På denne siden legger jeg ut kursinformasjon til dere som har vært på kurs hos meg. Her er smarte ting vi har diskutert på kurset, linker jeg har vist fram og andre ting som kan være greit å ha til senere.

Håper dere har hatt et innholdsrikt og godt kurs!

Emil Rakoczy for Crayon AS

6425A Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

Kursinformasjon hos Microsoft:
http://www.microsoft.com/learning/en/us/course.aspx?ID=6425A

Kursinformasjon hos Crayon:
http://www.crayon.no 

Linker:

http://technet.microsoft.com/nb-no/sysinternals/default(en-us).aspx 
Sysinternals hos Microsoft har mye fantastiske verktøy for feilsøking. Blant annet verktøyet adrestore som lar deg enkelt resore tombstoned AD objekter.

http://technet.microsoft.com/en-us/library/dd391932(WS.10).aspx 
God Technet Artikkel om hva som er nytt i Windows Server 2008 R2 mot Windows Server 2008.

http://en.wikipedia.org/wiki/Kerberos_(protocol)
Informasjon om hvordan Kerberos autentisering fungerer.

http://www.microsoft.com/downloads/details.aspx?FamilyID=173E6E9B-4D3E-4FD4-A2CF-73684FA46B60&displaylang=en 
Nedlasting av dokumentet som beskriver endringer i funksjonalitet fra Windows Server 2003 R2 til Windows Server 2008. Et must read om du vil være oppdatert.

http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en 
Windows Server 2008 Steb by Step Guides. Alle samlet på ett sted. Gullkorn link!

http://support.microsoft.com/kb/315457
Hvordan rebuilde SYSVOL katalogen om den er blitt korrupt i domenet.

http://technet.microsoft.com/en-us/library/cc773238(WS.10).aspx
Kjempegod link om DFSR!

Smarte kommandoer:

gpresult /r 
Kjøres på klienten. Gir oversikt over hvilke GPO'er som har truffet klienten, både computer og user. Gir en del feilsøkingsinformasjon, blant annet "slow link" og hvem som ga policyen til klienten (server).

gpresult /h c:\report.html
Gir samme type informasjon, men mer utfyllende og i HTML format som du etterpå kan se på i Internet Explorer. Her får du blant annet også se serienummer på GPC (AD) og GPT (SYSVOL). Oversikten som genereres her er den samme du vil finne i Resultant Set of Policy Wizarden i GPMC (Group Policy Management Console).

Dcdiag /test:toplogy
Tester replikeringstopoligien MELLOM siter.

Dcdiag /test:Intersite og readmin /latency
Tester replikeringstopolgien internt i en site.

Nye spørsmål som er kommet i løpet av kurset:

Hvor mye båndbredde tar GPO? Tas alle GPO'er med eller tas kun de innstillingene som skal være med?
I 2003 lagres hele ADM filen sammen med hver enkelt GPO. Altså vil du få større GPO'er i en gammel infrastruktur, og jo flere GPO'er jo mer båndbredde. I 2008 med ADMX filer som templates for GPO'en, tas kun de innstillingene du setter i GPO'en med over, ikke hele ADMX filen. Altså har du mindre GPO'er i 2008 og dermed mindre båndbredde bruk. Mengden data vil selvfølgelig variere med antall GPO'er og mengden innstillinger.

Microsoft anbefaler at man setter GPO innstillingen "Always wait for network..." på alle maskiner. Hvordan blir dette på bærbare maskiner?
På bærbare maskiner kan dette gjøre dem trege når de roamer. Legg bærbare maskiner i en egen OU og sørg for at denne innstillingen ikke er på i deres GPO.

Ved VPN har du alltid cached credentials. Du har aldri kontakt med DC når du logger på, hvordan blir det da med GPO?
Fra dokumentet Changes-In-functionality kan vi lese om Network Location Awareness som er nytt i 2008. GPO proessesering vil vente til klienten oppnår kontakt med DC via VPN og da refreshe både Computer og User GPO. http://technet.microsoft.com/en-us/library/cc725828(WS.10).aspx#BKMK_nla

Finnes det noe for å sjekke status på SYSVOL i hele domenet?
Ja. Når SYSVOL replikerer med FRS og ikke DFSR kan du bruke FRSDiag.exehttp://www.microsoft.com/downloads/details.aspx?FamilyId=43CB658E-8553-4DE7-811A-562563EB5EBF&displaylang=en 
For DFSR (aka DFS) bruk dfsrdiag.exe. Les mer om DFSR her:
http://technet.microsoft.com/en-us/library/cc773238(WS.10).aspx 
Merk at FRS er 2003 teknologi og at DFSR tok over fra og med Windows Server 2003 R2. Men merk at SYSVOL replikeringen din kan godt være satt til FRS selv om du kjører Windows 2008 servere.

Hvorfor tar det lang tid å hente GPO til terminalserver?
http://www.brianmadden.com/blogs/brianmadden/archive/2006/03/06/troubleshooting-slow-citrix-and-terminal-server-logons.aspx Se litt på denne artikkelen om sen TS logon og se om du kommer videre.

Kan du deploye Office 2007 via GPO?
Ja. http://technet.microsoft.com/en-us/library/cc179214.aspx

Hvor er replmon i Windows Server 2008?
Replmon er en del av ResourceKit til 2003 og er ikke tilgjengelig i 2008 dessverre. Men du kan installere (på egen risiko) Windows Server 2003 Resource Kit på en 2008 server og ignorerer "compatibility warning". Da kan du kjøre replmon.exe som normalt.

Hva er vitsen med restartable AD:DS når du likevel må ned i DSRM når du skal kjøre restore og backup av AD:DS? Og må man virkelig ned i DSRM for å kjøre backup/restore?
Ja du må faktisk i DSRM (restart-F8-Directory Services Restore Mode) for å kjøre restore. Fordelene med restartable AD:DS er at man ikke trenger å gå inn i DSRM for å kjøre offline defragmentation, og at oppdateringer og annet vedlikehold som krever restart av AD:DS, nå ikke lengre trenger å restarte hele serveren. Les mer om restartbale AD:DS her: 
http://technet.microsoft.com/en-us/library/cc732714(WS.10).aspx

Hvordan tvinger man gjennom SYSVOL replikering for FRS og DFS?
For FRS kan du bruke kommandoen ntfrsutl.exe forcerepl DestinationDC /r "Domain System Volume (SYSVOL share)" /p SourceDC.domain.com . Les mer om kommandoen på google, technet eller i Help.

For DFS replikering kan du bruke kommandoene dfsrdiag syncnow eller dfsrdiag pollad. Les mer på denne linken:
http://technet.microsoft.com/en-us/library/cc773238(WS.10).aspx

Kan man se hvem som har endret i GPO? Finnes det noen endringslog?
Man kan se hvem som har endret, men ikke hva. Og dessverre ikke på noen enkel måte. For å vurdere om dette er aktuelt for deg kan du se på denne linken som gjelder Windows 2003:
http://blogs.msdn.com/ericfitz/archive/2005/08/04/447951.aspx

Hva er begrensningene i AD:DS i forhold til skalerbarhet?
Det kan du lese om her:
http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(WS.10).aspx

Hva skjer med GPO når du har en maskin i FOREST A og en bruker i FOREST B. Det er trust mellom forestene og brukeren logger på maskinen i A med kontoen fra B?
Du må sørge for at settingen “Computer Configuration\Administrative Templates\System\Group Policy\Allow Cross-Forest User Policy and Roaming Profiles” er satt til Enabled i computerpolicyen i FOREST A. Da vil maskinen hente brukerens GPO fra FOREST B under pålogging. HVIS du ikke setter denne, så vil faktisk maskinen kjøre en loopback på brukeren.
http://technet.microsoft.com/en-us/library/cc738810(WS.10).aspx#BKMK_forest

 
(c) 2011 Diode AS