roccomarcy

Der MX wird sich nicht ändern, ist ein vorgeschaltetes E-Mail-Gateway inkl. SPAM/AV/usw, welches für alle Domänen und Exchange-Server zuständig ist. Aber danke, dann werde ich die Domain TestB.de auf dem Exchange als Relay konfigurieren.

Hallo zusammen, der aktuelle IST-Zustand. Microsoft Exchange in einer Domäne DomäneA Akzeptierte Domäne TestA.de, TestB.de, TestC.de, usw. Aus vers. Gründen wurde für eine Tochterfirma eine neue Active-Directory Domäne inkl. Exchange installiert und konfiguriert. Nun soll die Domäne TestB.de auf den neuen Exchange überführt werden. Wie lässt sich am geschicktesten der Versand aus der alten Umgebung an die neue Umgebung realisieren? Kann ich für die akzeptierte Domäne TestB.de auf dem "alten" Exchange-Server ein externes Relay inkl. Send-Connector hinterlegen? Gruß

Moin, vielen Dank. :) Die SIDs in dem folgenden Screenshot gehören doch sicherlich Konten an, die nicht mehr existieren und können gelöscht werden, oder?

Reicht es nur auf '0' zu setzen oder wie auch in deinem Link beschrieben die Berechtigungen zurückzusetzen? Wenn ich die Berechtigungen zurücksetze, zieht er sich dann wieder die übergeordneten Berechtigungen?

Moin, dieser Punkte wurde auch durch PingCastle ausgeworfen. Einige Benutzerkonten wurden mit dem Flag admincount=1 versehen, wodurch PingCastle der Annahme ist, dass dieses Konto über die AdminSDHolder-Eigenschaften verfügt. Die Benutzerkonten laufen soweit allerdings ohne Probleme, nur ist die Frage, wie bekomme ich dieses Flag bzw. die Einstellungen von den drei betroffenen Konto deaktiviert, damit es 'sauber' ist?

Hallo, ich habe mir via Pingcastle einen Bericht über eine Domäne ziehen lassen. Dort wird angemerkt, dass sich gewisse Benutzergruppen am Domänen-Controller anmelden dürfen. Hat jemand von euch ein Screenshot der Standardeinstellungen dieser Richtlinien? Ich glaube nicht, dass es von Microsoft so vorgesehen war, dass sich Benutzer lokal anmelden dürfen.

Ein Unternehmen, was vorher angehörig war, wird ausgegliedert und hat mit der Historie nichts mehr zu tun. Dafür soll bzw. wird die neue Domäne / IT geschaffen. Gibt es irgendwas, was gegen Firma.tld spricht?

Guten Morgen, wir bauen eine neue Domäne auf. Nach welchem Schema sollte man heute den Domänennamen aufbauen? AD.FIRMA.TLD? FIRMA.TLD? FIRMA.local? Es wird dort auf jeden Fall auch ein Exchange installiert werden.

Hallo Nils, danke für deine Antwort. Wie ist es denn, wenn der Server, der die DFS-Rolle bereitstellt, "kaputt geht". Ist der Zugriff auf die Freigaben durch das DFS dann noch möglich (durch die Caching-Time) und was passiert danach? Bzw. kann ich diese Rolle auch von irgendeinem DC übernehmen lassen?

Guten Morgen, ich habe eine Fragen, ob das folgende Konstrukt mit DFS abgebildet werden könnte? Ich habe auf verschiedenen Dateiservern jeweils eine Dateifreigabe (Allgemeines Laufwerk des Standortes), die Daten dieser Freigabe sollen auch weiterhin auf dieser Dateifreigabe liegen. Es soll auch keine Synchronisation stattfinden. Nun ist die Frage, ob ich einen DFS-Namespace einrichten kann, der z.B. über \\domäne.local\Allgemein abrufbar ist und unter der die gesamten Freigaben der vereinzelnten Server aufgelistet sind. Wenn dies möglich wäre, könnte man via ABE auch dem Benutzer nur die Ziele/Freigaben anzeigen lassen, wo er endgültig Zugriff drauf hat? Gruß

Ich habe mal ein Powershell-Befehl ausgeführt, das hat mir jetzt i Verzeichnis keine zu langen Pfade ausgeworfen. Erst als ich den Vergleichswert auf 225 herabgesetzt habe, kamen ein paar Ergebnisse.

Hallo, für die Anwender sind Ordnerumleitungen konfiguriert (Dokumente, Desktop, Downloads), die bisher auf einen alten Server gezeigt haben. Dieser wird in den nächsten Wochen durch einen neuen ersetzt, der dann auch das Ziel der Ordnerumleitungen sein soll. Via Gruppenrichtlinie habe ich den Pfad auf den neuen Server gesetzt. Bei vielen Anwendern wurden auch die Dateien aus den o.g. Ordnern auf den neuen Server verschoben. Jedoch gibt es auch eine Handvoll Benutzer, bei denen zwar einige Dateien z.B. aus Dokumente verschoben wurden, aber viele auf dem alten Server verweilen. In der Ereignisanzeige habe ich zwei Warnungen/Fehler. 1.) "Die Ordnerumleitungsrichtlinie wurde nicht angewendet. Sie wurde bis zur nächsten Anmeldung verzögert, da die Optimierung der Gruppenrichtlinienanmeldung aktiv ist." 2.) Fehler bei der Richtlinienanwendung und beim Umleiten des Ordners "Documents" nach "\\domain\freigabe\benutzer\Documents". Umleitungsoptionen=0x1211. Der folgende Fehler ist aufgetreten: "Die Dateien konnten nicht von "\\alterserver\freigabe\benutzer\Documents" nach "\\domain\freigabe\benutzer\Documents" kopiert werden. Eine mögliche Ursache ist, dass mindestens eine Datei im Quell- oder Zielordner einen vollqualifizierten Dateinamen von mehr als 256 Zeichen aufweist.". Fehlerdetails: "Die Kopierfunktionen können nicht verwendet werden. Der Fehler bzgl. der 256 Zeichen taucht allerdings nicht bei jedem Client auf und kann auch nicht nachvollzogen werden. Ich habe schon mehrere Ordner überprüft und da war der Pfad nie länger als 150 Zeichen. Gibt es von Eurerseite noch Ideen?

tesso hat hat die Lösung für dein Problem schon gepostet. Du brauchst dafür eine entsprechende Firewall, die Application Filtering betreiben kann. Dies wirft bei verschlüsselten Verbindungen (HTTPS) aber weitere Probleme auf. Wird es allerdings korrekt konfiguriert, kannst du in der Firewall für einzelne Hosts / Netze entsprechende Anwendungen wie TeamViewer freischalten/blocken. Budgettechnisch geht es hier aber bei guten 1.000€ inkl. Wartung für 3 Jahre los. Die erforderliche Wartung bringt auf Dauer aber auch Kosten mit sich. ;) Mit deiner FritzBox wirst du da im Leben nicht rankommen.

eine kurze Rückfrage, ich habe dem "alten" DC jetzt eine neue IP-Adresse vergeben. Sollte ich diesen nun erst demoten bevor ich dem "neuen" DC die IP-Adresse verpasse? Oder spielt es keine Rolle? Die Änderung der IP-Adresse vom "alten" DC ist bereits 3 Stunden her.

Hey, ich habe hier eine Benutzer-Gruppenrichtlinie, die via Zielgruppenadressierung auf Computername und Sicherheitsgruppe, eine Laufwerkszuordnung durchführt. Aktuell ist die Gruppenrichtlinie an oberster Stelle verlinkt, da Benutzer, die das betrifft, in vielen OUs vorhanden sind. Meine Frage ist, ob das so sein muss oder ob man die Richtlinie auch anders verlinken kann? Da sie ja so wahrscheinlich auch von vielen Benutzern versucht wird anzuwenden, die es gar nicht betrifft.

Danke für das Angebot, aber die Änderung der Skripte kann ich auch selbst durchführen (lassen) vom jeweiligen Kollegen. Man hat halt nie darüber nachgedacht, die Domäne mit seinem Suffix anzusprechen statt dem echten Hostnamen eines DCs. Die Skripte belaufen sich auch eher auf PHP-Webanwendungen. ;) Gruß

Was meinst du mit "da lässt sich sicherlich etwas ändern"?

Alles klar, dann weiß ich erstmal Bescheid. Die Skripte/Anwendungen, meist Webanwendungen, sprechen das AD meist nur an und laufen nicht auf einem der DCs. Der Tipp mit Ansprechen des Domänen-Namens ist wirklich gut und macht auch wirklich Sinn. Dann werde ich einfach nur die IP-Adresse des alten Domänen-Controllers übernehmen und mich um den Hostnamen nicht weiter kümmern. So sollte es (hoffentlich) auch unkritisch bleiben.

Moin, danke für die schnelle Rückmeldung. Einleitend habe ich leider nicht erwähnt, dass es in der Organisation noch zwei Domänen-Controller gibt, die an einem anderen Standort stehen (VPN). Daher das "Herauszögern" über mehrere Tage. Bzgl. des Namens bin ich auf deiner Seite, ich weiß allerdings, dass in irgendwelchen Anwendungen oder Skripten dieser bestimmt fest hinterlegt ist. Daher der Gedanke, auch den Namen zu übernehmen. Wobei ich jetzt schon darüber nachdenke, dass ich nur die IP-Adresse des alten DC's übernehme, den Namen aber "auslaufen" lasse. D.h. ich lasse den alten DC parallel noch ein paar Wochen am Laufen und versuche die Skripte / Anwendungen zu finden, wo dieser Name noch eingetragen sein könnte? Ja, zwei DCs sind betroffen. Der zweite ist aber mMn nicht so kritisch, da dieser ja nicht die FSMO-Rollen usw. beinhaltet.

Guten Morgen, ich muss das Thema noch einmal aufgreifen, da ich zum Wochenende die Umstellung wahrscheinlich angehen werde. Mein Plan wäre jetzt wie folgt: Heute - neuen Server promoten Morgen - FSMO-Rollen verschieben - Replikation abwarten Am Wochenende (Wartungsfenster) - IP-Adresse des alten Servers ändern auf eine neue, andere - DNS-Records aktualisieren lassen und DNS-Replikation abwarten - dem neuen Server die alte Adresse des alten Servers geben - DNS-Records aktualisieren lassen und DNS-Replikation abwarten Meine Fragen dazu wären, - Ich hätte doch schon gerne den Hostnamen des alten DCs auf den neuen, wie vorgehen? - Wann den alten DC demoten? Direkt zum "Ende" des Wartungsfensters? Gruß

Ich glaube von Dukel war es nur ein "positiver" Nebeneffekt, dass man bei so einer Aktion auch gewisse Altlasten entfernen kann. Das ist auf jeden Fall nicht das Ziel dieser Aufspaltung. Von der oberen Etage ist es auf jeden Fall gewünscht, dass die Anzahl der Benutzer in eine eigene Domäne / Infrastruktur ausgelagert wird (ist auch ein sep. Standort), da dieses Unternehmen operativ nichts mehr mit dem jetzigen zu tun hat. Das es bei so einer Umstellung für die Anwender zu Stolpersteinen kommen kann, ist uns bewusst. Das würden/werden wir im Vorfeld auch entsprechend kommunizieren. Es ging nur um die Frage des "richtigen" Weges. Ob manuell oder halt durch ADMT / Drittherstellertools.

Alles klar, also würdet ihr auch eher dazu tendieren, die Benutzerkonten und Gruppen manuell (Skript) anzulegen und den Postfachinhalt zu verschieben. Danke.

Wie handhaben denn solche Tools die Berechtigungen vom Postfach bzw. Benutzer? Ich habe dann in Domäne A einen Benutzer mit Postfach und in Domäne B habe ich den Benutzer auch neuangelegt. Nun kopiert/verschiebt mir das Tool den Inhalt des Postfaches auf den Benutzer in Domäne B? Berechtigungsstrukturen (Postfachfreigaben, Kalenderfreigaben, Verteilerlisten?, usw) können doch nur übernommen bzw. werden doch nur funktionieren, wenn die SID der Benutzer gleich ist, oder bin ich hier auf dem falschen Dampfer?

Eine Auftrennung des Unternehmens ist der Grund.

Guten Morgen, welchen Weg geht ihr, wenn aus einer vorhandenen Domäne Benutzer inkl. Postfächer in eine neue Domäne überführt werden müssen? Legt ihr alle Benutzerkonten inkl. Gruppenzugehörigkeit manuell an oder nutzt ihr für die Migration entsprechende Tools (wie z.B. ADMT)? Es geht um ca. 50 Benutzerkonten inkl. Exchange-Postfach. In der neuen Domäne ist auch ein Exchange vorhanden.