Andi S.

Hmm, wenn wir schon beim Thema sind: Weiß jemand einen guten Link wo DNS im AD inkl. Replikation schön erklärt ist?

Ja, da seh ich schon...DNS im AD wäre jetzt sowieso als nächstes bei mir auf der Liste. Ich denk da hab ich einiges zu schmökern ;)

Wenn im Extremfall der andere DNS auch nicht geht (der ja auf dem 2. DC läuft), geht vermutlich der ganze DC nicht.

Nicht der DNS geht nicht, der Router zum DNS ist kaputt in meinem Beispiel.

 

Wozu sollen die Einträge dann gut sein ? Ne, irgendwann ist Netz halt tot und man muss zum "Werkzeug" greifen.

 

-Zahni

Genau dafür wenn der DNS wegen Routerausfall nicht mehr erreichbar ist, in dem Subnet aber ein DC drin steht der den Katalog schreiben kann.

In jedes Subnet einen eigenen DNS installieren mit Zonenreplikation kommt mir irgendwie überdimensioniert vor.

Das man das so macht ist mir schon klar. Hab ja auch weiter oben geschrieben dass mit DNS alles funzt. Darum gings mir auch nicht. Ich wollte wissen wie man es in einem Extremfall macht. Inzwischen weiß ich es auch.

Klar. Da muss ein neuer Mitarbeiter dringend mit seinem Rechner ins Netz, der Router kackt ab, es ist ein DC im Subnet und der hat keinen DNS drauf.

Du: Ich warte bis der Großhändler einen neuen Router geliefert hat.

Ich: Ich benutze LMHOSTS.

Kennt die Datei denn keiner mehr?

–

Hier, das meine ich

How to Write an LMHOSTS File for Domain Validation and Other Name Resolution Issues

Und hier die Suffixe:

http://support.microsoft.com/kb/163409/DE/

Nene, ich bin schon richtig.

Wie fügst du denn den Client in das AD ein wenn der DNS nicht erreichbar ist? Oder machst du in jedes Subnet einen DNS?

Nicht ganz. Wenn auf dem Client der DNS eingetragen ist funzt alles. Was in meinem "Versuchslabor" auch klar ist da ich für diese DOM nur einen DC für das AD habe und damit der DNS ja bei Erstellung des AD den DC automatisch in den DNS einträgt.

Ich wollte versuchen den Client ohne DNS in die DOM zu schieben. Ich will halt auch wissen wie es ohne DNS geht. Kann ja alles mögliche passieren in so einem Netz. Vielleicht gibt es mehrere DC in der DOM und der DC in dem Clientsubnet hat keinen DNS drauf, kann aber den Katalog schreiben. Und wenn dann die Verbindung zum DNS weg ist (router kackt ab oder sowas), dann will ich nicht da rumstehen und warten bis der DNS wieder erreichbar ist sondern eine schnelle Alternative zum hinzufügen eines Client zum AD.

Und weil DNS dachte ich zuerst an die HOSTS...aber da gibts keine funktion für. Und so bleibt anscheinend nur die LMHOSTS.

K.A. Ich beschäftige mich ja erst seit einem Monat mit den Servern/AD ect.

Vielleicht gibts es Situationen in denen ein Nicht-AD-Client auf den DNS nicht zugreifen darf. Oder der DNS fällt aus. Was weiß ich was da alles vorkommt.

–

Hast du denn ein Computerkonto für den Client in der Domäne?

Ja, hab zuerst ein Konto für den Rechner erstellt.

:( Dann bleibt mir da wohl nur die LMhosts? Also #DOM:xxxx?

Hiho :)

Ich wollte einen Client per HOSTS-Datei in eine Domäne schieben. Wie trägt man den DC/DOM in die Hosts ein?

Ich will halt nicht dass der Client einen DNS abfrägt sondern die Domäne, in die er hinein geschoben werden soll, per HOSTS findet.

Bekommt sie dann nicht auch eine neue ID und wenn die dann regulär gelöscht wird wird die GPO mit der neuen ID gelöscht und die alte "Rest-ID" ist dann immer noch drin?

Könnte der smtp-server geblockt werden wenn er eine Private IP (z.B. 192....) hat?

Die Priorität von niedrig bis hoch ist: Lokal, Standort, Domäne, OU, wobei nur die letzten 3 Domänenrichtlinien sind, bei denen gilt ... je näher am Objekt, desto höher die Priorität ...

 

 

Nein, das heisst es nicht, siehe oben ...

Rest auch gelesen?

Also wenn du die Verknüpfung der GPO (in der Gruppenrichtlinienverwaltung wenn du deine OU erweiterst siehst du sie) mit deiner OU und die GPO im Ordner Gruppenrichtlinien gelöscht hast, dann sollte sie eigentlich weg sein. Kannst du in gpresult (hab ich noch nicht getestet) sehen wo diese GPO "eigene-Datei" liegt? Also OU oder Dom?

Tja, könnte an der eingestellten Verteilzeit liegen. Gabs da nicht den Befehl "/force" oder so?

Danke :)

Hmm, scheint nicht unbedingt viel mehr zu können als der Schmalspur-Xen 3.3.1 in Linux :suspect:

Gut, HA und SAN hab ich mangels Masse noch nicht probieren können, aber so sachen wie p2v oder Hotplug von Nic oder HD geht auch. Und CPU/Speicher...naja, hab nur 2 CPU, aber ich kann virtuell so viele CPU auf eine VM patchen.wie reell auch da sind. Ob es 8 werden...k.a.

Die GUI-Administration hingegen scheint ziemlich gut zu sein nach den Bildern zu urteilen.

Tja, nimm doch einfach mal die User, die die GPO nicht bekommen sollen, aus der Sicherheitsfilterung raus. Dann sind sie in der OU, bekommen aber die GPO nicht ab da sie als User nicht eingetragen sind. Probiers einfach und wenns bei dir nicht geht kannst mich immer noch was schimpfen ;)

du meinst die

lsdo regel?

 

lokal

site

domäne

ou

 

?

Hmm, soweit ich das weiß kommt als niedrigste lokal, dann OU und dann Dom. Dom überschreibt also die OU und die OU überschreibt die lokal.

nun nocheinmal

 

ich habe eine OU, darin sind 3 User ich hab die GPO verlink und aktiviert "entferne Icon eigene datei am desktop"

das geht!!

 

aber nun

 

habe ich bei einem User aus DIESER OU in den Sicherheitseinstellungen verweigern angeklickt => eigentlich sollte der User nun vor der GPO "geschützt" sein das heisst

für eben diesen einen User sollte sollte eigene Datei am Desktop wieder erscheinen

tut`s aber leider nicht?

weitere Ideen?

mfg

An dem verteilen der GPO kanns nicht liegen. Kannst du nicht einfach die User aus der GPO rausnehmen? Zumindest ist das hier auf W2K8 so dass man da explizit angeben kann für wen die GPO gilt. Also womit sie verknüpft wird (Dom;OU) und für wen sie dann in der OU gilt. Gibts das bei dir als option in der Gruppenrichtlinienverwaltung?

–

 

Nein, tut sie nicht, genau andersrum (je näher am Objekt, desto höher die Priorität) ...

Hmm, das würde ja heißen dass eine lokale vorrang vor der OU hat. Wieso geht das dann bei mir nicht? Ich kann lokal sagen dass der Papierlorb weg kommt, kommt er aber nicht weil die in der OU des Benutzers sagt dass er nicht weg kommt.

Läuft da was schief?

Hey! Uns sogar die default Domain Policy überschreibt die lokale und die ist ja ziemlich weit weg.

Ok. Reihenfolge "lsdo" ist richtig. Hab jetzt alles durchgetestet und genau so ist es.

Kurze Zwischenfrage:

Ist der Cyitrix Xen-Server der gleiche wie der Xen den ich auf meiner Linuxkiste ausführe?

Soweit ich das verstanden habe überschreibt eine GPO auf Dom-Ebene die GPO auf Ordnerebene. Könnte also sein dass da noch eine DOM-GPO ist die den Ordner verschwinden lässt.

Danke für die Mühe :) Hab dann doch nen neuen Thread aufgemacht und alles wurde schon gelöst....geht fix hier ;)

Ah, sehr schön :)

Hmm, brauch das dann eine Weile? Ich hab die Domadmins der zugreifenden Dom dort eingetragen. In der Freigabe stehen die auch drin und bei ntfs stehen die auch drin. Funktioniert aber immer noch nicht bzw. es kommt immer noch die selbe Fehlermeldung. Aber schon mal danke für die "erweiterten Features" :)

–

Ha! Gelöst :) Man muss als explizites Recht noch "Authentifizierung zulassen" geben. Jetzt gehts. Ist das bei W2K3 auch so?

Ah ja, is bei W2K3 auch so. Hab mir gerade nochmal Grizzly999s Antwort durchgelesen. Man muss nicht nur lesen können um klar im Vorteil zu sein. Man muss es auch aufnehmen und verstehen :(

Nein, tut er nicht. Habe hier natürlich vor dem Posten erst die Suche gequält und auch diesen Thread gelesen. Leider gibt Grizzly999 nicht an WO er die ACL ändert. Im AD suchen ergibt bei mir einen Eintrag mit dem Server (soweit, so gut), allerdings kann ich dort bei Eigenschaften keine ACLs ändern. Es liegt vielleicht daran dass es W2K8 ist.

Hiho :)

Ausgangslage:

W2k8_Standard. 2 Gesamtstrukturen mit jeweils einer Dom. Vertrauensstellung unidirektional eingerichtet und zwar explizit und nicht domänenweit. User aus der einen Dom können Ressourcen/Freigaben der anderen Dom per ACL zugeordnet werden (somit ist mit DNS, IP, Vertrauensstellung alles ok).

Problem:

Beim zugreifen auf die Freigabe der vertrauenden Dom (bei der in Freigabe-ACL und die NTFS-ACL die User der vertrauten Dom eingetragen sind) von der vertrauten aus kommt die Fehlermeldung: Durch Authentifizierungsfirewall ist zugriff auf Ressource nicht möglich.

Die Suche hier ergab zwei Threads die unvollständig sind und meine Frage nicht beantworten.

Meine Frage:

Wo genau muss ich die User der vertrauten Dom auf dem Freigabeserver der vertrauenden Dom eintragen damit die durch die Auth-firewall durchgelassen werden? Ich habe unter "Benutzer-Computer" bei eigenschaften von DC keine ACL-Auswahl und unter "Standorte-Dienste" habe ich diese, habe dort auch die user eingetragen aber immer noch kommt die gleiche Fehlermeldung. Wo muss ich die User eintragen?

Hiho :)

Ich hab hier auf der Suche nach einer Lösung zwei Beiträge auf meine Frage gefunden, wobei einer alles beinhaltet (also auch den zweiten Beitrag). Diesen wollte ich als Aufhänger nehmen (zumal dort die Frage immer noch ungeklärt ist) und mich mit meiner gleichen Fragestellung mit dranhängen.

Der Beitrag ist 437 Tage alt (nicht gelöst) und ich kann dazu zwar ne Antwort schreiben, will ich sie jedoch abspeichern kommt ein Spruch ob ich das wirklich will weil Beitrag so alt. Wenn ich das will, dann soll ich "unten" auf Bestätigung klicken........nur ist da kein Button "Bestätigung".

Wie kann ich den alten (ungelösten) Beitrag wieder "reanimieren"?