knut4linux

Also irgendwie blicke ich bei dir nicht mehr so richtig durch. Du hast nen SBS2008 (@norbert, das "Gerücht" bewahrheitet sich auch noch) welcher per default alle FSMO-Rollen inne haben muss und trotzdem fehlt es dir an irgendwelchen Zonen, die du jetzt händisch angelegt hast. Aber gut, du wirst schon wissen, was du da tust :) Was deine XP-Clients angeht, so hoffe ich für dich, dass diese min. schon mit OL2007 arbeiten. Was deine ständigen Auth-anfragen angeht wenn du von XP-Clients und Exchange sprichst hab ich das dumme Gefühl das du von dem nervigen "Autodiscoveryrequests" sprichst. Anderenfalls würde ich da auch mal die Clientseitigen DNS-Einstellungen überprüfen und ggfs. den cache flush'n Knut

Es war eher scherzhaft gemeint und eher eine Anspielung auf die "Korinthenkackerei" von MS. Ein Smiley hätte das wahrscheinlich besser zum Ausdruck gebracht *sorry*. Auch wenn alle wissen was gemeint ist. -> "Zu verstehen, was gemeint ist, ist eine äußerst komplexe Angelegenheit". Von daher, alles gut ;) Gruß, Knut

Hallo, wie dein Analyzer schon sagt, es fehlt ihm die Struktur. Unterhalb deiner Forward-Lookupzone sollte eigentlich folgendes vorhanden sein: Lookupzone - _msdcs.domain.local - domain.local In der _msdcs zone sind die Standortinformationen (Sites) und die SVR-Records ldap/keberos (um mal die wichtigsten zu nennen) gespeichert. Das halte ich für ein Gerücht. Keine Ahnung was man damit erreichen will... logisch, wenn er kein Anmeldeserver finden kann. Um deine Probleme zu beheben führe den Assistent zum Beheben für Netzwerkprobleme aus, eh du irgendwas versuchst. SBS-Console -> Netzwerk -> Konnektivität (Submenu) -> Beheben von Netzwerkproblemen (Task) Gruß, Knut

Hi, das Thema ist zwar schon etwas älter aber scheinbar noch nicht gelöst. Jetzt mal banale Fragen die mir einfallen würden? - Wie sind denn deine beiden Server miteinander verbunden? -> evtl. ein Switch dazwischen, der die Bandbreite drosselt? - Virenscanner der die Dateien beim beschreiben überprüft? - Was schaut es denn in deinem "Ressourcenmonitor" aus wenn du die Daten kopierst (I/O Last)? - Evtl. ein "Green-Mode" / "Energiesparmodus" auf den NIC's aktiv? Gruß, Knut

Hi, Standardmäßig werden die clients von dem Server bedient, der sich auch in ihrer Site befindet, sei denn, einer fällt aus. Der folgende Artikel könnte dir helfen, die Reihenfolge "wann welcher Server wen bedient" festzulegen. https://msdn.microsoft.com/en-us/library/cc732414(v=ws.11).aspx Gruß, Knut

und frohes Osterfest :)

Wenn du den Robocopy im Backup-Mode verwendest, dann kannst du auch die User-Files verschieben auf die du keinen Zugriff hast. Hier die Hilfe über alle möglichen Parameter http://www.tecchannel.de/a/robocopy-daten-schnell-und-einfach-unter-windows-sichern,2033515,2 Nachtrag: zum Backup Mode von Robocopy: "The so-called Backup mode is an administrative privilege that allows Robocopy to override permissions settings (specifically, NTFS ACLs) for the purpose of making backups." Gruß, Knut

Grundsätzlich Ja. Aber warum erst den neuen Ordner neu erstellen? - Ordnerziel deaktivieren - verwende robocopy zum verschieben bzw. zum kopieren - Ordnerziel u. replikation anpassen - initial replikation starten Dieser Artikel könnte evtl. auch sehr hilfreich für dich sein. https://faultbucket.ca/2011/01/change-folder-target-of-dfsr-member/ Gruß, Knut

Hey, du könntest auch das neue Ziel in die bestehende Replikation mit aufnehmen und den alten Ordner dann aus der Replikation entfernen. Gruß, Knut

Hi, in dem Fall würde ich auch mal gpresult /H ausführen (vor dem verschieben und nach dem verschieben, nachdem du die neue Richtlinie angewendet hast) um zu vergleichen, welche Richtlinie evtl. abgelehnt wird und dieses Problem verursacht. Alles andere ist eher ne Rätselraterei. Gruß, Knut

Guten Morgen an alle, die CA konnte ich über den offiziell dokumentierten weg von MS in meiner Testumgebung erfolgreich migrieren. Danke noch mal an alle, die Ihre Zeit über das Wochenende diesem Thema gewidmet haben. :thumb1: Man liest sich, Knut

Hi, spontan würde ich auch foldes prüfen: -SRV Records für Kerberos und LDAP. Evtl. Zeigt dieser nur auf einen deiner vielen DC's? - befinden sich die DC's in der gleichen Site und im selben Subnetz? Solche Probleme sind wie Nils und andere schon erwähnten zu 99% DNS-Probleme. Gruß, Knut

Hi, welche Dienste müssen denn öffentlich erreichbar sein um ein DC im Internet zu veröffentlichen?

Hi @ll, ich danke euch noch mal für eure Meinungen/Ideen. Produktiv würde ich es so habdeln wie es Nils schon vorgeschlagen hatte. Die alten Zertifikate einfach auslaufen lassen und die neuen nur noch über den neuen ausgeben. @NorbertFe Ein Zertifikat kaufen ist vom habdling mit Sicherheit einfacher. Da ich OWA und ActiveSync aber eh nicht veröffentliche und den ganzen Käse nur intern und via VPN zur Verfügung stellen würde, kann ich mir das Geld auch sparen. Solange es intern ausgestellt und signiert wird, vertrauen die Clients auch dem Herausgeber, was für mich an dieser Stelle auch vollkommen ausreicht. @Testperson Danke für den Einwand Euch allen noch einen sonniges WE :)

Hi Nils, danke für deine Ausführungen. Was den Standort der CA angeht, bin ich absolut der selben Auffassung, diese nicht auf einem Domain Controller zu installieren. Bei dem SBS ist das aber halt so. Was die Verwendung der PKI angeht, so wurde diese lediglich verwendet um für den Exchange 2007 und dem IIS (Outlook Anywhere/ActiveSync) Zertifikate zu signieren. Der übliche weg, eine PKI zu migrieren scheint auf dem Server 2016 nicht mehr zu funktionieren. Zwar lässt sich die ADCS-Rolle mit dem Zertifikat und dem Privaten Schlüssel der alten CA erfolgreich installieren, sobalb allerdings die Sicherung auf dem neuen Server wieder hergestellt wird, startet der Dienst Aufgrund eines Fehler dann nicht mehr. Er beendet den Dienst mit einem Ausnahmefehlet und verweist auf eine fehlende logdatei. (Current logfile missing). Eventuel war mein vorgehen falsch. Über deinen zweiten Lösungsweg (die CA nicht zu migrieren und die Zertifikate auslaufen lasden) müsste ich mir evtl. Gedanken machen. An sich scheint mir diese Weg auch bequemer. Die Frage ist nur, was ist, wenn ich ein ausgestelltest Zertifikat tatsächlich sperren möchte? Danke für deine Zeit und schönes WE, auch an alle Mitlesenden.

Hi @ll, ich plane die Ablösung unseres SBS 2008 und die Dienste auf mehrer Server aufzuteilen. In meiner Testumgebung bin ich nun auf ein kleines Problem bezüglich der Zertifizierungsstelle gestoßen. Basierend auf folgenden Artikel (https://technet.microsoft.com/en-us/library/ff3f6ff4-7bd6-4a76-8eaf-0c69e17706ac) versuche ich die Migration auf einen Server 2016. In den unterstützten Migrationsszenarios ist allerdings von Server 2016 nichts zu lesen. :confused: Meine Frage an euch: - Hat zufällig jemand von euch schon mal eine CA Migration von Server 2008 auf 2016 durchgeführt und evtl. einen Leitfaden für mich? - Der SBS hält standardmäßig alle möglichen Rollen. Ist es notwendig die CA wieder auf einem Domain Controller auzurollen? Ich hätte ihn lieber dediziert auf einem Server, der keine weiteren Rollen hält (so wie es eigentlich auch üblich ist). - Die ADCS-Rolle auf den Server 2016 aus zu rollen, ist jetzt nicht der große Akt, das Problem ist vielmehr, dass ich die Sicherung der ursprünglichen CA nicht einfach so wiederherstellen kann, was rein theoretisch auch nicht optimal ist, da ich damit auch nicht mehr veröffentlichen kann, welche Zertifikate ausgestellt oder gesperrt sind. - Die CA einfach nicht zu migrieren wäre auch meiner Sicht suboptimal, da ja die Gültigkeit der Zertifikate/Zertifikatskette nicht mehr geprüft werden kann. Ich danke vorab für eure Anregung. :wink2:

"Dieser Computer kann keine Verbindung mit dem Remotecomputer herstellen" ​Das hört sich so an, als wäre der Computer "nicht vertrauenswürdig". Bekommst du eine Zertifikatswarnung wenn du versuchst via RDP eine Sitzung zu öffnen?

Guten Morgen, mal ne blöde Frage, kann dein Gast überhaupt irgendwo hinpingen bzw. kannst du ihn überhaupt pingen? Evtl. hilft es dir, mit netsh die IP-Konfiguration in deinem Gast mal komplett zu resetten. Gruß, Knut

Hi, eventuell mal pathping benutzen um zu checken an welcher Stelle der Engpass zustande kommt. Ansonsten wie MurdocX schon sagt, benutze eine Weiterleitung.

Das Problem mit abstruser Software vor allem was CNC angeht haben wir auch. Aus diesem Grund sind diese Workstations nur lokal angebunden und nicht mehr im Netz. Sicherheit geht aus meiner Sicht vor Komfort. Xeeon, wenn du deine 2003er auf 2008er hochstufst, sprichst du da vom Funktionslevel oder nur vom Bertriebssystem?

- Grundsätzlich ja. - Problemlos? Keine Ahnung was du vor hast Solltest du es allerdings produktiv einsetzen wollen, finde ich die Idee (wie meine Vorredner auch) nicht gut.

Hi, ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber ich glaube bei einem reinem PXE wirst du da schlechte Karten haben. Was du suchst ist wohl eher ein Job für SCCM.

NetXMS

Hey Norbert, wenn ich dich richtig verstanden habe, dann sollte es ausreichen folgenden Befehl nach der Migration der Postfächer, Connectoren etc. auszuführen um den Exchange 2007 erfolgreich zu migrieren. Set-OrganizationConfig -PublicFolderMigrationComplete:$true Besten Dank noch mal für deine Anregung.

Hi @ll, ich denke, dass ich aus diesem Thread schon etwas an Tipps von allen Teilnehmern mitnehmen konnte. Was das entfernen der Public DB mit ADSEDIT angeht, bin ich auch kein wirklicher Freund davon und hätte da etwas Bauchschmerzen (alleine auch deshalb, weil es nicht der offizielle weg ist). Ich denke aber auch, dass Norbert hier als "Expert Member" aus Erfahrungen schöpft und seine Kritik da eigentlich schon fachlich orientiert ist. Dennoch beglückwünsche ich dich zu deiner erfolgreichen Migration und hoffe für dich Kurt, dass es keine Probleme gibt, wenn du den SBS dann endgültig kickst. Ich habs noch vor mir :) Auf gutes gelingen, Knut