Reingucker

Mit VPN die beiden Dom ohne trust verbinden.

In Dom mit Application-Server einen Druckserver installieren.

Auf diesem neuen Druckserver die benötigten Drucker der anderen Dom direkt per IP anlegen.

Application-Server die Drucker des eigenen neuen Druckserver inklusive Berechtigungen zuweisen.

Routing setzen.

Auf Firewall/VPN-Endpunkt und Router der anderen Dom die Rechte für Pakete des neuen Druckservers so setzen dass nur durch zum den benötigten Drucker und wieder zurück durch vpn erlaubt ist.

Fertig.

Ist doch schon geklärt. Die Rep ging nicht weil zweiter DC Nic-Störung hatte.

Könnte man nicht in der Dom mit dem Application Server noch einen Druckerserver installieren der dann den Drucker aus der anderen Dom einbindet. Also den Drucker direkt und nicht über den anderen Druckserver in der anderen Dom.

Schön. Hab ich auch was gelernt :)

Dann ist vielleicht auf dem anderen DC irgendeine GPO im Sysvol kaputt.

Oder noch ne Idee was ich auch mal getestet habe bei mir:

In der Registry des Clients einfach nach  {E51481FE-9F18-40B9-ABFC-8E220488E5CF} suchen.

Ist ja eine Einstellung im Computerbereich und müsste dann unter hklm\software\microsoft\windows\currentversion\grouppolicy\datastore\machine zu finden sein. Dort einfach raus löschen und auch unter c:\windows\system32\grouppolicy\datastore\0\sysvol\deineDomäne\policies löschen und dann den Rechner neu starten.

Hast du zwei DC?

Hm, vielleicht ist es gar nicht die neu erstellte GPO, sondern irgendeine andere alte die jetzt da hängt. Haste mal {E51481FE-9F18-40B9-ABFC-8E220488E5CF} mit der Nummer deiner neuen GPO verglichen?

Edit:

Sehe gerade gibt auch nen Befehl zum Finden

Get-GPO -guid "{E51481FE-9F18-40B9-ABFC-8E220488E5CF}" | select Displayname

Musst du mal ins Eventlog schauen.

https://technet.microsoft.com/en-us/library/cc727259%28v=ws.10%29.aspx

Nachtrag:

Ich habe mal das Debugging auf dem DNS angeworfen. Und da kann man schön sehen, dass ein DNS-Eintrag für einen Client durch den DHCP-Server bei eingeschaltetem Namenschutz abgelehnt wird.

 

Message:
    XID       0xe143
    Flags     0xa805
      QR        1 (RESPONSE)
      OPCODE    5 (UPDATE)
      AA        0
      TC        0
      RD        0
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     5 (REFUSED)

Der Client selbst darf updaten. Was aber hier nichts bringt weil diese Option auf dem Win-Client ja abgeschaltet ist, weil in diesem "Hostname-Versuch" Vorgabe war per DHCP-Server einen anderen Hostname im DNS eintragen zu lassen.

Wenn der Namensschutz ausgeschaltet ist, dann wird die Update-Query vom DHCP-Server für den Client vom DNS angenommen

 

Message:
    XID       0x6470
    Flags     0xa800
      QR        1 (RESPONSE)
      OPCODE    5 (UPDATE)
      AA        0
      TC        0
      RD        0
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)

Der Apple DHCP-Client muss sich da nicht zwingend anders verhalten. Es kann auch sein, dass Eure Konfiguration des DHCP- und DNS-Dienstes unterschiedlich ist. Stichwort Name Protection. Lies mal DNS Processes and Interactions ab Secure dynamic update und DHCP Processes and Interactions.

 

In DHCP Step-by-Step Guide: Demonstrate DHCP Name Protection in a Test Lab findest Du dann eine Schritt-für-Schritt-Anleitung zum Schutz der Namen im DNS.

Es macht aber keinen Unterschied ob "sichere + Namensschutz" oder nur "sichere". Es ist einfach so dass sowohl Windows-dhcp-clients als auch, nach seinem Versuch zu vermuten, iOS-dhcp-clients im request schon den eigenen Gerätenamen mitgeben. Also absolut RFC-DHCP machen. Und damit geht die option 12 "Hostnames" nicht, weil der MS-DHCP-Server (und eigentlich alle laut RFC), den unter Option 12 eingetragenen Namen nur dann übermitteln und bei sich eintragen, wenn im dhcprequest vom Client keine Clientname mit übermittelt wird. Bei Bootp wird standardmäßig kein Clientname mit übermittelt im Request. Daher kann man denen dann einen Namen per option 12 übergeben. Bei Linux ist es etwas anders. Linux meldet sich zwar mit dhcp-request, übermittelt aber ursprünglich keinen Clientnamen, also option 81. Und registriert sich auch ursprünglich nicht im DNS, siehe hier

http://www.held.org.il/blog/2011/01/make-dhcp-auto-update-dynamic-dns/

---------

@Daniel-MSFT-, danke  :) 

Man muss halt nicht nur lesen können, sondern das Gelesene dann auch verstehen ^^

Die Lösung für Windows lautet:

1.) Auf dem Client unter den Eigenschaften der Netzwerkkarte unter DNS das Häkchen bei "Adressen dieser Verbindung im DNS registrieren" heraus nehmen.

2.) Im DHCP-Server in der Reservierung für den Client die Option Hostname konfigurieren

3.) Falls der Namensschutz aktiviert ist, den Namensschutz deaktivieren.

Und so etwas ähnliches wie in Punkt 1.) sollte es auch unter iOS geben.

Danke für Info :)

Dann sind die Apple-dhcp-clients genauso wie die windows-dhcp-clients. Sie machen pur-dhcp und übergeben beim request schon ihren Gerätenamen. Die Hostname-Option funktioniert halt nur wenn beim Request kein Gerätename übergeben wird.

Edit:

Das mit den Reservierungen auf MAC wird sowieso nicht mehr lange gehen weil ja IPv6 und MAC-Change. Edit: Heißt ja offiziell "Privacy Extensions". Hehe, so, haben wir das auch noch schnell gelernt.

Gerade angesehen. Im Videos ist aber ein 2012r2 mit einem Linux-Client.

 

Ich aber habe hier nen 2011sbs mit iOS, Android und MOTU AvB -Geräten.

 

Aber ich werde mich die Tage mal spielen.

Ja, is 2012 R2. Ist gleichzeitig DC/DNS/DHCP, also wie bei dir. Feedback wäre schön weil ich noch keinen SBS 2011 hatte  :) 

@tesso

off-topic: Haste meinen Microsoft Security Essentials auf dem 2012 R2 gesehen? Am Schluss vom Film? :D

Hab mal ein kleines Vid gemacht. Man muss da unterscheiden zwischen reinen bootp-clients, linux-dhcp-clients und windows-dhcp-clients. Deine HP-Switches z.B. zählen zu den linux-dhcp-clients. Und iOS verhält sich glaube auch so wie Linux, bin mir aber nicht so sicher weil ich schon ewig keinen Apple in den Fingern gehabt habe. In dem Vid hab ich eine Reservierung mit Wollmilchsau-Einstellungen konfiguriert. Die kannste ja mal gegen deine einzelnen Geräte testen.

http://www.linuzdreck.de/0003.wmv

@WileC

Und? Klappts?

Ich lese hier dauernd "heraufstufen", "dcpromo" und "Server 2012"...ist das nicht ein Widerspruch in sich?

Man kann auch Win8 mit einem DHCP-Client dazu bringen keinen Hostnamen beim lease zu übergeben indem man in der Registry unter services/tcpip alle Einträge für "Hostname" auf leer setzt.

Allerdings ist die DHCP-Server-Option "Hostname" explizit nur für bootp-clients und wird auf dhcp-clients nicht angewendet. Womit dann im dhcp-server nur der dns-suffix zur ip-adresse angezeigt wird.

Test mit Linux-client:

Alle vorher genannten Einstellungen für den bootp-client auf dem DHCP-Server funktionieren mit einem Debian-Netinstall-image. Bis auf die Sache mit der DNSupdateproxy-Gruppe. Als Mitglied dieser Gruppe sollte der DHCP-Server die Besitzrechte für den Eintrag im DNS haben und den Client anhand der Informationen im DHCP-Server eintragen. Tut er aber nicht. Zumindest bei mir nicht. Also muss man doch ein extra Userkonto erstellen und den im DHCP-Server eintragen unter "ip4/eigenschaften/erweitert/anmeldeinformationen". Dann klappt alles.

Mit dem gleichen extra User eintragen auf allen DHCP-Servern sollte dann auch das von Daniel-MSFT- erwähnte Problem behoben sein. Hehe, bin mir da aber nicht sicher da ich es noch nicht probiert/getestet habe.

Edit:

Ich hab mal bei HP-Switches bissel rum geschaut. Scheint dass die alle auf vlan-ebene bootp benützen können. Also dem VLan-Interface per bootp eine Adresse besorgen können. Der Win-DHCP-Server muss aber dafür neuer als der von Server 2003 sein. Was bei dir mit dem SBS 2011 aber der Fall ist (denke ich mal).

Tja, da musste ich auch erst mal schauen. Der DHCP-Server muss das in den DNS rein schieben. Also müsste theoretisch der DHCP in die Gruppe dnsupdateproxy. Und der DHCP müsste auch die Option für "NT4-Clients" aktiviert haben. Und auf die Reservierung müssten noch eigene Optionen gesetzt werden, und da unter erweitert und da unter "benutzerklasse=standard bootp klasse". Und da dann den dns/router und vielleicht auch Hostname. Weiß jetzt nicht ob der Namen im Reservierungseintrag dafür genommen wird. Und natürlich sollte der Router als bootp-client anfordern können. Die Ports natürlich, aber die sind ja die gleichen wie bei DHCP. Hm, ja, das sollte es gewesen sein

Edit:

Dein Router (oder was auch immer das für ein Gerät ist für das du das einrichten willst) MUSS als bootp-client eine Adresse anfordern. Ich habe das gerade mal mit einem win8 getestet und da bindet der Rechner dann die ip-Adresse nicht weil er mit der Antwort nichts anfangen kann. Weil er fordert ja als DHCP-Client an. Und damit geht die Bootp-Einstellung nicht. Macht man beide, also bootp + dhcp zulassen, dann sendet der DHCP-Server für einen DHCP-Client zurück und trägt den vom dhcp-client gesendeten Namen ein - überschreibt also den Reservierungseintrag wie du selbst schon festgestellt hast. Siehe hier

"

The format of DHCP messages is defined to be compatible with the
format of BOOTP messages, so that existing BOOTP clients can
interoperate with DHCP servers. Any message received by a DHCP
server that includes a 'DHCP message type' (51) option is assumed to
have been sent by a DHCP client. Messages without the DHCP Message
Type option are assumed to have been sent by a BOOTP client.

https://tools.ietf.org/html/rfc1534

Das müsste mit Reservierungen und in der Reservierung mit "nur bootp" gehen und dort Clientnamen eintragen. Soweit ich das noch im Kopf habe sendet der Client bei bootp keinen Clientnamen mit.

Hm, ja, stimmt auch wieder. Wäre dann komplett neu besser als erweitern. Aber so oder so: Es ist ziemlich zeitintensiv sowas umzusetzen und daher hats wahrscheinlich noch keiner gemacht.

Natürlich gehts, siehe mein Post über deinem. Man muss sich halt nur hinsetzen und es machen. Man kann das ADAC auslesen, siehe mein Post hier

http://www.mcseboard.de/topic/202456-ad-verwaltungscenter-formulare-%C3%A4ndernerweiternerstellen/?do=findComment&comment=1261421

und dann das Ganze neu zusammen setzen (s. mein Post über deinem) mit den gewünschten Zusatzfunktionen. Es kostet halt Zeit.

Das ADAC bzw. dsac.exe ist in .net programmiert - und das ziemlich statisch soweit ich gesehen habe. Wenn man etwas von .net-programmieren versteht könnte man sich auch ein eigenes ADAC-Webinterface machen und über ADWS auf das AD zugreifen. Habe ich mir auch kurz überlegt das zu machen, aber kann kaum .net und hab im Moment auch keine Zeit mir das parallel zu all den MS-Prüfungen beizubringen.

Überblick ADWS

http://blogs.msdn.com/b/adpowershell/archive/2009/04/06/active-directory-web-services-overview.aspx

Und hier Einblick in die Anbindung über .net

http://samirvaidya.blogspot.de/2012/06/using-active-directory-web-services-in.html

Wenns einer machen will: Bitte eine Option zum hinzufügen/bearbeiten von Userattributen beim User erstellen/verwalten hinzufügen. Danke.

Jo, für dsa.msc gibts jede Menge Add-Ons. Aber ich habs inzwischen gefunden. Ich kann bloß nichts damit anfangen weil ich kein .NET kann

Jo, ich finde auch nichts im Web dazu :nene: Ich möchte halt ein von mir erstelltes Attribut dort mit einbinden damit ich jedem User auch gleich für dieses Attribut einen Wert zuweisen kann beim erstellen. Ist für DAC-Test.

Moin moin :)

Ich möchte unter Server 2012 R2 die Formulare im AD Verwaltungscenter ändern bzw. um Attribute erweitern. Also so, dass ich beim Anlegen eines neuen Users im Bereich "Organisation" z.B. noch ein Feld "Sockenfarbe" unter dem Feld "Firma" habe.

Jemand eine Idee?