NilsK

Moin,

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

Keine Webseite, aber nah dran. Und das Prinzip ist übertragbar.

Gruß, Nils

Moin,

ganz abwegig ist dein Vorhaben nicht. Wenn es aber ordentlich, handhabbar und sicher funktionieren soll, braucht das ein gerüttelt Maß an Planung und an Kooperation. Ich empfehle, für die Konzeption erfahrene Unterstützung hinzuzuziehen. Wenn man sowas mit "mal gucken" aufbaut, geht es meist in die Hose.

vor 7 Minuten schrieb CaIvin:

Ich kann leider in "meineabteilung" keine Gruppen definieren mit Mitgliedern aus "grundversorgung".

Dafür sind Domain Local Groups da. Das meine ich mit Konzeption - Berechtigungssysteme sind in so einem Konstrukt etwas spezieller.

Gruß, Nils

Moin,

um das noch mal zusammenzufassen:

1. Active Directory ist auf funktionierende DNS-Auflösung angewiesen. Das gilt für alle Clients und alle Server, die Mitglieder sind.
2. Das DNS kann durchaus "separat" laufen. Das erfordert dann aber erheblich mehr Aufwand und Mitarbeit der DNS-Administratoren.
3. Es gibt eine ganze Reihe von Möglichkeiten, zu einer Koexistenz beider "Welten" zu kommen. Das funktioniert erfahrungsgemäß auch in großen Hochschulnetzen sehr gut.
4. Natürlich protokolliert Windows Fehler, sehr ausführlich sogar. In komplexen Fehlersituationen kann es aber hohen Aufwand erfordern, die Logs auszuwerten und zu interpretieren, um den Fehlern auf die Spur zu bekommen. Das gilt für alle Betriebssysteme.
5. Wir sind hier in einem Forum und können daher nur begrenzt unterstützen.

Meiner Interpretation nach liegt dein Problem bei Punkt 2. Das kommt an Unis (leider) oft vor, aber erfahrungsgemäß ist es meistens möglich, von Punkt 2 zu Punkt 3 zu kommen. Reden hilft, unterstützen kann dabei jemand, der die technischen Hintergründe kennt und darstellen kann.

Gruß, Nils

Moin,

wenn es eigentlich um die Daten geht, ist das Kopieren der Dateien der einfachste Weg.

Für Einzelfälle hatte sich für vollständige Profile in der Vergangenheit dies hier bewährt, scheint auch für Windows 10 zu gehen:

[Benutzerprofile an neue Benutzer übertragen | faq-o-matic.net]
https://www.faq-o-matic.net/2010/02/07/benutzerprofile-an-neue-benutzer-bertragen/

Gruß, Nils

Moin,

vor 12 Minuten schrieb TimS:

Gibt es eine Erklärung für mein Problem: Hinzufügen eines Clients zur Domain wenn der erste DC offline ist?

gibt es bestimmt, aber über ein Forum wird das schwierig. Zumal unter den Umgebungsbedingungen.

Fast immer liegt sowas an DNS. Der Klassiker: Beim Client ist nur ein DNS-Server eingetragen, und der läuft auf dem ausgefallenen DC.

In deinem Fall könnte es z.B. sein, dass der DNS-Server dem Client immer nur den Eintrag des ausgefallenen DCs zurückgibt. Das ist eben eine der Stellen, wo es mit dem Troubleshooting dann schwer wird, weil die typischen Annahmen nicht zutreffen. 

Gruß, Nils

Moin,

vor 13 Minuten schrieb TimS:

Ich habe dort die SRV-Records vom Domaincontroller zugefügt

von "dem"? Oder von beiden?

Die Clients müssen alle DCs finden können. Dazu müssen die DCs alle korrekt im DNS stehen. Und die Clients müssen wissen, dass sie dort nachsehen müssen.

Das mit dem externen DNS hat man an Unis immer wieder. Es ist in Wirklichkeit praktisch nie nötig. Hier würde ich eine Klärung empfehlen, ob sich die DNS-Domain nicht auf die Windows-Server (also die DCs/DNS-Server) delegieren lässt. Das macht alles viel einfacher und flexibler.

Falls das wirklich nicht geht, dann müssen die Einträge im BIND eben manuell gepflegt werden. Dann musst du dir jeweils Zeit für das Troubleshooting nehmen.

Gruß, Nils

Moin,

vor 26 Minuten schrieb hj47:

Ich persönlich bin nur Laie und unerfahren was Server, insbesondere Windows Server angeht

dann rate ich dir in der gegebenen Situation von Experimenten ab. Und 10 GB freier Plattenplatz führen zu Experimenten.

Gruß, Nils

Moin,

und beachte, dass die Redundanz des AD entscheidend von der DNS-Konfiguration abhängt.

Als Einstieg:

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

Gruß, Nils

Moin,

vor 9 Stunden schrieb daabm:

Ne, er kennt den A-Record nicht

ich würde sagen, es ist beides möglich. Wir müssten jetzt wissen, womit nslookup denn beauftragt wurde und wie es nach dem Ausschnitt weiterging. Dass nslookup eine ganze Reihe von Varianten durchprobiert, ist bei den meisten Abfragen in der Tat normal.

Gruß, Nils

Moin,

Das mag ja sein, ich meine ja auch, dass man das abwägen soll.

Gruß Nils

Moin,

Wie viele Einstellungen können es denn schon sein, dass man dafür ein Risiko eingeht? Ich würde nicht mal drüber nachdenken. 

10 GB werden mit ziemlicher Sicherheit nicht ausreichen. Und irgendwelches Cloning oder das Backup - spart man da noch Zeit? 

Gruß, Nils

Moin,

du stellst Fragen ... hier ist sie an, bei "Privat" auch das Häkchen, aber es ist noch nie ein Gerät aus dem Netzwerk automatisch installiert worden. Auch nicht wenn ich den Rechner in meinem privaten WLAN zuhause habe.

Gruß, Nils

Moin,

ich war auch schon ganz erstaunt.  Hilft jetzt bei der Lösung nur eingeschränkt, aber ein "typisches" Verhalten scheint mir das nicht zu sein.

Gruß, Nils

Moin,

liest du auch, was man dir schreibt? Ein letztes Mal versuch ich es jetzt noch.

Diese Zeile ist fehlerhaft:

vor 12 Minuten schrieb stefan4711:

SET "AF=C:\Users\Administrator\Downloads"

Und:

vor 13 Minuten schrieb stefan4711:

auch das zweite Exit ist raus

Aber das erste Exit ist immer noch drin. Da Exit sich eben nicht so verhält, wie du das vermutest, kann es immer noch sein, dass es das Skript beendet, wenn der Parser die Zeile liest. Sollte er nicht, weil die Bedingung nicht zutrifft. Der CMD-Interpreter arbeitet aber nun mal anders als eine echte Programmiersprache. Solange das Exit also drinsteht - und zwar genau an der Stelle, wo der Abbruch stattfindet -, brauchen wir an dem Rest nicht rumzumachen.

Noch besser (und mittlerweile eine Frage der Höflichkeit) wäre es, wenn du uns endlich mal sagst, was du da eigentlich insgesamt vorhast. Warum machen wir ewig an dieser IF-Konstruktion in einem Batch rum? In der Zeit hätte man die Aufgabe vermutlich manuell längst erledigt. Oder man lässt das mit dem IF einfach und erzeugt den Task in jedem Fall neu, ist ja am Ende egal. Gibt es Gründe, das anders zu machen? Dann wäre es nett, wenn du uns das wenigstens mal skizzierst, denn dann können wir vielleicht sinnvoll zu einer Lösung beitragen, statt einfach nur rumzustochern.

Gruß, Nils

Moin,

Puh, du bist aber ne echt harte Nuss. Wie dein Code jetzt aussieht, soll ich raten, oder wie?

Kann es sein, dass das Skript in dem umständlichen Befehl am Ende über den Versuch stolpert, die Variable AF aufzulösen, die du in der dritten Zeile fehlerhaft definiert hast?

Gruß, Nils

Moin,

Also du willst nicht erklären, was du machst. Gut, musst du auch nicht, ist ja ein freies Land hier.

Das Problem ist mit Sicherheit das Exit. Das beendet dein Skript und den ganzen CMD-Prozess. Möglicherweise habe ich die Vermutung schon mal geäußert. Du könntest jetzt mal versuchen, das Skript ohne Exit zu bauen. Musst du aber auch nicht, da sind wir liberal.

Übrigens ist die einzige Zeile in dem Skript, die was machen soll, völlig unnötig kompliziert. Die FOR-Schleife braucht es dort nicht.

Gruß, Nils

Moin,

also gibt "er" auch nicht das ECHO aus? Dann ist es das EXIT. Das führt eigentlich immer zu unerwünschten Folgen. Faustregel: EXIT gehört nicht in ein Batch.

Was du jetzt noch nicht beantwortet hast, ist, was du da eigentlich machst. Ich sehe irgendwas von Scheduled Task und Systemkonto, kann mir aber keinen Reim drauf machen. Typischerweise kann man Probleme vom Typ "Geht nicht" besser lösen, wenn man weiß, worum es insgesamt geht.

Gruß, Nils

Moin,

was auch immer 

vor 11 Minuten schrieb stefan4711:

die aber im Else Fall einfach rausspringt

heißt - ich verstehe die Fehlerbeschreibung nicht.

Ferner verstehe ich nicht, was du da eigentlich machst. Es wäre hilfreich, gäbest du an, was du denn eigentlich erreichen willst.

Was mir auffällt: EXIT beendet nicht das Skript, sondern die ganze CMD-Instanz. Das ist fast nie gewollt. Wenn du nur das Skript verlassen willst:

GOTO :eof

Gruß, Nils

Moin.

Was in dem Heft steht, ist völlig richtig, aber eben nicht vollständig. Die Anmeldung an der Domäne ist Voraussetzung dafür, dass man überhaupt Berechtigungen bekommen kann. Ohne Berechtigungen auf die Ressourcen nützt einem die reine Anmeldung aber nicht.

Und eine Domäne kann man nicht nachträglich aus einem Forest entfernen. Auch umgekehrt kann man eine Domäne nicht nachträglich einem Forest (genauer: einem anderen Forest) hinzufügen.

Du lernst Theorie? Gut, dann gehört das dazu, aber für Umsetzungen braucht man das Wissen nicht. Man muss das nur als Berater wissen, um Kunden zu sagen, dass sie das nicht tun sollen.

Gruß, Nils

Drü däzi.

Gruß, Nils

Moin,

Ja, wir in der IT mögen eins wirklich nicht: Anforderungen.

SCNR,

Nils

Moin,

in dem Fall braucht es keine weitere Lizenz, wenn ihr ein Server-OS als Client bereitstellt. Funktioniert meist super.

Wenn es doch ein Client-OS sein soll, braucht es dazu eine eigene Zugriffslizenz, weil man Client-OS nicht einfach so virtualisieren darf und weil Client-OS nicht in der DC-Lizenz des Hosts enthalten sind. Eine normale Windows-10-Lizenz reicht nicht aus. Früher hieß diese Lizenz VDA, ist evtl. immer noch so.

Gruß, Nils

Moin,

zielführend ist es daher, wenn wir mal schauen, was der TO denn eigentlich erreichen will. @info@vision4d.de, wozu brauchst du denn die Liste? Welches Problem oder welche Anforderung willst du lösen?

Gruß, Nils

Moin,

vergiss einfach die Netzwerkumgebung. Die hat noch nie so funktioniert, wie es dir vorschwebt. Ob ein Rechner dort angezeigt wird oder nicht, hat auch nichts damit zu tun, ob er erreichbar ist.

Gruß, Nils

Moin,

lizenzrechtlich ist es meist günstiger, dafür kein Client-OS bereitzustellen, sondern ein Server-OS. Je nachdem, wie die Host-Umgebung lizenziert ist, braucht man dann gar keine zusätzlichen Lizenzen.

Gruß, Nils