Sisterchen

:) Tja, die Sinnhaftigkeit hinter dieser Sache zu finden, könnte sich wirklich ein wenig schwierig gestallten... Ich finde deine Hinweise und gestellten Fragen sehr interessant, und ich finde, du sprichst mir ziemlich aus der Seele... Du bist nicht der erste, dem hier widersprüchliche Tatsachen aufgefallen sind ;) Nichts desto trotz muss ich es beschreiben! :) Dankbar wäre ich noch, wenn ich erfahren könnte, die ich eine LDAP-Suche gegen alle das Userobjekt im Schema laufen lassen kann, die mir alle Attribute rausschmeißen, bei denen das Searchflag LEER ist. Ich hab hier keinerlei Erfahung, wie ich sowas auslese: Deshalb ja auch der Threat... Ich dache, mit LDP.exe geht das gut?! Oder sollte ich das anders machen??

Ja, meine Frage ist "rein" akademischer natur... :-) Oder besser: Ich will verstehen, um richtig zu planen, zu konfigurieren und zu bewerten, und habe in der Literatur dazu nicht wirklich was gefunden, was mich ausreichend informiert hätte. Aber es ist auch nicht sehr trivial ;-) Danke für deine Antwort. der Hinweis mit dem Netlogon schubst mich schon in eine gute Richtung! :-)

Vielen Dank für deine Antwort... Die Frage kam mir in den Sinn, als ich drüber nachgedacht habe, was genau wohl schuld ist, wenn das Passwort nicht erneuert werden kann, und dadurch die Vertrauensstellung nicht mehr ihren Sinn erfüllt. Wenn ein Passwort alle 30 Tage geändert wird, und das alte (wie in diesem Fall) ja noch 30 Tage in einem Feld zwischengespeichert wird, ist nach 60 Tagen Fine... Und wenn die PDCs es 30 Tage lang nicht schaffen, das Passwort zu erneuern, hab ich mir gerade so gedacht, WAS dann wohl daran schuld sein könnte. Warum schaffen sie es nicht den Sec.Channel aufzubauen? Warum kann das neue PW nicht übermittelt werden? Also, wenn ich dich richtig verstehe, ist es kein Replikaitonsproblem, weil Replikation hier nicht zum Einsatz kommt. Wo kann dann das Problem liegen? Zeitdifferenz, und deshalb kein Sec. Channel? Oder hat jemand noch ne andere Idee? VG Sisterchen

Oh, natürlich meinte ich das SearchFlags... war ein Schreibfehler... Sorry... Den Artikel "Anhang D:..." kannte ich schon, da steht leider auch nicht drinnen, welche Attribute ich filtern kann, nur wie man es macht (und das geht eben auch nur mit den bestimmten, die keiner Flags gesetzt haben). Mein Problem ist, das ich eine Dokumentation darüber schreibe, welche Attribute des ADs, zB für User-Objekte gefiltert werden können, und somit nicht am RODC landen... Ich habe nun ein paar Definitionen gefunden, das zB. Attribute, in denen das FLAG_ATTR_NOT_REPLICATED, od. FLAG_ATTR_REQ_PARTIAL_SET_MEMBER, od. FLAG_ATTR_IS_CONSTRUCTED, od...IS_CRITICAL gesetzt ist, nicht Mitglieder des Attribut-Filters sein können. Auch nicht, wenn das SystemOnly-Flag gesetzt ist, oder wenn das schemaFlagsEx gesetzt ist. Und mein Ziel war/ist es mit dem Tool LDP.exe genau diese Attrbiute, die diese Flags nicht gesetzt haben, auszulesen, um zu beschreiben, WELCHE Attribute gefiltert werden können. Noch leichter wäre es, eine Dokumentation zu finden, in der genau das beschrieben ist. Aber da war ich leider bis jetzt bei der Suche erfolglos.. Bin also für jeden Tipp dankbar.. VG Sisterchen

Hallo zusammen, ich bin am Testen einer Konfiguration für den gefilterten Attributsatzes für einen RODC. Noch bin ich mir nicht ganz im Klaren, welche Attribute genau gefiltert werden können. Es geht um eine Windows 2008-Domäne. Ich habe festgestellt, dass Attribute, bei denen das SchemaFlagsEx nicht gesetzt ist, bzw. auch das SystemFlag leer ist mit dem "RODC filtert" und dem "Verttraulich"-Bit befüllen kann, aber das sind bei einem normalen Schema die wenigstens Attribute. Die meisten kann ich gar nicht filtern, weil immer die meldung kommt: Basisschema kann nicht geändert werden (zB bei dem Attribut :"comment" eines Users). Nun suche ich den Befehlt, der im Tool LDP.exe eingegeben werden muss, um dort noch alles Attributen zu suchen, die z.B. KEIN SYSTEMFLAG gesetzt haben, damit ich weiß, welche Attribute ich überhaupt ggf. filtern kann, und somit verhindern kann, das diese an einen RODC repliziert werden. Habt ihr hier eine Idee, oder eine gute Quelle, wo ich mir was rauslesen kann? Vielen Dank schon mal VG Sisterchen

Hallo zusammen, ich hab eine Frage zum Passwort einer externen Vertrauensstellung: Kennt jemand einen Link oder Technet-Artikel, in dem genau beschrieben wird, wie die Aushandlung eines neuen Passwortes von statten geht. Meine Frage ist: Ist das eine Replikation, oder wie und was "sprechen" die beiden PDCs miteinander? Vielen Dank schon mal im Voraus. VG Sisterchen