NilsK

Moin, dazu brauche ich keinen Link - dazu muss man nur mal überlegen, was "Replikation mit einem korrupten Replikationspartner zulassen" bedeutet. Wer mag, kann sich dazu auch noch meinen Vortrag "Tu mir das nicht an, sagte der Domänencontroller" als Video ansehen. Bessere Vorgehensweisen wurden in diesem Thread bereits benannt, das müssen wir nicht wiederholen. Gruß, Nils

Moin, diese zwei Dinge passen nicht zusammen. Entweder die Umgebung ist so kritisch, dass sie einen Cluster braucht - dann braucht sie auch ein ordentliches Recovery-System. Oder sie ist unwichtig, dann braucht sie auch keinen Cluster. Ganz abgesehen davon, gibt es auch in einer virtualisierten Umgebung keine einfachen Backup-Techniken à la "One size fits all" - der konkrete Aufbau orientiert sich an der konkreten Umgebung. In der Realität sehe ich bei Kunden mit anspruchsvolleren Umgebungen immer eine Mischung aus verschiedenen Techniken. Gruß, Nils

Moin, wenn es eine größere Umgebung ist und du mit einer ordentlichen Vorplanung beginnen willst, ist dies hier evtl. was für dich: .: www.kaczenski.de :. » ITA 10/2012: Der Plan macht den Unterschied Der technische Vorgang als solcher ist von meinem Vorredner schon hinreichend beschrieben worden. Gruß, Nils

Moin, genau deshalb nutzen die Clients ja eben nicht den DNS des ISP und auch keinen DHCP-Server, der nicht die Daten der Domäne verteilt. faq-o-matic.net » Was muss ich beim DNS für Active Directory beachten? (Reloaded) Gruß, Nils

Moin, wenn deine detaillierte Abwägung der Folgen und Risiken ergibt, dass dies ein gangbarer Weg ist, kannst du das tun. Wenn es hingegen nur darum geht, dir Arbeit zu ersparen: Nein, lass es. Gruß, Nils PS. Übrigens solltest du bitte für neue Probleme eigene Threads erzeugen, auch wenn sie scheinbar sehr ähnlich sind. Das Board warnt nicht umsonst beim Fortsetzen uralter Diskussionen.

Moin, dem Konzept nach vergibst du Berechtigungen immer nur an gezielt dafür angelegte DL-Gruppen. In einem Multi-Domain-Forest legst du dann in jeder Domäne G-Gruppen an, in denen du die User nach organisatorischen Kriterien zusammenfasst. Danach hast du zwei Möglichkeiten: du nimmst die G-Gruppen aus den verschiedenen Domänen direkt in die DL-Gruppe auf, die die Berechtigungen hat du nimmst die G-Gruppen in eine U-Gruppe auf, die nur dazu dient, alle G-Gruppen zusammenzufassen. Diese U-Gruppe nimmst du dann in die DL-Gruppe auf Vorteil von 1. ist, dass du eine Ebene einsparst - vor allem dann, wenn dieselben G-Gruppen nur einmal berechtigt werden sollen. Sollen hingegen die G-Gruppen auf mehrere Ressourcen Berechtigungen bekommen, ist 2. attraktiver, weil du dann die G-Gruppen nur einmal zu einer U-Gruppe zusammenfasst und diese U-Gruppe dann in die verschiedenen DL-Gruppen einfügst, die die Berechtigungen erhalten. Du kannst es natürlich auch ganz anders machen, aber gerade in einer größeren Umgebung stößt du damit schnell an Grenzen. Die zusätzliche Planung für ein strukturiertes Modell lohnt sich auf längere Sicht meist durchaus. Gruß, Nils

Moin, um Berechtigungen für eine Ressource zu vergeben, die sich innerhalb einer Domäne befindet, sind DL-Gruppen am besten geeignet. Für Ressourcen, die sich über mehrere Domänen verteilen, sind U-Gruppen am besten. G-Gruppen dienen dann nur der logisch-organisatorischen Gruppierung, also alle Franzosen, alle Engländer, der Vertrieb aus Merchweiler usw. faq-o-matic.net » Windows-Gruppen richtig nutzen Gruß, Nils

Moin, ich fürchte, du stellst dir das zu naiv vor. Skalierung "in der Cloud" lässt sich nicht einfach mit zwei Servern und irgendeiner Anwendung darauf simulieren. Dazu gehören komplexe Techniken. Vor allem brauchst du irgendeine Instanz, die die Anfragen auf die beteiligten Instanzen verteilt - im Fall "automatischer" Skalierung also quasi ein dynamisches Load Balancing. Das macht kein System von selbst. Dahinter benötigst du dann eine Applikation, die eine solche Verteilung überhaupt zulässt. Das geht auch nicht mit beliebigen Serverdiensten. Und, und, und ... Gruß, Nils

Moin, faq-o-matic.net » Windows-Gruppen richtig nutzen zu 1.: Hier funkt dir die UAC dazwischen. Zur Berechtigungsverwaltung auf einem Windows-Dateiserver sollte man den Explorer nicht nehmen, sondern ein Tool, das mit UAC umgehen kann. Beispiele: Total Commander, SetACL Studio. faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen zu 2.: Die Gruppe Builtin\Administratoren kannst du nur auf einem DC auswählen, weil es eine lokale Gruppe der Domänencontroller ist. Auf anderen Rechnern kannst du die dortige lokale Administratoren-Gruppe nehmen (wenn benötigt), die lokal und nicht im AD gespeichert ist. zu 5.: Ja, da gibt es eine Reihe von kommerziellen Tools, z.B. Security Explorer von ScriptLogic (jetzt bei Quest). Gruß, Nils

Moin, wenn die Zeit noch reicht, in der nächsten Woche ist der letzte Termin der heise-Roadshow zu dem Themenkomplex (in Köln, 28. November): heise Netze Tour 2012 Gruß, Nils

Moin, das Feld AccountExpirationDate taucht in deiner LDAP-Abfrage ja auch nicht auf, dann kannst du es natürlich auch nicht als Spalte im Resultset ansprechen. Aber warum baust du dir einen CSV-Export selbst und nutzt nicht csvde.exe? Gruß, Nils

Moin, du meinst, weil Microsoft dieses Geheimnis vorher so gut gehütet hat? ROTFLBTC ... Gruß, Nils

Moin, um noch ein letztes Mal darauf zurückzukommen: Das ganze Konzept ist nicht stimmig. Du hebst deine mühsam aufgebaute Netztrennung auf, wenn alle Server in jedem Netz hängen (oder auch wenn nur ein Server in jedem Netz hängt, auf den die User draufkommen). Du hast immer noch nicht beantwortet, warum die Clients netzweise getrennt sein sollen, wenn sie gleichzeitig dieselben Ressourcen nutzen dürfen. Da das Problem üblicherweise die Ressourcen sind, erschließt sich mir der ganze Ansatz nicht. Um die Clients voneinander zu trennen, reicht die Windows-Firewall üblicherweise völlig aus. Abgesehen davon, nützt reine Netzwerk-Aufteilung auch nichts, wenn keine Firewall die Netze tatsächlich voneinander trennt. Gruß, Nils

Moin, Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"? Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist. Gruß, Nils

Moin, nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist? Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen. Gruß, Nils

Moin, ah, okay. Danke für die Rückmeldung! Gruß, Nils

Moin, blockiert eine der Firewalls die Verbindung? Lauscht das iSCSI-Target evtl. auf einer anderen IP-Adresse? Gruß, Nils

Moin, die Tasks laufen nicht auf dem normalen Desktop. Es finden separate User-Sessions ohne Desktop statt. Wenn du die Tasks überwachen willst, dann müssen sie Logdateien schreiben oder was in der Art. Gruß, Nils

Moin, pauschal spricht überhaupt nichts dagegen. Aus meiner Sicht ist es sinnvoll, wenn man die verwendete Domain auch tatsächlich selbst besitzt. faq-o-matic.net » Welcher Name ist der beste für eine AD-Domäne? Bei einem Kunden hatte ich neulich den Fall, dass er einen Domänennamen verwendet, der ihm nicht gehört. Dummerweise war dann auch noch der DNS-Server, der zu der "offiziellen" Domain im Internet gehört, falsch konfiguriert. Das kann dann sehr lustige Probleme erzeugen, nach deren Ursache man sich einen Wolf sucht (und die evtl. auch nicht behebbar sind). Gruß, Nils

Moin, du weißt, dass solche Lizenzen nur zum Lernen genutzt werden dürfen, du also den Exchange-Server nicht als Mailserver nutzen darfst? Abgesehen davon, ist ein PST-Export keine Datensicherung. Sichere mit Windows Server Backup, das kostet nicht extra und führt im Gegensatz zu irgendwelchen Exports zu einem wiederherstellbaren System und wiederherstellbaren Mailboxen. Gruß, Nils

Moin, nach all den Problemen empfehle ich dringend, den Server nicht per P2V zu konvertieren, sondern als VM neu aufzusetzen. Selbst wenn P2V irgendwann nach viel Arbeit gelingen sollte, hättest du ein instabiles, nicht vertrauenswürdiges System: Ein fehlerhaft laufender Server ist nach der Konvertierung immer noch ein fehlerhaft laufender Server. Gruß, Nils

Moin, aber die Leute wollen doch nun mal so gern ein Zertifikat mit Goldkante! SCNR, Nils

Moin, in deinem Szenario solltest du es absolut vermeiden, Anwender mit sa oder anderen sysadmin-Konten arbeiten zu lassen. Es besteht die Gefahr, dass sie - gewollt oder ungewollt - den ganzen Cluster übernehmen. Nein, das ist nicht übertrieben. Gruß, Nils

Moin, die MSDN-AA-Lizenzen sind, soweit ich weiß, nur für Lehr- und Lernzwecke einsetzbar. Jeder produktive Einsatz ist damit nicht möglich. Du hast angegeben, dass du mit dem Exchange-Server künftig "viele User" bedienen willst. Das erfordert selbstverständlich eine geeignete Server- und Produktlizenz sowie Server- und Produkt-CALs für jeden User. Sofern die User nicht deinem Unternehmen angehören, benötigst du eine ganz andere Lizenzform. Projekte im lizenzrechtlichen Graubereich werden hier nicht unterstützt, weil es sich um ein professionell orientiertes Board handelt, das unter scharfer Beobachtung von Rechtsinhabern steht. Wenn es hier also Zweifel gibt, kann es gut sein, dass ein Moderator die Diskussion beenden muss. Gruß, Nils

Moin, Wozu eine Subdomain? Wie willst du deine Server absichern - von einer Firewall oder anderen Sicherheitsfunktionen sehe ich da nichts? Und die Kernfrage: Was soll das alles, sprich was hast du genau damit vor? Meiner Einschätzung nach befinden wir uns hier inhaltlich an einer Stelle, wo sich das Board absichern muss, um nicht bei rechtswidrigen Dingen mitzuwirken. Daher bitte Karten auf den Tisch. Gruß, Nils