Vinc211

Ich versuche grade zu verstehen warum du überhaupt über NAT und Übersetzung sprichst. 2 seperate Netze wären doch auch vollkommen okay wenn ein Site to Site VPN zwischen den Gateways beides Netze besteht. DHCP könnten dann sowohl die DC's oder die Gateways übernehmen und DNS wäre überhaupt kein Problem.Der Grund der NEtzübersetzung ist mir nicht ganz klar.

Ah. Es ist korrekt das die GPO bei allen angewendet die in der OU sind, da du in der Delegierung keine Ausnahme gemacht hast bzw, alle Authentifizierten Benutzer die GPO lesen dürfen. Die Zielgruppenaddressierung ist für den Vorgang an sich zuständig und sollte das hinzufügen des Druckers entsprechend bei allen ausführen die in der Gruppe sind. Zugewiesen ist ungleich ausgeführt.

Aber nicht die Garantie und der Support für das Gerät an sich. Ich habe von Cisco für jedes System support bekommen egal ob der Befehl eingegeben wurde oder nicht. Der Befehl steht auf der offiziellen Cisco Seite ohne HInweis das dadurch der support erlischt.

Ich würde auch speed 100 einstellen und eventuell "service unsupported-transceiver" eintragen. Das ist ein Hidden command um 3t Anbieter SFP zu erlauben/aktivieren. http://www.cisco.com/c/en/us/support/docs/interfaces-modules/gbics/200296-Unsupported-GBIC-SFP-in-sub-module-of.html

Auch wichtig ist das die Person die dieser Szenario herbeigeführt hat keine Admin rechte bekommen sollte. Das ist ja gruselig. Nils sein Plan ist wie immer richtig gut =D ich frage mich nur wo die FSMO Rollen liegen und ob dies irgendwie wichtig wird?

Kannst du die GPO mal als Bild hier einstellen. Vorallem die Seite Bereich und Delegierung.

Ich hatte auch vor kurzem das Problem das meine GPO's nicht repliziert wurden und es Probleme in der Domäne gab. Ich habe Windows die Reperatur überlassen. Stichwort: Burflags http://www.mcseboard.de/topic/115522-fehler-13508-kein-sysvol-und-probleme-mit-dateireplikationsdienst/ Per Hand in den SYSVOL Ordnern zu arbeiten würde ich vermeiden.

Was ist wenn gpresult mit /SCOPE Computer ausführst?

Was ist denn mit dem Windows internen Easy Transfer? https://www.faq-o-matic.net/2010/02/05/benutzerprofile-mit-easytransfer-migrieren/

Moin, ich weiß es ist ein leidiges Thema und bei sehr vielen Funktioniert WSUS 3.0 nicht korrekt. Nach unzähligen Ansätzen habe ich den WSUS relativ stabil hinbekommen und kann auch eine Serverbereinigung durchführen ohne das ich den "Serverknoten zurücksetzen" muss. Doch auch wenn ich die Meldung bekomme dass: 105 nicht verwendte Updates gelöscht wurden 12603 nicht verwendete Updaterevisionen gelöscht wurden. Wird der Speicherplatz auf der Festplatte nicht mehr. Es frisst etwa 300 GB meiner Festplatte. Ich habe relativ wenige Produkte und Klassifizierungen und daher glaube ich das da mindestens 100GB zu viel sind. Vorallem wenn ich Produkte abwähle müsste ja entsprechend mehr Platz frei werden. Gibt es da ein Berechtigungsproblem oder kann ich das irgendwie nachvollziehen? Ich meine 12603 revisionen müssten doch zumindest 1GB freigeben...oder? Vielen Dank

Das Design ist immernoch 2 Hosts die pro VLAN mit 1Gbit an die SAN angeschlossen sind. Auf SAN Seite sind es 2 NIC Teams aus jeweils 3 Links die mit dem Switch verbunden sind. Für die 3 ist eine LAG auf dem Switch angelegt. Kann mir jemand diese hohen unterschiede auf der Received Seite erklären? Bei dem anderen Team sieht es genauso aus. Kann es sein das wenn ich das NIC Team auf "Switch Independent" und "Dynamic" stelle ich auf der Switch Seite nicht LAG einstellen darf. So wie ich lese gehört Static Teaming und LAG (channel Grp mode on, sowie LACP und LACP (Channel Grp mode active) auf Switch seite zusammen

Nein, nur die OWA Adresse ist von außen erreichbar. Es gibt folgende Einträge owa.x.de - Typ A - ZIEL 123.234.222.255 _autodiscover._tcp.x.de - Typ SRV - ZIEL owa.x.de

Reicht es wenn ich das Zwischenzertfikat aus meinem Speicher exportiere und im Exchange 2016 einfüge? Ich habe bei Domainfactory gesucht aber nichts gefunden wo ich das Zertfikat runterladen könnte.

Nein, ist es nicht. Ich habe auf dem Exchange nur das von mir ausgestellte Zertifikat hinterlegt, das ich dann auch über GPO als Stammzertfikat verteile. Wie gesagt dieses Zwischenzertfikat kommt ja anscheinend vom "Provider" bzw. von Domainfactory. Dort haben wir unsere externe Outlook Adresse für Outlook Anywhere im Nameserver. (also dort liegen unsere Domains, Subdomains etc.)

Wenn sich die Kollegen hier im Unternehmen von z.B Zuhause am Outlook anmelden kommt zum Anfang die oben zu sehende Abfrage. Wenn man ja klickt startet Outlook und alles ist gut. NUr kommt die Abfrage immer wieder. Auch wenn man das Zertifikat installiert wird man die Abfrage nicht los. Soweit ich weiß ist es ein ZwischenZertfikat in dem das Stammzertfikat nicht enthalten ist. Und ich finde es auch nicht so toll ein "fremdes" Zertfikat über eine GPO in die Stammzertfikate zu schreiben. Wie löse ich das Problem das die Abfrage immer kommt. Ich habe etwas über Zertfikatsketten gelesen, komm aber nicht so ganz auf die Lösung.

#redundanz und performance. Die Dell MD3230 mit SATA Platten ist jetzt nicht das schnellste Pferd. Aktuell sind dort knapp 7 TB verteilt auf 3 LUN's drin. Es könnten noch weitere Platten rein, doch möchte ich die IO Last nicht zu hoch treiben und eigtl auch eine etwas schnellere SAN mit SAS Platten haben. Vorallem für einen zentralisierten SQL Server etc. Ich sehe 2SAN bei 3VM Hosts jetzt nicht wirklich unsinnig.

ich habe jetzt mal folgende Anleitung durchgearbeitet und kann wieder Zertfikate austellen. https://support.microsoft.com/de-de/help/2795825/reinstall-the-ca-role-in-windows-server-2012-essentials Soweit so gut. Hoffe das es keine weiteren Probleme gibt. Danke Nils!

Ja direkt wäre eine Möglichkeit, aber ich Plane in Zukunft mit 2 SAN und 3 VM Host. Dann wird direkt schon schwierig, bzw es fehlen Ports.

Okay mein Kollege sagte mir grade das unser Microsoft CRM mit dem gekauftem SSL Zertfikat versehen wurde, damit es von extern über https erreichbar ist. Sinn ergibt das für mich nicht. Danke für den Link. Das hat auf jedenfall geholfen. Was mir noch nicht ganz klar ist, ist warum ich dann einen so großen Aufwand betrieben habe um die CA vom SBS 2008 auf Server 2012 R2 zu bekommen. Welchen Vorteil hat es eine CA "weiterzuführen". Da würden mir nur Zertfikate einfallen die sich öfter erneuern und entsprechend die alte CA anfragen wie z.B RADIUS? In welche Ausfälle und Komplikationen steure ich potenziell wenn ich die CA neu mache? Vorallem mit Sicht auf Exchange 2016, Microsoft Dynamics CRM. Das ich das neue root Zertifikat dann über eine gpo verteile ist soweit klar.

Okay Danke, aber Erfahrung wenn 1 VLAN wegfällt und nur noch 1 VLAN aktiv ist hast du nicht oder?

Wenn ich es richtig verstanden habe wurde ein Zertfikat von Comodo gekauft um entsprechend die eigenen Zertfikate zu signieren. Damit kein self signed Zertifikat verwendet wird. Bitte korrigiere mich: Windows kennt doch eine Reihe von "Haupt" Zertfikaten von z.b thawte, GlobalSign und Comodo. Kaufe ich mir ein entsprechendes Zertfikat dieser Anbieter sind meine Zertfikate nicht mehr Self signed und ich muss nicht unbedingt über gpo oder so mein CA Zertifikat in die Vertrauenswürdigen Zertfikate der Rechner geben/übertragen. Das müsste im groben doch so richtig sein =D

Das wäre eine Idee. Szenario 2 in dem Fall. Bei diesem müsste wahrscheinlich MLAG zum Einsatz kommen. Entsprechend steht noch die Frage im Raum: Das MPIO ist mit Round Robin Active/Active konfiguriert. Was passiert wenn ein Switch und ein komplettes VLAN ausfallen. Halbiert sich dann die Geschwindigkeit (das wäre okay) oder muss MPIO mit Round-Robin 2 aktive wege haben? So wäre es Switch mäßig nach VLAN getrennt. Wenn ich mir das so überlege wahrscheinlich einfacher zu lösen und genauso ausfallsicher?

Ich würde gern bei der Windows CA bleiben, auch wegen Exchange 2016 etc. Zumindest kenne ich mich damit besser aus als mit openssl. Neumachen ist definitv eine Möglichkeit. Ich kann leider nur die COMODO RSA die anscheinend damals gekauften Zertfikate nicht mit privatemschlüssel als PKCS #12 exportieren. Würde mich das an einer Neuinstallation hindern? Einen guten Leitfaden zum neu machen der CA würde ich dann von windowspro nehmen?

Guten Tag, als ich damals die Zertfizierungsstelle von Windows SBS 2008 auf windows server 2012 r2 gezogen habe ist anscheinend etwas schief gelaufen. Im ADSI Editor im Pfad “CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com” kein Element. Das führt dazu das keine Zertifikatsvorlagen abgerufen werden können und ich keine Zertfikate ausstellen kann. Ich habe die Zertfizierungstelle schon einmal gesichert und wieder eingespielt wie in folgendem Beitrag vorgeschlagen. https://blogs.technet.microsoft.com/askds/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in/ Ich benötige das ganze um für einen Linux Server ein SSL Zertfikat herzustellen was nicht self signed ist. Fehlermeldungen auf meinem Weg zu eiuner Lösung: Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden. Es wurden keine gültige Zertfizierungstelle gefunden, die für das Austellen von Zertfikaten basiernd auf dieser Vorlage konfiguriert wurde, oder dieser Vorgang wird dvon der Zertfizierungstelle nicht unterstützt, oder die Zertifizierungstelle ist nicht vertrauenswürdig. Vielen Dank

Der Design Leitfaden liefert keine Antwort auf meine Frage für die beiden Szenarios die ich im Sinn habe. Der Implementierungsleitfaden geht davon aus das man bei 0 anfängt und das tue ich ja nicht. Ich wäre sehr dankbar für andere Ansätze. Durch das Flexpod steige ich einfach nicht durch.