eingreifst, musst du manuell weitermachen und hast die leistungsfähigen Mechanismen des KCC nicht mehr zur Verfügung, die selbstständig Redundanzen erzeugen, neue DCs oder Sites aufnehmen usw. Aus deiner Anfrage entnehme ich, dass die Standorte untereinander nicht kommunizieren können, weil z.B. die Firewall das nicht zulässt. Ist das richtig? In dem Fall musst du zum einen die Standorte und Standortverknüpfungen richtig konfigurieren. Zusätzlich musst du dem AD dann sagen, dass es keine Redundanzen zwischen den Standorten schaffen darf. Das erreichst du, indem du die Option "Bridge all site links" abschaltest. Hier ist das beschrieben: [bridge all site links] http://www.active-directory-faq.de/2012/12/active-directory-sites-and-services-%E2%80%93-bridge-all-site-links/ "Exotisch" ist die Konfiguration nicht, allerdings trifft man "hart" sternförmige Topologien in der Praxis tatsächlich eher selten an. Daher ist die Standardeinstellung meist schon sinnvoll. Gruß, Nils
  21. Moin, liegen die VHD(X)-Dateien auf dem Host in einem Ordner, der komprimiert ist? Ist dort Dedup im Spiel? Falls nicht: Gilt eins oder mehrere für das Ziel des Backups? Gruß, Nils
  22. Moin, da irrst du. Du kannst mit einer Standard-Lizenz den physischen Host betreiben und zwei VMs, wenn der physische Host nur Host ist. Sobald du dort auch nur eine Dateifreigabe oder einen anderen Dienst einrichtest, belegt der physische Host eine der Lizenzen, und du darfst nur noch eine VM betreiben. Das ist bei 2012, 2012 R2 und 2016 so. Zudem bin ich mir ziemlich sicher, dass du auf einem mit 2016 lizenzierten Host nicht parallel 2012-R2-Lizenzen zuweisen kannst (die Lizenzen gelten immer für die Hardware, nie für VMs). Gruß, Nils
  23. Moin, Consultant, oder? :D Gruß, Nils
  24. Moin, durchaus korrekt, aber "elegant" braucht manchmal einfach zu lang ... :D Gruß, Nils
  25. Moin, du weißt doch - hier kann man nur gewinnen. :D Gruß, Nils
×
×
  • Neu erstellen...