-hannes-

Hallo, bei uns gibt`s folgende neue Policy: bisher: dampf@example.de neu: hans.dampf@example.de Doppelnamen: hans.dampf-rauch@example.de bei Namensgleichheit: hans.dampf@example.de hans.dampf1@example.de Hierzu ergeben sich folgende Fragen: 1.) wenn ich über den Befehl Get-Mailbox -ResultSize unlimited | Set-Mailbox -EmailAddressPolicyEnabled $true erstmal bei allen postfach-aktivierten Benutzern die automatische Aktualisierung der E-Mail-Adresse auf Grundlage der E-Mail-Adressenrichtlinie wieder einschalte, was ist dann genau zu beachten, damit die bisherigen vorhandenen primären SMTP-Adressen garantiert erhalten bleiben, sofern eine Default, oder neue E-Mail-Adressenrichtlinie, eine andere als die bisherige primäre SMTP-Adresse vorgibt? Ich meine, was kann hier alles schief gehen? Also Benutzer Franz List hat z. B. bisher: ListF@example.de Ich mache eine neue E-Mail-Adressenrichtlinie über die Exchange Verwaltungskonsole, die Vorname.Nachname@example.de vorgibt: Franz.List@example.de = neue primäre SMTP-Adresse ListF@example.de = alte E-Mail-Adresse, die erhalten bleibt Gewünscht ist also, dass die alte, bisherige E-Mail-Adresse erhalten bleibt und zusätzlich die neue E-Mail-Adresse aus der neuen E-Mail-Adressenrichtlinie eine zusätzliche E-Mail-Adresse vorgibt, die als primäre SMTP-Adresse verwendet wird. Hintergrund ist natürlich, dass die Mitarbeiter über ihre alten E-Mail-Adressen noch alle Mails erhalten, aber für das versenden neuer E-Mails, die Vorname.Nachname@example.de verwendet wird. 2.) wie kann ich die Vorgabe erreichen, dass bei Namensgleichheit einmal hans.dampf@example.de und dann andererseits hans.dampf1@example.de verwendet wird? Die Vorgabe stammt nicht von mir ;) Gäbe es hier vielleicht bessere und schönere Möglichkeiten die Namensgleichheit automatisch abzufangen? Viele Grüße, hannes

Hallo, Vor \\%LOGONSERVER% müssen die beiden "\\" natürlich weg, damit das ganze funktioniert. ;) Ansonsten hab` ich`s gestern mit einem Windows 7 Professional Client durchprobiert und es lief durch. Erstaunlich ist nur, dass es auch funktionierte, sofern ich bei Laufwerk J: bewusst einen Fehler eingebaut habe, bei dem der Testuser zwar in der Gruppe war, die Freigabe aber nicht mehr existierte und ich die beiden rot markierten Zeilen auskommentiert hatte. Dies war nämlich der Fall, den ich neulich produktiv hatte und wonach das Script nicht weiter wollte. Schon etwas merkwürdig, aber vielleicht ist hier Windows 7 etwas Fehlertoleranter als Windows XP ? Oder in der Produktivumgebung gibt`s noch irgend einen anderen Grund, weshalb das Logon-Script dann stoppt? Müsste ich wohl mal ganauer untersuchen. Jemand `ne Idee, was da noch verantwortlich sein könnte? Aber zumindest stören die beiden Rot eingefügten Zeilen auch nicht, so dass sich ein Test mit XP Clients noch lohnen würde. Gruß, hannes

Da ich über kurz oder lang ohnehin die Domäne auf 2008 R2 hochstufen werde, ist mir ein Umstieg auf Kixtart für die Zwischenzeit zu umständlich. Mich hätte eben nur interessiert, ob sich der Fehlerfall wie rot markiert abfangen ließe? Danke, hannes

Hi funkypunk1985, ich konnte mir den DPM 2010 organisieren. Nun soll es hier ja die Möglichkeit geben, die Sicherungen zu durchsuchen und nur teile daraus wiederherzustellen. In meiner Produktivumgebung soll ich das nächste Woche implementieren. Somit bliebe mir, denke ich, die Komplettrücksicherung der ganzen Datenbank in Exchange für den Fall, dass z. B. nur ein Benutzer versehentlich eine Mail gelöscht hat und diese wieder benötigt, erspart. Aber wie genau die Rücksicherung aus DPM 2010 in solch einem Beispiel auszusehen hätte, habe ich noch nicht durchgespielt. Hast Du hier `ne Vorgehensweise parat? Ich danke Dir aber trotzdem für die kleine Anleitung mit eseutil, in der Hoffnung diese niemals einsetzen zu müssen :) Gruß, hannes

Hallo, ich hab` mir jetzt auf gruppenrichtlinien.de und hier im Forum alles angesehen, aber noch keine Möglichkeit gesehen, bei der Probleme mit Berechtigungen auf die Freigaben abgefangen werden. In einer 2003 Domäne hatte ich das Problem, dass zwar die Gruppenmitgliedschaft korrekt ist, aber die Gruppe auf die Freigabe keine Rechte mehr hatte. Deshalb blieb das Logon-Skript einfach bis zum Standard-Timeout von 10 Minuten hängen und die Benutzer bekamen dann auch nur die Netzlaufwerke zugeteilt, die bis zu der Stelle, an der der Fehler auftrat zugewiesen wurden. Momentan sieht das so aus: Im konkreten Beispiel wurden Laufwerk K: und M: für die Personalabteilung nicht mehr gemappt, weil bei Laufwerk J: die Berechtigung auf die Freigabe "\\Server\Rechnungswesen" versehentlich nicht mehr die Gruppe "Rechnungswesen" enthielt. Nun würde ich das gerne so gestalten, dass von einem Berechtigungsproblem auf die Freigabe die nachfolgenden Netzlaufwerke nicht mehr betroffen sind und hier im Beispiel nur die Gruppe "Rechnungswesen" ein Problem mit einem nicht verbundenen Netzlaufwerk hätte. Was ich bisher herausgefunden habe, wäre der Einsatz von Sprungmarken, der aber scheinbar keine Lösung darstellt, weil die User in mehreren Gruppen sind und der Befehl: if errorlevel = 1 GOTO Sprungmarke dazu führen würde, dass ich nur Abfrage, ob die jeweilige Gruppenmitgliedschaft stimmt und dann zur nächsten ifmember-Abfrage gesprungen werden soll. Das Problem ist aber nicht die Gruppenmitgliedschaft, sondern die Freigabeberechtigung. Würde sich die Freigabeberechtigung auch konkret im Netlogon-Skript abfragen lassen? Wenn ja wie? Als alternative dachte ich mir in etwa folgenden Code: Würde das so funktionieren, oder nicht? Gibt es vielleicht einen eleganteren Weg, dass auf jeden Fall versucht wird, immer zur nächsten ifmember-Abfrage zu gelangen, egal ob Fehler auftreten? Vielen Dank und Gruß, hannes

Niemand mehr ein Idee hierzu ? Gruß, hannes

Hallo, hab gegoogelt. Fraglich ist aber, wie genau ich die beiden Classes hier "assoziieren" soll, da diese ja praktisch nichts miteinander zu tun haben. Ich denke ohne konkretes Beispiel, wie das mit Elementen aus 2 verschiedenen Classes gehen soll, komme ich hier nicht weiter. Hat das schon mal jemand gemacht? Trotdem danke für den Tipp. hannes @edit: http://msdn.microsoft.com/en-us/library/aa394606.aspx bei msdn (FROM) steht auch noch mal ausdrücklich, dass wmi immer nur die Abfrage aus einer Class pro wmi Abfrage unterstützt. Wäre ein VB Skript vllt. eine Alternative?

Hallo, habe gerade für ein total simples Problem 2 Std. gegoogelt, aber nichts gefunden. Auch der "wmi code creator" hilft mir nicht wirklich weiter. Ich möchte einfach nur einen wmi filter erstellen, der 2 Argumente Abfragt. Für sich genommen funktionieren beide wmi Filter richtig, lassen sich aber nicht in einem wmi Filter kombinieren: 1.) SELECT * FROM Win32_ComputerSystem WHERE Caption = 'BERLIN' --> fragt den Computername "Berlin" ab 2.) SELECT * FROM Win32_UserAccount WHERE Caption <> 'TAILSPINTOYS\\Don.Hall' OR Caption <> 'TAILSPINTOYS\\Keith.Harris' --> fragt ab ob Benutzer ungleich "Don.Hall" oder Benutzer "Keith.Harris" Hintergrund ist die Einstellung "Eingeschränkte Gruppen", die nur für bestimmte Benutzer auf bestimmten PCs nicht gelten soll. Mein Ziel wäre daher aus 1.) und 2.) einen einzigen wmi Filter zu basteln, da ja pro GPO immer nur 1 wmi Filter möglich ist: SELECT * FROM Win32_ComputerSystem WHERE Caption = 'BERLIN' AND SELECT * FROM Win32_UserAccount WHERE Caption <> 'TAILSPINTOYS\\Don.Hall' OR Caption <> 'TAILSPINTOYS\\Keith.Harris' Irgend etwas stimmt aber an der Syntax nicht, blos was? Freue mich über Hilfe. Danke, hannes

Na, dafür wäre doch der Data Protection Manager von MS. hannes

Hallo, habe gestern in meiner Testumgebung einen exchange 2007 der auf Server 2008 enterprise x64 läuft und der auch gleichzeitig Domänencontroller ist mit Hilfe der "Windows Server Sicherung" im Modus "VSS Kopie" gesichert. Anschließend habe ich auf einer blanken vm (Umgebung vmware workstation 7) von der server 2008 cd gebootet und die "complete pc sicherung" über das Netzwerk ausgeführt und die vhd zurückgesichert. Hat etwas gedauert, so dass ich den ersten Test dann heute Abend gemacht habe. Soweit funktioniert auf den ersten Blick erstmal alles wunderbar. Da ich aber sehr skeptisch bin, ist meine Frage, was ist denn von diesem Sicherungsverfahren insgesamt zu halten? Ich denke mir eben, warum vertraut man lieber auf Kauflösungen wie Acronis, wenn die Boardmittel doch eigentlich recht gut funktionieren, davon abgesehen, dass z. B. keine vernünftigen Sicherungspläne, Inkrementelle Sicherungen usw. konfigurierbar sind. Schließlich ist die VSS-Technik, egal ob Kauflösung oder Boardmittel doch die gleiche? Oder gibt es noch weitere Nachteile, die mir auf den ersten Blick nach der Wiederherstellung noch nicht aufgefallen sind? Ich denke mir, in einer Produktivumgebung wäre diese Sicherung doch in Zusammenspiel mit Microsofts DPM bei knappem Budget in Ordnung, oder? Was denkt Ihr? Wie wäre das aufzuziehen? Ich freue mich auf eine tiefgehendere Diskussion. Schöne Grüße, hannes

Ich verweise hierzu mal auf das White-Paper zum FSMT: http://download.microsoft.com/download/4/e/b/4eb8df62-08cb-420f-a41b-6d10452335cc/FSMT%20Whitepaper.doc Sollte Punkt 10 im Anschluss nicht klar sein, tut`s mir leid :wink2: Edit: ich will doch in den 2008er Modus wecheln ?! Vielleicht reden wir hier aneinander vorbei. Das hätte ich aber bei normalen Shares, ohne DFS genauso. Ich weiß nicht, warum Du dieses Thema hier mit einbringst? Klar. Das ist der Vorteil von DFS. Jedoch müssen die Ziele innerhalb des DFS angepasst werden, wenn die Shares von einem Fileserver zum anderen verschoben werden. Der User hat natürlich keine Probleme mit den Pfaden. Aber ich, da ich nicht alle Ziele von Hand ändern möchte ?! Das ist mir absolut klar. Ein Namespace kann Shares auf x-verschiedenen Servern unter einem einheitlichen root zusammen fassen. Der User muss nur den Namen des root und den Namen den Ordner angeben, um auf das Ziel zu zugreifen. Sollen die Ziele aber redundant auf mehreren Fileservern liegen, benötige ich die Replikation. Eben diese Redundanz ist zusätzlich als Ersatz für einen Cluster gewünscht und soll zwischen den beiden 2008 R2 DC`s hergestellt werden. Das mit den Funktionsebenen lasse ich mal außen vor, sonst wird`s hier zu unübersichtlich. War nur zum Verständnis. Edit2: Was auch noch eine Option wäre, ist den 2003 R2 Server, der momentan das DFS-Root/DFS-N hält nicht völlig aus der Organisation zu nehmen, sondern nur die DFS-N Rolle zu entfernen, nachdem der export mit dfsutil.exe vorgenommen wurde. Somit müsste ich die Shares erst gar nicht verschieben und Ziele anpassen, auch wenn ich dann einen Server zusätzlich hätte, den man sich eigentlich sparen könnte. Anschließend auf dem 2008 R2 Server noch DFS-N im 2008-Mode installieren und mit dfsutil.exe das root importieren. Was meint Ihr? Klappt dann im Anschluß die Replikation zwischen dem 2003 R2 Fileserver und einem 2008 R2 Fileserver zwecks Redundanz? Gruß, hannes

Der Namespace ist Active Directory basierend. Die Datenbanken liegen gesondert - nur normale Shares werden über den DFS-Namespace publiziert. Persönlich wäre mir Clustering auch lieber als DFS, was HA angeht. Aber da der DFS-Namespace nun mal da ist und Verwendung findet, werde ich ihn auch nicht so einfach wieder lost. Ja, der 2003er Server ist R2. Was meinst Du genau mit "mit DFS-R zügeln"? Verstehe ich überhaupt nicht. Ich denke ein DFS-Namespace nutzt, sofern Replikationspartner vorhanden sind, DFS-R für die Replikation. Wir haben schon einige "Merkwürdigkeiten", die nur auf den Windows 7 PC`s auftreten, wo ich mir Abhilfe erhoffe durch das anheben. Laufen tut`s zwar momentan auch, aber eben nicht wirklich rund. Das ist soweit klar und auch nicht der Grund für den Wunsch heraufstufen zu wollen. Es geht hier eher um Funktionalitäten des 2008 R2 Modus und Fehlervermeidung. DFS-Namespace: \\myroot\... DFS-Replikation: Server A repliziert die Shares mit Server B Wenn du auch eher Robocopy oder FSMT empfiehlst, weißt Du dann, wie das mit den DFS-Zielen wird - siehe Punkt 10 meiner Auflistung? Gruß, hannes

Windows Server How-To Guides: Teil 1 - Grundsätzliche Informationen rund um Microsofts DFS - ServerHowTo.de Die Ausgangslage: der alte 2003 R2 ist momentan ein DC auf dem Root-Server (DFS-N) läuft. Gleichzeitig ist er auch das Ziel der Links (DFS-N), d. h. er hostet die Freigaben selbst. es gibt derzeit keinen (funktionierenden) DFS-Replikationspartner für diesen 2003 R2 Jeder User hat in seinem AD Profil ein Home-Laufwerk, dessen Pfad "\\myroot\home\username" lautet. Das DFS-Ziel von "myroot" ist der 2003er DC selbst, d. h. hier liegen diese Home-Laufwerke und auch weitere unternehmenskritische Freigaben Da Windows 7 eingeführt werden soll, wurden bereits 2 neue 2008 R2 DC`s in der gleichen Domäne installiert nun soll der 2003 R2 DC herabgestuft werden, damit die Gesamtstruktur- und Domänenfunktionsebene wegen Windows 7 auf 2008 R2 angehoben werden kann. hebt man die beiden Funktionsebenen des AD an, funktioniert logischerweise das DFS auf dem 2003 R2 Server nicht mehr, da dieser Server ja zuvor per DCPROMO herabgestuft werden muss und das AD integrierte DFS ja momentan nicht mit einem der 2008 R2 DC`s repliziert. also gibt es kein Heraufstufen des AD`s, ohne zuvor das DFS auf einen der beiden 2008 R2 DC`s zu transferieren. leider hat es beim vorherigen Admin mit der Replikation zwischen dem 2003 R2 DC und einem der 2008 R2 DC`s nicht geklappt und er empfiehlt deshalb alle DFS-Ziele (die Freigaben) manuell per Robocopy oder FSMT auf den 2008 R2 DC zu übertragen. Anschließend soll das DFS-Root mit dfsutil.exe auf dem 2003 R2 Server exportiert und auf dem 2008 R2 Server importiert werden. anschließend soll zwischen den beiden 2008 R2 DC`s noch eine Replikation, d. h. "Data Distribution" zwecks Ausfallsicherheit als Ersatz für ein Clustering mittels DFS-R erfolgen. die entscheidende Frage ist jetzt, ob ich bei diesem Verfahren nach dem Import des DFS-Root auf dem 2008 R2 Server die DFS-Ziele in der DFS-Konsole wieder alle manuell auf die Freigaben umbiegen muss, die ja dann vom 2003 R2 DC auf den 2008 R2 DC mit allen Benutzerrechten verschoben worden waren. Also praktisch betrachtet lauten die UNC-Pfade derzeit: \\server2003\home\username und die DFS-Pfade: \\myroot\home\username Nach dem kopieren der Freigaben mit Robocopy oder FSMT lauten die UNC-Pfade: \\server2008\home\username und die DFS-Pfade ja nach wie vor: \\myroot\home\username ---> muss ich jetzt in der DFS-Konsole jeden einzelnen Ordner aufrufen und den geänderten UNC-Pfad auf den neuen Server2008 manuell angeben ?? ich würde wirklich sehr gerne das 2008er DFS verwenden. Wenn Du aber meinst, am einfachsten wäre es zu versuchen die Replikation zwischen dem 2003 R2 DC und dem 2008 R2 DC zum laufen zu bringen, muss ich am Montag noch mal nach der genauen Fehlerursache suchen. Vielleicht hatte der vorherige Admin ja auf dem 2008 R2 auch einfach den falschen, also nicht den 2000er Modus installiert und wollte dann replizieren, was ja nicht funktionieren kann, wie ich mittlerweile gegoogelt habe (siehe Links erster Beitrag). Danke, für deine Unterstützung, Lukas :) Gruß, hannes PS: die 5000 Freigaben erreichen wir locker.

was genau meinst Du mit "Skalierbarkeitsvorteile" ? Es handelt sich um eine mittlere Umgebung mit ca. 200 Usern. Außerdem denke ich, wenn ich jetzt den 2000er Modus (FSR) verwende, statt DFS-R, habe ich das Problem eher vertagt als gelöst, da der 2000er Modus in zukünftigen Versionen evtl. nicht mehr verfügbar sein wird und spätestens dann die Umstellung notwendig werden würde. Außerdem wäre die ABE (Access Based Enumeration) ein wünschenswertes Feature, damit die User nur noch die Ordner sehen, auf die auch wirklich Zugriff besteht und auch die Delta-Replikation würde Vorteile bringen, da der Inhalt des DFS ziemlich angewachsen ist. Meinst Du es brächte trotzdem eine Vereinfachung, wenn ich zuerst mal den 2008er server im 2000er Modus mit DFS ausstatte, dann die Replikation laufen lasse um dann mit DFSutil das 2000er DFS zu exportieren und in den 2008er Modus zurück zu importieren? Somit lägen zumindest die Ordner und Freigaben schon mal auf dem 2008er Server und ich könnte evtl. auf das FSMT verzichten? Mein Problem liegt momentan eher daran mich für eine Vorgehensweise zu entscheiden, da ich den Vorgang, wie man sieht, bisher noch nicht praktisch durchgeführt habe und zu verstehen, wie das mit den Ordner-Pfaden im DFS und den Benutzerrechten auf die Ordner ohne Probleme hinzubekommen ist. Die Info, dass die Replikation nicht funktioniert, habe ich vom vorherigen Admin, mit dem ich das ganze 1x kurz durchgespielt habe. Evtl. gibt es hier noch ein anderweitiges Problem, dass die Replikation verhindert, welches ich noch nicht genau eingrenzen kann, oder er hatte einfach den 2008er Modus verwendet, wobei er glaube ich sagte, es hätte mit beiden Modi nicht korrekt funktioniert (irgend eine Fehlermeldung wg. Sysvol, ... sind beides DC`s auf denen das DFS läuft/ laufen soll). Er hatte jedensfalls empfohlen den Weg über Robocopy oder FSMT zu gehen. Gruß, hannes

was dfsutil.exe angeht, gibt es hier einen interessanten Beitrag: Migrating your DFS Namespaces in three (sorta) easy steps - Ask the Directory Services Team - Site Home - TechNet Blogs scheint ja ziemlich einfach zu sein. Frage mich nur noch, wie ich die Ordner mit z. B. den Homelaufwerken dann am besten Kopiere, so dass alle Benutzerrechte erhalten bleiben und ob sich die Pfade denn dann nicht doch verschieben ? Kennt sich mit Robocopy hier jemand in diesem Zusammenhang genau aus? Oder wäre das FSMT (File Server Migration Toolkit) die bessere wahl? http://www.microsoft.com/windowsserver2008/en/us/fsmt.aspx Alternativ habe ich noch ein anderes Tool für den Vorgang gefunden, dass auch gleich die Ordner mitkopieren soll. FRS to DFSR Migration Tool Released - Ask the Directory Services Team - Site Home - TechNet Blogs Hat das FRS to DFSR Migration Tool vielleicht schon mal jemand ausprobiert? Gruß, hannes

ich würde es nur bei den Clients und Member-Servern machen, vielleicht noch ausgenommen der Exchange-Server. Ich glaube nämlich bei den DNS-Servern selbst (DC`s) sind per DHCP zugewiesene IP´s aufgrund der dynamischen Aktualisierungen von DHCP immer noch etwas tricky. Habe es zwar noch nicht ausprobiert, denke ist so aber Best-Practice. Gruß, hannes

Hallo, unsere Domäne und Gesamtstruktur sind Windows Server 2003 R2. Es gibt 3 DC`s, wovon 1x Server 2003 R2 und 2x Server 2008 R2 sind. Auf dem Server 2003 R2 läuft AD DFS. Da wir Windows 7 bereits auf einigen Rechnern laufen haben und demnächst die komplette Umstellung von XP auf Windows 7 geplant ist, würden wir gerne die Domänen- und Gesamtstrukturfunktionsebene von Windows Server 2003 R2 auf Windows Server 2008 R2 umstellen und den 2003 R2 DC herabstufen. Ein Testlauf mit 3 Clones der DC`s verlief was das Heraufstufen angeht zwar positiv, jedoch ist das DFS - natürlich vor dem Herabstufen des 2003 R2 DC`s - auf diesem anschließend unbrauchbar. Eine Replikation zwischen einem 2003 R2 DFS und einem 2008 R2 DFS ist, wie technet (siehe folgende links) angibt, scheinbar nicht möglich und ein praktischer Versuch in der Testumgebung schlug auch bereits fehl: Migrate a Domain-based Namespace to Windows Server 2008 Mode Choose a Namespace Type Folgender Link aus dem Technet Forum bestätigt dies ebenfalls: Migrating DFS from Windows 2003 to Windows 2008 Da auf dem AD DFS alle Benutzerprofile, Home-Laufwerke und jede Menge Freigaben laufen, ist ein einfaches Copy-Paste Verfahren ausgeschlossen, da unbedingt!! alle Benutzerrechte beim Umzug auf das 2008 R2 AD DFS erhalten bleiben müssen. Somit böte sich evtl. ROBOCOPY an um alle Inhalte des bisherigen DFS inklusive aller Benutzerrechte zwischen zu sichern, das DFS auf dem neuen 2008 R2 DC anzulegen und anschließend die Inhalte zurück zu spielen. Hierzu ergeben sich folgende Fragen: 1.) funktioniert das so überhaupt theoretisch einwandfrei und muss ich zwingend den bei technet beschriebenen Weg über die Kommandozeile mit dfsutil gehen (siehe Link oben), wenn der neue DFS-Stamm wieder den selben Namen haben soll (andernfalls müsste ich alle User und deren Home-Laufwerke im AD bearbeiten, Anmeldeskripts bearbeiten, ... zuviel arbeit :) ) 2.) Hat das schon mal jemand gemacht? Was sind die Stolpersteine? Worauf muss man gesondert und besonders achten? Ein Best-Practice oder ein Link zu einem How-To wären für mich, ebenso wie eure Erfahrungen, sehr hilfreich. Dank und Gruß, hannes