Reingucker

Was ist mit "Filialdruck"? Das dürfte doch passen in diesem Fall. Oder hab ich da was falsch verstanden?

Ja, Radius wäre auch ne Möglichkeit. Vom Gefühl her würde ich sagen klingt gut. Und so wie daabm schreibt den NPS gleich auch mit NAP. Edit: Aber muss der TMG dann nicht auch Radiusclient und im AD sein? Edit2: Ah,ne, passt so

Soweit ich es noch im Kopf habe was ich heute Mittag gelesen habe gibt es verschiedene Szenarios: 1. Dein TMG so wie er ist plus ein zweiter TMG der hintendran und in der Dom ist und damit den aus dem vpn kommenden User an der Dom anmelden lassen kann fürs interne Netz. 2. Dein TMG in die Dom rein und die vpn-anmeldung an die Dom durchreichen womit der User im vpn dann als Dom-User authentifiziert und authorisiert wäre (nennt sich glaube Edge-TMG oder so) Und noch ne dritte Variante die mir aber grad nicht mehr einfällt. Ich such nochmal wo die Seite war.

Jo, der ist glaub klar: Gibt kein User "test" in der Dom dev.domain.de. Also dürfte es mit gleichlautenden Usern dann so sein, dass die sich mit TMG\User an die Dom wenden. In dem Trace steht dann zwar drin dass es der User soundso ist, es steht aber nicht drin dass es der TMG\User-soundso ist. Ist ja nur "cname" ersichtlich. Und damit hat die Dom recht wenn sie sagt: Hö? TMG\User? Geh weg! Edit: Alle Verbindungen aus dem VPN raus laufen also unter dem TMG\User.

Soweit ich das beim Durchlesen all dieser Seiten verstanden habe ist die Anmeldung am TMG nur für die Verbindung - außer der TMG ist so konfiguriert dass er an die Dom weiter reicht. Aber dann müsste er selbst in der Dom sein. Edit: Als Standalone gibts die Auswahl anscheinend auch gar nicht um die Anmeldung an die Dom weiter zu leiten. Und wenn er selbst in der Dom ist brauchs noch eine Zertifikatsstelle in der Dom weil dann auf dem TMG anscheinend nur noch Zertifikate aus der Dom gehen. Hm, was man halt so liest. Obs stimmt...k.a..

Er benutzt also die temporären anmeldedaten auf seinem Client dafür? Der PC war ja nicht im AD oder in erreichbarer Nähe eines DC als der User sich auf dem Client angemeldet hat. Also bekam er doch die temporäre Anmeldung mit der letzten abgelegten Domainanmeldung. Und angemeldet hat er sich mit PPP an der TMG nur für die Verbindung. Es müsste also irgendeinen Befehl geben der die temporäre Anmeldung am Dom-Client in eine richtige Anmeldung an der Dom umwandelt. Oder gibt es da einen automatismus? Edit: Hm, ne, stimmt. Sobald auf eine Resource zugegriffen wird wirds abgeglichen.

Das heißt der user auf dem remote client authentifiziert sich nur an der TMG und dümpelt dann im bereitgestellten VPN-Subnetz? Müsste sich dann der User nicht nochmal an der Domäne anmelden um auf überhaupt irgendwas im AD zugreifen zu können?

Vielleicht off-topic; rein informativ für mich Funktioniert der TMG hier als Kerberos-proxy und kann dann in die tickets reinschreiben was der client darf? Also der client wird durch den TMG authentifiziert und authorisiert und die authorisierung entspricht den Zugriffseinstellungen auf dem TMG?

Nunja, ich hab den dann ja nicht eingestellt. Ich mein, wenn ich ein Netz übernehmen würde, wäre unter Anderem "netdom query fsmo" eine der Aktionen die ich ziemlich am Anfang machen würde. Edit: Und wenn sogar ich als Anfänger weiß dass man die Zeitverbindung auf der VM weg machen kann, tja dann ....

Ja, schrieb ich ja auch, aber ich mag es nicht. Ist mir nicht geheuer. Dem trau ich nicht. Jaaa, ich weiß, die Materie hat nicht viel mit Gefühl zu tun, aber irgendeine Macke brauch man ja :D

Ich stelle es mir halt so vor dass der PDC, welcher die Zeit macht, in einer VM Probleme haben könnte. Ist mehr so ein Gefühl. Sollte eigentlich nichts passieren wenn man die Zeit von Hyper-V-Host und der VM trennt. Aber irgendwie behagt es mir nicht.

Ich bin noch Lernender, aber ich würde mir noch eine Kiste kaufen auf der ein DC physikalisch läuft mit GC, DNS, DHCP im Failover und noch PDC drauf. Dann den anderen DC (DNS, DHCP, GC, Schema, Rid, Domnamen) und den Exchange jeweils VM auf dem ehemaligen SBS (wenn er denn wirklich so gut mit hardware ist) und den SQL-Server alleine vor sich hinbrabbeln lassen. Wobei manche auch sagen dass man den Exchange auf eine physikalische setzen soll. Edit: Den SQL-Server deshalb alleine weil bei einem update der WW-Software auch mal was schief gehen kann und dann ist sonst nichts beeinträchtigt. Infrastrukturmaster kannst dir aussuchen wohin.

http://www.faq-o-matic.net/2010/05/03/warum-der-hyper-v-host-keine-weiteren-dienste-ausfhren-sollte/

Du hast doch ein Image gemacht. Warum probierst du dann nicht mal den Link aus den ich gepostet habe? Ich würde es probieren, da viele der im Link genannten Symptome auf das bei dir zutreffen. Mehr als "geht nicht" geht nicht :) Edit: Vorher noch das Image zurück spielen damit es wieder so ist wie es war als du hier dich gemeldet hattest.

Ja, so ist es wohl :) Tja, die Buchhaltung, die IT, die User, der Sinn - der ewige Krampf ;)

Wenn nur einer angelegt wird, dann aber auch auf jedem Rechner. Nehmen wir mal an es sind 3 Rechner pro Klassenraum und es sind 10 Klassenräume. Dann wären es schon 30 mal den einen User anlegen. Was ist wenn de Lehrer der Schule besondere Zugriffe brauchen, z.B. auf eine Freigabe auf dem Server in der Lehrmaterial liegt? Dann brauchen die auch noch jeweils einen Acc. Und das zumindest auf einem Rechner in jedem Klassenraum. Wenn es da 10 Lehrer gibt, dann wären das nochmal 10x10 Acc lokal anlegen. Macht insgesamt schon 130 User lokal anlegen. Mindestens. Und jetzt könnte es sein, dass die Naturkundegruppe eine Gemeinschaftsarbeit macht und dazu für kurze Zeit eine Freigabe auf dem Server benutzen darf. Also wieder auf jeden Rechner, den die Naturkundegruppe benutzt, lokal drauf und die Freigabe einrichten? Und was ist wenn eine andere Klasse in diesem Klassenraum ist? Also erste und zweite Stunde Naturkundegruppe und dritte und vierte Stunde die Biologiegruppe? Die können dann auch auf die Freigabe der Naturkundegruppe zugreifen weil sie ja auch die Rechner in diesem Klassenraum benutzen? Und und und

Klar, ein Mandatory könnte man auch machen. Oder den Gast-Acc nutzen. Aber sobald er mehrere User hat die sich an mehreren verschiedenen Clients anmelden, da hätte er viel zu tun. Wenn es 10 User sind die sich an 20 verschiedenen Rechner anmelden (Schule), dann muss er schon 200 mal anlegen. Da finde ich die Variante "alles auf die Server und über AD + GPO + FSRM steuern" dann doch schon besser.

Ich weiß nicht ob das hier mit SBS geht (oder ob der nur was labert um seine Webseite zu puschen). Aber man kann es sich ja mal anschauen http://triplescomputers.com/blog/casestudies/stop-error-0x0000007b-0xfffff880009a98e8-0xffffffffc000000d-0x0000000000000000-0x0000000000000000/ Zumindest gibt es diese Befehle. Fehlt mir aber Wissen und Erfahrung um es zu beurteilen.

Bootreihenfolge?

Ich hab das bei mir im Testfeld mal ausprobiert mit Profil und Ordnerumleitungen auf dem Server. Bei der allerersten Anleitung (gerade bei z.B. Win 8) dauert es natürlich bis einmal alles angelegt ist und auf dem Server liegt. An jedem weiteren client machts dann nur noch flutsch und angemeldet. Das müsste beim TO doch genauso gehen. Ich versteh halt nicht warum er das Profil immer wieder neu auf den clients lokal anlegen lässt wenn er sowieso danach den Rechner zurück setzt.

Paar Fragen eines Neulings: Wieso wird das Profil runter geladen bzw. an jedem Rechner neu erstellt? Oder ist es eine Vorgabe? Könnte man nicht alles auf den Server packen? Und die Ordnerumleitungen bei xp und win7 in die gleiche Freigabe/Ordner des Users? Also Profil (v1;v2) getrennt, Ordnerumleitungen zusammen?

Hm? Ich habe meine Tests den Vorgaben entsprechend durchgeführt und mein Ergebnis lässt im Moment nur diesen Schluss zu, dass sich dahingehend in 2012 etwas geändert hat. Ich weiß du hast wenig Zeit, aber teste es doch auch einmal durch.

@Molle Ich weiß nicht wer bei euch alles im Netz etwas machen darf. Ich vermute dass der Gesamtstrukturadmin direkt auf die Eigenschaften der Objektattribute Berechtigungen gesetzt hat.

@Nils Ich habe zum testen, da ich im Moment nur 2 DC am laufen habe im Testnetz, einen Standarduser Karl in die Gruppe der Serveroperatoren geschoben und mich mit diesem dann am DC angemeldet, eine PS geöffnet und die weiter vorne genannten Abfragen nach "enabled" und "passwordneverexpires" erfolgreich ausgeführt. Neustart des DC hatte ich wie weiter oben beschrieben natürlich vorher ausgeführt. Scheint sich was geändert zu haben in 2012.

Ich habe die Prä-2000 leer gemacht, den in deinem Link genannten Neustart durchgeführt und dann getestet.