gnoovy

hi olc, ok das ist klar. aber wenn ich mehrere domänencontroller habe und auf mindestens zweien den namespace von dfs einrichte hab ich doch Redundanz oder? sonst läuft ja nichts auf den DCs. hätte ich dann trotzdem Probleme bei Migrationen, etc.? sonst gebe ich dir natürlich recht mit ein Server und ein Dienst. aber oft kann man das ja aus budgetgründen auch oft nicht machen mit ein Dienst pro Server...

Hi Olc, erstmal vielen Dank für die bisherige Hilfe. Ok aber hab ich nicht ähnliche Probleme wenn ich den Namespace auf die Member-Server lege und diese migrieren muss? Würde ich nicht Probleme umgehen wenn ich bei DCs, als auch bei Memberserver beispielsweise einen oder mehrere Windows 2012 Server reinhänge, diese zu den Namespace-Servern hinzufüge und danach die bisherigen migriere? Somit gibt es ja immer Server oder Domänencontroller, welche erreichbar sind oder?

Hi Olc, keine Angst, nur in der Testumgebung gibt es 1 DC. In der Produktivumgebung gibt es mehrere. Somit würde ich auf mindestens zwei Domänencontrollern ein Namespaceserver einrichten. Was genau mit der DFS-Replikation erreicht werden soll kann ich nicht im Detail sagen. Mein Teamleiter meinte lediglich, dass er eine Synchronisation mittels DFS haben möchte für gewisse Qluik-View-Dateien. Hat meine ich was mit Datenbankdateien zu tun. Ich sollte lediglich eruieren wie DFS mit DFS-Replikation konfiguriert werden muss. Wenn ich mehrere Domänencontroller als Namespaceserver einrichte, hab ich ja ebenfalls Redundanz oder? Ich möchte halt, dass mein DFSRoot mit dem freigegebenen Verzeichnis direkt angezeigt wird wenn ich \\<Domäne> im Windows-Explorer eingebe. Bei Angabe der Member-Server als Namespaceserver wird ja mein DFSRoot nach Eingabe von \\<Domäne> nicht angezeigt. Ich kann zwar trotzdem über \\<Domäne>\<DfsRoot> drauf zugreifen aber finde die direkte Anzeige schöner.

ursprünglich wollte ich eine dfs replikation in einem dfs-share veröffentlichen. in einem testlauf habe ich meinen domänencontroller als namespace Server angegeben. dann konnte ich direkt über \\<Domäne>\ das dfs Verzeichnis und darunter mein freigegebenes share sehen. beim anderen testlauf hab ich nicht den domänencontroller sondern meine beiden member Server der dfs replikation als namespace Server konfiguriert. da kann ich das dfs Verzeichnis über \\<Domäne> nicht sehen. allerdings kann ich trotzdem das dfs Verzeichnis über \\<Domäne>\<dfs Verzeichnis> erreichen. das hatte mich halt gewundert und deshalb wollte ich wissen ob das so korrekt war. aber wenns so passt bin ich beruhigt. kannst du eventuell noch meinen anderen Post anschauen? dort hab ich genau die Reihenfolge meiner Installation beschrieben. da würdest du mir sehr helfen.

hi leutz, ok hab herausgefunden, dass der Namespace nur unter der Domäne angezeigt wird, wenn ich einen Domänencontroller als Namespaceserver wähle. Ist dieses Verhalten korrekt?

Hi zusammen, ich habe nun auch unter Windows 2012 DFS-Share mit Replikation eingerichtet. Dies funktioniert auch korrekt. DFS Namespace ist als Domänennamespace eingerichtet. Der Namespace wird auf den beiden Maschinen, welche Ordner über DFS-Replikation bereitstellen, gehostet. Wenn ich im Windows-Explorer \\<domäne> eingebe wird der Namespace nicht gelistet. Ein Aufruf \\<domäne>\<DFSRoot>\<Freigabeordner> funktioniert jedoch korrekt. Ist es normal, dass der DFS-Namespace nicht angezeigt wird?

Hi zusammen, ich bin gerade für einen Kunden dabei die DFS-Replikation mit anschließender Freigabe des Replikationsverzeichnisses im DFS-Share zu evaluieren. Ist folgende Vorgehensweise korrekt? Eure Meinung wäre mir wichtig... 1) Testumgebung ähnlich Kundenumgebung - W2k3 R2 Enterprise Domänencontroller namens Dc1 mit Windows 2003 Gesamtstrukturmodus - W2k8 R2 Enterprise SP1 MemberServer namens Member1 - W2k8 R2 Enterprise SP1 MemberServer namens Member2 2) Installation - Installation DFS-Namespace und Replikation auf beiden MemberServern - Angabe bei Installation, dass der Namespace später eingerichtet wird 3) Konfiguration - Wechsel in DFS-Verwaltung auf Member1 - Auswahl "Neue Replikationsgruppe" - Auswahl "Mehrzweckreplikationsgruppe - Vergabe Replikationsname und Auswahl Member1 und Member2 zur Replikationsgrupe - Topologieauswahl "vollständig vermaschtes Netz" - Auswahl Replikation rund um die Uhr - Auswahl Member1 als primäres Mitglied für die Replikation - Auswahl des Ordners auf Member1, dessen Inhalt repliziert werden soll - Analog Auswahl des Verzeichnisses auf Member2 für die Replikation -Wechsel in den Replikationsbereich der DFS-Verwaltung und Wechsel in die Registerkarte "Replizierte Ordner" - Auswahl des oben konfigurierten Ordners für die Replikation und Auswahl des Punktes "Freigeben und in Namespace veröffentlichen" - Auswahl "Replizierten Ordner in einen Namespace freigeben und veröffentlichen" -Erstellung Verzwichnisfreigabe auf Member1 und Member2 - Auswahl DC1 als Host für das AD integrierte DFS-Share 4) Testlauf - Auswahl des DFS-Shares von einem Client über \\<domäne>\<dfs-share>\<freigabe> - Auswahl dortiges Testdokument und Änderung - Speicherung erfolgreich und Replikation zwischen Member1 und Member2 erfolgreich

Hi zusammen, die Gesamtstrukturebene ist bereits auf W2k8 R2 angehoben. Das ist ja das Komische...

Hi NilsK, ok werde ich für die Zukunft beachten. Anbei nochmal die Fehlermeldung: --------------------------- Bereitstellungskonfiguration --------------------------- Fehler bei der Überprüfung des Replikats. Die Gesamtstrukturfunktionsebene ist Windows 2000. Wenn Sie eine Domäne oder einen Domänencontroller für Windows Server 2012 installieren möchten, muss als Gesamtstrukturfunktionsebene Windows Server 2003 oder höher verwendet werden. --------------------------- OK --------------------------- Ich habe den W2k12-Domänencontroller mal umbenannt und neu gestartet. Allerdings erscheint die gleiche Fehlermeldung.

Hi zusammen, ich bin gerade dabei eine Testmigration mit Windows 2012 durchzuführen. Folgende Vorgehensweise habe ich bisher durchgeführt: 1. DC1 W2k3 R2 32BIT - Einlegen der W2k8 R2 CD - Ausführung adprep /forestprep + adprep /domainprep /gpprep - Hinzufügen eines W2k8 R2 Domänencontrollers - Replikation zwischen den DCs erfolgreich 2. DC2 W2k8 R2 64BIT - Einlegen der W2k12 CD - Ausführung adprep /forestprep + adprep /domainprep /gpprep - Umstellung aller Betriebsmaster von DC1 auf DC2 - Herabstufung DC1 mittels DCPromo - Hochstufung Domänen / Gesamtstruktur auf W2k8 R2 3. DC3 W2k12 - Umbenennung DC3 in DC1 - Installation AD-Domänendienste - Versuch DC1 als weiteren Domänencontroller einzurichten - Fehlermeldung gemäß Screenshot erscheint Woran kann das liegen? Die Gesamtstruktur ist ja heraufgestuft?

Hi Leutz, ich wollte fragen ob es problemlos möglich ist Datenbanken von SQL 2000 oder 2005 auf einem SQL 2008 oder 2008 R2 wiederherzustellen und zu betreiben. Ich habe dies mehrmals gemacht und keine Probleme festgestellt, trotzdem wollte ich sicherheitshalber nochmal anfragen. Das Kompatibilitätslevel der Datenbanken steht nach dem Restore auch auf SQL 2000 oder 2005.

hmm... dann muss ich wieder Geld ausgeben? Toll :-( Und mit der 12er funktioniert es dann garantiert? Die Demo spielt keine Filme ab...

Hi leutz, habe ein Bluray Player mit PowerDVD 10 und möchte nun unter Windows 8 Bluray-Filme schauen. Leider kann ich eine Bluray-Disk nicht abspielen. Der Film ist AACs kopiergeschützt. Mich wundert es, dass PowerDVD die Disk nicht abspielen kann. Normalerweise kann dieser doch Disks mit AACs-Codierung? Es erscheint immer die Meldung, dass das Abspielen negative Auswirkungen auf PowerDVD hätte und man mittels Virenscanner kontrollieren sollte, oder PowerDVD neu installieren sollte. Was kann ich da machen?

Hi leutz, wisst ihr wie man den Computerbutton aus dem neuen Startmenü von Win8 mittels GPO ausblendet? Oder generell dort einzelne Buttons / Apps ausblenden kann? die GPO "Symbol "Arbeitsplatz" vom Desktop entfernen funktioniert ab Win8 für das neue Startmenü nicht mehr.

hi leutz, hat wunderbar funktioniert. Vielen Dank. Geht doch mit app locker. Mein Fehler war, dass ich den fetten Hinweis beim App Locker nicht gelesen habe, den Anwendungsintegritätsdienst auf den gewünschten Clients zu aktivieren. Danach gehts auch :D Den Dienst kann man ja auch mittels GPO global an jedem gewünschten Client automatisch starten lassen...

Hallo zusammen, beschäftige mich gerade mit Windows 2012 letzter Release Candidate und der finalen Version von Win8 Enterprise. Was ich gleich zu Beginn bei Win8-Einführung unterbinden will, sind bestimmte Apps wie den Windows-Store, Wetter, XBOX, etc im Unternehmen. Hierfür gibt es ja in den GPOs den Bereich App locker. Ich habe testweise zwei Apps als Verweigert über gpedit.msc auf der Win8-Maschine erstellt, da unter dem 2012 Server die Apps nicht installiert sind und somit nicht ausgewählt werden können. (siehe Screenshot) Die Richtlinie habe ich exportiert und auf dem Server importiert. Anschließend beim Client die Richtlinien gelöscht. Danach TestOU erstellt mit Testaccount und zusätzlich den Client-Rechner in die OU verschoben. Danach die Gruppenrichtlinie mit den App Locker Regeln auf die TestOU gelegt. Nach einem Clientneustart und Anmeldung mit Testuser kann ich die Apps trotzdem normal aufrufen. Was mache ich hier noch falsch?

hi zusammen, ich möchte einen FTP-Server unter W2k8 R2 einrichten. Den IIS habe ich incl. FTP-Server-Komponente eingerichtet. Über ftp <ip-adresse> kann ich mich erfolgreich anmelden und auch einen Testordner erstellen. Allerdings kann ich kein delete <testordner> durchführen. Das wird mir verweigert. Auf dem Verzeichnis hat die Gruppe GrpEloFTP Vollzugriff. In dieser Gruppe ist mein FTPUser enthalten. Im IIS hab ich bei Erstellung der FTP-Site der Gruppe die Rechte lesen und schreiben gegeben. Was mache ich hier noch falsch? Anbei auch einige Screenshots

ah okay... aber wieso will ich das nicht?

1) he... wie trage ich das in das Zertifikat ein? Ich kenne nur die Option mittels dname. Kann ich darüber mehrere Werte mitgeben? 2) Ah okay, da das Zertifikat ja als gültig angezeigt wird un im Zertifikatspfad das Root-Zertifikat übergeordnet ist passt das also :-)

he sogesehen. Zwei Sachen würden mich noch interessieren: 1) mittels dname habe ich ja für CN den Servernamen angegeben unter dem mittels Zertifikat vertraut wird. Das klappt auch. Allerdings wenn ich https://localhost oder https://<ip-adresse> eingebe, erscheint ja somit weiterhin ein "Zertifikatfehler". Gibt es eine Möglichkeit auch über diese Adressen keinen "Zertifgikatsfehler" zu erhalten? Theoretisch für jede Adresse einen eigenen Keystore? 2) Wenn man ein Zertifikat direkt über das keytool von Java erzeugt und in einen keystore integriert, benötigt man dieses Zertifikat auch auf Clients. Bei meiner Methode über die CA reicht es aber das Zertifikat auf dem Tomcat-Server zu haben. Eines auf jedem Client ist da nicht notwendig. Ist das so ebenfalls korrekt?

hab ich gemacht. Über Internet Explorer kann ich ja neben der Adressleiste das Zertifikat mir anzeigen lassen. Das ist schon das von mir erzeugte und auch das Stammzertifikat meiner Windows CA wird in der Registerkarte Pfade auch angezeigt und dass das Zertifikat auch gültig ist. Aber ich meine auch so generell von der Vorgehensweise her ob es so richtig von mir gemacht wurde.

Hi leutz, habe es glaube ich hinbekommen. Folgende Konfigurations habe ich durchgeführt: Ist dies so korrekt? Aufruf https ist so möglich. 1) keytool -genkey -v -alias tomcat -keyalg RSA -keystore C:\.keystore -storepass test123!!!! -keypass test123!!!! -dname "CN=<Servername>, OU=-, O=-, L=-, S=-, C=-" -validity 1825 2) keytool -certreq -keyalg RSA -alias tomcat -keystore C:\.keystore -file C:\<Servername>.csr 3) Zertifikat anhand <servername>.csr über Windows CA http://<caname>/certsrv/ anfordern und Inhalt der CSR dort kopieren, Basiszertifikat Webserver und danach Speichern der Zertifikatskette *.p7b 4) keytool -import -alias tomcat -trustcacerts -file C:\<Zertifikatsname>.p7b -keystore C:\.keystore 5) Danach Freischaltung https-connector 8443 in server.xml von Tomcat und Tomcat-Neustart Aufruf mittels https://<servername>:8443 möglich. Es wird kein Zertifikatsfehler angezeigt

naja nicht ganz :-( der erste Link geht nicht und der zweite behandelt Apache, nicht Tomcat. Auf diese Weise erzeugte Zertifikate kann ich leider nicht in Java einbinden :-(

hi leutz, für Apache Tomcat kann man ja über das jeweilige Java mittels Keytool Java Keystore Zertifikate erstellen. Dies will ich durchführen um Tomcat mittels SSL anzusteuern. Gibt es eine Möglichkeit diese Zertifikate über eine Windows CA zu legitimieren und danach das Zertifikat im Java Keytore zu importieren? Habe im Internet nicht wirklich passendes gefunden und komme da gerade nicht weiter. Wenn Ihr Lösungen oder Links zum selber Einarbeiten habt wäre ich euch sehr dankbar

hi olc, genauin dieser Ansicht meine ich :-) Sicherheitshalber nochmal ein Screenshot der Stelle und dass das Zertifikat gesperrt ist. Also ist es normal, dass dort weiterhin gültig drinsteht? Mittels deinem Befehl bekomme ich angezeigt, dass mein Zertifikat gesperrt wurde. He... naja wenn der private Schlüssel nicht mitexportiert wird, klappt die VPN-Verbindung nicht. Ich habe auch bei meinen Google-Recherchen gelesen, dass das wohl ein Weg ist in irgendeinem forum :-) weshalb man auch die Enterprise CA braucht. Wie würdest du es machen?