roccomarcy

tesso hat hat die Lösung für dein Problem schon gepostet. Du brauchst dafür eine entsprechende Firewall, die Application Filtering betreiben kann. Dies wirft bei verschlüsselten Verbindungen (HTTPS) aber weitere Probleme auf. Wird es allerdings korrekt konfiguriert, kannst du in der Firewall für einzelne Hosts / Netze entsprechende Anwendungen wie TeamViewer freischalten/blocken. Budgettechnisch geht es hier aber bei guten 1.000€ inkl. Wartung für 3 Jahre los. Die erforderliche Wartung bringt auf Dauer aber auch Kosten mit sich. ;) Mit deiner FritzBox wirst du da im Leben nicht rankommen.

eine kurze Rückfrage, ich habe dem "alten" DC jetzt eine neue IP-Adresse vergeben. Sollte ich diesen nun erst demoten bevor ich dem "neuen" DC die IP-Adresse verpasse? Oder spielt es keine Rolle? Die Änderung der IP-Adresse vom "alten" DC ist bereits 3 Stunden her.

Hey, ich habe hier eine Benutzer-Gruppenrichtlinie, die via Zielgruppenadressierung auf Computername und Sicherheitsgruppe, eine Laufwerkszuordnung durchführt. Aktuell ist die Gruppenrichtlinie an oberster Stelle verlinkt, da Benutzer, die das betrifft, in vielen OUs vorhanden sind. Meine Frage ist, ob das so sein muss oder ob man die Richtlinie auch anders verlinken kann? Da sie ja so wahrscheinlich auch von vielen Benutzern versucht wird anzuwenden, die es gar nicht betrifft.

Danke für das Angebot, aber die Änderung der Skripte kann ich auch selbst durchführen (lassen) vom jeweiligen Kollegen. Man hat halt nie darüber nachgedacht, die Domäne mit seinem Suffix anzusprechen statt dem echten Hostnamen eines DCs. Die Skripte belaufen sich auch eher auf PHP-Webanwendungen. ;) Gruß

Was meinst du mit "da lässt sich sicherlich etwas ändern"?

Alles klar, dann weiß ich erstmal Bescheid. Die Skripte/Anwendungen, meist Webanwendungen, sprechen das AD meist nur an und laufen nicht auf einem der DCs. Der Tipp mit Ansprechen des Domänen-Namens ist wirklich gut und macht auch wirklich Sinn. Dann werde ich einfach nur die IP-Adresse des alten Domänen-Controllers übernehmen und mich um den Hostnamen nicht weiter kümmern. So sollte es (hoffentlich) auch unkritisch bleiben.

Moin, danke für die schnelle Rückmeldung. Einleitend habe ich leider nicht erwähnt, dass es in der Organisation noch zwei Domänen-Controller gibt, die an einem anderen Standort stehen (VPN). Daher das "Herauszögern" über mehrere Tage. Bzgl. des Namens bin ich auf deiner Seite, ich weiß allerdings, dass in irgendwelchen Anwendungen oder Skripten dieser bestimmt fest hinterlegt ist. Daher der Gedanke, auch den Namen zu übernehmen. Wobei ich jetzt schon darüber nachdenke, dass ich nur die IP-Adresse des alten DC's übernehme, den Namen aber "auslaufen" lasse. D.h. ich lasse den alten DC parallel noch ein paar Wochen am Laufen und versuche die Skripte / Anwendungen zu finden, wo dieser Name noch eingetragen sein könnte? Ja, zwei DCs sind betroffen. Der zweite ist aber mMn nicht so kritisch, da dieser ja nicht die FSMO-Rollen usw. beinhaltet.

Guten Morgen, ich muss das Thema noch einmal aufgreifen, da ich zum Wochenende die Umstellung wahrscheinlich angehen werde. Mein Plan wäre jetzt wie folgt: Heute - neuen Server promoten Morgen - FSMO-Rollen verschieben - Replikation abwarten Am Wochenende (Wartungsfenster) - IP-Adresse des alten Servers ändern auf eine neue, andere - DNS-Records aktualisieren lassen und DNS-Replikation abwarten - dem neuen Server die alte Adresse des alten Servers geben - DNS-Records aktualisieren lassen und DNS-Replikation abwarten Meine Fragen dazu wären, - Ich hätte doch schon gerne den Hostnamen des alten DCs auf den neuen, wie vorgehen? - Wann den alten DC demoten? Direkt zum "Ende" des Wartungsfensters? Gruß

Ich glaube von Dukel war es nur ein "positiver" Nebeneffekt, dass man bei so einer Aktion auch gewisse Altlasten entfernen kann. Das ist auf jeden Fall nicht das Ziel dieser Aufspaltung. Von der oberen Etage ist es auf jeden Fall gewünscht, dass die Anzahl der Benutzer in eine eigene Domäne / Infrastruktur ausgelagert wird (ist auch ein sep. Standort), da dieses Unternehmen operativ nichts mehr mit dem jetzigen zu tun hat. Das es bei so einer Umstellung für die Anwender zu Stolpersteinen kommen kann, ist uns bewusst. Das würden/werden wir im Vorfeld auch entsprechend kommunizieren. Es ging nur um die Frage des "richtigen" Weges. Ob manuell oder halt durch ADMT / Drittherstellertools.

Alles klar, also würdet ihr auch eher dazu tendieren, die Benutzerkonten und Gruppen manuell (Skript) anzulegen und den Postfachinhalt zu verschieben. Danke.

Wie handhaben denn solche Tools die Berechtigungen vom Postfach bzw. Benutzer? Ich habe dann in Domäne A einen Benutzer mit Postfach und in Domäne B habe ich den Benutzer auch neuangelegt. Nun kopiert/verschiebt mir das Tool den Inhalt des Postfaches auf den Benutzer in Domäne B? Berechtigungsstrukturen (Postfachfreigaben, Kalenderfreigaben, Verteilerlisten?, usw) können doch nur übernommen bzw. werden doch nur funktionieren, wenn die SID der Benutzer gleich ist, oder bin ich hier auf dem falschen Dampfer?

Eine Auftrennung des Unternehmens ist der Grund.

Guten Morgen, welchen Weg geht ihr, wenn aus einer vorhandenen Domäne Benutzer inkl. Postfächer in eine neue Domäne überführt werden müssen? Legt ihr alle Benutzerkonten inkl. Gruppenzugehörigkeit manuell an oder nutzt ihr für die Migration entsprechende Tools (wie z.B. ADMT)? Es geht um ca. 50 Benutzerkonten inkl. Exchange-Postfach. In der neuen Domäne ist auch ein Exchange vorhanden.

Ja, über sowas habe ich auch schon nachgedacht. Problem bei einigen Geräten ist aber, dass diese mich nur eine IP eingeben lassen. Aber das könnte man ja ggf. über den LB realisieren. Sollte ich den Austausch der DCs in einem Wartungsfenster durchführen oder geht es auch im laufenden Betrieb?

Moin, die machen nur Aufgaben, die ein DC zu erledigen hat. Mein bzw. unser Problem ist nur, dass die IP-Adressen in div. Netzwerkkomponenten als Zeitserver eingetragen sind. Daher würde ich die IP-Adressen gerne beibehalten. @mba: Danke für den Tip, das hatte ich schon gelesen. Wir haben unseren Exchange 2010 auf dem aktuellen Stand, daher gehe ich davon aus, dass wir dort keine Probleme bekommen (sollten). Gruß

Moin, auf Server 2016.

Guten Morgen, ich habe hier eine Umgebung mit einem physikalischen Domain-Controller, einem virtualisierten Domain-Controller sowie einem Exchange Server 2010. Alle Systeme basieren auf Server 2008 R2. Der Austausch des Exchange Server 2010 steht zum Herbst diesen Jahres an. Im Vorfeld wollen wir die beiden Domain-Controller austauschen, die im Netzwerk neben Ihren AD-Funktionalitäten für uns eine sehr zentrale Rolle spielen (Zeit, usw). Daher würde ich gerne IP-Adressen beibehalten. Der virtualisierte Domain-Controller hält auch die FSMO-Rollen vor. Die Kernfrage ist, ob ich nach folgendem Ablaufplan die Systeme austauschen kann. - neuen physikalischen Domain-Controller aufnehmen und Replikation abwarten - die IP-Adresse des vorherigen Domain-Controller ändern und DNS-Replikation abwarten - dem neuen phys. Domain-Controller die IP-Adresse des alten geben und die DNS-Replikation abwarten - den vorherigen physikalischen Domain-Controller aus der Domäne entfernen Für den virtualisierten Domain-Controller würde ich die selben Schritte wie oben durchführen, jedoch vor der Änderung der IP-Adresse des vorhandenen Domain-Controllers die FSMO-Rollen verschieben. Ist dies ein gangbarer Weg?

Oben schreibst du, dass deine Daten dir wichtig sind. Aber parallel versuchst du eine alternative Lösung zu finden, wie du den Austausch der Platte umgehen kannst. Die Lösung in Form von Bastelei hast du bekommen, also kannst du dich entscheiden - entweder tauschst du die Elektronik und hoffst natürlich, dass es das war oder du machst einfach den Weg, wie alle anderen und kaufst eine neue Festplatte. Deine 4TB Festplatte kostet kein Geld mehr und du hättest innerhalb ein paar Minuten Ruhe und vorallem die Gewissheit, dass du dich damit nicht mehr rumärgern musst.

Hallo, welche Modelle hast du verglichen? Bzw. was genau brauchst du?

Hallo, in naher Zukunft werden wir unseren älteren Server 2008 R2 Server gegen einen neuen austauschen. Dieser beherbergt auch das Ziel für die Ordnerumleitungen. Wie handhabt ihr die Migration auf ein neues Ziel? Ich kann in den GPOs ja den neuen Pfad hinterlegen und die Daten vorher bereits rüberkopieren, dann wird am Ende ja nur noch das Delta synchronisiert. Aber es gibt ja auch einen großen Anteil von Anwenderprogramme, die in Konfigurationsdateien einen Pfad eintragen, der noch auf den alten Server zeigt. Wir würden jetzt auch zu DFS-N migrieren, damit wir in der Zukunft das Problem nicht mehr haben (sollten).

Nö, das war auf den Beitrag von testperson bezogen. Er fragte ja auf das passende Zertifikat. :-) Und der Apache2 macht für WebApp, also OWA und ActiveSync, usw. den Proxy und hat dafür ein passendes Zertifikat. Der http-Redirect ist auch wirklich nur HTTP, das sieht man im Konfig-Snippet in der Seite zuvor aber auch.

Intern läuft ein selbstsigniertes aus dem IIS dagegen. Der Apache hat ein passendes Zertifikat für die Domain und läuft bzw. horcht auch nur auf Port 80 und nicht auf Port 443.

Was ist der eigentlich connect? :) Du hast oben aber auch von http redirect gesprochen? Wo hast du den denn konfiguriert? Das muss ja auch eine Art LB oder Proxy sein?

Ist mein Reverse-Proxy für div. Webdienste, unter anderem auch für Outlook WebApp. Funktioniert soweit ja auch seit Jahren. Gibt einem (gefühlt) mehr Sicherheit. :) Den Apache ausklammern könnte ich sicher hinkriegen, meinst du dann in Form von autodiscover.domain.de zeigt nicht mehr auf den Reverse-Proxy sondern direkt auf den Exchange?

Ja, UPN ist gleich Mailadresse. Hatte ich oben aber auch schon geschrieben.