Win7 Pro in Win2k8 Domäne bringen..

[Domi83]

Hallo Leute, ich habe da mal eine Frage...
Und zwar haben wir hier im Büro einen neuen Server (Win2k8 SBS), der ist auch eingerichtet. Funktioniert auch alles soweit, Domäne ist aktiv, DHCP, Exchange und DNS rennt

So, parallel hab ich noch unseren alten Server laufen (Win2k3 SBS), funktioniert auch beides ohne Probleme nebenher. Nun habe ich gestern ein Notebook von uns genommen,

1.) Entfernung der alten Domäne (vorübergehend in Workgroup gepackt)
2.) IP manuell festgelegt, damit es keine Verbindungsprobleme gibt
2a.) IP Adresse eingegeben
2b.) Gateway auf Router gestellt
2c.) DNS auf den neuen DC gestellt
3.) nach einem Neustart in der Domäne angemeldet!

So, dass hat alles ohne Probleme funktioniert. Selbst Exchange meckert nicht rum, nachdem ich für mein autodiscover.domäne.de Problem noch etwas verändert habe.. Laut Info musste ich die IIS Kernelauthentifizierung abschalten.

%windir%\System32\inetsrv\appcmd.exe set config -section:windowsAuthentication /useKernelMode:false

So, kommen wir zum Grund meines Topics!
Das Notebook (Win XP) hab ich gestern erfolgreich in die neue Domäne einbinden können. Exchange Verbindung funktioniert problemlos, und Zugriffe auf das Netzwerk auf.

Heute wollte ich auf die gleiche weise einen neuen PC (Win 7 Prof.) in diese Domäne bringen, doch dann kam folgende Meldung...



Es funktioniert trotzdem, aber wieso kommt diese Meldung, kann ich das irgend wie umgehen? Zumal es mich wundert, dass ich bei der Domäne noch das .local mit angeben muss.

Was mich dann noch interessiert, einer der PCs ist nicht in der Domäne drin, greift aber auf den Exchange (Outlook 2007), und da kommt immer die folgende Meldung...



Heißt das für mich, dass ein PC / Notebook etc. was NICHT in der Domäne drin ist, immer diese Meldung bekommen wird? Kann man im Exchange oder in der Anmeldung von Outlook einstellen, dass er da nicht mehr nach harken soll?!

So, mehr Wünsche / Anregungen habe ich gar nicht.
Mfg. Domi

 

[screeedy]

AW: [Frage] Win7 Pro in Win2k8 Domäne bringen..

Hallo,

Zu Problem 1:

hast du im Fenster "Ändern des Computernames bzw. der Domain" schon mal unter "weitere" nachgesehen ob ein Net-Bios Name eingetragen ist?

Zu Problem 2:

Bist du mit Windows CA vertraut? Du kannst versuchen das Zertifikat anzupassen, sodass die Meldung nicht mehr erscheint. Ob es ratsam ist, bleibt dir überlassen.

lg und hoffentlich hilft dir das weiter!

Emanuel

 

[Domi83]

AW: [Frage] Win7 Pro in Win2k8 Domäne bringen..

Bist du mit Windows CA vertraut? Du kannst versuchen das Zertifikat anzupassen, sodass die Meldung nicht mehr erscheint. Ob es ratsam ist, bleibt dir überlassen.

Na ja, im Prinzip geht es mir darum dass Chef auf den Exchange zugreifen kann, wenn der zu Hause sitzt. Sein Notebook wurde NIE in die Domäne eingebunden (weder die alte, noch die neue).

Man könnte nun den Browser auf machen, und über remote.domain.de darauf zugreifen, aber dann wird er mich fragen ob ich noch einen am Tee habe. So wie es jetzt läuft ist er sehr zufrieden (ich allerdings auch). Der aktuelle Win2k3 SBS hat nämlich kein aktivierten Exchange (hat damals jemand anderes eingerichtet) und ich habe 2007 OpenVPN eingerichtet, und Chef greift nun mit Thunderbird auf sein Postfach zu. Ist auch sehr einfach für ihn.. Sitzt er hier, macht er VPN aus und ruft direkt über LAN ab, sitzt er zu Hause macht er VPN an und ruft darüber die Mails ab.

Das Prinzip würde ich auch gerne beibehalten.. Auch wenn ich den A und MX umbiegen könnte (glaube so etwas gesehen zu haben im 1und1 Kundencenter) etc. aber das ist eine zu lange Diskussion. Möchte ich eigentlich nicht machen, gründe: geringe Bandbreite (kein 1000er DSL), keine feste IP, sensible Daten auf Server etc.

hast du im Fenster "Ändern des Computernames bzw. der Domain" schon mal unter "weitere" nachgesehen ob ein Net-Bios Name eingetragen ist?

Ich habe ja noch zwei weitere Windows 7 Clients mit genau der gleiche Grund-Konfiguration, ich schaue da mal nach ob mir dort etwas auffällt. Und gebe ein Feedback!

 

[Frightener]

AW: [Frage] Win7 Pro in Win2k8 Domäne bringen..

Auf dem Bild sieht man, daß das Zertifikat auf Domäne.de ausgestellt ist, Deine Domäne endet aber mit .local. Somit bekommst Du die Zertifikatswarnung. Erstelle auf dem MSX Server ein neues Zertifikat, das auf beide Endungen ausgestellt ist.

.local Domains sind übrigens nicht RFC konform, die Namensauflösung ab Vista ist dafür anders, als bei älteren Windows Versionen:

http://files.multicastdns.org/draft-cheshire-dnsext-multicastdns.txt

...
3. Multicast DNS Names

This document specifies that the DNS top-level domain ".local."
is a special domain with special semantics, namely that any fully-
qualified name ending in ".local." is link-local, and names within
this domain are meaningful only on the link where they originate.
This is analogous to IPv4 addresses in the 169.254/16 prefix, which
are link-local and meaningful only on the link where they originate.

Any DNS query for a name ending with ".local." MUST be sent to the
mDNS multicast address (224.0.0.251 or its IPv6 equivalent FF02::FB).
The design rationale for using a fixed multicast address instead of
selecting from a range of multicast addresses using a hash function
is discussed in Appendix B.
...

 

[Domi83]

.local Domains sind nicht RFC konform

Na ja, dass hatte mir halt der Win2k8 SBS so vor gegeben. Ich habe nur gesagt die Domäne heißt bla und am ende hatte er bla.local daraus gemacht.

Ach ja, was mein Exchange + Outlook Zertifikat angeht, da hab ich erfahren und gelesen, dass mein Problem daher kommt, dass die Clients mit diesem Problem nicht in der Domäne sind. Aber eine Lösung habe ich noch nicht wirklich gefunden

 

[Frightener]

Nein, das Zertifikatsproblem ist ein anderes, siehe oben. Lies Dir die Fehlermeldung durch

Die Domäne hast Du dann 'falsch' angelegt. Du hättest einen FQDN angeben müssen (bla.tld).

 

[Domi83]

Ja, was die in der Anleitung meinen, verstehe ich schon.. Allerdings haben wir einen Windows 2008 SBS, bei dem Ding was ich da habe brauche ich nur Schritt für Schritt durch gehen. Bei der Installation sage ich das die "Benutzergruppe / Domäne" (für das LAN) bla ist, und er erstellt automatisch bla.local

Im nächsten Schritt mache ich dann Internet-Prüfung, und ein oder zwei Schritte weiter richte ich die Domäne ein, die für den Exchange da ist. Auf dem Server sind also zwei Domänen aktiv, einmal bla.local und bla.de

Das auf dem Bild 1 ist eine Fehlermeldung, wenn ich meinen PC in einer Domäne anmelden möchte die nur im LAN verfügbar ist, dass Bild 2 ist eine Fehlermeldung die mir Outlook ausspuckt, wenn ich auf den Exchange zugreifen möchte.

Lustig an der Geschichte ist, wenn ein PC in der Domäne (Arbeitsgruppe) ist, ich mich dann im Windows einlogge, Outlook öffne, kommt diese Fehlermeldung (Bild 2) nicht. Gehe ich nun an einen PC der in einer einzelnen Arbeitsgruppe (z.B. Workgroup) ist, Outlook mit den gleichen Einstellungen öffne, kommt diese Meldung (Bild 2) und das ist sehr speziell.

Was die Meldung von Bild 1 angeht, ich habe vorhin (fällt mir jetzt ein) zwei weitere PCs so in die Domäne eingebunden, da kam die Fehlermeldung nicht mehr. Wieso auch immer

Nachtrag: Ah, was mir einfällt.. bla.local ist die Active-Directory Domäne

 

[Frightener]

Nachtrag: Ah, was mir einfällt.. bla.local ist die Active-Directory Domäne

Ja, der Client versucht auf MSX.bla.local zuzugreifen für den ein Zertifikat MSX.bla.de ausgestellt wurde. Du mußt somit ein Zertifikat für beide Domänen erstellen. Außerdem solltest Du dann das Zertifikat auf nicht-Domänen Rechnern unter Trusted Root CAs importieren.