NilsK

Moin,

wie hast du den Server erneuert? Wie genau hast du die FSMO-Rollen verschoben? Wie kommt man auf die Idee, das Computerkonto eines DC zurückzusetzen?

Meine Empfehlung: Stufe einen der DCs herunter, repariere den anderen und installiere den zweiten DC neu.

Gruß, Nils

Moin,

in dem Fall ist der User eben Mitglied einer Gruppe, die darf oder nicht darf (z.B. "Jeder" oder "Domänen-Benutzer"). Das Anmeldefenster kommt nur, wenn weder der User noch eine seiner Gruppen überhaupt in der Berechtigungsliste steht.

Beispiel: Berechtigung nur für "Administratoren" und "Gruppe47". User ist weder Administrator noch Mitglied in Gruppe47.

Gruß, Nils

Moin,

falsch: 2, 3, 5

fragwürdig: 1

Gruß, Nils

Moin,

zu unserer Zeit hat man noch ehrlich morgens im Bus abgeschrieben!

Tststs, diese Jugend heutztage ...

Gruß, Nils

... wo war noch mein Gehstock ... eieiei ...

Moin,

Danach übernimmst du alle Daten und Dienste vom alten DC und schaltest diesen erstmal für ein paar Tage aus. Wenn dann noch alles funktioniert und nichts fehlt, schaltest du den DC wieder an und entfernst ihn mit DCPROMO aus der Domäne.

das gilt nur, wenn der DC noch irgendwelche Daten jenseits von AD und DNS hostet. Wenn er nur DC ist, sollte man ihn nicht ab- und wieder einschalten, sondern geordnet aus der Domäne nehmen. Anderenfalls erzeugt man nur unnötige Umorganisation der Replikation.

Wenn man schon meint, den DC zuerst nur abschalten zu müssen, sollte man nach dem Wiedereinschalten auf jeden Fall lang genug warten, damit er wieder ordentlich in der Replikation mitspielt (je nach Umgebung wenige Minuten bis mehrere Stunden). Sonst schafft man sich zusätzliche Probleme.

Gruß, Nils

Moin,

sind auf den Dateien evtl. abweichende Berechtigungen gesetzt? Bestehen Sperren der Dateien, weil sie aus Sicht des Servers noch geöffnet sind? Haben die betreffenden User sich schon mal neu angemeldet? Sind evtl. Verweigerungen gesetzt?

Gruß, Nils

Moin,

hier habe ich das mal erklärt:

Windows-Lizenzen in VM-Umgebungen

Gruß, Nils

Moin,

und zusätzlich solltet ihr erwägen, die OUs nicht an Abteilungen zu orientieren, sondern am administrativen Bedarf. Das stimmt in den wenigsten Unternehmen überein.

Gruß, Nils

Moin,

das Ablaufen der Sicherung bedeutet nicht, dass die Sicherungen entfernt werden - schon gar nicht aus einer Datei, die mehrere Sicherungen enthält. Es bedeutet nur, dass SQL Server sich nach dem Ablauf des Datums weigern wird, die Sicherung wiederherzustellen.

Besserer Weg: Erzeuge eine Datei pro Log-Sicherung und entferne die alten Dateien nach ihrem Zeitstempel, z.B. mit folgendem Skript:

faq-o-matic.net Alte Dateien löschen

Gruß, Nils

Moin,

"Dunkelzahn"s Darstellung ist soweit korrekt, mit einer Ergänzung: Falls für den zugreifenden User das angefragte Recht (Lesen, Schreiben) ausdrücklich verweigert wurde, kommt keine Anmeldemaske, sondern der Zugriff wird verweigert.

Gruß, Nils

Moin,

Dann brauchst du auch Server 2008 CALs!

nein, eben nicht. Wenn der 2008-Server ausschließlich Hyper-V macht und darunter nur VMs mit einer Vorgängerversion laufen, benötigt man keine 2008-CALs. Das ist eine Änderung, die Microsoft Anfang 2009 vorgenommen hat (Licensing Brief Mitte Januar 2009).

Du erinnerst dich vielleicht an unseren Mailverkehr von Januar/Februar 2009.

Allerdings ist in diesem konkreten Szenario die Frage noch nicht geklärt, ob ein selektives Downgrade möglich ist: Also Host mit 2008 R2 und VMs mit 2003über dieselbe 2008-R2-Enterprise-Lizenz. Da habe ich immer noch meine Zweifel.

Gruß, Nils

Moin,

**** ist halt wenn man das ganze nicht in Testumgebung bauen kann, sondern gleich auf den Live servern.

dazu pflege ich zu sagen: Es gibt keine Kunden ohne Testumgebung. Es gibt aber viele Kunden ohne Produktionsnetzwerk.

Oder deutlicher: Wer Tests im Produktionsnetzwerk durchführt, handelt grob fahrlässig!

Copying memberevents.txt to "\\server\logparser$\member"

The process cannot access the file because it is being used by another process.

Das sieht nach einem Timing-Problem aus, könnten aber auch Berechtigungen oder sowas sein. Das solltest du klären, denn hier geschieht genau der entscheidende Schritt, weil die Events der beteiligten Server zusammengefügt werden. Und ohne Events keine Auswertung ...

'sleep' is not recognized as an internal or external command,

operable program or batch file.

Hm, da hab ich wohl beim Batch-Bauen was übersehen. Scheint, dass in der Originalumgebung ein externer Sleep-Befehl dabei war. Muss ich mal ändern, denn das Sleep soll Timing-Probleme umgehen.

Behelfen kann man sich, indem man das "sleep" jeweils ersetzt durch:

ping -n 3 localhost>nul

Dabei die 3 durch die Zahl der Sekunden ersetzen, die man warten will.

Creating Report: Repeated Events of the Last Week ...

 

Statistics:

-----------

Elements processed: 40

Elements output: 0

Bedeutet: In den 40 verarbeiteten Events sind keine Wiederholungen. Also auch kein Ergebnis.

40 Events sind aber sehr wenig - das deutet darauf hin, dass in der Tat ganz am Anfang die Ausgangsdateien nicht kopiert wurden.

Gruß, Nils

Moin,

ein Router ist ein Router ist ein Router. Weitere Dienste installiert man darauf nicht.

Richte deinen Server als Server ein und stelle einen Router davor.

Gruß, Nils

Moin,

selbstverständlich.

Gruß, Nils

... der das immer verwechselt.

Moin,

meines Wissens beinhaltet eine OEM-Lizenz kein Downgrade-Recht. Du könntest aber nachträglich SA hinzukaufen und die Lizenz so Downgrade-fähig machen (wenn ich nicht irre).

Gruß, Nils

Moin,

dazu noch eine Ergänzung: lastLogonTimestamp gibt es nur, wenn der Forest mindestens im 2003-Modus läuft.

Gruß, Nils

Moin,

wie du schon richtig sagst: Sysprep wäre eine Lösung. Dein Master-Image ist mit Sysprep behandelt. Beim ersten Boot nach dem Kopieren startet das Mini-Setup.

Gruß, Nils

Moin,

das ist schon klar. Nur galt diese Argumentation auch für Hyper-V, bis Microsoft nach ein paar Wochen mal eben die PUR geändert hat.

Anscheinend gibt es derzeit für ADFS 2.0 zumindest nichts in der Richtung. Dann werde ich dem Kunden das so mitteilen.

Sind halt mal eben 4000 User, für die die CAL-Beschaffung den Preis des Projekts hochtreibt. Wäre zu doof, wenn es da wieder eine Kehrtwende gibt (oder man einfach eine Produkt-Besonderheit übersieht) und man die Kosten nicht auf das Projekt hätte buchen müssen. (Früher oder später wird der Kunde 2008-CALs brauchen - aber dann ist vielleicht ein anderes Budget dafür zuständig.)

Danke & Gruß, Nils

Moin,

im GPMC-Scripting-Ordner gibt es ein Skript "GetReportsForAllGPOs.wsf".

Group Policy Management Console Scripting Samples (Windows)

Gruß, Nils

Moin,

@Carsten: Das ist das umgekehrte Szenario. Dort fragt der Dienstleister, der eine Applikation anbietet. Ich hab aber den Kunden auf der anderen Seite.

@DrMelzer: Ja, sehe ich auch so. Nur leider findet man nix Offizielles. Bei Hyper-V hat es vor 18 Monaten auch eine Kehrtwende gegeben ... wäre doof, wenn der Kunde mehrere 10 TEUR umsonst ausgibt. Mal noch etwas warten.

Danke!

Gruß, Nils

Moin,

nu isse da: Beta 7.

.: www.kaczenski.de :. Jos 3.0: ffentliche Betaphase

@Norbert: Kommt vielleicht in v4. ;)

@Markus: Ja, das ist derzeit nicht so schön mit dem URL. Die ganze Meldung ist nicht schön. Ich hab es erst mal so einfach gelassen, weil ich dann dieselbe Meldung auf der Konsole ausgeben kann wie im Popup. Ist eigentlich kein Problem, das hübscher zu machen, aber bislang war anderes wichtiger. :cool:

Danke fürs Testen, bitte auch die neue Fassung prüfen.

Wichtig wäre mir vor allem, dass jemand, dessen Umgebung Trusts umfasst, diese mal mitdokumentiert. Ich hab in meiner Testwelt nur Pseudo-Trusts, daher können da durchaus noch Fehler bestehen.

Und natürlich, wenn möglich, mal GPOs mit Kommentaren und WMI-Filtern einrichten und schauen, ob das richtig erscheint.

Danke & Gruß, Nils

Moin,

leider finde ich zu dem Thema (noch) nichts - hat zufällig jemand diese Frage schon geklärt?

Ein Kunde möchte in seinem 2003-basierten Netzwerk die ADFS 2.0 einsetzen. Dazu braucht er einen Server 2008 oder 2008 R2. Soweit, so gut. Nun ist aber die Frage, ob für ADFS 2.0 dann auch 2008-CALs nötig sind.

Aus dem Bauch heraus würde ich sagen: Ja. Denn ADFS integriert sich (angeblich, da scheiden sich die Geister schon) als Serverrolle in 2008/R2. Und es authentisiert AD-User gegenüber einer entfernten Applikation.

Aber "aus dem Bauch" reicht mir nicht. Weiß schon jemand Konkretes?

Gruß, Nils

Moin,

fehlerhafte Anmeldungen solltest du auf der Domänenebene protokollieren. Es handelt sich ja um AD-Anmeldungen.

Gruß, Nils

Moin,

nein, so ohne Weiteres geht das nicht.

Du könntest die Datenbankkontakte regelmäßig z.B. in einen Öffentlichen Ordner importieren. Das wirst du aber - je nach Anzahl - wahrscheinlich maximal einmal täglich nachts machen können, weil die erzeugte Last erheblich ist.

Andere Variante: Du fütterst aus der Datenbank eine LDAP-Datenbank unter ADAM/AD LDS und bindest dieses dann als zusätzliches Adressbuch in Outlook ein.

In jedem Fall müsstest du aber die Aktualisierung regeln. Der einfachste Weg ist, beim Import zuvor alle vorhandenen Kontakte zu löschen und sie dann neu zu erzeugen. Eine Prüfung, ob ein vorhandener Kontakt sich geändert hat, ist sehr aufwändig.

Vielleicht ist eine Anbindung der Datenbank an Sharepoint ein besserer Weg. Das erzeugt allerdings Entwicklungsaufwand.

Gruß, Nils

Moin,

was willst du mit dem Lasttest herausfinden?

Gruß, Nils