frr

Hi Nils, das ist "ungefähr" richtig. W32Time hat eine Genauigkeit mit einer Abweichung von 1 - 2 Sekunden was für Kerberos und die meisten anderen Dienste mehr als ausreichend ist. Bye, Frank

Hi, ich hatte hier letztens eine ähnliche Diskussion mit Nils hier. Allerdings ging es da rein um Windows und keinen Linuxkasten: 1.) Ich habe mit PBIS noch nicht gespielt. Allerdings hatte ich schon ähnliche freie Lösungen wie z.B. Centrify in der Hand. Vergiss das einfach alles und schaue Dir mal SSSD an. Das ist wesentlich flexibler und dort kannst Du dann auch noch gleich solche Sachen wie Sudo oder auch autofs und services mit abfackeln. Das macht die Sache etwas flexibler....... 2.) Füge den zusätzlichen DNS Suffix als erlaubten DNS Suffix im AD hinzu (msds-Allowed-DNS-Suffixes) 3.) Natürlich ist es möglich einen Rechner mit dem DNS Namen server1.linuxdns.internal in einer Ad-Domäne mit dem Namen ad-domaene.internal (linuxserver.ad-domaene.internal) zu betreiben. Das von daabm empfohlene tool zur Erstellung der keytab (msktutil) erlaubt es Dir hier entsprechende DNS Namen etc. anzugeben. Um die Erstellung eines Computeraccounts kümmert sich das Tool auch gleich. Wie dbaam schrieb ist es hier eine gute Idee für msktutil einen täglichen cronjob einzurichten der gegebenenfalls das Computerkennwort aktualisiert (msktutil --auto-update). That´s it. Dann rennt das. Denke bitte daran, das mit Kerberos die Kisten auch über reverse DNS auflösbar sein müssen. Wenn nicht, musst Du das in der krb5.conf deaktivieren. Bye, Frank

Zu Thema Standortsuffix: Die Clients können auch ein abweichendes primäres DNS Suffix verwenden. Dann generieren die Clients sogar Ihre SPNs für dieses Suffix (Client FQDN "client1.foo.bar" ist Mitglied in der AD Domäne "ad.bar") . Ein andere Möglichkeit wäre natürlich das definieren von Suchsuffixen über eine GPO die man mit dem jeweiligen AD Standort verknüpft. Zum Thema Sinnfindung: Du hast z.B. ein Skript, was von dem Hostnamen "Fileserver" aus einem Share bestimmte Daten zieht. Damit Du das Skript nicht für jeden Standort anpassen musst, könnte so ein generischer Name schon Sinn machen. Ein Beispiel wären da auch ein Repository Server für automatische Setups etc.. Da fallen mir einige Anwendungsbeispiele ein. DFS-N ist zwar gut gedacht, leider gibt es noch andere Betriebssysteme, die das nicht können. Da muss man sich dann auf dem kleinsten Nenner treffen, um eine Lösung zu finden. Bye, Frank

Hi Nils, die gleichen Hostnamen für das Computerkonto selbst geht nicht. Aber das muss auch nicht sein, um das was der OP will zu realisieren. 1.) Man konfiguriert die zusätzlichen DNS Suffixe im Attribut msds-AllowedDNSSuffixes am Domänenobjekt (z.b. standort1.dom.local,standort2.dom.local,standort3.dom.local) 2.) Man installiert drei Fileserver FS1,FS2,FS3 3.) Man erstellt einen CNAME "Fileserver" in jeder Subdomain, der jeweils auf FS1,FS2,FS3 zeigt. 4.) Man erstellt mit setspn den jeweiligen SPN der am Computerobjekt hängt 5.) Man konfiguriert DisableStrictNameChecking auf jedem Fileserver That´s it. Dann funktioniert die Sache und das auch mit Kerberos Authentifizierung. Bye, Frank

Hi Nils, da kann ich Dir nicht zustimmen. Natürlich ist es möglich ein AD zu betreiben, wo die Hosts unterschiedliche DNS Suffixe benutzen. Das ist auch supported by MS und macht z.B. in dem vom OP geposteten Szenario Sinn. Bye, Frank

Hallo, Es gibt schon einen Unterschied ob es über ein Anmeldeskript bzw. die GPPs gemappt wird. Schau Dir mal die Umgebungsvariablen "Homedrive","Homepath" und "Homeshare" von einem Benutzer an, der das Homelaufwerk über die Eigenschaften des Benutzerkontos gemappt bekommt und von einem Benutzer der es über ein Anmeldeskript bzw. die GPPs gemappt bekommt. Da stellst Du sicher Unterschiede fest......! Viele Grüße Frank Röder

Hallo, läuft das Navision auf SQL oder mit der eigenen Datenbank? Wenn es mit SQL läuft, dann werden das wohl die Transaktionsprotokolle sein. Viele Grüße Frank

Hallo André, machst Du das zufällig unter Windows 2008 oder auch R2? Da gibt es einen Hotfix dafür. Schau mal in diesem Artikel nach ungefährt in der Hälfte stehen die Links: http://blog.iteach-online.de/index.php/2012/06/wie-migriere-ich-einen-fileserver/ Viele Grüße Frank

Hallo, das passt so. Allerdings schreibe ich da mal ein NICHT SUPPORTED dahinter. Viele Grüße Frank

Hallo Alexander, machst Du das in einer Testumgebung oder in einer Produktivumgebung? Wenn es eine Testumgebung ist, dann hast Du bestimmt die Maschinen geclont und kein Sysprep ausgeführt. Deshalb kommen die wilden Fehlermeldungen. Viele Grüße Frank

Hallo, wenn es Dir nur um einen einzelnen Benutzer geht, dann kannst Du in den Eigenschaften der entsprechenden Gruppe auch den Benutzer als Manager (Registerkarte "Verwaltet von") eintragen. Darunter kannst Du einen Haken setzen "Vorgesetzter kann Mitgliedsliste ändern". Jetzt noch fix eine MMC für den Benutzer bauen und fertig ist die Kiste. Viele Grüße Frank

Hallo, wie Du richtig erkannt hast, wird bei einem Restore die InvocationID neu gesetzt. Verantwortlich dafür ist ein Registrykey unterhalb von HKLM:\System\CCS\Services\NTDS\Parameters der während des Restores gesetzt wird. Viele Grüße Frank

Hallo, Du kansnt das Attribut entfernen. Bei einer größeren Datenmenge dauert das aber eine Weile und verursacht auch eine gewisse Last. Auf dieser Seite gibt es ein Skript, was Dir weiterhelfen sollte: DFSR Does Not Replicate Temporary Files - Ask the Directory Services Team - Site Home - TechNet Blogs Viele Grüße Frank

Hallo, da Du bei keiner Eingabe von read-host einen leeren String zurückbekommst, kannst Du mit $eingabe -contains "" testen, ob nur Enter gedrückt wurde. Viele Grüße Frank

Wenn Du die WAN Bandbreite beachten musst, dann würde ich das nicht über WMI realisieren. Ich würde das eher über einen Remotejob machen. $scriptblock = {get-eventlog -log security | ?{$_.message -match "Kontoname:*$Administrator" -and $_.eventid -eq 4771}} invoke-command $scriptblock -computer SRV1 -asjob Danach eine Warterunde im Skript mit start-sleep Jetzt benötigst Du eine Schleife, die prüft ob alle Jobs den Status "completed" haben. Wenn das so ist, kannst Du die Ergebnisse abholen und verarbeiten. Viele Grüße Frank