Christoph35

Vielleicht ist auch das IIFP was für Dich: Download details: Microsoft Identity Integration Feature Pack SP2 Christoph

Hier mal ein Link zu Terminal Services untern W2K8: Terminal Services Im Oktober soll auch noch ein ResourceKit zu Terminal Services erscheinen. Amazon.de: Windows Server® 2008 Terminal Services Resource Kit (Windows Server): Microsoft Press: Englische Bücher Christoph

Jo, hast recht. Den alternativen DNS trägt man erst ein, wenn alles richtig läuft. Christoph

Ich würde für die DNS Konfig den jeweils anderen DC noch als 2. DNS Server eintragen. Oder an beiden DCs den SBS als primären DNS Server und den DC2 als sekundären. Ist WINS denn auch auf beiden DCs installiert? Ist die Wins-Repl. konfiguriert? Christoph

:cry: Wieder einer, der meint, der ISA als Non-Domain-Member wäre "sicherer".... Schau mal hier: Debunking the Myth that the ISA Firewall Should Not be a Domain Member Ansonsten: der Fehler mit dem CN des zertifikats ist einer der häufigsten: http://www.shijaz.com/isaserver/top_10_isa_blunders.htm Christoph

Das Default Gateway auf der internen NIC würde ich bei einem Rechner mit 2 NICs immer leer lassen; falls andere Netze angesprochen werden müssen, baut man eben eine entsprechende Routing-Tabelle. Siehe auch hier: http://www.shijaz.com/isaserver/top_10_isa_blunders.htm (Punkt 11) Auch wenn es sich hier nicht um einen ISA Server handelt, kann man das doch auch darauf anwenden. Christoph

Ich würde auch jetzt nicht mehr die 350 machen, sondern die zum ISA 2006 also 70-351. Falls ihr einen ISA 2004 habt: Auch den würde ich durch den 2006er ersetzen, falls möglich... gleiche GUI, aber hat halt ein paar nette neue Features, besonders mit dem SP1. Christoph

Aha, dachte ichs mir doch... Gut, ich denke, ihr solltet das mit dem ADMT regeln, gibts zwar jetzt in einer neuen Version 3.1, die auch mit Windows Server 2008 umgehen kann. Aber: Vielleicht schaut ihr erst mal, dass ihr die Domain loswerdet und stellt dann in einem 2. step auf 2008 um. Nicht beides auf einmal. Christoph

Nur damit ich dich richtig verstehe, ihr habt in eurem Forest 2 Domains und die ChildDomain (nicht Site) soll aufgelöst werden und deren Objekte in die Forest-Root-Domain migiert werden? Christoph

Mag sein... BIND ist damit jetzt bei uns aber nicht aus dem Spiel, wird halt jetzt als Forwarder genutzt und hat eine Secondary Zone der AD-Zone. DNS ist hier ein Thema für sich, von daher bin ich echt froh über den Kompromiss. Christoph

Bei uns wollten die Kollegen das auch erst über BIND geregelt haben. Man hat dann aber festgestellt, dass das doch etwas viel Aufwand ist. Wir haben dann DNS auf den DCs installiert... ;) Christoph

Warum ist der ISA kein Domain-Member? Lies mal das hier: Debunking the Myth that the ISA Firewall Should Not be a Domain Member Christoph

Die Zeit für die Passwort-Warnung lässt sich auch über GPO einstellen: ComputerConfig / Windows Settings / Security Settings / Local Policy / Security Options / Interactive Logon:Prompt user to change password before expiration 30 Tage finde ich auch zu häufig. Bei uns waren es 60 Tage, jetzt sind wir sogar auf 90 Tage gegangen. Dafür haben wir Komplexität gefordert. Christoph

:suspect: Da sollte sich doch wohl eine FW-Regel definieren lassen, die Traffic vom betreffenden Rechner auf den betreffenden Ports auch für anonyme User zulässt... :suspect: Wo hast du denn diese Info her?! Das stimmt nicht, bei Exch. 2003 gibt es sogenannte Front-End-Exchange Server, die den Postfachinhalt automatisch vom korrekten Backend (Mailbox-)Server holen. Bei Exchange 2007 heißen die Rollen Client-Access- bzw. Mailboxserver. Front-End-Exchange Server können/sollten auch im internen Netz stehen, nicht in einer DMZ. Christoph

Mit 50/50 machen wir es in unseren Aussenstandorten. Allerdings noch mit einer kleinen Variante. Wir geben dem Scope alle Adressen eines Subnetzes (meistens handelt es sich bei uns um /24er Netze, damit also von .1 bis .254) und definieren unterschiedliche Ausschlussbereiche. Christoph

Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA? Das mit dem CAS hab ich in meiner 1. Antwort glatt überlesen, da habt ihr natürlich recht, dafür ist der Exchange Edge nicht gedacht und das kann der auch nicht. Wie ich schon schrieb, ist der nur für SMTP gedacht und Messaging Hygiene (Spam-Filterung). Christoph

Ist euch der ISA nicht mehr sicher genug, oder warum wollt ihr den nicht mehr nutzen? Der hat eigentlich gegenüber einer "normalen" Firewall eben im Bereich des Publishing von OWA u.ä. viele Vorteile. Der Ex. 2007 Edge macht nur SMTP. Wenn, dann könntet ihr also versuchen, den als Smart-Host zu verwenden. Aber getestet hab ich sowas noch nicht. /edit: hab gerade mal ein bischen gesucht, es gibt tatsächlich einen Technet-Artikel von MS, der sich damit befasst: http://technet.microsoft.com/de-de/library/bb123774(EXCHG.80).aspx Christoph

Ok, dann musst du in der Default-Domain-Policy die Anforderung zur Komplexität des PW deaktivieren. Das gilt dann aber eben für ALLE User. Die PW-Richtlinien gelten auch für den Domain Admin und sollten GERADE für diesen gelten. Es gibt aber eine Ausnahme: wenn das PW vor dem DCPromo (trotz Warnung) nicht den Komplexitätsanforderungen genügte, wird das PW des lokalen Admin für das Administrator-Konto übernommen. Ansonsten hat Norbert mit seinen Ausführungen natürlich recht: was ist das für ne Anwendung die unbedingt Admin-Rechte braucht? Christoph

Hallo, PW-Richtlinien gelten domainweit (sofern es sich nicht um Win 2008 handelt). Was willst Du erreichen? Christoph

Meine Frage zielt darauf ab, dass die 1. beiden doch die DNS-Daten in einer Partition abgelegen, die es auf W2K-DCs nicht gibt. Täusche ich mich hier? Wenn ich mir die Hilfe in dem Dialog anschaue, sehe ich, dass man die Option "To All Domain Controllers in the Domain xyz.de" für W2K DCs nehmen sollte: Christoph

Mit welchem Replikationsbereich? Alle DNS Server im Forest`? In der Domain? Alle DCs in der Domain? Christoph

Von sowas hab ich noch nie gehört.... :suspect: Wie sollte sowas auch funktionieren... :confused: Christoph

Mag schon sein, dass es daraus hervorgeht, ist aber trotzdem nett, wenn man das auch so als Frage formuliert ;) Also, ich geh mal davon aus, die Dienste stehen auf Autostart, so wie es sein sollte. Gibt es denn noch weitere Eventlog-Einträge (im Application Log)? Christoph

Und was ist jetzt deine Frage`? :confused: http://support.microsoft.com/kb/555375/en-us

:suspect: Ich glaube, da besteht dringender beratungsbedarf ... :nene: Eine DMZ ohne Inhalt ist wirklich Geldverschwendung. Ausserdem ist der ISA Server auch ohne eine HardwareFW davor sicher genug. Als Lektüre empfehle ich da mal diese Artikel vom ISA-Server-Papst Tom Shinder: Teaching the Boss and the Network Guys About the ISA Firewall (Part 1) Teaching the Boss and the Network Guys About the ISA Firewall (Part 2) Christoph