Maraun

Danke Euch zwei für die Antworten. Prinzipiell ist die Variable %username% nutzbar, allerdings sind die Benutzerprofile nicht immer mit ihrem Benutzernamen angelegt, habe ich gerade erfahren. Das heißt für mich, ich muss die Profilnamen auslesen und eigentlich nur die vorgesetzte Serveradresse im Feld Terminalserverprofil ändern. Wie Norbert schreibt, werde ich mir dafür mal admodify anschauen, wenngleich ich es gerne auch unter Powershell lösen würde. Viele Grüße Alex

Hallo zusammen, wir haben hier in einer Domäne knapp 1500 User, die mit ihrem Terminalserverprofil auf zwei unterschiedlichen Citrix-Servern liegen. Ich habe per PS Script mal die User und ihre jeweiligen Terminal Server Profile abgefragt, das sieht in etwa so aus: Benutzername Terminalserverpfad Benutzer 1 \\server1\profile\benutzername Benutzer 2 \\server2\profile\benutzername Benutzer 3 \\server2\profile\benutzername $OU = "domain.de/ou" Get-QADUser -SearchRoot $OU -includedproperties name,tsprofilepath | select name, tsprofilepath Jetzt würde ich gerne alle Profile nur noch auf einem Terminal Server ablegen. Wenn ich mich für einen Server entschieden habe, besteht dann die Möglichkeit, den Wert des tsprofilepath per PS fest zu schreiben, bzw. die ersten Zeichen, bis nach profile? Oder muss ich den Benutzername jedes Benutzers zusätzlich auslesen und im Script setzen? Vorab danke für alle Antworten. Viele Grüße Alex

Ja, ist mir bekannt. Die Alternative ist, die Seite auf SSL umzustellen, oder die Applikation auf einem DC zu belassen. Werde morgen mal danach schauen, was bei uns mehr Sinn ergibt. Danke für den Hinweis. Grüße Alex

Hi nochmals, für alle, die es interessiert, ich habe die ASP / HTML Applikation jetzt am fliegen. Der Grund für die Fehlermeldung war, dass im IIS des DC´s Integrated Windows Authentication hinterlegt ist und auch nur auf den DC´s funktioniert. Das heißt, ich habe in der Default Website für alle Verzeichnisse die Einstellungen auf Basic Authentication verwendet, die Domäne hinterlegt und nutze jetzt einen Benutzer, der Zugriff auf das AD hat. Danke nochmals. Gruß Alex

Hi zusammen, danke für die Antworten. Ist eine Fremdprogrammierung, bei der ich den Support diesbezüglich noch nicht kontaktiert habe. Habe einfach einen W2K3 Server aufgesetzt, IIS samt ASP installiert, IIS Backup eingespielt und die Applikation selber startet auch fehlerfrei. Ist eine HTML/ASP Applikation mit einer SQL-Datenbank im Hintergrund (Aufruf per http://, über die der 1st-Level Support Benutzern Drucker zuordnet). LDAP Browser auf einen DC von der Maschine aus funktioniert. 389er Port auf dem neuen Server ist nach außen offen. Fehlermeldung lautet wie folgt: HTTP 500.100 - Internal server error: ASP error. Internet Information Services Error Type: Provider (0x80040E37) Table does not exist. /user/assignprinter.asp, line 85 Wie erwähnt, eine Anwendung in der Applikation (ASP-Script) funktioniert. Jedoch erscheint der obige Fehler in der Applikation an der Stelle, an der eine LDAP-Verbindung aufgebaut wird, um Benutzer aus der AD auszulesen. Wird mir der Kontakt zum externen Dienstleister nicht erspart bleiben. Danke nochmals für die schnelle Hilfe. Grüße Alex

Hallo zusammen, wir nutzen hier zur Zuweisung von Druckern eine ASP-Applikation via IIS von einem DomainController. Jetzt würde ich gerne die Datenbank-Applikation verschieben. Per IIS Backup and restore habe ich alles auf einen Memberserver aufgespielt. Nur funktioniert die Applikation nicht mehr, da vom Memberserver aus keine LDAP-Verbindung Richtung AD aufgebaut werden kann. Ist eine LDAP-Applikation, die Daten lesen und Schreiben kann, von einem Memberserver realisierbar? Per Google habe ich von einem MS Artikel gelesen, ihn aber selber nicht gefunden. Wäre für Tipps dankbar. Viele Grüße Alex

Hallo nochmals und danke für alle Beteiligungen. Okay, p2v ist sinnvollerweise abgehakt. @Gulp: Kam hier eigentlich nur bei einem DC in Frage, der eine Druckerdatenbank hostet. Deshalb die Idee, den per Snapshot abzuziehen. Der DC wird jetzt virtuell erstellt und konfiguriert, wobei unser DNS AD integriert ist und somit wie von Gulp beschrieben der Aufwand sich in Grenzen hält. Zum Thema alle DC´s virtualisieren: Habt ihr da Quellen zum Thema Empfehlung? Bin eigentlich auch immer von dem Stand ausgegangen, dass wenigstens eine Maschine physikalisch sein sollte. Sollte das dann der FSM Rollenhalter sein? Bei meinem letzten AG waren alle DC´s virtuell und selbstverständlich auf verschiedenen Storages gehostet. @zahni: Danke ebenfalls für die Antwort. Das VC Deployment mit sysprep meinte ich eigentlich. Hab mich da falsch ausgedrückt. Das Deployment wird ja automatisch beim p2v ausgeführt. Aber ist jetzt nachvollziehbarer Weise vom Tisch. Viele Grüße Alex

Danke Euch erstmal für die Antworten. Im Prinzip läuft der DC mit DHCP und DNS als einer von vier DC´s, wovon drei noch physikalisch bestehen. Ich würde gerne aus den physikalischen Maschinen virtuelle Maschinen machen. Genau, die Vorstellung ist, den physikalischen DC per VM physical to virtual und per Snapshot zu erstellen, danach per Sysprep vorzubereiten. Im Prinzip habe ich es so ähnlich vor, wie es Dukel beschreibt. Den neuen virtuellen DC in die Domäne nehmen und mitlaufen lassen. Den DC, der per Snapshot abgezogen wurde, würde ich noch weiter in der Domäne laufen lassen und später herabstufen. Natürlich ziehe ich es genauso auch in Erwägung, den DC virtuell zu erstellen und zu konfigurieren, wie es wannabee schreibt. In der VM Schulung wurde die physical to virtual Methode angepriesen. Genauso die Virtualisierung aller DC´s. Viele Grüße Alex

Hallo zusammen, wir haben in unserem Hauptstandort vier Domain Controller, wovon einer bisher virtualisiert ist. Dies soll sich jetzt nach und nach ändern und diese Woche würde ich jetzt den zweiten bestehenden DC per VMWare von physical to virtual aufbauen und zunächst parallel mitlaufen lassen. Habt ihr mir dafür einige Tipps, wie ich vorgehen sollte wenn der zusätzliche DC aktiv ist und was ich vermeiden sollte? Der Plan ist, den virtuellen DC mit abgeändertem Namen und anderer IP als weiteren DC zunächst mitlaufen zu lassen. Wie lange macht man das in der Regel? Reicht eine Woche? Dann würde ich den bestehenden DC herunterstufen und beim virtuellen DC den Namen und die IP ändern. Ist das soweit realisierbar? Vielen Dank für eure Antworten. Viele Grüße Alex

Hallo zusammen, ich muss leider diesen Thread nochmals zum Leben erwecken, da ich das Problem weiterhin habe und mir noch Tipps oder Hilfe erhoffe. Mittlerweile habe ich zwei Dinge versucht: - Erstellen eines sekundären virtuellen Verzeichnisses samt Berechtigungen für das Verzeichnis und den Einstellungen basierend auf mehreren Tutorials für das Thema. In diesem Tut wird neben dem Verzeichnis noch beschrieben, wie die anderen virtuellen Verzeichnisse (Exchange-OMA, OMA, Microsoft-Server-ActiveSync) angelegt und konfiguriert sein müssen. Vielleicht kann das bei Gelegenheit auch mal jemand mit mir abgleichen. Nach dem Umsetzen des Tutorials hat Active Sync gar nicht mehr funktioniert. - Konfigurieren von Timeoutwerten für Leerlaufsitzungen im Exchange In der Registry Werte für Min und MaxHeartbeatInterval gesetzt, ohne Erfolg. Wie geschrieben funktioniert das Pushen von Mails per OWA, das heißt, die IPhones haben als Adresse den OWA eingetragen und Pushen die Mails dann auch. Sobald aber der Exchange selber eingetragen wird, funktioniert das Pushen nicht mehr. Frage ich sie dann manuell am IPHone ab, ist die Mail sofort da. Kann das wirklich ein Firewall-Problem sein, obwol Push per OWA geht? Es erscheint auf dem Exchange auch noch regelmäßig im Application-Protokoll der Fehler 3005 Server Active Sync Fehler und der Hinweis 3033 Server Active Sync, "The average of the most recent [200] heartbeat intervals used by clients is less than or equal to [540]". Vielleicht kann mir ja jemand bei dem Problem noch Tipps oder Hilfe geben. Danke und Grüße Alex

Hi, hast natürlich Recht. Zum einen werden die Felder "missbraucht" und zum anderen ist das Vorgehen, dem User das Postfach zu löschen, extrem unüblich. Gibt es aus Deinem Erfahrungsschatz vier möglichst zusammenhängende Felder, die man für die Sprachwahl benutzen kann? Unser 1st Level Support muss in der Lage sein, die Sprachwahlfelder auch bei Usern zu pflegen, die kein Postfach haben und das können Sie dann ja nicht per ADUC-Konsole durchführen. Welche anderen felder, die in der Konsole pflegbar sind, könnte ich stattdessen benutzen? Unter Telephones / Rufnummer ist das Feld Pager bereits mit VoiP vorgesehen. Sonst hätte ich die Felder eventuell noch in Betracht ziehen können. Danke und Gruß Alex

Danke euch beiden für die Antworten. @Norbert: Hab ich zuerst gemacht. Wie Nils schreibt, heißt das Feld laut AD "Title" in der 2003 Domäne. Eventuell brauchen wir dieses Feld noch für was anderes. @Beide: Allem Anschein nach hat sich die Anforderung jetzt doch geklärt, da es eine Falschaussage war, dass das Feld benötigt wird. Ansonsten hätte ich eben die Lösung von Nils anwenden müssen. Ich hab noch kurz ne andere Frage: Vier AD-Felder werden wie bereits in einem anderen Thread von mir beschrieben für die Sprachwahl benötigt. Ich dachte hierbei an die Exchange extensions 1-4. Das funktioniert auch für Benutzer ohne Postfach, von denen wir einige haben. Wenn ich allerdings jetzt einem Benutzer das Postfach lösche, dann werden auch die Exchange extensions gelöscht und die Felder sind beim User im AD nicht mehr vorhanden. Erst wenn ich per Powershell Skript die Werte wieder setze, werden sie wieder angezeigt. Das bedeutet, wenn ein Benutzer, Gründe auch immer, ein Postfach hat, dieses dann entfernt wird, dann muss ich die Exchange extensions nochmals schreiben, damit er an der VoiP-Anlage per Sprachwahl angerufen werden kann. Hat da jemand Erfahrungen diesbezüglich? Danke und Gruß Alex

Hallo zusammen, für eine neue VoiP-Anlage wird in unserem AD die Anrede Herr oder Frau für die Benutzer benötigt. Wir haben eine 2003 Domänenstruktur und soweit ich weiß, gibt es 2 Möglichkeiten, dies zu bewerkstelligen. Zum einen, ibn dem ich ein anderes unbenutzes Feld mit der Angabe fülle, zum anderen meine ich gelesen zu haben, dass dies per Schemaerweiterung geht. Hat das von Euch bereits mal jemand umgesetzt oder kann mir dazu Tipps und/oder best practices geben. Vielen Dank vorab. Viele Grüße Alex

Hallo zusammen, ist es möglich, einer Gruppe von Servicemitarbeiter auf bestimmte Server die Berechtigung / Möglichkeit einzurichten, die geöffneten Dateien auf den Servern anzeigen zu lassen? Auf bestimmten Servern / Freigaben kommt es ab und an zu Zugriffsproblemen und der Support sollte hier zumindest sehen können, wer die Datei gerade im Zugriff hat. Die Möglichkeit, die Gruppe in die lokalen Admins auf den Servern zu setzen und dann lokal per mmc die Computerverwaltung auf die Server einzurichten, ist mir bekannt. Aber damit geht ja die Berechtigung, Sitzungen oder geöffnete Sessions / Dateien zu trennen, ein her oder? Danke vorab. Viele Grüße Alex

Hi zahni, danke für die Antwort. Kannst Du Deine Punkte kurz ausführen: Browserdienst auf dem PDC-Emulator? Das heißt, den Browserdienst auf dem 2003er PDC neu starten? WINS ist konfiguriert. Wo genau könnte hier der Fehler in der Konfig liegen? Die Router werde ich hinsichtlich der Broadcasts prüfen. Viele Grüße Alex

Hallo zusammen, wir haben mehrere Standorte in aller Welt, in denen DC´s stehen. Alle haben Server 2003 im Einsatz. Im Standort haben wir 4 DC´s, wovon einer alle FSMO-Rollen hält und der eigentliche PDC und Masterbrowser ist. Auf diesem DC erscheinen seit geraumer Zeit die Meldungen, dass ein anderer PC oder auch DC (sehr oft eine andere Maschine) aus einem Standort meint, er sei der Masterbrowser und im System Eventlog erscheint die obige Meldung. Konfiguriert habe ich nur den PDC als Masterbrowser (Registry) und alle anderen DC´s stehen auf IsDomainMaster FALSE und MaintainServerList Yes. Ist das so korrekt, oder sollte ein DC in einem anderen Standort auch Masterbrowser sein? Wenn ich am PDC per browstat status eine Abfrage mache, dann meldet er Browsing is active und meinen PDC als Masterbrowser. Wenn ich aber den Befehl browstat status \\PDC_Server eingebe, dann meldet er, dass Browsing nicht aktiv ist in der Domäne, Status 6118. Hat mir noch jemand einen Tipp bezüglich dem Problem? In wie fern beeinträchtigt dieses Master Browser Problem das LAN? Viele Grüße Alex

Ich habe den Zugriff per internes WLAN hier getestet und da ist keine Firewall dazwischen. Allerdings wurde unser Exchange in der Vergangenheit mit 2 IP´s betrieben und meldet seit jeher den ActiveSync 3005 Error im Eventlog. Jetzt habe ich die 2te IP, die nicht mehr genutzt wird, entfernt (da der Exchange mir übergeben wurde) aber die Fehler bleiben nach wie vor bestehen: Unexpected Exchange mailbox server error. Server:mailserver.domäne User:userxyz. HTTP status code [422]. Verify that the Exchange mailbox Server is working correctly. Diese Meldung kommt für jeden ActiveSync Benutzer. Bei der Überprüfung unserer ActiveSync Konfiguration auf dem Exchange ist mir aufgefallen, dass wir einige andere Einstellungen haben, als eine Konfiganleitung von ActiveSync für Exchange 2003, die ich im Web gefunden habe. Unter anderem ist im IIS Verzeichnis OMA der Anwendungspool nicht ExchangeMobileBrowseApplication, die IISWeb VirtualDir Location heißt nur /LM/W3SVC/1/ROOT ohne Microsoft-ServerActiveSync und wir haben im SystemManager des Exchange unter den HTTP-Protokollen kein virtuelles verzeichnis Namens exchDAV. Hat mir vielleicht jemand eine Anleitung oder ein Aufstellung der zu setzenden Konfigeinstellungen für ActiveSync? Sind die oben aufgeführten Einstellungen unter Umständen an der fehlenden Push-Funktionalität Schuld? Formularbasierte Authentifizierung ist ebenso deaktiviert wie die SSL-Verschlüsselung. Lediglich ein SSL-Zertifikat ist von mir auf dem Exchange installiert worden, dass aber bei IPhones und anderen Geräten keine Probleme bereitet, bei Verbindungen wie OWA / OMA. Danke für jede Hilfe. Grüße Alex

Push ist aktiviert auf dem IPhone. Grüße Alex

Hallo zusammen, ich hab folgendes Problem: Unser Exchange 2003 hat Active Sync, OMA und OWA aktiviert und OMA (OWA auf dem IPhone) und OWA (Zugriff per Client) funktioniert. Active Sync funktioniert nur, wenn ich im IPhone wirklich die App öffne. Dann wird die Mail sofort übermittelt, allerdings funktioniert das nicht, wenn die App geschlossen ist. Ich sehe keine weitere ungelesene Mail bei der App. HTTPS ist nicht geforced und die Einstellungen im IIS / Active Sync Ordner unter Directory Security sind Basic authentication, sonst ist nichts angehakt. Es erscheint auch kein Fehler. Die Mail wurde abgesendet und das IPhone zeigt kein weiteres Mail an. Sobald ich die App öffne, erscheint das Mail dann sofort. Vielleicht hat mir jemand einen Tipp, ob das mit der http-Session zu tun hat oder was ich noch probieren könnte? Danke vorab und viele Grüße Alex

Noch ein kurzer Nachtrag für alle Interessierten: Die MMC hat mehrere Modis, in denen man die Ansicht und die Berechtigungen zur Änderung der Ansicht einstellen kann. Ich habe jetzt praktisch nur die Benutzer der speziellen OU eingeblendet und sämtliche Menüpunkte entfernt. Per Doppelklick und Rechtsklick sind die zugewiesenen Berechtigungsmöglichkeiten anwählbar. Standardmäßig erstellt man die MMC als Autor und hat Vollzugriff auf alle Einstellungen der Ansicht. Dies ändert man über Datei - Optionen - Konsolenmodus - Benutzermodus, eingeschränkter Zugriff, einzelnes Fenster. Soweit ich das sehen kann, hat damit der Benutzer keine Möglichkeit mehr, die Ansicht zu ändern. Ich speichere die msc mal ab, sende sie den beiden Benutzern zu und berichte, ob das Adminpak notwendig ist. Danke nochmals. Viele Grüße Alex

Hi, danke für die Antwort. Ich habe mir per mmc jetzte eine ADUC Konsole erstellt, nur die betreffende OU samt Benutzer eingeblendet und hier einige Features ausgeblendet und deaktiviert und die Berechtigung auf die erstellte msc-Datei gesetzt. Aber wie Du schon schreibst, kann man jederzeit die benutzerdefinierte Ansicht wieder ändern. Auch eine gespeicherte Abfrage kann man ja sicher als normaler Benutzer wieder entfernen und so den gesamten Stamm der Domäne anschauen, oder? Nochmals kurz zum Adminpak.msi. Wie installiere ich nur die ADUC-Konsole auf den bestimmten Rechnern? Ich lade das Adminpak runter, lege es auf den Rechnern ab und führe den msi Befehl aus? Oder kann ich auch die erstelle msc-Datei (mit der voreingestellten Ansicht) auf die beiden Rechner abspeichern? Viele Grüße Alex

Hallo zusammen, wir haben einen ausländischen Standort, von dem aus 2 Benutzer spezielle Berechtigungen auf eine OU bekommen sollen. Diese Benutzer haben noch kein Adminpak. Ich habe die Berechtigungen in der OU für sie delegiert und möchte ihnen jetzt nur die Active Directory User und Computer Konsole installieren und am liebsten in unserer Domäne auch nur die für sie interessante OU sichtbar machen. Der Befehl msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb ist mir bekannt, allerdings muss das Adminpak dafür auf dem jeweiligen Rechner sein, oder? Wenn ich versuche, individuelle Taskpads für die Konsole zu erstellen, erreiche ich nur, dass die Ansicht sich auf die jeweilige OU bezieht. Man kann dann aber in der Konsole einfach wieder eine andere OU öffnen. Mache ich da was falsch? Danke für alle Antworten. Viele Grüße Alex

Hi kamikatze, ich hab die 70-640 Ende August gemacht. Gelernt mit dem alten Buch und natürlich Technet samt VM´s. Kamen sehr viele R2 Fragen dran. Also eben alle Neuerungen wie RODC und Unterschiede zwischen Server 2008 und Server 2008 R2. Active Directory Serverfunktionen (AD DS, AD FS, AD LDS) usw. Also das Buch reicht Dir auf keinen Fall. Viele Grüße und gutes gelingen Alex

Hi, habe den IIS komplett durchgecheckt. Nirgends mehr SSL required. Hab das beim heutigen SSL-Test auf der Default Website gesetzt und auf ExchangeAdmin und Exchange vererbt. Entweder haben die virtuellen Directories ein Problem seit ich das SSL require am Mittwoch auf alle Directories gesetzt habe und ich muss die nochmals neu erstellen (hattest Du Norbert glaub in einem anderen Thread auch mal erwähnt) oder ich setze SSL nur mal für das Exchange Directory voraus. Alternativ könnte ich das Root-CA Zertifikat auf einem IPhone einspielen und austesten. Noch ein Nachtrag, für alle, die diese Aktion auch noch nachvollziehen oder vor sich haben: In der Default.htm der Default Website des IIS ist ein Frameset gesetzt mit http: Aufruf. Der redirect ist natürlich anzupassen, vorher geht nix mit https. Grüße Alex

Hallo zusammen, ich suche nach wie vor eine Konfigurationsmöglichkeit für OWA, OMA und Active Sync mit dem Exchange 2003 per SSL (Root-CA). Momentan ist nur das neue (Root-CA) SSL Zertifikat eingespielt. SSL ist nicht required. Die formularbasierte Authentifizierung ist deaktiviert. Die sekundären virtuellen Verzeichnisse sind schon länger aufgebaut, da seit geraumer Zeit Iphones und andere Smartphone per Active Sync und OMA angebunden sind. Das IPhone hat die einmalige Bestätigung des (Root-CA) Zertifikates benötigt und funktioniert. Habe heute testweise SSL für Exchange und ExchangeAdmin required, das (Root-CA) SSL Zertifikat wird ja bereits genutzt und als Ergebnis wird OWA mit https und gesichert geöffnet, aber das IPhone kann per Active Sync den Server nicht erreichen. Sobald ich das SSL required wieder entferne, funktioniert der Zugriff wieder. Use SSL ist bei den IPhones aktiviert. Liegt das nun daran, dass bei SSL dem Root-CA Zertifikat nicht vertraut wird? Wenn ja, dann wäre die Lösung ein Zertifikat zu kaufen (Verisign) oder auf alle Geräte das Zertifikat zu verteilen (Mail) oder aufzuspielen? Vielleicht kann mir das jemand beantworten. Danke vorab. Viele Grüße