Hallo,

in unserem Active-Directory (Windows 2008 R2-Domaincontroller) soll es demnächst eine OU (im Beispiel "Unter-OU") geben, in der ein (Unter-)Administrator alle dort vorhandenen Objekte selbst verwaltet. Es sollen dort später einmal Benutzerobjekte und Computerobjekte vorhanden sein. Die Struktur sieht also ungefähr so aus:

Domain.local
    Standard-OUs
    Unter-OU
         Benutzer
         Computer

Verwaltungsrechte auf die Unter-OU zu vergeben bekomme ich hin.

Aber wie kann ich dem Benutzer das Recht einräumen, neue PCs in die Domäne aufzunehmen - und zwar nur in den Zweig Domain.local\Unter-OU\Computer ? Neue PCs, die mit dem (Unter-)Administratorkonto der Domäne hinzugefügt werden, sollen automatisch in dieser Unter-OU im Zweig Computer landen.

Ist das überhaupt möglich?

Grüße,

Jörg Goldmann

Hallo,

ich betreibe einen Solaris-Server auf dem ein DNS läuft und voller Daten ist.
Ich wollte eine Domäne aufbauen und die DNS-Anfragen die aus der Domäne nicht vom eigenen DNS-Server (Windows DNS-Server) beantwortet werden, weiterleiten.
Ich kann den Solaris DNS-Server eintragen und es kommt auch ein grünes Häckchen. Sobald ich aber eine Anfrage mache, die der Windows DNS-Server nicht beantworten sollte, läuft der ping trotzdem in ein Timeout.

Wieso funktioniert die Weiterleitung nicht? Kann es am DNS-Suffix liegen?
Beide Server sehen sich und können sich auch anpingen.

Danke im voraus,
Rob

/edit:
Ich habe nun jeweils eine Weiterleitung von einer zu einer anderen Domäne erstellt. Untereinander können sich die Server ohne Probleme unterhalten, aber sobald ich eine Anfrage von einer Domäne zu der anderen von einem Client aus mache. geht es nicht mehr.

Hallo

Wir haben bereis einen KMS-Host im Einsatz. Das Aktivieren von Windows7 und Office2010 funktioniert problemlos.

Nun wurden neue\zusätzliche Office2010-Lizenzen gekauft.

Kann der neue Lizenzschlüssel dem bestehenden KMS-Host, welcher schon einen Office2010-Key hinterlegt hat hinzugefügt werden?

Ich will einfach alle Lizenzen über einen KMS aktivieren lassen, sofern möglich...

Vielen Dank & Gruss

Ramon

Hallo,

ich habe eine C-Klasse IP Segment mit Subnetzmaske 255.255.255.0 (/24). Ich möchte meinen IP Segment erweitern, weil ich noch IP Adressen brauche. Ich möchte meine Subnetzmaske von /24 auf /23 (255.255.254.0) ändern, dann kriege ich zwei IP Segment pro 254 Adressen. Was muss ich beachten in ADS , wenn ich diese Änderung machen will ( DNS, DHCP).

ich bedanke mich im voraus

wladiandden

Hallo liebe Gemeinde,

ich bin derzeit  auf der Suche nach einer Lösung für ein Problem...

Wir fangen gerade in der Firma an von DXUNION auf Windows Server 2012 und AD DS umzusteigen.

Leider fehlt es den meisten Leuten trotz MOC Schulungen noch etwas schwer mit dem neuen System umzugehen.

Wir wollen einen Produktiven DC aufsetzten und dazu noch einen Test-DC verwenden.

Bisher kam es  bereits zu zwei größeren Zwischenfällen nachdem wir den DC komplett neu aufsetzen mussten da dieser nicht mehr reagiert bzw. total vermurkst war.

Mich würde interessieren wie ich einen DC vor größerem schaden schützen kann.

der Test-DC läuft in einer Hyper-V VM

- Ich möchte keine Benutzer einschränken (A. Es haben nur "Admins" zugriff. B. Es wurde verlangt das jeder erst mal alles machen können soll)

- Snapshots sollen ja nicht so gut dafür geeignet sein da es zu sehr großen Problemen kommen kann sollte man diesen wieder einspielen.

Hätte jemand eine Idee wie ich den DC am besten absichern könnte ? 

Hallo,

ich möchte eine Migration von SBS 2011 zu 2012 R2 Standard durchführen. Gibt es da Unterschiede die ich beachten muss im Vergleich zur Migration SBS 2011 zu Server 2012 Essentials?

Hallo Profis,

vorab, ich bin kein gelernter Admin. Ich verwalte für unseren gemeinützigen verein die Benutzerkonten und Outlook2010 Clients etc. Mit Win Server 2012 und Exchange.

Die Kollegen wollen jetzt das alle verfügbaren externen E-Mailadressen im GlobalAdressBuch zu finden sind.Das heißt das die Adressen mit jedem Outlook-Client abzurufen sind.

Auf der Exchange Seite kann ich zwar einen Eintrag z.B. "externeMailadressen" anlegen und der erscheint auch m Adressbuch. Aber wie kann ich denn dort die gesammelten externen Mailadressen importieren oder eintragen?

herzlichen Gruß

Manfred

Hallo Forum,

in meiner Domänenumgebung habe ich zwei DC´s im Einsatz. Nun benötige ich die Login und Logoffereignisse die an der Domäne getätigt werden zur Einsicht in der Ereignisanzeige. (das Logging ist sowohl in der Domänenrichtlinie, als auch in der Richtlinie für die Domänencontroller aktiv). Auf unserem DC1 (Domänenmaster) kann ich die Ereignisse nicht finden, auf unserem zweiten DC werden diese mitprotokoliert.

Wie kann ich es bewerkstelligen das die Events auch, oder nur, auf dem DC1 geloggt werden?

DC1 = Windows Server 2008 R2
DC2 = Windows Server 2012 Standard (inkl. Exchange)

Hallo,

ich habe einen neuen Rechner installiert.

Die Netzwerkkarte arbeitet zunächst einwandfrei. Ich kann auch remote über das Netzwerk auf den Rechner zugreifen, bzw. diesen remote übernehmen.

Leider kann der Rechner aber nicht auf die Resourcen des Domänencontrollers zugreifen.

Netzwerkbenutzer (AD) können sich an dem Client anmelden. Auch der Administrator des AD's - leider gleicher Effekt.

Was fehlt hier bei der Installation, bzw. was muss ich nach oder neu installieren?

Hallo,

ich möchte einen LDAP Client einrichten, der auf das Active Directory eines Windows Server 2012 zugreift. Gibts es hier Unterschiede zwischen bzw. Einschränkungen bei den Features des LPAD Clients je nachdem, welche Gesamtstrukturfunktionsebene bzw. Domänenfunktionsebene ich einstelle? Gibt es wiederum in diesem Zusammenhang Unterschiede zwischen den Features, je nach LDAP Version? Könnte mir jemand diese Unterschiede im Detail nennen, so es sie gibt?

Vielen Dank

Hallo,

ich habe gestern folgendes Erlebnis gehabt und bin nun gefühlte 1000 Haare grauer:

Wir haben eine 2008 R2 Domäne mit 4 DCs.

3 davon sind 2008 R2 einer 2012.

DC1 - Server 2012 Datacenter

DC4 - Server 2008 R2 Std (läuft AD und DNS darauf)

DC5 - Server 2008 R2 Std (läuft AD und DNS darauf)

DC6 - Server 2008 R2 Std (Zweigstelle Essen) (läuft AD und DNS und DHCP darauf)

Alles VMs.

Alle Globale Catalog SRV

DHCP ist ein eigener Server dediziert:

Bereichsoptionen

Primär DC1 als DNS SRV

Sekundär DC4 als DNS

3 DC 5

4 DC 6

Plan war den DC4 auf 2012 Datacenter mit gleicher IP und gleichem Namen wieder hochzustufen.

Soweit so gut....

Ich habe den DC4 heruntergestuft, alle Rollen entfernt und nun war er nur noch als Member mit drin.

Plötzlich Outlook keine Connection mehr, Vcenter weg und und und...Das hatte sich dann auf alle User ebenso ausgewirkt.

Ich kam auf keinen Server mehr, nslookup auf die Domäne und FQDN verwies auf eine Öffentliche IP. Der einzige Server auf den ich via RDP kam war der DC4,

von dort aus auf Vcenter und Exchange.

Alles korrekt eingestellt in den Interfaces DNS Primär zeiger auf den DC1.

Ich habe dann mal testweise ein Notebook neugestartet, siehe da alles ok.

Verdacht liegt nahe meinerseits, das der Logonserver bei den Clients schuld war. Aber das kanns doch nicht sein, der Müll hat mich 7 Stunden gekostet.

Warum habe ich dann eine Redundanz, wenn sie nicht klappt.....

Der DC4 läuft jetzt wieder mit 2012. Beim Hochstufen wieder das gleiche...

Wenn ich eine Fehler gemacht habe, bitte klärt mich auf, ich bin mir dezeit nicht so ganz sicher was da los war...

Vielleicht war es nicht gut das unter Tags zu machen, aber das würde mich wundern....

Auf eure Antworten bin ich gespannt.

VG Homer1976

Hallo TechNet,

wie kann man einen Windows User anlegen, welcher Zugriff auf 2 oder mehr Domänen Zugriff hat

Guten Abend,

und zwar hab ich folgendes Anliegen. Seit kurzem habe ich Powershell entdeckt um einige Aufgaben einfacher gestalten zu können. Ich habe eine Usernameliste, welches aus SamAccountNames besteht und die ungefähr so ausschaut:

• test234
• test-de\test
• test-root\test234

Natürlich sind das mehrere Einträge. Ich habe mir nun ein Script gebaut, welches ohne weitere Probleme die Email-Adressen, wo die SamAccountNamen so ausschauen wie test234, beziehen kann. Es liegt daran das test234 in internal.test.com liegt und so wie ich es mitbekommen habe Standartmäßig dort abgefragt wird.

Hier das Script:

Get-Content C:\Users\test\Desktop\TODO.txt| ForEach {

    Get-ADUser -Identity $_ -Properties EmailAddress |
        Select SamAccountName,EmailAddress
} | Export-Csv C:\Users\test\Desktop\export.csv -NoTypeInformation

Leider hab ich das Problem, falls ein SamAccountName in einer anderen Domaine liegt also zum Beispiel test-de.internal.com. Das wären in diesem Fall die test-de\test SamAccountnamen.

Also musst  jede Zeile überprüft werden und falls die Zeichenkette test-de\ vorhanden ist soll die Domaine auf test-de.internal.com gewechselt  und dort abgefragt werden, da wir nur hier die Email Adressen bekommen. Hier die Ausarbeitung des Scriptes:

try
{
	$mycontent=Get-Content C:\Users\test\Desktop\TODO.txt
	foreach ($myitem in $mycontent) {
	Write-Host "check: $myitem"
	try
	{
		$myAduser=Get-ADUser -Identity $myitem -Properties EmailAddress
		$result=$myAduser |Select SamAccountName,EmailAddress

		if ($myitem -contains "test-de\")
		{


		}
		else if ($myitem -contains "test-root\")
		{

		}
	}
	catch
	{

	}
	}

}
catch
{
	Write-warning "Error in VM handling"
	Write-Warning  $_.Exception.Message
}

Es ist nur ein Versuch, leider weiß ich nicht wie ich :

• Die Domaine wechseln kann und anschließend die Email Adresse durch den SamAccountNamen bekommen kann.
• Ich weiß nicht ob das so klappen würde, so wie ich mein Script angefangen habe.

Ich würde mich auf eure Lösungsvorschläge freuen. Wollte auch ungern ohne selbst etwas getan zu haben hier bitten und nach Lösungsvorschlägen hoffen. So hab ich schon einmal bisschen mich an die Arbeit gemacht.

Hallo zusammen,
wir haben hier zwei Standorte mit 3 x 2008-R2 DC, DC1 (alle Rollen) DC2 Standort A und DC3 Standort B.
In der AD Domäne (es gibt nur eine) gibt es auf Hostsystem 2008-R2 jeweils Lync Server 2013 (mehrere) und MX2010 (einer).

Frage dazu:
Aktuell wollen wir nur die DC's nach 2012-R2 heben, gibt es Probleme hinsichtlich des MX2010 / Lync2013 ?

Das sind virtuelle DC Systeme, würde ihr ein "inplace" Upgrade der DC empfehlen oder klassisch neue 2012-R2 DC's installieren
und die Rollen verschieben, später dann ein demote der Win2k8-R2 DC durchführen.

Irgendwelche Fallstricke hier die man beachten sollte ?

Danke für jede Hilfe / Tips
Stefan 

Hallo zusammen,

wir haben auf zwei Standorte verteilt Server 2008 und Server 2008 R2 als DC laufen.

Am Standort A möchten wir, zusätzlich zu den 2 bestehenden Server 2008, einen Server 2012 R2 als DC aufbauen. Dieser soll, sobald er läuft, einen Server 2008 DC ersetzen.

Nun gelingt uns die Heraufstufung des Server 2012 R2 zu einem Domänencontroller am Standort A nicht. Folgende Fehlermeldung erscheint:

Fehler bei der ADPrep-Ausführung --> System.ComponentModel.Win32Exception (0x80004005): Ein an das System angeschlossenes Gerät funktioniert nicht.
  Ausführliche Informationen finden Sie in den Protokolldateien im Verzeichnis "C:\Windows\debug\adprep\logs\20141203162803".

Ein Blick ins ADPrep-log zeigt:

. . .

Die aktuelle Schemaversion lautet "47".
[2014/12/03:16:28:04.101]
Schema wird auf Version "69" aktualisiert...
[2014/12/03:16:28:04.104]
Die Befehlszeile, die an "ldifde" übergeben wurde, lautet "ldifde -i -f "C:\Windows\system32\adprep\sch48.ldf" -s "DC3.contoso.de" -h -j "C:\Windows\debug\adprep\logs\20141203162803" -$ "C:\Windows\system32\adprep\schupgrade.cat"".
[2014/12/03:16:28:11.765]
Die Befehlszeile, die an "ldifde" übergeben wurde, lautet "ldifde -i -f "C:\Windows\system32\adprep\sch49.ldf" -s "DC3.contoso.de" -h -j "C:\Windows\debug\adprep\logs\20141203162803" -$ "C:\Windows\system32\adprep\schupgrade.cat"".
[2014/12/03:16:28:13.388]
Fehler beim Importieren aus der Datei "C:\Windows\system32\adprep\sch49.ldf". Die Fehlerdatei wurde unter "C:\Windows\debug\adprep\logs\20141203162803\ldif.err.49" gespeichert.

Wenn der Fehlercode "Keine ausreichenden Rechte" lautet (LDAP-Fehlercode 50), stellen Sie sicher, dass der angegebene Benutzer zum Lesen und Schreiben von Objekten im Schema und in den Konfigurationscontainern berechtigt ist. Sie können sich auch abmelden, als Benutzer mit den nötigen Rechten wieder anmelden und "forestprep" erneut ausführen. Zum Ausführen von "forestprep" reicht es in der Regel aus, sowohl der Gruppe "Schema-Admins" als auch der Gruppe "Organisations-Admins" anzugehören.
[2014/12/03:16:28:13.390]
Das Schema auf dem Schemamaster konnte nicht aktualisiert werden.

[Status/Folgen]

Das Schema wird nicht im ursprünglichen Zustand wiederhergestellt.

[Benutzeraktion]

Weitere Informationen finden Sie in der Protokolldatei "Ldif.err" im Verzeichnis "C:\Windows\debug\adprep\logs\20141203162803".
[2014/12/03:16:28:13.390]
Die Gesamtstrukturinformationen konnten nicht aktualisiert werden.

[Status/Folgen]

Für diesen Vorgang benötigt Adprep Zugriff auf die vorhandenen gesamtstrukturweiten Informationen des Schemamasters.

[Benutzeraktion]

Weitere Informationen finden Sie in der Protokolldatei "ADPrep.log" im Verzeichnis "C:\Windows\debug\adprep\logs\20141203162803".

Und ein Blick nach ldif.err.49 zeigt:

Entry DN: CN=ms-Authz-Member-Rules-In-Central-Access-Policy,CN=Schema,CN=Configuration,DC=contoso,DC=de
Fehler für Eintrag mit Beginn in Zeile 356: Fehler beim Vorgang

Serverseitiger Fehler: 0x20ef Im Verzeichnisdienst ist ein unbekannter Fehler aufgetreten.

Erweiterter Serverfehler:

000020EF: SvcErr: DSID-020A0742, problem 5012 (DIR_ERROR), data -327

Fehler im Programm

Kann dies damit zusammenhängen, dass sich der Schema-Master am Standort B befindet?

Viele Grüsse

Kai

Hallo Leute,

zwischen meinen Windows 7, 64bit Clients und dem Windows Server 2008 R2 Domänen Controller befindet sich eine zentrale Firewall.

Dort habe ich auch schon entsprechend Richtung Client zu Server die entsprechenden Ports freigeschalten und momentan scheint auch alles soweit zu funktionieren.

Nun ist mir jedoch in der Firewall aufgefallen, dass in die andere Richtung also sprich vom Server zu Client versucht wird auf 445 oder auch mal 139, 135 zuzugreifen. So genau kann ich mir aber nicht erklären, warum und ob da eine Firewallfreischaltung nötigt ist.

Ich hab zu dem Thema auch schon den Thread "Firewall Ports für Verbindung Client/Meber Server <-> Domain Controller" gelesen. Da hatten die Leute wohl ein ähnliches Problem. Leider hat niemand eine hilfreiche Antwort gegeben.

Ich versuchs halt jetzt einfach mal erneut und hoffe es hilft mir jemand weiter.

Ich danke euch.

Grüße

Hallo Zusammen,

ich habe durch Delegierungen eine Reihe von administrativen Berechtigungen innerhalb des Active Directorys delegiert.

Bestimmte Gruppen durfen nur Benutzer anlegen und Gruppenmitgliedschaften verwalten.

Andere Benutzer durfen lediglich Kennworte zurücksetzen und Konten aktivieren...

etc.

--> Nun habe ich die Aufgabe "Anlegen und Verwalten von Organisationseinheiten" delegiert.

Das funktioniert im Grunde wie gewünscht: Bestimmte Benutzer dürfen OUs anlegen, andere Benutzer dürfen OUs anlegen, ändern und löschen...

Nun verhält es sich jedoch so, dass, wenn ein Benutzer eine OU anlegt, er auch der Besitzer der OU ist. Dadruch ist es ihm möglich, sich selbst alle möglichen Rechte unterhalb dieser OU zu geben. Dadruch kann diese Benutzer theoretisch alle Einschränkungen umgehen, zumindest ab der OU, die er selbst erstellt hat... !!

Wie kann ich das verhindern?

Selbst wenn ich "Berechtigung ändern" verweigere hat der Ersteller der OU das Recht, die Berechtigungen zu ändern...

Bin über jeden Hinweis dankbar.

Viele Grüße

Hallo,

ich habe bei mir in der Firma eine ParentDomain aufgebaut und darunter eine ChildDomain als Test-Domäne. In dieser Test-Domäne habe ich einen Member-Server hinzugefügt. Ich habe nun in der ParentDomain einen Enterprise-Admin angelegt und habe folgendes Problem.

Ich komme leider nicht mit dem Enterprise-Admin per RDP auf dem Member-Server in der ChildDomain. Ich habe die Gruppe der Enterprise-Admins auf dem Member-Server in die Remoteeinstellungen eingetragen. Ich konnte mich dann verbinden, habe aber festgestellt, dass der Enterprise-Admin keine Rechte hat irgendwas auf dem Server zu machen. Kann mir einer sagen, wieso ich mit dem Enterprise-Admin keine Rechte in der ChildDomain habe, obwohl ich das haben sollte?

Danke im Voraus,

Robert

Hi Community,

seit einen Umzug unserer AD integrierten CA auf einen neuen Server kommt so einmal in der Woche 10x folgende Meldung:

Protokollname:     Application
Quelle:            Windows-CertificationAuthority
Datum:             27.11.2014 17:07:58
Ereignis-ID:       74
Aufgabenkategorie: Keine
Ebene:             Fehler
Schlüsselwörter:   Klassisch
Benutzer:          SYSTEM
Computer:          VM-NET-SRV.DOMAIN.local
Beschreibung:
Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel 2 an folgendem Ort auf dem Server "GALAXY-4.DOMAIN.local" veröffentlicht werden: ldap:///CN=DomainRootCA(2),CN=galaxy-1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=local. Verzeichnisobjekt nicht gefunden. 0x8007208d (WIN32: 8333).
ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=galaxy-1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=local'

Das komische an der Sache ist, dass zwar versucht wird diese Liste auf dem richtigen Server zu speichern (GALAXY-4), der angegebene LDAP Pfad aber das Objekt des alten Servers (GALAXY-1) benennt, den es nicht mehr gibt. Wo kann man das korrigieren?

Thx & Bye Tom

Hallo, beim ausführen von einem Loginscript bekommt nur ein Benutzer die Netzlaufwerke nicht gemappt. Der User bekommt nachfolgende Meldung:

Netlogon\ifmember: GetTokenInformation failed. Error code returned by system was 122.More information about this error code can be obtained by typing "NET HELPMSG xxx", where xxx is the error code above.

Als Domaincontroller setzen wir Windows Server 2012 R2 ein.

über jede Hilfe bin ich dankbar.