Reingucker

Müsste das nicht per Applocker gehen? Also das ausführen der ServerManagerLauncher.exe per gpo verhindern?

@Nobbyaushb Ha! Das hatte ich auch heute :D Ich hab dann unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList]\"FirstNetwork"=dword:00000000 einfach ne 2 draus gemacht. Hab dann auch überlegt ob ich dem System das schreibrecht auf diesen Schlüssel entziehen soll, also nur lesen. Dann dachte ich mir aber: Das kann es nicht sein. Es muss irgendwas unter "Networklist" mit den "unmanaged" und den da fest zugeordneten Profilen zu tun haben. Vielleicht mal die ganzen chaches und festen zuordnungen in den Unterschlüsseln unter "Networklist" löschen? Bin da aber noch nicht weiter weil es schon nach 16:00 war und ich die Schule verlassen musste. Edit: Aha! Hab etwas gefunden was dir vielleicht weiter hilft http://blogs.technet.com/b/networking/archive/2010/09/08/network-location-awareness-nla-and-how-it-relates-to-windows-firewall-profiles.aspx könnte also etwas mit den "unknown" zu tun haben.

Bin auch grad dabei :) Machst du mit NPS und alles über Policies?

Moin, hat schon wer IPAM im Server 2012 R2 eingesetzt? Ab wann lohnt sich das? Oder lohnt sich das immer? Hätte da Jemand einen kurzen Erfahrungsbericht dazu für mich? Reingucker

Danke auch.

Tja, ich muss es versuchen. Müssen halt notfalls die anderen VM abspecken. Einen richtigen, gebrauchten Server kaufen steht auf der Wunschliste, werde ich mir aber diese Weihnachten wohl nicht erfüllen können. Allein schon wegen Festplattenpools muss da noch was her. Kost aber auch gebraucht einiges und im Moment für mich zuviel.

Ah, ok. Für mich hat sich sein Problem so angehört als dass irgendjemand diesen DC unter "Users and Computers" gelöscht hat und die Eintragungen für diesen DC unter den NTDS-Settings der anderen DC vergessen hat zu löschen.

Bin noch neu, aber hab da paar Gedanken dazu. Ein "getombstoneden DC" existiert doch eigentlich gar nicht. Und, falls der Server physikalisch noch existiert, dürfte er auch nicht starten oder mit jeder Menge Fehlermeldungen. Wenn da trotzdem hin repliziert wird, dann müsste der auch noch unter "Standorte" stehen und bei den anderen Servern in der ntds als Replikationspartner noch drin stehen. Vielleicht muss man den nur dort austragen und irgendwann, wenn die Grabsteinzeit um ist, ist er dann ganz aus dem AD.

Yep! So hab ich mir das auch gedacht bei der Planung. Der zweite Tree mit dem anderen Namensraum deckt ja nicht nur das bisher Genannte in meiner Testumgebung ab, sondern unter anderem auch den Exchange, welcher dann die zwei verschiedenen Namensräume bedienen soll...wenn denn mein Notebook mit macht von wegen zusätzlich 8-12 Gb Ram für die Exchange-VM. Mal sehen. Hyper-V hat ja noch die dynamische Arbeitsspeicherzuweisung und ich muss ja nicht alle Clients und DC laufen lassen dafür. Im Moment reguliert Hyper-V die DCs immer auf so um die 600 Mb RAM runter. Da ist ja auch kaum Last drauf. RAM-Range für die DCs ist minimum 512 Mb und max 2048 Mb, für die Clients und Memberserver 512-1024 Mb. Ich denke der RAM reicht theoretisch.

Ja, mindestens zwei Dom. Ich wollte da aber noch einen anderen Namensraum haben und nicht nur Child-DOMs.

*lach* Natürlich ist es für euch langweilig! Ihr habt es ja auch schon mehrfach gemacht. Ich noch nicht. :) A-G-DL-P is klar. Wobei ich auch noch universale Gruppen testen will. Also A-G-U-DL-P. Auch deswegen der zweite Tree.

Als einer der Tests will ich den Schemamaster von einem Tree in den anderen Tree verschieben. Natürlich. Im ersten Post habe ich mein Vorgehen dokumentiert. Siehst du da irgendwie etwas was ich vielleicht falsch gemacht hatte?

Moin NilsK! Richtig, Lernumgebung :) Ich fange im Dezember eine Umschulung für MCSA 2012 und MCSE Messaging (EXchange 2013) an. Und habe mir die Eval vom 2012 R2 von MS runtergeladen um mal zu sehen was da so geht mit. Ich dachte mir ich brauche mindestens einen Forest mit zwei Trees für Schematests. Wovon in einem Tree dann noch eine Child-Dom ist und eine der Doms mindestens 2 DC hat. Dazu dann noch ein Memberserver mit WSUS/WSD, und 2 Clients mit W8.1 Enterprise und 2 Clients mit Win7 Enterprise. Das sollte erst einmal einen Großteil vom AD abdecken. Das war der Plan und das hab ich inzwischen auch installiert. Später soll dann noch ein Exchange dazu. Muss aber wahrscheinlich dann die Clients reduzieren. Mein Notebook ist jetzt schon recht ausgelastet wenn alles läuft. Mal sehen. Ja, hast schon recht, bissel ruhiger angehen lassen wäre auch nicht schlecht. Aber vielleicht kennst du es ja: Da gibt es etwas neues und man hat Bock es auszuprobieren - am besten alles sofort :D Allerdings war (und bin) ich der Meinung, dass wenn ich nach einer Anleitung von Technet vorgehe (s. erster Post), das dann auch funktionieren sollte.

Jo, habs nur erwähnt um klar zu machen dass der andere Standort/neue Tree-Dom auch eine andere Range hat. Routing/DNS funktioniert nach dem verschieben. Allerdings können sich die Trees nicht durchsuchen, also ich kann keinen User einer Dom aus dem einen Tree irgendeiner Resource in der Dom im anderen Tree hinzu fügen. Sollte aber doch gehen weil automatisch bidirectionaler Trust innerhalb der gleichen Gesamtstruktur - oder lieg ich da falsch? Edit: Die Repl funktioniert zu den DCs im Tree test.intern untereinander und zu dem DC im Tree test2.intern. Allerdings funktioniert die Repl auf dem DC im tree test2.intern nicht richtig. Der kann replizieren zum anderen Tree, aber packt es irgendwie nicht sein eigenes zu schreiben. Ich kann von Tree zu Tree computer und resourcen durchsuchen, aber keine User oder Gruppen. Fehler sieht so aus auf DC3 im Tree test2.intern Auf DC1 im Tree test.intern sieht alles normal aus. Alle 3 DC replizieren Jemand ne Idee? Edit: Erfolgreich... Alles klar, jetzt geht alles. Hat trotz repadmin /syncall /force gedauert weil durch das verschieben der DC3 erst alles umschreiben musste und solange die sync halt warten musste. Eben neuen sync geforced und alles erfolgreich und jetzt können sich beide trees ganz durchsuchen und user aus dem einen tree können einer resource aus dem anderen tree zugeteilt werden. Aber mal ehrlich: Wieso muss man da so einen Umweg gehen? Wieso kann man nicht direkt einen neuen Tree in einen neuen Standort mit einer neuen IP-Range in eine Gesamtstruktur installieren? Ne, waren von ISO. 4 VMs, jedem sein Server-iso.

So, ich hab jetzt den neuen Tree installiert - allerdings in der gleichen IP-Range und in der gleichen Site wie der erste Tree :rolleyes: Ich werde jetzt versuchen den neuen Tree/Dom mit seinem DC in die andere IP-Range und andere Site zu verschieben.

Hmm, ich hab ja die gesamte Strukture und alle Server ziemlich schnell aufgesetzt (Hyper-V + deployment ist ne coole Kiste). Ist jetzt so 2 Stunden alt alles. Könnte es sein dass die Erstreplikation im ersten Tree noch gar nicht fertig ist? DNS hab ich AD-integriert gemacht. Wo seh ich denn wie weit die DCs mit der Erstreplikation sind? Edit: Ne, das wars auch nicht. Mit Repadmin geforced aber immer noch der Fehler.

Erst einmal ein Hallo in die Runde :) Bin neu hier im Forum und bräuchte etwas Unterstützung da ich alleine nicht weiter komme. Problem: In eine bestehenden Gesamtstruktur (1 Tree mit 1 Dom - 2 DC, 1 WDS-WSUS) möchte ich einen neuen Tree mit Dom hinzufügen. Der neue Tree/Dom hat eine andere IP-Range und soll als neuer Standort unter AD-Sites stehen. Vorgegangen bin ich nach dem Script hier: http://technet.microsoft.com/en-us/library/jj574105.aspx Soweit kommt es aber gar nicht, da die Installation der neuen Dom schon fehl schlägt. Der dabei angezeigte Fehler ergab bei einer Googlesuche unglaublich viele, thematisch verschiedene Angaben, so dass ich mich erst mal hier angemeldet habe :D Hier mal die Bilderstrecke zum Installationsversuch Rest durchgeklickt. Beim Überprüfen der Vorraussetzungen dann der Fehler Ping und DNS Test von DC3 (der Server für die neue Tree/Dom) Und hier AD-Standorte auf DC1 im ersten Tree der Gesamtstruktur Ich kann mit dem Fehler "Fehler beim lesen der Optionseigenschaften der NTDS-Einstellungen. Unbekannter Fehler (0x8000500c)" nichts anfangen. In den Standortverknüpfungen sind ja beide Sites über den Defaultipsitelink verknüpft. Wobei halt im Standort "Zweites-Netz" noch nichts drin ist weil ich diese Tree/Dom ja erst in die Gesamtstruktur hinzu fügen will. Was übersehe ich? Edit: Das gesamte Netz läuft im Hyper-V. Vielleicht hats ja auch damit was zu tun. Aber Ping und DNS geht ja alles. Naja :confused: