delta0211

Hm...

ja, das ist absolut richtig! Natürlich muss der Host irgendwann die Verbindung trennen. Aber wie sage ich dem Host das über die Group-Policy. Das ist mir noch nicht richtig klar.

Kann ich die OU bespielsweise auf die gesamte Domäne verlinken und dann dem entsprechendem Host die Rechte zum ausführen geben? Muss der Host dafür neu gestartet werden? Oder reicht eine Anmeldung via RDP damit die Einstellungen wirksam werden.

Genau das hatte ich gerade versucht: GPO auf Domäne, und permission auf Citrix-Host. Passiert beim anmelden aber nix.

Irgendwie steh ich hier voll auf dem Schlauch.

Viele Grüße

Chris

hm... das hatte ich mir gestern auch schon gedacht!

Aber muss ich dann für den Computer die Berechtigungen geben, der sich verbindet, oder für den Server?

Hi,

die Einstellungen, bzw. die Möglichkeit eine Policy in Citrix selbst zu erstellen (XenApp 6.0) kenne ich. Ich habe es dort auch versucht, leider ohne Erfolg. Die Einstellungen greifen einfach nicht. Die User bleiben disconnected.

Leider!!

Hat sonst noch jemand eine Idee??

Grüße

Chris

Hallo zusammen!

Wie stehen vor folgendem Problem:

Wir haben in unserer Citrix-Umgebung das Problem, dass User sich nicht vernünftig abmelden. Es bleibt also eine Disconnected Session, die auch nicht mehr geschlossen wird. Nun dachten wir uns, dass dies unter: "Configuration for Remote Desktop Session Host server" unter ICA-TCP direkt mit der Option: "Overwirte user settigs --> End a disconected session --> 2 hours" eingestellt werden kann, damit wäre das Problem dann behoben. Leider bleibt der Haken aber nach erneuter Anmeldung nicht gesetzt, sprich die Einstellungen sind dahin.

Nun dachte ich an eine GPO, die bei jeder Useranmeldung automatisch greift. Was habe ich also gemacht:

- GPO erstellt und in: Computer Config. (laut Technet soll das da) --> Policies --> Templates --> Windows Components --> Remote Desktop --> Remote Desktop Session Host --> Session Time Limits

- Dann die GPO mit der User OU verknüpft und die Berechtigung für einen Testuser vergeben.

Leider wird weder die desconnected session abgemeldet, noch ist der Haken in den Einstellungen gesetzt, wenn ich mich mit dem Testuser am Desktop anmelde und die Einstellungen prüfe.

Was mache ich falsch??

Danke

Chris

:-) wie wahr wie wahr!

werde bei gelegenheit bestimmt noch mal drauf zurück kommen :-) :-)

vielen dank noch mal!

geht! Du bist der knaller!

vielen dank! das geliche noch beim fileprint und schwupps sollte es gehen!

man man, was eine frickelei! ist die erste domäne mit mehreren dc´s und standorten die ich einrichten muss! udn dann kommt auch noch die alte Domäne dazu!

Ich habe dich bereits in Posting #2 nach den DNS-Suffixsuchlisten gefragt

hatte dich dann gefragt wo ich die finde :-). dachte dann es wäre nicht mehr so wichtig:

und hier der screenshot vom ipconfig! sorry noch mal wegen dem "geschwärze" auch mich ****t das an, aber geht nicht anders :-(

nein, ich darf den fimennamen nur nicht öffentlich preis geben!

und in diesem fall verliere ich lieber die hilfestellung als meinen job! ich hoffe, dafür hast du verständnis! mein arbeitgeber sieht das eben nicht so gerne, wenn man die "fakten" derart auf den tisch legt! leider...

wie auch immer:

"NSlookup fileprint.contoso.local" auf dem 192.168.104.11 funktioniert! wird auf 192.168.10.2 aufgelöst! so funktioniert auch der ping! also "Ping fileprint.contoso.local"

aber nur "NSlookup fileprint" ... das funktioniert nicht! auch nicht beim ping:

"ping fileprint".

also so lange die komplette domäne mit angegeben wird ist alles gut! alleine der DNS-Name reicht nicht leider nicht aus

Bild 1 vom 192.168.10.2 contoso.local (DC1 der Contoso.local)

Bild 2 vom 192.168.104.11 contosogruppe.local (DC1 der Contosogruppe.local)

moment... dauert ein bisschen... muss mich gerade dooferweise um eine andere baustelle kümmern! poste gleich die gewünschten daten!

non existing domain!

das sagt der im übrigen auch, wenn ich den nslookup vom 192.168.10.1 auf den 192.168.10.2 mache! aber die dns auflösung funktioniert dennoch!

echt komisch!

Es funktioniert nicht:

DNS Auflösung von Contoso.local (standort) auf Contosogruppe.local (RZ) und umgekehrt!

ne, leider nicht! war nur der Freundlichkeit wegen *lach* (obwohl es eher zum heulen ist :-) )

jau, bedingte Weiterleitungen existieren:

Contoso.local --> Weiterleitung über Registerkarte eingerichtet mit folgendne Angaben:

- DNS-Domäne: contosogruppe.local

- IP: 192.168.104.11 (DC und DNS)

ContosoGruppe.local --> Weitrleitung Eingerichtet

- DNS-Domäne: contoso.local

- IP 192.168.10.2 (DC und DNS)

Grüße und besten Dank!

OK

Rechenzentrum:

- IP 192.168.104.0 /24

- Domäne: ContosoGruppe.local

- 2x DC (192.168.104.11 und 192.168.104.12)

- 1x DNS (192.168.104.11)

Standort

- IP 192.168.10.0/24

- 2 Domänen ContosoGruppe.local (2008er) und Contoso.local(2003er)

- 2x DNS 1x auf 192.168.10.1 (ContosoGruppe.local) und auf 192.168.10.2 (Contoso.local)

- 2x DC 192.168.10.1 (ADC2.contosogruppe.local) und 192.168.10.2 (ADC1.contoso.local)

Jetzt besser?

Innerhalb des Standort kann ContosoGruppe.local auf Contoso.local auflösen und umgekehrt!

Weiter kann ContosoGruppe.local (Standort) nach ContosoGruppe.local ins RZ auflösen.

Contoso.local am Standort, kann aber nicht auf ContosoGruppe.local im RZ auflösen! Umgekehrt geht das auch nicht!

Grüße und besten Dank!

P.S.

Lustiger Weise kann der ADC2.ContoseGruppe.local am Standort (192.168.10.1) auf beide Server im RZ (192.168.104.XX) problemlos auflösen, obwohl es sich auch hier um unterschiedliche Subnetze handelt! Ich bekomm ne Kriese :-)

p.p.s

ich glaube des Rätsels Lösung gefunden zu haben! Da die Server im RZ und der eine neue am Standort in einer Domäne verbunden sind, wurden hier im DNS beim einrichten des AD auch die Standortinformationen hinterlegt (Forward-Lookup-Zone --> ContosoGruppe.local --> Sites). Diese Standortinformationen gibt es auf dem DC der Contoso.local natürlich nocht nicht!

die verbindung ist zwar durch die firewalls gegeben (IP Auflösung) aber der DNS begreift das so nicht! also muss ich für die Verbindung von Contoso.local (standort) und contosogruppe.local (RZ) einen neuen Standort erstellen! kann das?

ok!

Standort Rechenzentrum mit Domäne ContosoGruppe.local:

- DC1 = FirmaADC1 (192.168.104.11 DNS) und DC3 = FirmaADC3 (192.168.104.12)

Dann gibt es den Firmenstandort mit 2 Domänen, einer neuen und einer alten! Die neue Domäne heißt genau wie im Rechenzetrum ContosoGruppe.local udn die alte Domäne heißt Contoso.local

Server sind wie folgt aufgeteilt:

ContosoGruppe.local (mit RZ verbunden):

- DC2 --> FirmaADC2 (192.168.10.1)

Contoso.local (also alte Standortdomäne)

- DC1 --> ADC1 (192.168.10.2)

Nun folgt der seltsame Teil:

Alle DC´s der neuen Domäne FirmaADC1 (im RZ), FirmaADC2 (am Standort) und FirmaADC3 (im RZ) können sich sehen, sind verbunden und replizieren sich problemlos. Nun kommt der ADC1 der alten Domäne Contoso.local ins spiel. Diesen benötige ich noch für ein paar prozesse, zum Übergang, bis dieser angeschaltet wird.

ADC1.contoso.local (Standort) und FirmaADC2.contosogruppe.local (Standort) können sich einwandfrei über DNS auflösen. Befinden sich auch im selben Subnet (10).

Leider kann der ADC1.contoso.local (Standort) beide Server im RZ (FirmaADC1 und FirmaADC3) nicht per DNS auflösen. Diese befinden sich ja beide im Subnet (104).

Hm... konnte ich es so Deutlicher machen? Irgendwie kompliziert!

ich muss mich korrigieren!

Situatuion:

Es gibt 3 Domänencontroller der Domäne A. 2 Davon stehen in dem Subnet 101, der dritte in dem Subnet 10. Die andere Domäne befindet sich ebenfalls im Subnet 10!

also:

Domäne A --> 192.168.101.XX (Server 1 (DC und DNS), Server 2 (DC))

Domäne A --> 192.168.10.XX (Server 3 (DC))

Domäne B --> 192.168.10.XX (Server 1 (DC und DNS der alten Domäne)

Situation ist folgende:

Wir bekommen eine Komplett neue Domänenstruktur! Neue Hardware, neue Standorte, neue Domänennamen etc. Nun soll Server 1 der alten Domäne auf alle Server der neuen Domäne auflösen können und umgekehert. Fragt mich nicht wieso, ist eine lange geschichte, und auch bloß für eine Übergangslösung gedacht.

Nun kann ich von Domäne A im Subnet 10 auf den alten Server auflösen (DNS) aber aus dem Subnet 101 nicht. Muss also irgendwie mit den Subnets zu tun haben.

Was ist mein Problem???

Vielen Dank!

P.S.

Nochmal die Frage: Befindet sich DomäneA.local in der DNS-Suffixsuchliste?

Ich prüfe das!

... ich glaub ich bin doof! wo ist denn diese Liste???

:-) jaja... das habe ich auch gemacht! In 2003 wird diese ja noch über die Registerkarte "Weiterleitungen" in den Eigenschaften der DNS-Domäne eingerichtet! Dort habe ich den Domänennamen eingetragen, die IP Adresse des fremden DNS Servers angegeben, und es funktioniert trotzdem nicht :-(

ein ping von B --> A geht über DNS wieder nicht durch!

oha...

ist ok! habe eine bedingte Weiterleitung eingerichtet anstatt eine Forward Lookup Zone! Und schon funktioniert das! Allerdings nur in DomäneA (W2008 Server) --> DomäneB (W2003 Server)

umgekehrt greift die bedingte Weiterleitung nicht!

Sowas doofes!

Guten Morgen zusammen,

ich möchte gerne die Server an Standort A vom Standort B mit ihren DNS Namen anpingen könnnen.

Standort A ist eine Domäne, Standort B ist eine andere. Zudem haben beide Standorte einzelne DNS Server. Ich befine mich an Standort B.

Situation:

Es existiert eine VPN Verbindung zwischen beiden Domänen. Ich kann die Server der Domäne A normal über die IP Adresse anpingen. Nur der DNS wird nicht aufgelöst.

Habe in Domäne B dafür eine Forward-Lookupzone (primäre Zone) auf den Standort "DomäneA.local" eingerichtet:

(identisch mit übergeordnetem Ordner) HOST A 192.168.101.1 (DNS)

Server1_ADC1 HOST A 192.168.101.1

Server2_ADC2 HOST A 192.168.101.2

dann kommen die automatisch angelegten Einträge.

Aber es will einfach nicht funktionieren, wenn ich den Server wie folgt anpingen will:

- ping Server1_ADC1

wenn ich allerdings den DNS mit dem FDQN anpinge geht es:

- ping Server1_ADC1.DomäneA.local

Sehr seltsam! Kann mir jemand helfen?

Vielen Dank und viele Grüße

Chris

habe ich! den link hatte ich vorher schon gefunden!

fehler ist beschrieben, aber nur ein dürftiger lösungsweg, der zudem nicht funktioniert.

warum ich den dc nicht hinzu nehmen kann? weil die hard- und softwarelizenzen gemietet waren und wegfallen werden! und wenn ich die gelegenheit habe, werde ich dann alles frisch auf 2008 aufbauen.

wie auch immer! so ist nunmal die anforderung im unternehmen und daher werde ich es auch so machen! :-)

Naja,

komplett neue Hardware und auch komplett neue Software! Wir waren zuvor bei einem anderen Hosting Partner! Verträge ausgelaufen und nun betreiben wir kein Hosting mehr, sondern nur noch Housing! Die gesamte Hardware muss also neu uns entsprechend auch die Software und das AD.

Daher das Grundproblem :-)! Serverumgebung besteht aus 2 Domänencontrollern im Rechenzentrum, und 5 weiteren in verschiedenen Standorten Europas. Im Rechenzentrum und auch in den Standorten befinden sich weiterhin diverse Mitgliedsserver.

Da wir hier von meheren Hundert Usern sprechen, wäre es eben schön, wenn wir die alten Benutzerkonten übernehmen könnten :-)

Grüße

Sorry,

habe ich vergessen zu erwähnen! Ich setze eine komplett neue Domäne für unser Rechnenzentrum auf! Die gesamte Domäne soll auf Funktionsebene 2008 laufen. Daher lasse ich die alte Domäne mit den 2003er Server komplett außenvor. Zudem sind die Maschinen viel zu alt uns sollen später nur noch als Fileserver dienen.

Viele Grüße

Chris

Guten Morgen,

habe seit gestern versucht, unsere alten Benutzerkonten (Basis Windows Server 2003) in eine frische Windows Server 2008 R2 installation zu migrieren. Leider ohne Erfolg. Hatte hierzu das ADMT Tool von Microsoft gefunden, aber leider kann ich es nicht installieren, weil das Setup keine Verbindung zum installieren SQL Server aufbauen kann.

Wie auch immer!

Gibt es weitere Möglichkieten um die Benutzerkonten von 2003 nach 2008 zu mirgieren?

Vielen Dank und einen schönen Start in den Tag

Chris

1. Was für Zertifizierungsstellen gibt es!?

--> Unternehmens- und eigenständige Zertifizierungsstellen, unterteilt in Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen

2. Wofür, welche Zertifizierungsstellen?!

--> Unternehmenszertifizierungsstellen benötigen Zugriff auf das Active Directory. Diese Art von Zertifizierungsstellen benutzt Gruppenrichtlinien um Zertifikatvertrauenslisten in der Domäne an Computer und Benutzer zu verteilen und Zertifikatsperrlisten zu veröffentlichen. Unternehmenszertifizierungsstellen geben Zertifikate anhand von Zertifikatvorlagen aus. Im wesentlichen sind Unternehmenszertifizierungsstellen von Windows Server 2008 vollständig in das AD integriert.

--> Eigenständige Zertifizierungsstellen benötigen kein Active Directory. Alle relevanten Maßnahmen, die bei der Unternehmenszertifizierungsstelle automatisch vorgenommen werden, müssen in einer eigenständigen Zertifizierungsstelle von einem Administrator genehmigt werden. Zudem benutzen eigenständige Zertifizierungsstellen keine Zertifikatvorlagen. Auf diese Weise kann eine eigenständige Zertifizierungsstelle nur schwer an die Bedürfnisse einer Organisation angepasst werden. Wenn ein Domänen-Administrator eine eigenständige Zertifizierungsstelle auf einem Computer der Domäne einrichtet, dann werden die Informationen der Zertifizierungsstelle dem Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungsstellen auf jedem Computer der Domäne hinzugefügt.

3. Warum brauche ich ein Stammzertifikat!?

--> Hmmmm.... Lücke

4. Was sind Zertifikat Vorlagen!?

--> Mit Hilfe von Zertifikatvorlagen können Zertifizierungsstellen konfiguriert werden. Einfach entsprechende Vorlage auswählen, bearbeiten und in Zertifizierungsstelle bereitstellen. Es gibt Vorlagen der Version 1 (selten und nur aus Gründen der Abwärtskompatibilität), Version 2 (2003) und Version 3 (2008)

5. Was für Zertifikate gibt es!?

--> Wie meinst Du das?

6. Warum gibt es Sperrlisten oder Delta Sperrlisten!?

--> (ganz Kurz) zum sperren von Zertifikaten in regelmößigen Abständen veröffentlicht. Deltasperrliste wird nicht gesamte Liste veröffentlicht sondern nur aktuelle Änderungen. VErringerung der Netzwerklast und schnelle manuelle Veröffentlichung von Sperrungen

Und genau wie Du auf meine Frage geantwortet Hast habe ich es mir gedacht! Das MS-Press Buch spricht an dieser Stelle allerdings von Domänen-Computern, meint damit aber wahrscheinlich Mitgliedserver!

Danke und viele Grüße

Chris