LukasB

Ist es nicht immer so? ;) Worauf ich hinaus will: Dein Weg ist sicher leichter zu implementieren als irgendwelche SOHO-Router durch richtiges Equipment zu ersetzen oder in einer grossen Firma die Netzwerker dazu zu kriegen ihren Sche*ss zu flicken. Also auf jeden Fall ein guter Ratschlag. Ich sehe die Gefahr halt da wenn man das auf einer OS Ebene löst das man dann nächstens bei Appliances die ein anderes OS haben auf die Schnauze fällt. Gruss, Lukas

Ja, solche Blackholes sollte es aber in einem VPN das man End-To-End unter Kontrolle hat aber nie geben. Auch wenn der WAN-Link noch so schlecht ist und egal welche MTU dieser hat sollten gute VPN-Appliances auch Pakete mit einer Grösse von 1500 byte übertragen können.

Das packt aber das Problem nicht wirklich bei der Wurzel...

Nein, bloss nicht. Sondern auf den Routern selber. Wie gesagt - du hast kein Windows- sondern ein Netzwerkproblem. Und wie genau ist diese Zone eingerichtet? ipconfig /registerdns auf dem Memberserver laufen lassen?

Wenn du korrekt sichern würdest währen die Log-Dateien nach einem Backup nur noch ein paar Megabyte gross. Machst du richtige Infostore-Backups?

Nein, das Problem liegt offensichtlich beim VPN. Setze doch mal die Interface MTU runter - auf 1450 oder so und schau was passiert.

Kannst du im VPN-Bereich MTU-Einstellungen tätigen? MSS Clamping Einstellungen?

Richtig raten spart viel Troubleshooting ;) Okay. * Was hast du für Anbindungen in den Standorten? Welche Technologie? ADSL? VDSL? PPPoE? PPPoATM? * Was verwendest du um die VPN-Verbindungen aufzubauen? * Wie sind die Geräte konfiguriert?

Okay. Glaub dem mehr als mir. Die Leute die das geschrieben haben verstehen mehr von der Materie als ich. Wie gesagt, die DNS Konfiguration sieht nicht falsch aus. Was ich meinte ist das du keine primäre DNS-Zone anlegen solltest die dann nur auf einem DNS-Server ist, sondern eine AD-integrierte Zone, die dann automatisch auf alle DNS-Server repliziert wird. Das automatische Löschen von veralteten DNS Einträgen. Rechtsklick auf den DNS-Serverund dann "Set Aging/Scavenging for All Zones" oder auf den einzelnen Zonen, und dann auf einem oder mehreren DNS-Servern in den Eigenschaften das Scavenging auch aktivieren, damit du keine veralteten PTR-Einträge kriegst. Wie gesagt: DNS- und Netzwerksetup sieht ansonsten so aus als ob ein dcpromo klappen sollte. Das einzige was du noch prüfen kannst ist ob du evtl. ein MTU Problem über die VPN Leitung hast. ping -l 1500 zentrale aus der filiale her und umgekehrt.

Das ist ja nicht wirklich über-Kreuz. Da müsste der erste .224, der Zweite .200. Der zweite WINS fehlt ganz. Das ist sicher nicht die Ursache des Problems. Selbes Problem. 49.40.1.0/24? Das ist aber kein RFC1918 Subnet... Wenn du willst das die Rückauflösung Funktioniert, ja natürlich. ICh würde das aber nicht "auf einem der beiden" machen, sondern direkt als AD-Integrierte Zone. Sodass sie sich auf all deine DCs repliziert. Und unbedingt Scavenging aktivieren. Kannst dich sonst gerne via Mail/IM melden. Hock hier eh noch bis in die Nacht fest...

Ich kann keinen offensichtlichen Fehler in deinen Schilderungen erkennen. Könntest du mal ein uneditiertes ipconfig /all von allen Server pasten? Ist der PC in der Aussenstelle bereits Member der Domain?

Im Falle eines "Markenlaptops" z.B. von Lenovo sollte sich das doch auch leicht mit der Kaufquittung nachweisen lassen?

Ich gehe zwar grundsätzlich mit dir einer Meinung das man nicht Lehrlinge anstelle von Mitarbeitern einstellen sollte, aber in diesem Punkt muss ich dir definitiv widersprechen. Ich erwarte von einem Lehrling das er relativ schnell produktive Arbeiten ausführen kann - natürlich muss man da immer aufpassen das man fordert und nicht überfordert, und eine passende Qualitätskontrolle sicherzustellen. Aber von einem Informatiker Systemtechnik erwarte ich z.B. das er ab dem 3. Lehrjahr selbständig zu Kunden geht und kleinere Aufträge erledigt. Im 4. LJ kann da durchaus auch eine komplette SBS-Installation drinliegen (natürlich mit Unterstützung und Rücksprache mit dem Kunden).

Nein, die Systemlimiten sind unabhängig davon ob die Maschine Member einer Domain ist oder nicht - das einzige was natürlich nicht funktioniert ohne Domain ist Kerberos-Authentifizierung. Web Edition hat selbstverständlich eine lokale Benutzerverwaltung, was die Web Edition jedoch nicht kann ist Domain Controller zu spielen. Das ist auch richtig so, denn ein Applikationsserver sollte kein DC sein. Eine Maschine nachträglich zum Member einer Domain machen ist seltenst ein Problem - es kommen ja nur neue Authentifizierungsmöglichkeiten hinzu. Also, du kannst beruhigt zur Web Edition greifen - wenn du dann mal mehrere von denen hast und du diese mit Active Directory verwalten willst, dann kannst du nachträglich noch zweimal Standard-Server kaufen und diese zu DCs machen.

Bei Daim's Popquiz ist vorallem interessant was der Kandidat macht wenn er die Antwort nicht weiss. Wenn da keine Ehrlichkeit vorhanden ist ala "weiss ich nicht", sondern mit Technobabble versucht wird den Interviewer zu verwirren währe ich schonmal sehr vorsichtig.

"Der" DC? Zwei sollten es schon sein. Gegen die Virtualisierung von DCs gibt es im übrigen ein paar Vorbehalte (man muss sie "traditionell" backupen, keine Snapshots einsetzen, keine Snapshot rollbacks machen). Möglich und supported ist das aber dennoch. Wichtig halt einfach das die zwei DCs auf unterschiedlicher Hardware liegen. Ja genau.

AD und DNS mit VPN funktionieren grundsätzlich völlig problemlos - klar, da ein "richtiges" VPN für diese Dienste auch völlig transparent ist. Einfach von Anfang an sicherstellen das du anständiges Equipment verwendest und nicht 59CHF Zyxelrouter aus dem Mediamarkt. Für den DHCP-Server kannst du den Router nehmen, oder den Router als DHCP-Relay verwenden und den DHCP-Server in der Zentrale nehmen. Letztere Variante ist vom Management natürlich ein bisschen angenehmer, hat aber den Nachteil das ohne WAN auch keine IPs vergeben werden.

Grundsätzlich ist domain.de kein Problem um es im Active Directory zu betreiben. Bei einer kleinen Umgebung könnte man das im Zuge einer generellen Restrukturierung noch relativ harmlos ändern, aber einen dringenden Grund sehe ich nicht. rendom.exe traue ich nicht - die Prozeduren sind sehr aufwendig, und jedesmal wenn man später ein AD Problem hat kann man sich nicht sicher sein das es nicht an der Umbennenung liegt. Wenn du das jetzt also ums verrecken umbennen willst, dann würde ich es über eine Cross-Forest Migration machen. Dabei kannst du gleich auf aktuelle Versionen gehen (WS08, Ex07). Ich habe sowas vor kurzem durchgeführt (Cross Forest von WS03/Ex03 auf WS08/Ex07), und das ganze war sehr schmerzlos. Wobei ich zum damaligen Zeitpunkt noch einen WS03 DC in der neuen Domain brauchte damit ADMT funktioniert. Mittlerweile ist ja eine ADMT-Version verfügbar welche auch mit WS08 DCs funktioniert.

Du hast natürlich recht - aber eben. Reality Bites.

Forefront Security for Exchange ist lediglich ein Viren- kein Spamfilter. Der Spamfilter ist direkt Teil der Edge-Transport Role (kann auch auf einem HT installiert werden).

SBS-Kunden sind halt was spezielles - der typische Schweizer Small Business Inhaber gibt nicht gerne Zeug aus der Hand (Hosted Exchange etc.), will natürlich am liebsten garkein Geld für IT ausgeben, aber am Ende natürlich trotzdem alle Features haben. Das führt dann halt zu technischen Kompromissen, die üblicherweise garnichtmal so schlecht funktionieren. Die Leute wollen sich dann meistens selbst um alles kümmern (inklusive Softwarewartung, Backupchecks), und machen das meistens gewissenhafter als der typische KMU-IT-Angestellte. Eigentlich schlecht für uns als Dienstleiser ;)

Noch wichtiger: Exchange 2007 virtualisiert ist generell überhaupt nicht supported! Auch nicht unter Hyper-V. Wird wahrscheinlich ein paar Monate nach dem Hyper-V RTMd hat kommen.

Sorry, letzteres. Nur Portforwarding.

Guckst du hier: Setting Mailbox Limits over 2GB

Off-Topic: Mich türlich.