audax

Danke Doso. Babykram hört sich gut an. Erfreulich, dass meine Beinen DCs ihre 'alte' Domäne behalten können. Ich werde dann beruhigt die nächsten Steps meines Externen abwarten. @NorbertFe Fühl Dich bitte nicht auf den 'Schlips getreten' Ich wollte halt 'so eine Antwort', wie von Doso. Dass ich die Grundlagen in AD nicht beherrsche, mag sein. Aber genau deshalb habe ich ja die Frage gestellt.

@norbertfe: Ich möchte Dir nicht zu nahe treten - ganz im Gegenteil; ich finde es klasse, wenn man so hilfsbereit ist, wo man ja auf den ersten Blick 'dafür nix bekommt'. Aber ich bin genötigt Dir zu sagen, dass Du im Imunrecht bist; Denn ich möchte mich aufgrund erheblicher Erfahrungen in der Vergangenheit eben NICHT auf alles und jeden verlassen. Sonst heißt es immer "hätteste mal vorher gefragt" Nun hab ich die Chance und möchte sie eben gerne nutzen. Aber wenn ich mir die ganzen Antworten mal so anschaue, sehe ich nicht wirklich viel inhaltlich zu meiner Frage Relevantes - bzw. ich kann die Antworten nicht korrekt interpretieren. Mit scheint, als wüssten die Forunsmitglieder das eben auch nicht so aus dem eff eff, obig meine 2008er AD Domäne unverändert Weiterbetrieben kann, wenn da ein neuer 2012 DC im AD mitmischt. Also ums abzukürzen: ich bin nach wie vor an einer Antwort interessiert und würde mich darüber sehr freuen. Aber ganz gleich was dabei rauskommt, ich finde dieses Board äußerst hilfreich. Vielen Dank an alle

OK. Danke für den Ratschlag Ich habe ja einen Experten, der die Inbetriebnahme vor Ort macht :-) Der sagt, alles halb so wild. Da wollte ich mich nicht einfach so drauf verlassen. Vielen Dank an alle für die Antworten

Leider verwirrt mich das. Im Internet finde ich Dokumente, bei denen vor Inbetriebnehmen eines weiteren DC 2012 innerhalb einer 2008er AD Domäne die beiden vorherigen Schritte adprep/forestprep und /domainprep als erforderlich stehen. Jemand sagt mir aber, wenn der 2012er DC nicht der Primary DC (wusste garnicht, dass es dass nach Windows NT überhaupt noch gibt) ist, kann die Domäne weiterhin Version 2008 bleiben. Automatisch passieren ist ja nur die halbe Miete - ich würde schon ganz gerne wissen, ob hier Übermorgen die K...cke am dampfen ist, nur weil zwei Externe einen 2012er DC an Board nehmen ;-) Schön wäre eine Erklärung wie: "Mach Dir keine Gedanken. Wenn der der Haupt DC bei Euch nach wie vor auf 2008 läuft, muss nix mit adprep durchgeführt werden. Dennoch funktioniert der Standort mit dem 2012 genauso, wie der Standort mit dem 2008er DC" oder: "Mach Dir keine Sorgen. Bevor Du den 2012 DC ins AD holst, musst Du zwar adprep/forestprep und /domainprep ausführen, aber erstens läuft der reguläre Betrieb ungestört weiter und die beiden 2008er DCs und sämtliche anderen Server (File- Print und etc. Server), die bei Euch laufen, werden danach auch immer noch problemlos weiterlaufen, ohne, dass Du noch etwas machen musst." Auf die Frage: "Schema auf 2012 und DC auf 2008 - geht das?" Ja keine Ahnung, in diversen Seiten liest man, wie man den ersten 2012 DC in einer 2008 Domain einfügen kann. Immer steht da, dass man das AD auf 2012 hochstufen muss. Danach migrieren die aber immer die bestehende 2008er Landschaft nachträglich auf 2012. Das möchte ich aber nicht. Im Moment keine Zeit dafür. Ich benötige halt eine Möglichkeit, wie der 2012er innerhalb einer bestehenden 2008er lauffähig ist und die 2008er parallel dazu auch noch lauffähig bleiben. Oder halt die Aussage: "dass, was Du vor hast, geht mit Windows nicht. Entweder 2008er AD mit lauter 2008er DCs oder 2012 DC aber dafür neues AD basierend auf 2012" Danke im Voraus

AD integriert ist natürlich korrekt. Ich habe zwischenzeitlich die Faq-o-matic Seite für DNS gefunden. Ja, Ich habe nicht damit gerechnet, dass ich 'garnix' machen muss (oder sogar kann), aber anscheinend reicht es, wenn ich die zweite Site mit Subnetz einrichte, die Replikation zwischen beiden Sites anpasse und DNS auf dem DC aktiviere. Unter Linux sind das ein-zwei Handgriffe mehr :-) DCPROMO = Servermanager :-) Es ist ein 2012 R. UNser AD ist 2008er Schema mit einem 2008er und einem 2008R2 DC. Bin gerade am schauen, was das für Auswirkungen hat, wennd er erst 2012er dazukommt Also was ich heraus gefunden habe ist, dass ich ADPREP.exe/forestprep und ADPREP.exe/domainprep/gpprep ausführen muss. Ich hab angst *Edit: 12:12 Wenn ich per Adprep die 2008er Domäne hochstufe (und das Schema auf 2012er Niveau erweitere) wieviele Neustarts der DCs habe ich zu erwarten und was muss ich sonst noch beachten?

Ja, da ist was dran. Ich hab ihm gesagt, er möge mich dann anrufen, wenn er am dcpromo dran ist. Dann schalte ich mich per Teamviewer drauf. Ich hab mir vorgenommen, auf dem DC noch den DNS einzurichten, damit nicht alles über das VPN aufgelöst werden muss. Wie muss man den DNS einrichten? Der soll ja schließlich auch unsere in DE auflösen können. Eigentlich soll es eine Zone geben, wo alle drin sind. Macht das Sinn? Diese Zone teilen sich dann beide (bzw. alle 3 DNS Server) gleichberechtigt. Gibt es da Bedenken bzw. wie würdet Ihr das machen?

Hallo Freunde, ich habe aus einer unserer Töchter erfreuliche Nachrichten empfangen. Die wollen jetzt doch in unser AD-Aber genau JETZT :-) Und ich steh schon wieder auf dem falschen Fuß. Die sollen einen eigenen DC und einen eigenen Fileserver bekommen Also habe ich folgendes gemacht: 1. IN AD Standorte und Dienste ein neues Subnetz erstellt 2. EIne neue Site erstellt Beide Sites sind jetzt in der DEFAULTIPSITESLINK und sollen alle 15 Min. replizieren Da den DC und den FS eine externe Firma im Ausland installiert und einbindet, muss ich denen jetzt temporär ein AD Konto erstellen oder was habe ich eigtl. noch zu tun? Danke und Gruß

Ja, ich war echt kurz davor, das Teil aus dem Fenster zu schießen. Aber das hat mir geholfen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Csc\Parameters einen neuen DWORD-Wert (32 Bit) mit dem Namen FormatDatabase anlegen und den Wert auf 1 setzen. Neu starten Ergebnis: Nachdem ich die Maschine und den Benutzer wieder in die korrekten OUs geschoben habe, erhalte ich jetzt NUR noch den korrekten Synchronisationspartnerschafts-Eintrag angezeigt. Es kommen somit keine Konflikte mehr. Thema erledigt

Zur Info: was habe ich schon gemacht.... 1. Das Computerkonto und den Benutzer in eine OU verschoben in der es lediglich eine GPO gibt, die aber überall 'nicht konfiguriert' ist 1a. Gpupdate /force (im laufe meiner Versuche sicherlich 20 mal ausgeführt) 2. Das lokale Profil des Benutzer gelöscht auf dem PC gelöscht (%systemdrive%\Users\Benutzer und in der Registry HKLM\Software\Microsoft\Windows NT\CurrentVersion\blabla) 3. 100 mal runtergefahren 4. Offline Dateien deaktiviert und Offlinedaten gelöscht 5. Neu gestartet 6. Offline Dateien wieder aktiviert und jetzt: Obwohl ich in keiner aktuell angewendeten GPO (per RSOP.msc geprüft) die vom Administrator zugewiesenen Offlineordner übertragen bekomme, ist in meinem Synchronisationscenter des selbe an Einträgen drin!! Ich kann die einzelnen Partnerschaften auch nicht rausnehmen, da ich Möglichkeit ausgegraut ist. 7. Auch das Löschen von [HKLM xxxxxx Policies} und HKCU... hat nicht wirklich etwas gebracht.

Guten Morgen, da bin ich schon wieder. Nun aber mit etwas Handfesterem: Ein Windows7 PC hat ungewollt 2 Synchronisationspartnerschaften. Einmal auf das richtige Homeverzeichnis des Benutzers und einmal auf das eines Installationsbenutzers 'Install'. Da auf diesem Homeshare logischerweise keine Zugriffe eingerichtet sind, schlägt die Sync an dieser Stelle fehl. Ich würde nun gerne diese fälschlicherweise dort konfigurierte zweite Partnerschaft (also einfach das falsche zweite Share) entfernen. Das Problem ist aber, dass ich das über die Synchronisation nicht kann, da deaktiviert. Die GPO, womit diese falsche Einstellung früher dorthin gepusht wurde, ist leider auch schon lange gelöscht. Das Löschen der Registryeinträge HKCU - Software -Policies, HKCU-Software-Microsoft-Windows_Policies und HKLM - Software -Policies, HKLM-Software-Microsoft-Windows_Policies brachte keinen Erfolg. Lediglich die Windows 7 Firewall war danach erstmal wieder gesetzt :-) Ich hab schon überlegt, den Namen der gelöschten GPO zu verwenden und eine neue GPO zu erstellen, die den falschen Share rausnimmt. Aber a weiß ich nicht, ob das so geht und b wüsste ich nicht, wie ich eine gesetzte GPO auf einen Share wieder auf leer und deaktiviert zurücksetzen kann. Evtl. habt Ihr aber einen ganz anderen Lösungsansatz danke und Gruß audax

Und wie so oft ist der erste Schritt die Unterstützung aus der GF holen :-) Danke an alle.

Wow, ne Menge Output. Danke erst einmal dafür an alle. Ich persönlich würde auch am liebsten das AD mit PUNKTFIRMA enden lassen wollen. Wer braucht schon .de .local. intern .etc? Ich bin aber "neu hier" :-) und hab deshlab leider noch nicht ALLE Infos erhalten. Nur soviel weiß ich schon: - wir haben einen Standort in DE mit etwas über 500 Benutzern, eigener EDV Abteilung (wo ich auch drin bin) und Lotus Domino als Mailsystem. - Dann haben wir einen Standort in einem asiatischen Land (100 Benutzer) - noch kein AD und noch kein internes Mailsystem (ich ziehe dort auch Domino vor) - die EDV dort besteht aus einem lokalen Admin (kann deutsch) - ein Standort (ist auf einer Insel), die haben Exchange - ich nehme an, dass die dann auch AD haben. Kenne ich aber gar nicht, hab ich auch gar keine Verbindung hin. Die EDV besteht dort aus einem ext. Dienstleister (den ich nicht kenne) - EIn Standort mit 50 Benutzer (auch Baguettes gibt es hier) hat ?? - tja ich hab keine Ahnung ob die AD haben und welches Emailsystem und dann gibt es noch ein paar kleinere Standorte. . An allen Standorten ist eine Site-to-Site VPN Verbindung zu uns hergestellt. Meine mir selbst gestellte Aufgabe ist, (weil mir die Infrastruktur hier so überhaupt kein sicheres und kontrollierbares Gefühl gibt), eine AD - Infrastruktur zu entwerfen, die zukunftssicher (also Flexibel) ist, Bestmögliche Kontrolle und granulare Delegierung von Aufgaben im AD liefert, und eine einfache aber dennoch sehr sichere Steuerung von Zugriffsrechten auf Freigaben. Das Ganze soll auch über VPN untereinander funktionieren. Ich vermute, dass die Inselaner keine Lust haben werden, Ihr Outlook gegen einen Notesclient auszutauschen, demnach wäre auch zu überlegen, ob die AD Erweiterung von Exchange auf Alle oder nur auf das AD derer ausgedehnt wird. Die Asiaten sollten evtl. nicht auf Freigaben zugreifen. Hier wäre evtl. eine Brücke über ein sicheres Datenaustauschtool (z.B. SSP Europe, Brainloop etc.) denkbar.

Ok. Klingt auf jedenfall so, wie ich es befürchtet habe. Ich hätte am liebsten auch nur eine Domäne mit OUs und fertig. Ich werde die Tage mal versuchen, die Anforderungen zu Papier zu bringen und mich dann hier wieder melden. Danke Euch beiden und auch danke für den Link Gruß

Hallo Community, eins vorweg. Mein letzter Post hier liegt schon Jahre zurück, dass ich sogar ein neues Login generieren musste. Ich habe Schwierigkeiten, den richtigen Suchbegriff in Google oder in diesem Forum zu generieren :-) Also: ich habe eine AD Domäne Stadt1.Firmenname.de. Hier drin sind zwei OUs, die dann wiederum Stadt1 und Stadt2 heißen. Darüber hinaus kommen in den nächsten Monaten noch mindestens 2 weitere geographische Standorte Land2 und Land3 hinzu. Ich möchte folgendes erreichen: 1. Die Haupt Domäne soll nun nur noch Firmenname.local oder .intern heißen. 2. Die jetzt vorhandene Stadt1.Firmenname.de soll dann als Subdomäne von Firmenname.local eingehängt werden 3. Die beiden neuen geogr. Standorte sollen je als weitere Subdomäne an Firmenname.local angehängt werden 4. Die Subdomäne Stadt1.Firmenname.local soll auf allen anderen Subdomänen Rechte erhalten. Umgekehrt nur nach Bedarf. 5. Die Admins der anderen Sub-Domänen dürfen nur in deren eigener Domäne herumdoktern. Ausnahme - Stadt1.Firmenname.local Frage: Ist das so, wie ich es mir vorstelle, eine vernünftige Lösung in Bezug auf administrativem Komfort und Sicherheit? Kann ich denn speziell Punkt 2 überhaupt realisieren? Land1 ist im Übrigen China, da ist das Vertrauen erst noch herzustellen. Deshalb halt das gesteigerte Sicherheitsbedenken. Vielen Dank an Euch für einen angenehmen 5 Punkte Plan ;-) Gruß Audax