NilsK

Moin, die mit den USB-Platten ist indiskutabel. Die andere ist (noch) nicht sinnvoll, weil sie vom Laufwerk ausgeht, nicht von den Anforderungen an Wiederherstellbarkeit. Gerade in einem kleinen Unternehmen muss das der Ausgangspunkt der Überlegungen sein, auch für das Design der "produktiven Hardware". Gruß, Nils

Moin, ich sagte: Sinnvolle Datensicherungslösung. Gruß, Nils PS. ja gut, ich sagte nicht, ich schrieb ...

Moin, das Problem liegt im Gesamtdesign. Zwei Server, von denen einer "alle Programme" macht einschließlich Exchange und der andere nur Terminalserver erzeugen eine große Abhängigkeit. Die könntet ihr mit Virtualisierung sinnvoll umgehen. Beispiel: Ein Host als VM-Host (empfehlen würde ich da Hyper-V, das ist in dem Konstrukt leistungsfähiger als ESXi und günstiger als die kleinste "ernsthafte" VMware-Variante). Darin: 1 VM als DC für Active Directory, ggf. noch Druckserver, aber keine weiteren Applikationen 1 VM als Exchange-Server, nichts anderes 1 VM als Dateiserver und für andere Applikationen (sofern die nicht zu komplex sind) 1 VM als Terminalserver Damit wärest du bei einer Hardware und zwei Standard-Serverlizenzen. Es fehlt dann die Redundanz, aber die gäbe es mit zwei Servern auch nicht ernsthaft: Fiele bei dem Zwei-Hardware-Server-Konstrukt einer der beiden Server aus, wäre der andere auch nicht mehr sinnvoll nutzbar. Auf jeden Fall muss also eine sinnvolle Datensicherung her (muss sie sowieso, aber in dem Konstrukt muss sie besonders schnell wiederherstellbar sein). Noch sinnvoller wären allerdings zwei VM-Hosts und ein einfaches Storage. Die Firewall auf jeden Fall separat. Die Telefonanlage würde ich auch in beiden Fällen separat halten. Andere Alternative: Auf Exchange verzichten und Office 365 nehmen. Dann kann die Hardware vermutlich eine Ecke einfacher bleiben. Gruß, Nils

Moin, du brauchst dafür nicht den Key Recovery Agent. Das ist ja das, was ich dir zu sagen versuche. Der KRA ist für die PKI selbst da. Du brauchst ein Zertifikat für den EFS-RA. Normalerweise erzeugt man das manuell und hinterlegt es dann in der Gruppenrichtlinie. https://technet.microsoft.com/en-us/library/cc962113.aspx https://technet.microsoft.com/en-us/library/cc512680.aspx http://www.serverhowto.de/EFS-Recovery-oder-Vorsorge-ist-alles.632.0.html Gruß, Nils

Moin, die Fehlermeldung besagt ja, dass es keine Zertifikatsvorlage für den Recovery Agent gibt. Deiner Beschreibung entnehme ich, dass du dass evtl. auch gar nicht eingerichtet hast. Der KRA und der RA in EFS sind zwei unterschiedliche Dinge. Hast du also eine Zertifikatsvorlage für den EFS-Recovery-Agenten angelegt und passend berechtigt? Gruß, Nils

Moin, ... aber auf mich hört ja keiner ... Gruß, Nils

Moin, korrekt. Und, hat sich etwas geändert? Gruß, Nils

Moin, dann gibt es keine Fehler. dcdiag /q gibt nur dann etwas aus, wenn Fehler im AD vorliegen. Solche waren allerdings auch gar nicht zu erwarten. Hast du denn jetzt die DNS-Einstellungen überall so korrigiert, wie es empfohlen wurde? Ohne diese Korrektur brauchen wir nicht weiter nach Fehlern zu suchen. Gruß, Nils

Moin, hast du versucht, den Ordnernamen mit Anführungsstrichen anzugeben? Möglicherweise ignoriert da irgendwas einfach die Leerzeichen. Gruß, Nils

Moin, hier noch mal gesammelt: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils

Moin, die nslookup-Ausgabe ist völlig normal. Allerdings ist nslookup auch nicht geeignet, um die Namensauflösung der Clients zu prüfen, weil es andere Wege geht. Die einfachste und aussagekräftigste Möglichkeit, die Namensauflösung tatsächlich zu testen, ist ping. Welche/r DNS-Server ist/sind bei den Clients eingetragen? Was sagt "ping <Domänenname>", also etwa "ping ad.domain.tld" von einem Client aus? Es sollte sehr schnell die IP-Adresse eines DCs ausgegeben und gepingt werden. Was sagt "ping <Kurzer Name des DCs>"? Was sagt "ping <Langer Name des DCs>"? Sind Logonskripte eingerichtet? Wenn ja, stehen dort evtl. noch alte Servernamen drin? Sind Gruppenrichtlinien eingerichtet? Gruß, Nils

Moin, was auch immer ihr da diskutiert - folgen kann man euch momentan leider nicht. Daher noch mal kurz die Fakten: Schon seit Windows 2000 kann jeder Domänen-User bis zu 10 Rechner in die Domäne aufnehmen. Auf dem lokalen Rechner braucht man dazu Adminrechte, aber nicht notwendig mit demselben Konto (z.B. lokales Konto mit Adminrechten plus normales Domänenkonto) Ist ein Rechner in die Domäne aufgenommen, so ist er gleichberechtigtes Mitglied. Jeder Dom-User kann sich dann dort anmelden. Da aber wahrscheinlich der Besitzer des Rechners dort lokale Adminrechte hat, besteht schon ein erheblich erhöhtes Risiko. Die Zahl 10 bezieht sich auf gleichzeitig im AD vorhandene Computer. Hat der User 10 erreicht und eines der Computerkonten wird gelöscht, dann hat er wieder eins "frei". Dieses Recht ist im AD eingebaut und nicht über Policies gesteuert. Man kann die Zahl der Konten steuern über das Attribut ms-DS-machine-account-quota in der Domänen-Konfiguration. Wer das Feature abstellen will, muss also genau das genannte Attribut auf den Wert 0 setzen. Gruß, Nils

Moin, ist es so schwer zu verstehen, dass man da einfach noch abwarten muss? EIn OS-Upgrade ist nun mal kein einfaches Update, das zuerst per WSUS verteilt wird. Wäre ja auch noch schöner. Gruß, Nils

Moin, wie schon beim ursprünglichen Release ist auch jetzt damit zu rechnen, dass das Rollout phasenweise geschieht und nicht überall gleichzeitig. Es ist ja ein ziemlicher Brocken, der mit normalen Updates nicht zu vergleichen ist. Parallel soll jetzt wohl auch Windows Update for Business final sein, das sich für das OS-Update in Unternehmen besser eignen soll. Gruß, Nils

Moin, was genau kann Microsoft dafür, wenn du das Produkt falsch einrichtest? Eine virtualisierte Terminalserverumgebung ist nun mal kein MP3-Player, auch wenn es "nur" fünf Anwender sein sollen. In deinem Fall kommst du doch mit zwei VMs aus: 1. DC und Lizenzserver, 2. Terminalserver. Passt also sogar in eine einzige Standardlizenz. Du könntest sogar einen alleinstehenden Terminalserver ohne Domäne aufsetzen, das ist noch einfacher. Aber immer noch etwas komplexer als ein Haushaltsgerät. Und glaub mir, mit jedem Betriebssystem dieser Welt bräuchte man für so eine Umgebung ein paar Kenntnisse. Gruß, Nils

Moin, ja, fast. Allerdings ist das nur ein Teil des Ganzen. Vor allem muss man das ms-DS-machine-account-quota auf 0 setzen. Gruß, Nils

Moin, ich habe mit diesem unbekannten, aber schon seit 16 Jahren existierenden Feature schon ganze Security-Roadshows bestritten. Schön, in dem Moment in lauter entsetzte Gesichter zu schauen, wo dem User der Domänenbeitritt einfach so gelingt. Gruß, Nils

Moin, bislang tauchen SAN-Zertifikate nur in der Community-Diskussion auf. Offiziell gibt es dazu nichts. Da solche Zertifikate schnell auch das Geschäftsfeld kommerzieller CAs gefährden würden, von denen die Initiative bis auf Weiteres abhängt, würde ich erst mal nicht darauf bauen. Zu Wildcard-Zertifikaten gibt es in der Community die Aussage, dass sie im Protokoll derzeit nicht vorgesehen sind. Der Kern sind einfache DV-Zertifikate für einzelne Domains. Das erklärte Ziel, Verschlüsselung zum Standard zu machen, dürfte sich damit erreichen lassen. Gruß, Nils

Moin, meine Kollegin würde sagen: Das ist richtig. :) Gruß, Nils

Moin, dazu wird man vermutlich auf eine Version von Edge warten müssen, die erwachsen ist. Das Ding hat ja noch enorm viele Lücken. Für Unternehmenszwecke würde ich beim IE bleiben, wenn Firefox oder Chrome das Gewünschte nicht können. Edge ist auf absehbare Zeit keine Alternative. Gruß, Nils

Moin, mag sein, dass es da Probleme gibt in der technischen Umsetzung. Die Upgrade-Berechtigung besteht jedenfalls auch für solche Installationen. Gruß, Nils

Moin, die Aktivierung von Windows 8.1 hat während der kostenlosen Upgrade-Phase eine Menge mit der von Windows 10 zu tun. Das ist ja gerade der Witz an dem Upgrade-Mechanismus. Da liegt der TO schon nicht falsch. Das kostenlose Upgrade gilt für praktisch alle Windows-7- und Windows-8-Varianten, nur Enterprise bildet die Ausnahme. Tatsächlich gibt es dort mit der Aktivierung vereinzelt Probleme, deshalb ist im November-Update ja auch eine neue Funktion dafür vorhanden. Gruß, Nils

Moin, hättest du mal noch ein paar Tage gewartet ... die neue Version, die ab heute ausgerollt wird, akzeptiert gültige Lizenzkeys von Windows 7 und 8.1. Damit hätte sich dein Problem wahrscheinlich lösen lassen. Vielleicht einfach abwarten, bis dir das November-Update angeboten wird, und dann versuchen, mit dem vorhandenen 8.1-Key zu aktivieren. Gruß, Nils

Moin, OT: Da fand ich die "loskupple"-Zone am besten. :D Gruß, Nils

Moin, also ist _msdcs bei dir ein Unter-Eintrag der Domänen-DNS-Zone? In dem Fall wird alles funktionieren, nur die Regel im BPA berücksichtigt diesen Sonderfall nicht. Ich nehme mal an, dass eure Domäne noch unter Windows 2000 angelegt wurde, da hat dcpromo das so eingerichtet. Die delegierte Zone gab es, soweit ich mich erinnere, erst ab Windows 2003. Gruß, Nils