NilsK

Moin,

wie denn nun? Erst schreibst du, jetzt geht es - und dann "bleibt" plötzlich der Fehler?

Bitte mal genau beschreiben. Und dann bitte endlich die Hausaufgaben erledigen und das Eventlog usw. prüfen.

Und nein, Cached Credentials sind kein Problem, sondern ein sinnvolles Feature, aber es könnte eben dazu führen, dass dein (nicht geeigneter) Test nicht die erwarteten Ergebnisse erbringt.

Gruß, Nils

Moin,

Ich habe die Workstation mehrfach neu gebootet. Mit anderen Benutzernamen habe ich mich bereits erfolgreich angemeldet und komme ganz normal ins Netzwerk/Internet.

und warum soll das gegen Cached Credentials sprechen?

Also, entweder leistest du die Basics des Troubleshooting (strukturiert testen, Eventlog prüfen, ...) und meldest dich mit konkreten Fragen, oder das wird hier nicht besonders zielführend.

Gruß, Nils

Moin,

dreimal zwei DC-Lizenzen, das wird pro CPU lizenziert.

Zu den übrigen Fragen schau dich mal im Lizenzforum um, die Sorte Fragen haben wir hier schon häufiger diskutiert.

Gruß, Nils

Moin,

Beim Benutzernamen "Test" kann ich keinen Tippfehler finden.

wenn du das sagst. Bei deiner genauen Beschreibung kann ich aber nur mit Tipps dieser Art kommen.

Die Workstation ist in der Domäne, da ich mich mit anderen Accounts anmelden kann (die vor der Migration angelegt wurden).

Das könnten aber auch Cached Credentials sein, so wie bei einem Notebook, das offline ist.

Meinst Du Exchange ->Verwaltungskonsole ->Empfängerkonfiguratin->Postfach-> neues Postfach ?

Ja.

Gruß, Nils

Moin,

Uns wurde von unserem betreuenden Systemhaus schmackhaft gemacht, unsere hochgradig virtuelle Umgebung auf 2008 R2 Datacenter umzustellen.

zu Recht.

- Es gibt in Deutschland Zwei-Prozessor-Lizenzen zu 2k8R2 DC nur als OEM-Version

Falsch. War mal so, ist aber lang her.

- Man kann auch einem Server mit nur einem Prozessor eine DC-Lizenz zuweisen, dann aber nur eine Volumen-Lizenz

Falsch. DC geht nur ab mindestens zwei physischen CPUs.

- Bei einer OEM-Lizenz kann man eine beliebige Zahl beliebiger Microsoft-(Server-)Betriebssysteme auf dem Rechner, für das das lizenziert wird einsetzen (Downgrade-Recht), muss aber pro Version (z.B. 2k3 Standard) *einmal* eine CD bei Microsoft holen, darf dann aber beliebig viele (2k3 Standard) VM gleichzeitig benutzen

Im Prinzip richtig, aber das mit der CD stimmt so nicht. Du musst halt installieren können, das war's. Bei dem Downgrade-Recht und OEM weiß ich grad nicht; normalerweise geht Downgrade nur bei Volume.

Ist aber sowieso egal, denn OEM kannst du ja nur mit neuer Hardware kaufen, da bleibt dir ja nur Volume.

Alle Server haben als Virtualisierungsschicht XenServer, wir würden also nur VMs einsetzen.

Ist okay, auf den Virtualisierer kommt es nicht an.

Wenn ich an Standort A Datacenter einsetze und an B Enterprise (was ja für 3-4 VM reichen würde) -- darf ich dann potentiell (zeitweise) VMs von B nach A verschieben? [Nebenfrage: Hat 2k8R2 Enterprise Downgrade-Recht?]

Ja, das dürftest du. Du könntest auch Live Migration und Failover von Enterprise zu Enterprise machen, aber wenn du die "Inklusivlizenzen" nutzt, dürfen halt nicht mehr als vier gleichzeitig vorhanden sein. Da es bei Datacenter dieses Limit nicht gibt, ist DC oft die beste Alternative.

Am liebsten wäre mir ja, wenn die Aussagen der Angebot-Macher komplett stimmen würden, aber ich finde im Netz dazu nur widersprüchliche Aussagen...

Ja, das ist leider sehr oft so.

Wobei sich mir gerade die Frage stellt: Wie sind denn die VMs derzeit lizenziert? Wenn du für die gültige Lizenzen hast, geht das Rechenmodell natürlich nicht so ohne Weiteres auf.

Gruß, Nils

Moin,

Tippfehler? Workstation nicht in der Domäne? Netzwerkprobleme? ...

In Exchange 2007 ist die AD-Verwaltung von der Exchange-Verwaltung getrennt, daher keine Rückfrage nach der Mailbox. Das musst du separat machen. Oder du legst den User gleich über Exchange an.

Gruß, Nils

Moin,

mit robocopy kannst du die Berechtigungen auch einfach mitkopieren, wenn du direkt kopierst.

Stelle sicher, dass die Dateien vor der Migration sauber sind! Noch besser wäre es, wenn du die Dateien von einem separaten Datenträger kopierst, denn dann ist das nicht-verrauenswürdige System nicht mehr beteiligt.

Gruß, Nils

Moin,

natürlich kannst du das tun. Das ist sogar schwer zu empfehlen.

Definiere ein Konto im AD und gib ihm auf dem lokalen Server die nötigen Rechte. Dann weist du das Konto in dem Task zu. Prinzipiell sollte man auch Dienste so einrichten.

Bedenke aber, dass dieses Konto ein sehr gutes Kennwort braucht und dass du auch dieses regelmäßig ändern solltest. Außerdem solltest du dasselbe Konto nicht auf mehreren Servern einsetzen.

Gruß, Nils

Moin,

naja, Suchtools gibt es in ähnlicher Menge wie Sand am Meer ... was wäre denn so deine Anforderung? (Und von welcher "globalen Katalogsuche" sprichst du?)

Gruß, Nils

Moin,

na, dann haben wir ja schon zwei Unternehmen, die das machen. :cool:

Da es nun erstmals eine Mainstream-Applikation gibt, die das Feature nutzt - nach gerade einmal zehn Jahren -, kann man das sicher etwas anders bewerten als früher, zumal wir heute auch von ganz anderen WAN-Bandbreiten und Serverkapazitäten sprechen. Die Frage "gehört das da rein?" ist sicher keine, die man grundsätzlich beantworten kann, sondern immer in Abhängigkeit vom Unternehmen und vom Einsatzzweck.

Fragen des Datenschutzes sind bei AD-Informationen oft relevant - gerade beim Foto gibt es (durchaus nachvollziehbare) Empfindlichkeiten. AD bietet durchaus Möglichkeiten damit umzugehen, allerdings sind die nicht eben simpel.

Bleibt das Credo des Consulting: It depends. ;)

Gruß, Nils

Moin,

wenn ein Computer einen Virenbefall hatte, wird er komplett platt gemacht und neu installiert. Punkt.

Du kannst der Maschine sonst nicht trauen.

Gruß, Nils

... der sich sowas schon gedacht hat

Moin,

allgemein ist es beim Scripting sinnvoll, sich vorher mit den Grundlagen zu befassen.

Wenn dein Server nicht der DC der Domäne ist, dann installiere dir die Rollenverwaltungstools für AD. Danach steht dir das AD-Modul zur Verfügung. In 2008 R2 ist die PS 2.0 eingebaut, die kann AD wesentlich besser managen als die veraltete 1.0. Dann siehe weiter oben in meinem letzten Posting.

Gruß, Nils

Moin,

bitte nimm dafür den vorhandenen Thread.

https://www.mcseboard.de/ms-zertifizierungen-allgemein-3/gehaltsvorstellung-mcse-475.html

Gruß, Nils

Moin,

dein Problem liegt doch auf der Hand: Die Mailbox ist viel zu groß. Mit OL 2003 sollte sie auf keinen Fall größer als 2 GB sein.

Gruß, Nils

Moin,

trotzdem solltest du auf einem Server 2008 R2 die Powershell 2.0 verwenden, dazu ist sie ja da. Starte entweder die Extra-Powershell für AD oder gib in der Powershell (bzw. in deinem Skript) ein "Import-Module ActiveDirectory".

Dann lass dir mal mit "get-command *ADUser*" die Kommandos anzeigen, die was mit Usern zu tun haben ...

Und: faq-o-matic.net » IIR Admin Tech Talk 2010: Folien und Skripts meiner AD-Sessions

... ach, und: In deinem obigen Code ist mit Sicherheit die LDAP-Notation falsch. Eine OU beginnt nicht mit "CN=", sondern mit "OU=".

Gruß, Nils

Moin,

handelt es sich denn um dieselben Konten? Oder gibt es evtl. auf dem lokalen PC ein lokales Konto mit demselben Namen ...?

Gruß, Nils

Moin,

gern. Danke für die Rückmeldung!

Gruß, Nils

Moin,

was soll denn "Boot Security" für ein Dienst sein? Sagt mir grad nix.

Gruß, Nils

Moin,

Den Eindruck habe ich bei dem TO jedoch nicht.

das haben wir ja verstanden, aber dazu hätte eine einzige Antwort gereicht. Dieses ganze Besserwisser-Hin-und-Her ist ziemlich überflüssig.

EOD für mich,

Nils

Moin,

wie viele User sind denn an diesen Außenstandorten? Meist stelle ich bei Kunden nämlich fest, dass der völlige Verzicht auf einen lokalen DC in so einem Fall die beste Option ist ...

Gruß, Nils

Moin,

das kann ich so zurückgeben: Lies, was ich geschrieben habe.

Das Problem, das du benennst, hat mit den angezeigten Pfaden in der Breadcrumb Bar nichts zu tun. Ich stimme dir zu, dass es im Explorer keinen Spaß macht, in so einen Pfad zu wechseln, aber das liegt nicht an der Breadcrumb Bar, sondern daran, dass die Ordner ausgeblendet werden.

Und meine Empfehlung war durchaus ernst gemeint: Der Explorer zielt auf Alltags-Operationen. Wenn du mehr Kontrolle brauchst (was ja durchaus sein kann), nimm dir einen anderen Dateimanager.

Den "schrulligen Glaubenskrieg" hast du ins Spiel gebracht, nicht ich.

Gruß, Nils

Moin,

in der Regel sind solche Phänomene auf falsch konfigurierte Dienste oder Tasks zurückzuführen.

Ist es denn tatsächlich so, dass das Konto erst gesperrt wird, wenn der User sich am TS anmeldet? Oder ist es evtl. so, dass die Sperrung erst dann auffällt? Kann der User sich z.B. an seinem Rechner erfolgreich ab- und anmelden?

Gruß, Nils

Moin Carsten,

bitte keine uralten Threads aufwärmen! Beschreibe deine Situation lieber neu. In der Regel stellt man ohnehin fest, dass die "gleiche Situation" eine andere ist ...

Grundsätzlich ist eine SQL-Server-Domänenmigration recht einfach. ADMT bietet z.B. einen Dienstkonten-Migrations-Assistenten. Die Windows-Berechtigungen innerhalb der Datenbank lassen sich kurzfristig über SIDHistory abfangen, mittelfristig ist natürlich eine Neuvergabe sinnvoll.

Wenn die Strukturen sehr komplex sind, kämen auch andere Tools in Betracht, die aber meist sehr teuer sind.

Gruß, Nils

Moin,

ein AD-Backup kann man in der Regel gar nicht ein Jahr aufbewahren, weil es je nach Domänen-Setup nach 60 bzw. 180 Tagen ungültig wird. Such mal nach "Tombstone Lifetime". Und nein, in der Regel ist es nicht sinnvoll, daran was zu ändern.

Wenn du bislang zwei DCs sicherst, sehe ich nicht, warum sich an den Anforderungen an das Backup durch hinzukommende RODCs etwas ändern sollte.

Deine Standort-Redundanz könntest du ja auch erreichen, indem du an einem entfernten Standort einen schreibbaren DC aufstellst. Den könntest du z.B. mit BitLocker gegen Offline-Angriffe absichern.

Gibt es denn zwingende Gründe für RODC? Bislang habe ich in der Realität noch wenige Szenarien gehabt, in denen RODCs wirklich sinnvoll waren.

Gruß, Nils

Moin,

Was meisnt du wird dies in einer nächsten Version kommen?

dazu habe ich mich oben schon geäußert. Ich gehe eher nicht davon aus.

Gruß, Nils