Netscape

Hi,

ich möchte gerne einen Win2k8 R2 RDS Server über das Internet verfügbar machen.

Gehen würde das ja mit dem RDS Gateway. Da es bei mir aber nur um 10 User auf dem RDS geht, halte ich ein Gateway für übertrieben. Da brauch ich ja zwei Server dafür.

Nun die Frage, kann ich den RDS Host auch über HTTPS veröffentlichen oder kann das nur das Gateway?

Also,

nachdem ich jetzt auch einer Gruppe Vollzugriff gegeben hatte und es immer noch nicht ging, habe ich mal die Freigabeberechtigungen geprüft.

Die Gruppe hat das Recht auf Lesen und Ändern. Nachdem ich der Gruppe Vollzugriff auf die Freigabeberechtigung gestattet hatte, funktioniert es jetzt.

Aber kann mir einer erlären wieso das so ist?

Hi,

also die Gruppen haben das Recht "Berechtigungen ändern".

Die Ordner sollen auf einem Netzlaufwerk erstellt werden.

Die Ordner werden angelegt. Die Probleme treten erst beim setzen der Berechtigungen auf.

Ich sollte noch dazu sagen, dass das Share auf einem 2008 R2 Server liegt.

Hi,

ich möchte setACL Berechtigungen über ein Skript für mehrere Ordner setzen. Dieses Skript soll aber später von den Usern gestartet werden.

Das Skript (etwas gekürzt) sieht folgendermaßen aus:

@echo off

mkdir "%foldername%"

mkdir "%foldername%\TeamA"
mkdir "%foldername%\TeamA\Folder1"
mkdir "%foldername%\TeamA\Folder2"
mkdir "%foldername%\TeamA\Folder3"
mkdir "%foldername%\TeamA\Folder4"
mkdir "%foldername%\TeamA\Folder5"
mkdir "%foldername%\TeamA\Folder6"
mkdir "%foldername%\TeamA\Folder7"
mkdir "%foldername%\TeamA\Folder8"
mkdir "%foldername%\TeamA\Folder9"
mkdir "%foldername%\TeamA\Folder10"

mkdir "%foldername%\TeamB"
mkdir "%foldername%\TeamB\Folder1"
mkdir "%foldername%\TeamB\Folder2"
mkdir "%foldername%\TeamB\Folder3"
mkdir "%foldername%\TeamB\Folder4"

goto setacl_job

:setacl_job
%setacl_bin% ^
-on "%foldername%" -ot file ^
-actn ace -ace "n:domain\it-team;p:read,write,change,write_dacl" -actn setprot -op "dacl:p_nc" -rec cont_obj -actn clear -clr dacl ^
-actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn rstchldrn -rst dacl


goto setacl_TeamA

:setacl_TeamA
%setacl_bin% ^
-on "%foldername%\TeamA" -ot file ^
-actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn setprot -op "dacl:p_nc" -rec cont_obj ^
-actn clear -clr dacl ^
-actn rstchldrn -rst dacl

goto setacl_TeamB

:setacl_TeamB
%setacl_bin% ^
-on "%foldername%\TeamB" -ot file ^
-actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamB;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamA;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
-actn setprot -op "dacl:p_nc" -rec cont_obj ^
-actn clear -clr dacl ^
-actn rstchldrn -rst dacl


:exit
exit

Problem ist, wenn ich mit einem User, der Mitglied der Gruppe TeamA ist, das Skript starte, dann bekomm ich von setACL die Fehlermeldung:

"Writing SD to ... failed. Zugriff verweigert."

Mit dem Administrator funktioniert es ohne Probleme.

Krieg ich das auch ohne Adminrechte zum laufen?

Hat da jemand eine Idee?

Also die Teamordner existieren(Es gibt immer nur vier Teamordner). Die JOB Ordner und die Kundenordner existieren noch nicht. Die werden nach und nach angelegt, wenn ein neuer Job kommt.

Es wird nur mit Teamberechtigungen gearbeitet.

Im "Muster_JOB_XY" Ordner ist die Struktur der Teamordner mit Berechtigungen abgebildet. Aber wenn ich den Ordner irgendwo hinkopiere werden die Berechtigungen ja ersetzt.

Hi,

ich habe ein Problem mit Ordnerberechtigungen.

Und zwar soll folgende Struktur abgebildet werden:

Freigabe
   |
   |
   |--------Jobs
      |
      |
      |----Kunden
	      |
	      |-----Muster_JOB_XY
	      |
	      |
	      |
	      |-----KundeA
	      |        |
	      |        |------JOB_XY
	      |			|
	      |			|
	      |			|------TeamA
	      |			|
	      |			|------TeamB
	      |			|
	      |			|------TeamC
	      |			|
	      |			|------TeamD
	      |
	      |
	      |
	      |
	      |
	      |
	      |-----KundeB
	      |
	      |-----KundeC

Nun zu den Berechtigungen:

TeamB, TeamC und TeamD sollen lesenden Zugriff auf den Ordner von TeamA bekommen.

Selbes Prinzip für den Ordner der anderen Teams. Also immer lesender Zugriff für die Anderen.

Das Problem ist, dass die Jobordner (JOB_XY) noch nicht existieren und erst von den Benutzern angelegt werden.

Wie kann ich das am Besten lösen. Geht wahrscheinlich nur über ein Skript oder?

Hi,

habe ein Problem auf unserem Ex2k7 SP3. Und zwar funktioniert seit kurzem die Autodiscover Funktion von Outlook 2007 nicht mehr richtig.

Das Autodiscover läuft, aber er zeigt mir dann den Benutzernamen mit Domänensuffix als Adresse.

Wenn ich die E-Mail und das Passwort manuell eintippe macht er weiter.

Das Problem besteht aber erst seit kurzem. Ich denke es war erst nachdem auf einem DC ein USN Rollback verursacht wurde.

Autodiscover Test auf einem Client:

AD lookup for e-mail address succeeded

Ich will den CAS vom Mailbox Server aus Sicherheitsgründen trennen. Der CAS muss ja übers Internet erreichbar sein für ActiveSync.

Aber das ist ein anderes Thema.

Vielen Dank für eure Hilfe.

Bisher laufen alle Rollen (HUB, Mailbox & CAS) auf einem Exchange. Das will ich jetzt aber auch etwas trennen, wegen Active Sync für iPhone´s.

Der 2010 wird zu teuer sein. Da müssen ja dann auch die User CAL´s wieder neu gekauft werden. Bei 100 Usern ist das auch wieder ne Summe.

Kann ich den zweiten Exchange 2007 einfach installieren und die Postfächer verschieben oder muss ich was spezielles beachten?

Hi,

ich möchte unseren Exch2k7 SP2 umziehen. Der Grund ist wir haben neue Hardware und arbeiten nun mit VMware ESX Server.

Nun möchte ich vom physikalischen Server auf einen Virtuellen Server umziehen. Was ist der einfachste Weg, agesehen vom Klonen des physischen Servers?

Einen zweiten Exch2k7 installieren und dann einfach die Postfächer verschieben?

Ja, ist sowohl auf dem Benutzerobjekt, als auch auf der OU gesetzt. Ich hab in einer OU, wo die Rechte gesetzt sind, zwei User. Bei einem kann ich die ADPermission abfragen, beim Anderen nicht.

Hi,

ich habe ein komisches Problem auf einem Exch2k7 SP2. Und zwar kann ich bei einigen Mailboxen die ADPermission nicht abfragen.

Folgender Fehler kommt:

Get-ADPermission : Der Vorgang konnte nicht ausgeführt werden, weil das Objekt
'mmuster nicht auf dem Domänencontroller 'srv.domain.local' gefund
en wurde.
At line:1 char:17
+ Get-ADPermission  <<<< mmuster | fl

Bei einigen geht´s, bei einigen nicht. Die Mailboxen funktionieren aber bei allen Problemlos. Die User sind auch im AD vorhanden.

Ok, danke für die Hilfe.

Geht im Moment noch nicht um die DC´s. Nur um die Memberserver.

Den Link kenn ich schon ;)

Hi,

wir haben eine Windows Server 2003 Domäne und nun möchte ich die ersten Win2k8 R2 Server als Mitgliedsserver aufnehmen.

Die Server sollen noch nicht als DC arbeiten, nur als Memberserver.

Kann ich die so aufnehmen, ohne irgendwelche Änderungen am AD zu machen?

Der Dienstleister hat jetzt die Festplatte schnellformatiert und einen Laufwerksbuchstaben zugewiesen. Nun lässt er ein Recovery Tool drüberlaufen.

Das hat aber nur 5600 Dateien gefunden, bei belegten 300GB.

Kann mir jemand ein Tool zur Datenwiederherstellung empfehlen?

So, die gröbsten Probleme sind behoben.

Habe den DC runtergestuft und ein Metadata Cleanup gemacht. DCdiag und Netdiag zeigen nun keine Fehler mehr. Den Server hab ich dann wieder als Memberserver aufgenommen. Bisher keine Probleme.

Das Exchange Problem hat sich auch gelöst.

Es hat wohl bei dem USN Rollback auch ein paar Berechtigungen für den Exchange im AD zerschossen.

Auf dem Exchange in der Console ergab der policytest (policytest in der cmd ausführen) das die Berechtigungen in der Default Domain Controllers policy nicht stimmen.

Nachzulesen hier.

Habe jetzt den DC/Fileserver mit dcpromo und metadata cleanup aus der Domäne entfernt.

Nun is der Fileserver ja nich mehr in der Domäne. Ich muss ihn aber wieder aufnehmen, da ja Daten darauf liegen. Der Hostname muss aber der gleiche sein wie bisher. Kann ich den einfach wieder aufnehmen oder muss ich vorher die SID ändern?

Und der Exchange Server will auch nicht mehr starten. Er kann diverse Exchange Dienste (Informationsspeicher, Transportserver,..) nicht mehr starten. Kommt immer die Fehlermeldung, dass der Dienst nicht reagiert.

Hab noch eine Frage.

Hab nach dem KB Artikel von Microsoft den DC auf USN-Rollback geprüft. Normalerweise sollte der defekte DC ja eine niedrigere USN haben als auf den Anderen DC´s. Ist hier aber nicht der Fall.

repadmin /showutdvec auf dem fehlerhaften DC01:

location\DC01                 @ USN   6664437 @ Time 2010-12-19 12:11:25

repadmin /showutdvec auf DC02:

location\DC01                 @ USN   6656115 @ Time 2010-12-18 13:17:15

Kann ich nicht genau sagen. Das hat der Dienstleister gemacht.

Aber aus dem shared mapping ist eigentlich nichts gemacht worden.

Ok, danke euch schonmal für die schnelle Hilfe.

Kann ich theoretisch auch von einem SystemState eine Rücksicherung machen und die Daten von den Anderen DC´s replizieren?

Ich hatte gestern Abend noch mit ntbackup eine Sicherung des Systemstate gemacht.

Herabstufung:

Der DC ist auch DNS/DHCP Server. Muss ich den vorher deinstallieren, wenn ich ihn doch herabstufe und mit metadata cleanup säubere?

Muss ich dabei sonst noch auf etwas achten? Der Server ist wie gesagt auch Fileserver und es läuft eine DATEV Instanz drauf für 4 User.

Noch eins:

Der Exchange spinnt auch. Der kann das AD nicht mehr abfragen. Im Event log steht:

Could not find any available Global Catalog in forest domain.local.

Aber Zeitweise funktioniert er.

PS: Der defekte Server war auch GC. Habe aber gestern einen zweiten GC angelegt auf dem Server, dem ich die FSMO Rollen zugewiesen habe.

Wir haben zwei IBM_2005_16B für Redundante Pfade.

Das LUN mapping wurde wieder hergestellt bzw. geändert. Für den virtuellen Server wurde das Mapping dahingehend geändert, dass es ein shared mapping ist. Also waren die LUN´S gleichzeitig dem alten physikalischen Server und dem ESX Server zugewiesen.

Der alte Server war zu der Zeit aber abgeschaltet. Nachdem dann aber das Problem mit dem Laufwerk auftrat, wurde das Mapping wieder in den Ursprungszustand zurückgesetzt (Mapping nur auf den alten Server).

Hi,

hier die Info´s:

- ESX 4.1.0

- SAN: IBM DS4700

und hier der Screenshot

Außerdem habe ich noch dieses Problem mit dem Server:

http://www.mcseboard.de/windows-server-forum-78/festplatte-fehlend-angezeigt-172880.html

Eine Festplatte die vom SAN direkt auf den Server gemapped wurde, wird nicht mehr angezeigt.