NilsK

Moin, du hast die Experten gefragt. Die Experten haben abgeraten. Du hast nochmal nach den Experten gefragt. Sie haben wieder abgeraten. Das wolltest du wieder nicht hören. Dann ist der Ruf nach den Experten evtl. für dich nicht der richtige Weg. Ich arbeite seit 15 Jahren mit Active Directory, seit 12 Jahren mit Servervirtualisierung und seit sechs Jahren mit Hyper-V. Ich rate ebenfalls vom Cloning ab, auch wenn es ein RODC ist. Darüber hinaus rate ich von P2V und V2V auch für RODCs ab. Dass ich von RODCs in fast allen Situationen ebenfalls abrate, gehört dann nur noch am Rande hierher. Anscheinend interessiert dich das aber alles nicht, also ersparen wir uns nächstes Mal einfach den Aufwand, okay? Gruß, Nils ... am schönsten ist dein Argument am Schluss, die Praxis habe es ja bestätigt. Wie oft ich das in den letzten 15 Jahren von Kunden gehört habe, die mich kurz danach gerufen haben, um ihre Probleme zu beseitigen ...

Moin, am einfachsten: Du steckst den Server im AD in eine eigene OU. Auf dieser OU erzeugst du eine Gruppenrichtlinie, und in der konfigurierst du eine Kennwortrichtlinie. Die wirkt sich dann nur auf die lokalen Konten des Servers aus. Gruß, Nils

Moin, ganz oben schreibst du "für Teilnehmer" - was sind das für "Teilnehmer"? Alles Mitarbeiter derselben Firma? Einzelkunden? Privatleute? ...? Als technisches Detail: Eine AD-Anbindung erfordert keine Profil-Synchronisation. (Ganz im Gegenteil - die sollte man nur da einrichten, wo es passt und nötig ist.) Gruß, Nils

Moin, mit einer Standard-Lizenz darfst du zwei VMs mit Windows-Server betreiben (da sagt ja auch dein Link nix anderes). Da du die Standard-Lizenzen kumulieren kannst, sind drei/vier Windows-VMs mit zwei Standard-Lizenzen richtig lizenziert, fünf/sechs VMs mit drei Lizenzen und so weiter. Bitte nächstes Mal einen neuen Thread aufmachen. Deine Frage hat mit dem Thema des ursprünglichen Threads ja nichts zu tun. Gruß, Nils

Moin, tatsächlich beziehen sich die Fundstellen im Web zu der Fehlermeldung größtenteils auf Lync-Installationen ... Beispiel: http://social.technet.microsoft.com/Forums/de-DE/a96a1360-9b62-446c-b20b-a7cba6dbea35/lync-enablecsaddomain-fails?forum=ocsplanningdeployment Anscheinend fügt Lync dem AD eine große Zahl von Accounts und eine große Zahl von Berechtigungseinträgen hinzu. In dem oben zitierten Beispiel hatte es bereits eine andere Software gegeben, die ebenso verfahren war, sodass tatsächlich der (sonst hochgradig unwahrscheinliche) Fall eintrat, dass die Berechtigungsliste voll war. Dort scheint sich das Problem auf eine große Zahl von Objekten zu beziehen; die Lösung war erreicht, als man die alte Software und deren Berechtigungseinträge entfernt hatte. Gibt es bei euch auch eine Software, die exzessiv Berechtigungen ins AD eingetragen hat? Gruß, Nils

Moin, der Zugriff erfolgt dann per SMB (auch manchmal als CIFS bezeichnet). Das ist das Windows-Dateiserverprotokoll. Unter Linux wird SMB nicht standardmäßig verwendet, das Pendant dort heißt NFS (was wiederum in Windows standardmäßig nicht vorhanden ist). Linux-Server können aber durchaus auch SMB, wenn man dort einen Samba-Server einrichtet. Dann würde grundsätzlich der Zugriff über einen UNC-Pfad von einem Windows-Rechner aus funktionieren. Allerdings erzeugt Samba von sich aus keine administrativen Freigaben für die Festplatten im Server, sondern bietet nur die explizit erzeugten Shares an. Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, bei Office 2013 kannst du den Kontrast umschalten. In den meisten Apps habe ich mich dran gewöhnt. Es gibt aber ein paar Inkonsistenzen und Unlogiken, die tatsächlich oft in die Irre führen. Gruß, Nils

Moin, er hat ja (anscheinend) gar kein Objekt gelöscht, sondern "nur" die Gruppenmitgliedschaften. Deine Links passen hier also leider nicht. Gruß, Nils

Moin, direkt unter der Überschrift "Posteingang" in der Detailansicht (oder anders gesagt: direkt über der Mail-Liste) steht (in Windows 8.1. Update) "Alle" mit einem Pfeil daneben. Rat mal, was da noch steht, wenn man auf den Pfeil klickt ... ;) Gruß, Nils

Moin, naja, dann wird es schwierig ... Du könntest ein Backup des AD in einer Testumgebung wiederherstellen und nachsehen. Und künftig würde ich dann halt dokumentieren. Für den genannten Fall würde etwa ein geplanter Task reichen, der ein Skript wie folgendes ausführt: csvde -f C:\Daten\AD-Gruppen.txt -u -r "(objectClass=group)" -l sAMAccountName,objectClass,member Vorsicht allerdings: In älteren Windows-Versionen verhält sich csvde fehlerhaft und gibt bei großen Gruppen die Mitglieder nicht zurück. In dem Fall sollte es helfen, denselben Export mit derselben Syntax mit ldifde.exe auszuführen - die damit erzeugte Datei ist dann aber leider weniger gut lesbar. Alternativen: [Wie kann ich die Mitglieder einer Gruppe in eine Datei schreiben? | faq-o-matic.net] http://www.faq-o-matic.net/2004/07/30/wie-kann-ich-die-mitglieder-einer-gruppe-in-eine-datei-schreiben/ Weiterhin würde in deinem Szenario mein altes Tool Werding helfen: [Active-Directory-Daten online wiederherstellen | faq-o-matic.net] http://www.faq-o-matic.net/2006/11/19/active-directory-daten-online-wiederherstellen/ Gruß, Nils

Moin, ja, das waren noch Zeiten ... in einem AD-Migrationsprojekt im Sommer 2002 habe ich bei einem Kunden tatsächlich NT4 auf Alpha in Rente geschickt. Leider hatte ich kein Museum, um das Schätzchen zu retten. ;) Gruß, Nils ... aber wir schweifen ab ...

Moin, um welche Berechtigungen geht es? Im Dateisystem, im AD, in ...? Und: Hast du denn ein Backup, das die Berechtigungen enthält? Gruß, Nils

Moin, wobei du früher auf meiner Seite warst ... SPALTER! Schöne Grüße, Nils ... und wo ist die Judäische Volksfront?

Moin, das würde ich nun wieder nicht so stehen lassen. ;) Auch nach fast zehn Jahren ist die Einrichtung und Pflege von GlobalNames doch eher eine Krücke ohne jede Dynamik. Gruß, Nils Jehova, Jehova ...

Moin, ja, da wird wohl UAC dazwischengehen. [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net] http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Gruß, Nils

Moin, Servernamen verbergen sich auch gern in Dokumenten, Vorlagen, Links ... zu 100 Prozent wirst du die wahrscheinlich nicht los. Nicht zuletzt aus diesem Grund rate ich auch heute noch zu WINS. Dadurch tauchen die Server natürlich auch nicht wieder auf, aber es hilft in solchen Umgebungen i.d.R., die Broadcast-Last deutlich zu reduzieren. Gruß, Nils

Moin, sofern ihr Applikationen habt, die mit kurzen Servernamen arbeiten, gleichzeitig aber kein WINS und keine GlobalNames-Zone vorhanden sind, bleibt Windows nichts anderes übrig, als die Namen per Broadcast aufzulösen. Das wäre wirklich nicht das erste Netzwerk, in dem die Absicht bestand, WINS und NetBIOS loszuwerden, und in dem dann Broadcast-Stürme entstanden. Oder um es anders zu sagen: Es ist durchaus wahrscheinlich, dass ein WINS-Server (richtig implementiert) dieses Problem beheben könnte. Gruß, Nils

Moin, Metro-Apps muss jeder User einzeln einrichten. Eine direkte Möglichkeit, sie von einem in ein anderes Profil zu übertragen, gibt es nicht. In einer Unternehmensumgebung gibt es die Möglichkeit, mit zentralen Deployment-Methoden zu arbeiten. Einen Überblick findest du hier: [Deploying Metro style apps to businesses - Windows Store for developers - Site Home - MSDN Blogs] http://blogs.msdn.com/b/windowsstore/archive/2012/04/25/deploying-metro-style-apps-to-businesses.aspx Gruß, Nils

Moin, naja, soweit ich ihn verstanden habe, will er ja genau das in seiner Testumgebung nachstellen bzw. durchspielen ... finde ich schon OK. Gruß, Nils

Moin, mit LIKE funktioniert die Abfrage aber nicht. Das Kommando, das der TO angegeben hat, würde nach den Zeichenketten "VORNAME" bzw. "NAME" innerhalb der E-Mail-Adresse suchen und nicht nach den Inhalten der so benannten Felder. Hier wäre mit Zeichenkettenfunktionen zu arbeiten. Mangels Zeit und SQL Server kann ich das aber grade nicht austüfteln. Gruß, Nils

Moin, aha, eine Firewall ist also auch dazwischen. Gut, dass du das bei der Gelegenheit auch mal erwähnst ... Wie du meinen Hinweisen ja entnehmen kannst, habe ich auch darauf hingewiesen, dass der Sicherheitseffekt bei VLANs nur durch die Firewall entsteht. Da du eine hast - okay, dann kann dadurch ein höheres Sicherheitsniveau entstehen. Aber mach dir nichts vor, damit werden die Anforderungen, die du umsetzen willst, auch nicht leichter, denn all die Komponenten müssen ja auch noch irgendwie miteinander kommunizieren. Gerade in einer Domäne kann eine falsch konfigurierte Firewall echt Ärger machen. Oben hast du gesagt, FQDN wäre nicht OK für deine Situation, jetzt plötzlich soll FQDN sogar besser sein. Naja, musst du wissen. Ich habe beigetragen, was ich beitragen kann und klinke mich dann jetzt mal aus. Gruß, Nils

Moin, wer auch immer dir eingeredet hat, dass VLANs eine Sicherheitsfunktion seien: Das ist nicht so. VLANs dienen in erster Linie der Segmentierung des Netzwerks, meist um Broadcastlasten zu reduzieren. Da du ja aufgrund deines Designs ein Routing zwischen den VLANs einrichten musst, hast du auf Ebene der Sicherheit durch die VLANs allein nichts gewonnen. Hier müsste noch eine Firewall dazukommen, wenn man das denn möchte. Die Beschreibung, die du nun gegeben hast, macht die Situation nachvollziehbar. Bitte gewöhn dir an, solche Informationen gleich mit zu geben, das erspart unnötige Rückfragen und unnötige Ratespiele. Da du nun also ohnehin eine Domäne brauchst, liegt es natürlich nahe, auch die DNS-Namensauflösung darüber zu erledigen. Die wichtigsten Stichworte dazu findest du hier: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ DNS hilft dir allerdings nicht bei den kurzen Namen, sondern in deinem Szenario nur für die FQDN-Namensauflösung. In deinem Fall würde ich für die Auflösung "kurzer Namen" tatsächlich WINS empfehlen, das ist am einfachsten zu implementieren und erzeugt praktisch keinen Pflegeaufwand. Installiere also auf deinem DC auch WINS und konfiguriere in allen Domänenrechnern (einschließlich des DC) die DC-IP-Adresse als WINS-Server. Und ganz ernsthaft: Es wäre sinnvoll, wenn du ein produktives Netzwerk erst aufbaust, nachdem du dir die dafür nötigen Grundlagen angeeignet hast. Auch wenn eine AD-Domäne scheinbar einfach einzurichten ist, gibt es sehr viel, was man falsch machen kann. Gruß, Nils

Moin, seit Windows Server 2008 ist der Browserdienst standardmäßig deaktiviert. Auch sonst ist eine Domäne absoluter Overkill, wenn es denn tatsächlich nur um die Namensauflösung mit kurzen Namen gehen soll. Da der TO es zu aufwändig findet, die Namen im DNS seines Routers zu pflegen und per FQDN aufzulösen, käme aushilfsweise eigentlich nur noch WINS in Betracht. Der Aufwand ist dadurch minimal geringer - man muss keine Namen mehr pflegen, aber jeder Rechner muss als WINS-Client konfiguriert werden. Und es braucht eben einen WINS-Server. All das lässt sich aber dann doch besser diskutieren, wenn man die Anforderungen kennt. Daher frug ich danach - vielleicht sollten wir erst mal eine Antwort abwarten ... Gruß, Nils

Moin, aha, OK. Das ist eigentlich nicht das, was man üblicherweise mit "mandantenfähig" meint. Da geht es meist um eine komplette Trennung einzelner Kundenbereiche, wobei von einem Kundenbereich auf einen anderen kein Zugriff bestehen darf. Was du beschreibst, gehört hingegen bei den meisten Ticketsystemen zur Grundfunktion. Ich denke mal, es geht um sowas wie einen IT-Dienstleister, der ein eigenes Ticketsystem für seinen Support betreiben will und dessen Mitarbeiter Tickets einzelnen Kunden zuordnen wollen? Wie gesagt, das können viele Systeme. Ich selbst habe mit OTRS sehr gute Erfahrungen gemacht. Das ist Open Source und gehört zu dem am meisten eingesetzten Ticketsystemen. Man sollte sich aber ausreichend Zeit nehmen, die "Denke" solcher Systeme zu verstehen, das ist schon etwas eigen. Gruß, Nils