dmetzger

Wie tief soll es denn gehen?

Understanding Recipients: Exchange 2010 Help There are two types of distribution groups: Mail-enabled universal distribution groups can be used only to distribute messages. Mail-enabled universal security groups can be used to distribute messages as well as to grant access permissions to resources in Active Directory.

Weisst Du nicht, was eine universelle Gruppe ist, oder möchtest Du wissen, weshalb Exchange 2007/2010 universelle Gruppen benötigt?

Findest Du ggf. hier Hilfe?: iSCSI Target Cmdlets in Windows PowerShell

Von welcher Exchange Server-Version sprichst Du?

Willkommen an Board. Domäne oder Arbeitsgruppe, W2K8 oder W2KR2, Service Pack? Was denn jetzt - sekündlich oder stündlich? :confused: Wie ist die lokale Sicherheitsrichtlinie "Network Access: Sharing and security model for local accounts" festgelegt?

Wie wäre es, wenn Du in der internen DNS-Zone einfach einen Host-Eintrag für "www" (ohne An- und Abführung) mit der externen IP-Adresse der Firmen-Website erstellst? ;) Wenn Du den SBS administrieren möchtest, soltest Du Dich ggf. auch mit den Grundlagen von DNS beschäftigen: How DNS Works: Domain Name System(DNS)

Wie genau hast Du das gemacht?

HKEY_CURRENT_USER\Software\Classes: Changes in File Types and File Association Features in Windows 2000 and Windows Server 2003

Einspruch! :D AD-Snapshots lassen sich für die autoritative Wiederherstellung von Benutzerobjekten etc. verwenden. Ich habs mir angewöhnt, bei Kunden mittels der Aufgabenplanung solche Snapshots in Intervallen zu erstellen. Ihre Verfügbarkeit beschleunigt die autoritative und vollständige Wiederherstellung gelöschter AD-Objekte sehr. Ich erinnere daran, dass AD DS ab Windows Server 2008 ein Dienst ist, der sich auch beenden lässt. ;)

Da ich im Moment offiziell urlaube, kann ich diese Diskussion nicht in Echtzeit verfolgen. Habe sie nun durchgelesen und komme zum gleichen Ratschlag wie schon Nils auf Seite 2: Holt Euch Migrationskompetenz ins Haus, denn bei Euch ist sie nicht vorhanden, wenn ich so Deine Fragen lese. Es handelt sich um einen weitgehenden Standardprozess im kleinen Umfeld. Ein Routinier projektiert und realisiert eine solche Migration in überschaubarer Zeit und mit geringsten Betriebsunterbrechungen. Die Umgebung neu aufzubauen statt sie zu migrieren, könnte aufwändiger werden und mehr Probleme bereiten.

Aus welchem Grund sollen sich die Mitglieder der Sicherheitsgruppe als anderer Benutzer anmelden?

Selbstverständlich. Warum sollen sie es nicht tun? Wenn in den AD-Kontoeigenschaften die Option "Kennwort läuft nie ab" gesetzt ist, hat das Vorrang gegenüber einer gegenteiligen Einstellung in der Kennwortrichtlinie (z.B. maximales Kennwortalter gleich 42 Tage). Die Option "Kennwort läuft nie ab" wird z.B. für Dienstkonten verwendet. Genau genommen in der Standard-Domänenrichtlinie (und nur dort), wenn es um Kennwort- und Kontosperrrichtlinien für Domänenbenutzer-Konten geht.

Zumindest mir fällt es schwer, auf Grund Deiner wenigen Informationen zu bestimmen, wie Deine Umgebung genau aussieht und wie sie aussehen soll. Zum Beispiel verstehe ich nicht, ob Du nun einen Forest hast oder mehrere. Ich weiss nämlich nicht, was ein External Trust innerhalb der gleichen Gesamtstruktur sein soll. Auch habe ich noch nie von einem "Full Trust" gehört, obschon ich jede Menge Migrationen durchführe. How Domain and Forest Trusts Work: Domain and Forest Trusts Da Du Dich nach Best Practices erkundigst: faq-o-matic.net » Welches Domänenmodell ist das Beste für Active Directory? Die Frage ist weshalb Du mehrere Gesamtstrukturen/Domänen überhaupt brauchst. Isolation und Autonomie sind hier ggf. Stichworte. Ich kenne globale Infrastrukturen, die mit einer Gesamtstruktur und Domäne auskommen, während andere eine leere Root-Domäne und eine Produktiv-Domäne (neuer Domänenstrukturraum in der gleichen Gesamtstruktur) mit weit über 50'000 Benutzerobjekten führen.

Auch eine Test/Demo-Umgebung sollte produktionsnah sein, damit die Erkenntnisse sich anschliessend in der Produktion massstäblich umsetzen lassen. Bleibt der SBS als einzige Ausnahme. ;) Zu den Anforderungen für Exchange Server 2010 gehört, dass an jedem Exchange-Standort ein schreibbarer Domänencontroller und ein globaler Katalogserver existieren muss: Exchange 2010 System Requirements: Exchange 2010 Help "In each Active Directory site where you plan to install Exchange 2010, you must have at least one writeable domain controller..." "In each Active Directory site where you plan to install Exchange 2010, you must have at least one global catalog server..." Es ist empfohlen, dass jeder Domänencontroller auch ein GC ist. Damit genügt ein schreibbarer DC, der auch globaler Katalog ist. Daraus folgt, dass sich eine produktionsnahe Testumgebung für Exchange Server 2010 mit einem DC und einem Mitgliedserver umsetzen lässt.

Das ist der empfohlene Weg, d.h. über eine zweimalige Migration. Wir hatten kürzlich eine Diskussion mit US-Kollegen (PSE und AD-Team), die in jedem Fall von einer Domänenumbennenung abraten.

Das solltest Du ganz bestimmt nicht tun. Die Anwendung einer Gruppenrichtlinie erzeugt Userenv-Fehler und Ereignisse bei Computern, auf denen Windows Server 2003, Windows XP, oder Windows 2000 ausgeführt wird Ich vermag Deiner Problembeschreibung nicht ganz zu folgen, was möglicherweise mit deren Artikulierung zu tun hat. Mir scheint jedoch ein Mangel an erforderlichen Grundlagenkenntnisse für die erfolgreiche Verwaltung von Active Directory und/oder DNS offensichtlich. Mit grosser Wahrscheinlichkeit basiert Dein Problem auf einer Fehlkonfiguration, wobei sich diese aus Deiner Beschreibung nicht erschliesst. Möglicherweise hilft der Beizug einer Fachperson, die in kurzer Zeit eine Lösung herbeiführen kann. Die Einbindung eines zusätzlichen Domänencontrollers verhindert im Regelfall nicht die Namensauflösung für IIS-Webseiten. Sofern es sich beim ersten DC nicht um einen SBS handelt, ist übrigens die Beherbergung eines Intranets auf diesem DC keine empfohlene Konfiguration.

Das Umbenennen des Standard-Standortes ist üblich und verursacht in der Regel keine Probleme. Sites and Replication "...you can rename Default-First-Site-Name to the name that you want to use for the site."

Das Dokument listet die unterstützten Methoden zur Wiederherstellung von SBS 2003 auf: Download: Backing Up and Restoring Windows Small Business Server 2003 - Microsoft Download Center - Download Details Zu bedenken ist, dass der SBS 2003 auch ein Domänencontroller und Exchange Server 2003 ist. Es handelt sich nicht um ein Clientsystem, das sich per Wiederherstellungspunkt schnell mal in einen früheren Zustand versetzen lässt. Mit genauerer Überlegung ist nachvollziehbar, dass in Windows-Servereditionen diese Funktion nicht existiert. Darf man davon ausgehen, dass aktuelle Sicherungen des SBS existieren?

http://www.mcseboard.de/windows-forum-allgemein-83/local-policy-override-domain-policy-74150.html#post443859 Die Vorlagen werden lokal auf dem Domänencontroller (oder Verwaltungsclient -> RSAT) aus %windir%\PolicyDefinitions ausgelesen, wenn keine zentrale Ablage für die Vorlagen existiert. How to create a Central Store for Group Policy Administrative Templates in Window Vista

Wo werden die Fehler protokolliert? Auf dem Server, auf einer Verwaltungsstation, welche Exchange-Rollen hat ggf. der Server installiert? Falls Du den Eindruck hast, ich frage Deine Grundlagenkonfiguration ab, dann kommt das nur daher, dass Du diese Informationen nicht von Anfang an selbst mitgeliefert hast. :rolleyes:

Warum installierst Du die zweite Instanz nicht als VHD? Hinzufügen einer virtuellen Festplatte mit systemeigenem Start zum Startmenü Windows(R) Image to Virtual Hard Disk (WIM2VHD) Converter - Home

Applying the Principle of Least Privilege to User Accounts on Windows XP Using a Least-Privileged User Account Ich bin zwar kein MVP, aber darf trotzdem ständig Konzepte betreffend Least Privileges und administrative Delegation schreiben und umsetzen. :D Ich rate deshalb aus Erfahrung davon ab, ohne Not und/oder Kompetenz im administrativen Kontext zu arbeiten. (Wobei ich "Kompetenz" nicht gleich setze mit "Weisungsbefugnis". :rolleyes:) Vielleicht nur das: Auf dem Notebook, auf dem ich soeben diesen Beitrag schreibe, bin ich als Standardbenutzer angemeldet. ;)

Warum ein zweiter Exchange Server am zweiten Standort für nur 10 Leute?

Die Nebenwirkung steht hier: Network access: Let Everyone permissions apply to anonymous users: Security Configuration Editor "If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions." Standardmässig ist diese Richtlinieneinstellung deaktiviert. Aus welchem Grund diese Richtlinieneinstellung gewählt wurde und was ggf. die Nebenwirkung in Eurer Umgebung ist, lässt sich aus der Ferne nicht abschliessend bestimmen. Es ist auf alle Fälle anzustreben, zur Standardeinstellung zurückzukehren.