LukasB

Ein Setup das empfiehlt den ISA auf einem DC zu deployen der gleichzeitig auch noch Exchange-Server ist kann ich irgendwie nicht ernst nehmen. Vorallem scheint das ganze völlig veraltet zu sein - wer will heute noch Exchange 2003 in einer neuen Umgebung deployen?

Für WSUS und Files? Eher nicht. Ausserdem sind 50 Clients schon eine nicht zu verachtende Zahl, wenn bei Lektionsende diese alle ihre Dokumente speichern möchten währen zwei SATA-Platten schon reichlich überfordert. Empfehlung: Nur SAS-Platten, ein einzelnes RAID1 fürs OS, ein weiteres RAID1 für WSUS und der wahrscheinlich fällige AV Managament Krims-Krams, und ein RAID5+Hotspare für die Daten der User. Ein HP ML350 G5 schafft 8 SAS Platten, die Konfiguration sollte sich leicht umsetzen lassen. Eine Quadcore CPU und 8-12GB Memory (je nach Base-Konfiguration und Preisen) runden das ganze ab. Redundante Netzteile und evtl. UPS nicht vergessen. Symantec Backup Exec ;) Eine AV Lösung fehlt noch. Hier musst du schauen welche Angebote den Managementserver unter WS08 bereits anbieten. Zu klein und zu lahm. Nimm ein internes LTO 4 SAS, die kosten nicht mehr die Welt und du hast sicher genügend Kapazität und Geschwindigkeit. Falls es zu teuer ist ein LTO 2 SAS. Ist es eigentlich nicht - erst mal die passenden Technet-Artikel durchlesen, und dann sicherstellen das die nicht mehr veränderbaren Dinge wie z.B. Domainname richtig sind. Auf jeden FAll erstmal in einer Testumgebung alles testen. Nein, das ist grundsätzlich eine schlechte Idee! Der Server steht wie die Clients im selben Netz - der Server verteilt via DHCP die IP-Adressen, und die Clients nutzen den Server als DNS-Server. Als Gateway dient weiterhin der Router direkt.

Was ist das für Hardware? Was für ein RAID-Controller? Siehst du evtl. in der Management-Software irgendwas?

Auf dem SBS2008? Dann würde ich die Kiste nochmals plätten und von vorne anfangen. Wie Dr. Melzer bereits gesagt hat kannst du den SBS-Server selber nicht als Terminalserver verwenden - dafür kannst du z.B. die zweite Serverlizenz die beim SBS 08 Premium dabei ist nutzen, auf einer zweiten physikalischen Hardware. Evtl. wäre es sinnvoll wenn du zuerst mal genau planst was du machen willst, bevor du mit der Umsetzung beginnst. Auch die Konfiguration von DNS und DHCP ist extrem wichtig in einer Active Directory-Umgebung. Vielleicht ist es auch sinnvoll wenn du einen externen Dienstleister zur Planung beiziehst, um sicherzustellen dass alles von Anfang an richtig funktioniert.

Wobei der SBS 2008 dann sehr ungehalten reagiert - viele Wizards funktionieren dann nicht mehr, und wenn der Domain Suffix bei non-domain Clients nicht richtig gesetzt ist (via DHCP-Option), dann funktioniert z.B. http://connect/ nicht mehr. Auch zeigt die SBS Console das ganze als Fehler an. Wie du aber richtig sagst: Der Windows DHCP-Server kann mehr als die meisten Router, ist flexibler und bietet auch keine Nachteile. Lukas, der überall den Windows-DHCP-Service verwendet

Was du machen willst nennst sich GAL Segregation Dgoldman's WebLog : Exchange 2003 Address List Segregation Document Das Problem ist: Offiziell unterstützt ist das nur mit Exchange 2007. Du wirst also um ein Upgrade kaum herumkommen.

Es passiert nichts - beim Start der EMC erscheint jedesmal eine aggressive Warnmeldung das die Lizenzierung nicht sichergestellt sei, aber auf die Funktionalität hat das keinen Einfluss.

Diese Annahme ist eben falsch. Mit passender Berufserfahrung braucht man garkeine Vorbereitungen um Prüfungen zu bestehen. Natürlich ist das immer von Fall zu Fall unterschiedlich - ich arbeite bei einem IT Dienstleister und habe mit vielen verschiedenen Installationen zutun. Ich habe mich nie speziell auf irgendeine der Prüfungen vorbereitet, sondern einfach diese gemacht auf welchen ich tatsächlich auch arbeite. Natürlich gab es Fragen zu Themen von denen ich keinen Plan hatte, aber darum gibts ja mehr als eine Frage.

Ja, Braindumps sind aber Realität - und es gibt auch genügend Onlineforen die das ganze mit Diskussionen darüber nicht so restriktiv sehen wie hier (und das ist noch milde ausgedrückt). Und das sind keine unbekannten, schummrigen Orte - sondern grosse und bekannte Websites. Desweiteren gibt es genügend Schulungsunternehmungen welche zumindest inoffiziell zu Braindumps raten. Auch MCTs die Braindumps anwenden ist nichts ungewöhnliches. Ich finde es natürlich sehr gut wie es hier ist - das MCSEboard ist IMHO von der Seriösität her ziemlich einzigartig. Auch das lernen mit Büchern ist nicht wirklich das Ziel - Microsoft sieht ihre Kandidaten so: Candidates for the MCSE on Windows Server 2003 certification typically have at least one year of experience implementing and administering both network and client operating systems. They are knowledgeable about the planning, design, and implementation of Microsoft Windows server solutions and architectures in mid-sized to large companies. Quelle: MCSE on Windows Server 2003 Certification Requirements

Vergiss es - du brauchst DNS SRV Einträge, welche du in der Hosts-Datei nicht hinterlegen kannst.

Ein teurer Spass ;) Aus Quellen von Game-begeisterten Kollegen weiss ich das momentan die ATI HD4870 (da gibts viele Varianten) im Moment das beste Preis-Leistungsverhältnis haben soll. Allerdings wirst du besser fahren wenn du doch wieder ein Vista x64 installierst, und dort z.B. das Windows Search 4.0 Update installierst, oder Windows Search komplett deaktivierst.

Bei den Banken, ja. Wielange das da noch so bleibt ist eine andere Frage. Ansonsten reichts zum leben, aber reich wird man davon kaum. Zu der Steuersache kann ich nicht viel sagen, da ich von eurem Steuersystem nichts verstehe (und unserem auch nicht grossartig Mehr). Was ich sagen kann: Versuch wenigstens Schweizerdeutsch sprechen zu lernen - ist zwar sicher schwer, aber hinterlässt gleich einen viel besseren Eindruck. Vorallem im DL-Sektor wirst du bei Schweizer Unternehmen sonst Mühe haben. Wenn du aber vorher hast zu einer Grossunternehmung wie einer der grossen Banken zu gehen, dann ist das egal. Mindestens 4 Wochen, wenn du arbeitest. Wenn du nicht mehr arbeitest (Management und Co.) natürlich entsprechend mehr.

Der einzige Workaround für diese Problematik ist UAC so umzukonfigurieren das es immer nach einem Usernamen prompted - dann rechtsklick "als Administrator ausführen" und dann den anderen Admin-Account angeben. Elegant ist das aber wahrlich nicht.

Öh, also das richtig zu konfigurieren dürfte so schwer nicht sein. Du kannst die Rechner in eine eigene Top-Level OU hängen, und ab WS08 sogar eigene Passwort-Policies vergeben. Obwohl ich die Idee selber (Rechner irgendeiner "benachbarten" Firma) mit dem Internen Netz zu verbinden und zu sichern sehr, sehr, sehr fragwürdig finde - was Datenschutz, Sicherheit, etc. angeht.

SBS 2003 ist virtualisiert nicht supported, ich würde mich also hüten sowas produktiv zu betreiben...

UltraVNC tut problemlos. Unter WS08 macht IMO VNC für keine Anwendung Sinn, aber die Vista-kompatiblen werden auch unter WS08 tun. RDP ist da aber die bessere Wahl. Empfehlen kann ich auch noch DameWare Mini Remote, das ist vorallem für kleinere Betriebe die richtige Wahl, da es im Gegensatz zu den VNC Varianten auch *****-Proof Deployment hat, und die Lizenz mit 90 EUR pro Administrator (nicht User! Nicht Client!) fast geschenkt ist.

Aus deinem Geschreibsel ein bisschen schwer zu erkennen, aber meinst du die Verwendung des Netbios-Domainnamens vs. die Verwendung des DNS-Domainnamens? Falls ja: Hast du einen WINS-Server? Falls WINS-Server schon existiert: ipconfig /all von Server und Client

Wenn du nur eine Domain hast musst du die User garnicht verschieben? Sondern nur deren Postfach von einem Exchange zum anderen - und das ist halt einfach nur von deiner WAN-Bandbreite abhängig, das ist egal wie da dein Domänenmodell aussieht. Mit 384kbit/s WAN? Vergiss das: Egal wie du dein AD designst, diesen Wunsch wirst du mit der vorhanden WAN-Infrastruktur nicht umsetzen können. Selbstverständlich. Das geht mittels Delegierungen, guckst du z.B. hier: Yusufs Directory Blog - Der Objektdelegierungsassistent Wäre es evtl. sinnvoll da einen Dienstleister bzw. Consultant mit einzubeziehen der auf diesem Gebiet bereits Erfahrung hat? Dieser könnte auch die anscheinend notwendigen NDAs unterzeichnen, damit du Ihn mit den gesamten Fakten der Situation informieren kannst, und euch dann passende Lösungsvorschläge anbieten.

Ich will mich hier mal grundsätzlich NilsK anschliessen, und dir sagen dass dein Versuch hier so nichts werden kann. Du hast im Moment eine unprofessionelle Frickelumgebung, auf welcher Software von einem extrem inkompetenten ISV läuft - es ist nur eine Frage der Zeit bis dir das ganze um die Ohren fliegt. Wenn du jetzt anfängst an diesem sowieso instabilen Konstrukt rumzubasteln, dann bist nachher du schuld wenn es dann auch tatsächlich auseinanderbricht. Ich seh auch nicht ein wieso ein Applikationswechsel einen Stillstand von 6 Wochen bedeuten sollte - ist alles eine Frage der Planung. Dir ist klar das ein demoten diesen DCs das Leitsystem je nach Applikation ebenfalls kaputtmachen kann?

Der Exchange ist also nur für den internen Gebrauch gedacht? Ich kann immer noch nicht so recht nachvollziehen das man nur 384kbit/s bekommen - ist das in der Arktis oder so? ;) Dein Active Directory mit ~150 Usern ist ja, grundsätzlich, relativ klein. Der Replikationstraffic wird sich also sehr in Grenzen halten. Auf die Performance wird das ganze keinen Einfluss haben, wenn du an jedem Ort einen lokalen DC hast. Im Gegenteil: Mit mehreren Domains erhöhst du den administrativen Aufwand, und musst gewisse Dinge mehrfach pflegen, ohne das dir daraus ein Vorteil erwächst. Unter NT4 war das ja alles noch anders, aber mit Active Directory ist das Single-Domain-Modell in den meisten Fällen das richtige. Bei AD ist einer der einzigen Gründen für mehrere Domains bzw. mehrere Forests wenn du eine gewisse Administrative Aufteilung haben willst, z.B. das die Standorte ein eigenes AD Schema fahren können (dann brauchen sie einen eigenen Forest), oder die Aussenstellen-Admins Domain-Admins sein müssen (wofür es selten technische, aber vielfach politische Gründe gibt). Die Gegenfrage ist also: Wieso glaubst du eigene Domains in den Aussenstellen zu brauchen? Bisjetzt hast du zwei Punkte genannt: Replikation (was ich nicht für ein Problem halte bei einer Umgebung dieser Grösse) und Flexibilität (welche beim Single-Domain Modell meiner Meinung nach grösser ist). Du brauchst keine Empty Root für 150 User ;) Die Idee dahinter ist grundsätzlich nicht schlecht, aber in kleinen Unternehmungen kostet es nur Ressourcen und bringt nichts, da ganz viele Rollen in Personalunion übernommen werden.

Hallo Viper, Ich kann das Verhalten was du beschreibst definitiv nachvollziehen. Ich melde mich normalerweise mit meinem UPN-Namen an (v.nachname@firma.ch) - wenn diese Anmeldung ohne DC passiert (also mit Cached Credentials, z.B. wenn ich zuhause bin), wird nachher auch immer der UPN-Name in den Dialogen angezeigt. Wenn ich mich allerdings in der Firma anmelde, dann erscheint nicht der UPN-Name in den Dialogen, sondern der klassische DOMAIN\v.nachname - dies beinflusst auch welcher Dialog angezeigt wird (ob direkt der Benutzername kommt und man nur noch das Passwort eingeben muss, oder erst den Benutzer wählen muss). Es ist definitiv "komisch", beinflusst aber keinerlei Funktionalität negativ.

Was du machen willst ist grundsätzlich möglich, erscheint mir aber nicht wirklich sinnvoll. Deswegen erst mal ein paar Gegenfragen: a) Wieso nur 384kbps zwischen den Standorten? Wenn du hier eine einigermassen brauchbare Bandbreite (2-10mbit/s) hättest, könntest du dir den Exchange in den Aussenstellen sparen: Mit dem Cached Exchange Mode wär dann 100% normales arbeiten problemlos möglich - vereinfacht das Backup und die Handhabung. b) Wieso eigene Domains in den Aussenstellen? AD kann sehr, sehr viel mit Delegierungen erreichen für Aussenstellen-Admins. Ein Single-Domain Modell ist wesentlich einfacher zu administrieren als drei seperate Domains, von Backup/Wartungs- und DC-Kosten noch garnicht geredet.

Was jetzt? Welche Ports hast du jetzt konfiguriert? 1352 oder 1523? Was steht denn im Console-Log vom Domino-Server?

Zu was? Jetzt läuft die Kiste ja wieder, und auch sämtliche SRV records und A records lassen sich richtig auflösen, und sind in _msdcs Zone auch richtig eingetragen. Ob das auch ging als die Kiste nicht mehr lief kann ich leider nicht sagen, da ich mir dort nicht wahnsinnig viel Zeit nehmen konnte/wollte. Aber ist sicher etwas das ich mir anschauen werde falls das Problem wieder auftritt.

Was tun ausser raten? Eine Fehlkonfiguration dünkt mich komisch, da ansonsten das Problem häufiger auftauchen müsste, bzw. permanent sein müsste. Aber die Maschine rennt jetzt wieder perfekt. Falls niemand eine gute Idee hat werde ich wohl einen Case mit MS PSS aufmachen, aber bei so one-off Geschichten ist das selten von Erfolg gekrönt. Ich hoffe zwar dass dies ein einmaliges Problem war, will aber trotzdem proaktiv schauen das es nicht mehr auftritt. Laufen tut das ganze auf einem IBM System x3500, mit neuestem UpdateXpress Pack, 10GB RAM, 2.x Ghz Xeon Quadcore, plus ein paar Disks und ein LTO4 Tape.