Zieht nicht: Domain-Admin in Gruppe lokaler Admins

[Reveller 10]

Hallo zusammen.

 

Ich habe das Problem nach langer Suche und Auseinandersetzung mit SIDs gelöst.

 

Fehlerursache war die virtuelle Umgebung in der ich das alles aufgebaut habe. Ich habe die Maschinen einfach kopiert. Somit hatten DC und Memberserver die gleiche System-ID. Deshalb kam der Memberserver durcheinander!

 

Lösung: sysprep ausführen (Link) und schon läuft die Sache!

 

Vielen Dank an Mag, der mich hier unterstützt hat.

 

Gruß,

Reveller

 

PS: Sinnfragen sollten wir dem Klerus überlassen ;)

[NilsK 2.785]

Moin,

 

PS: Sinnfragen sollten wir dem Klerus überlassen ;)

 

schön, dass es jetzt klappt - aber mit der zitierten Haltung machst du dir in Foren keine Freunde.

 

Gruß, Nils

[NorbertFe 1.804]

PS: Sinnfragen sollten wir dem Klerus überlassen ;)

 

Nein, die sind mit Glaubensfragen beschäftigt. Und wenn du über Sinn und Unsinn technischer Gegebenheiten nicht diskutieren willst, solltest du deine Probleme vielleicht nicht versuchen im Forum zu lösen. ;)

 

Bye

Norbert

[Reveller 10]

Es ist aber auch zu verlockend....:p

 

Ich sehe das so:

Wenn jemand eine Zielstellung definiert wie bspw. "Domainadmin in lokale Gruppe" oder "Aufspalten eines Betonklotzes mittels Nagelfeile", sollte ein helfender sich primär der Lösung des Problems widmen und nichts anderem.

Man könnte sogar von Arroganz sprechen, wollte man den Sinn zum Primärziel erheben oder aber gar dem Fragenden vorschlagen er solle sich erstmal die Grundlagen aneignen.

 

Ferner vermindert es meiner Meinung nach die Qualität eines Forums, wenn man sich durch Seiten von Sinn-Diskussionen blättern muss.

 

Aber ich stimme ja zu, es gibt sicher viele Fälle in welchen der Ansatz grundlegend falsch ist. Darauf kann man gerne hinweisen und falls der Fragende es wünscht, in einem ANDEREN Thread darüber fachsimpeln.

(Ich würde auch diese Postings hier auslagern!)

 

Achja, Freunde suche ich hier nicht. Ich suche Lösungen und bin dafür bereit welche zu geben.

[NilsK 2.785]

Moin,

 

Ich sehe das so:

 

[ ] du hast den Sinn von Community und den Unterschied zu bezahltem Support verstanden.

 

Gruß, Nils

[NorbertFe 1.804]

Es ist aber auch zu verlockend....:p

 

Ich sehe das so:

 

Und ich sehe es etwas anders. Was tun wir jetzt? ;)

 

Bye

Norbert

[marka 584]

Was tun wir jetzt? ;)

 

Bye

Norbert

 

...Es dabei beruhen lassen, denn hier weiter zu diskutieren, ergibt keinen Sinn... :D :D

[xb58 10]

Hallo

Danke Reveller, ich hatte genau das gleiche Problem, dass Domain-User oder Groups in den Local-Groups nicht sichtbar waren, konnte es jedoch mit dem sysprep nicht lösen. Deine Lösung hat mir jedoch gezeigt, dass ich nicht komplet am falschen Ort suche. Normalerweise sollte mit sysprep genau das gemacht werden, wie auf der von Dir gefunden Seite beschrieben ist. Wie es aber aussieht, funktioniert das nur bedingt auf VM's oder auf x64-Systemen (ob es ein x64-Problem ist, habe ich nicht verifiziert). Bei mir konnte ich die ProductId nicht ändern. Ich habe danach eine VM (bei der ich das genau gleiche Problem hatte) genommen, welche ich auf einem anderen Host aufgesetzt hatte und damit war das Problem gelöst!

Die ProductId ist bei x64-Systemen im Registry unter Local-Machine\Software\Microsoft\Windows NT\CurrentVersion zu finden. Diese ID darf auf keinen Fall die Gleiche sein wie die, welche auf dem DC vorkommt!

 

Nun noch Wort zum Thema Sinnfragen und so... :cool:

Auch diesbezüglich bin ich gleichen Meinung wie Du! Du hast das ganz richtig gesagt. Bei mir war zwar nicht das Problem, dass ich die Domain-Admins-Gruppe nicht gesehen hatte, sondern dass eigene Domain-Gruppen oder User einfach wieder verschwunden sind, obwohl sie danach nicht mehr eingefügt werden konnten, da sie angeblich schon vorhanden waren. Ich konnte sie auch mit Powershell nicht mehr sehen, sie jedoch löschen!

Hier das PS-Command für das Löschen eines User Group:

([ADSI]"WinNT://<computerName>/<LocalGroupName>,group").Remove("WinNT://<domainName>/<userOrGroupName>")

Die Keywords in den Klammern müssen natürlich ersetzt werden. Im Anhang ist ein PS-Script zu finden, mit welchem man die Group member auslesen kann.

 

@NorbertFe: Wie an diesem Beispiel sehr schön zu sehen ist, war die Fragenstellung von Reveller gar nicht so falsch... :D, oder setzt Du keine Domain-Gruppen ein, welche Du auf einem Server benötigst, welcher nicht der DC ist? Da müsste ich Dich dann Fragen, ob Du das Domain-Konzept wirklich verstanden hast... :wink2:

 

Gruss

Xaver

GetGoupMember.zip

[NorbertFe 1.804]

@NorbertFe: Wie an diesem Beispiel sehr schön zu sehen ist, war die Fragenstellung von Reveller gar nicht so falsch... :D, oder setzt Du keine Domain-Gruppen ein, welche Du auf einem Server benötigst, welcher nicht der DC ist? Da müsste ich Dich dann Fragen, ob Du das Domain-Konzept wirklich verstanden hast... :wink2:

 

Kannst du deine Schlußfolgerung mal genauer erklären, wie du darauf kommst, dass ich keine "Domain-Gruppen" auf einem Memberserver einsetzen könnte?

 

Off-Topic:

Über deine "zweite Schlussfolgerung" hinsichtlich meines Verständnisses vom AD kann ich diesem Fall eigentlich nur müde grinsen. ;)

 

Schönen Sonntag noch

Norbert

bearbeitet 17. Oktober 2010 von NorbertFe

[xb58 10]

Hallo Norbert

Das mit dem Gruppen war natürlich ironisch gemeint, deshalb auch die beiden :D :wink2:!

 

Aber wie gesagt, die Fragestellung von Reveller war nicht so falsch, wie Du an meinem Problem siehst. Es gibt übrigens in den Foren dutzende von Threads, die sich auf diese Problematik bezieht, nur habe ich keinen gefunden, bei dem eine Lösung des Problems angeboten wurden. Ich habe sogar einen ehemaligen Arbeits-Kolegen gefragt, der Domain-Admin bei AXA mit ca. 1500 Servern ist. Er konnte sich das Problem auch nicht erklären. Deshalb war ich wirklich froh, dass mir die Problem-Lösung von Reveller weitergeholfen hat, da das nicht eine Spielumgebung ist, sondern als Test-Domain einer produktiven Umgebung aufgebaut werden soll.

 

Will damit sagen, dass manche Fragen auf den ersten Blick unsinig scheinen, sich dahinter jedoch sehr wohl begründete Probleme verbergen können!

 

Gruss

Xaver

[NorbertFe 1.804]

Aber wie gesagt, die Fragestellung von Reveller war nicht so falsch, wie Du an meinem Problem siehst. Es gibt übrigens in den Foren dutzende von Threads, die sich auf diese Problematik bezieht, nur habe ich keinen gefunden, bei dem eine Lösung des Problems angeboten wurden.

 

Wie jetzt, du willst sagen, du hast noch nirgends gelesen, dass sysprep das einzige supportete Tool ist, um einer Installation eine neue SID zu geben? Das kann ich kaum glauben.

 

Ich habe sogar einen ehemaligen Arbeits-Kolegen gefragt, der Domain-Admin bei AXA mit ca. 1500 Servern ist. Er konnte sich das Problem auch nicht erklären.

 

Was soll ich jetzt daraus schlußfolgern? ;)

 

Will damit sagen, dass manche Fragen auf den ersten Blick unsinig scheinen, sich dahinter jedoch sehr wohl begründete Probleme verbergen können!

 

Keine begründeten Probleme, sondern selbstverursachte Probleme, die man nicht gehabt hätte, wenn man sich auf unterstütze Methoden beschränkt hätte. ;)

Hier nochmal zum Nachlesen:

https://www.mcseboard.de/post16-1031926.html

 

Bye

Norbert

[xb58 10]

Du hast offensichtlich mein Beitrag nicht richtig gelesen! Ich habe geschrieben "konnte es jedoch mit dem sysprep nicht lösen". Warum habe ich nicht herausgefunden! Keine Ahnung warum, das so ist. Ich kann es jedoch auf zwei Umgebung 100% nachvollziehen. Mich würde sehr wohl interessieren, warum das Problem auftritt!

 

Damit jemand das nachstellen kann, hier mein genaues Vorgehen, wie ich die Umgebung aufgesetzt habe:

1. Auf beiden VM-Host-Umgebungen habe ich einem Windows Server 2008 Enterprise aufgesetzt (nicht kopiert).
   
2. Beide Server-Images habe ich dann geklont, also je eine Image-Kopie erstellt.
   
3. Dann habe ich das System wieder gestartet und den Server-Namen sowie die IP geändert.
   
4. Nach dem Restart, habe ich dann die DC-Funktionalität aktiviert.
   
5. Nun habe ich den Klon genommen und diese gestartet.
   
6. Auf diesem habe ich dann ebenfalls den Namen und IP geändert.
   
7. Nach dem Restart habe ich dann den sysprep durchgeführt.
   
8. Wiederum nach dem Restart habe ich dann den Server zum Member der Domain gemacht.
   
9. Nachdem das System wieder oben war, habe ich versucht eine Domain-Gruppe einzufügen (Ergebnis wie schon beschrieben).
   
10. Dann habe ich nochmals versucht den Sysprep durchzuführen, was nichts gebracht hat. Die ProductId war nach wie vor die gleiche wie auf dem DC
    
11. Nachdem ich diesen Thread gefunden habe, hatte ich dann die Idee, dass ich die beiden Member-Images vom Host 1 auf den Host 2 und umgekehrt zu kopieren. Natürlich habe ich vorher die Server wieder aus der Domain genommen.
    
12. Dann habe die jeweiligen Images wieder gestartet und zu Domain-Member gemacht (ohne sysprep!). Und siehe da, die Systeme laufen problemlos, ohne dass ich etwas daran oder am DC gemacht hätte.
    

Wie Du siehst, das Problem ist nicht einfach, dass ich sysprep (da kann man ja nicht sehr viel falsch machen) oder die Domain-Problematik nicht verstehe, sondern dass irgend etwas schief läuft. Aber ich kann nach x Versuchen heute nicht sagen, warum sysprep nicht das macht, was in vielen den Foren-Threads beschrieben wird und was ich auch selber schon x mal gemacht habe. Entweder hat sich etwas mit Win 2008 R2 geändert oder es hängt mit x64 zusammen. Mit Sicherheit kann ich nur sagen, dass ich das Problem mehrmals nachgestellt habe und immer das gleiche Ergebnis hatte.

 

Mich würde also interessieren, was ich da wirklch falsch gemacht habe! Ich arbeite nun schon 20 Jahre in dem Business, bin also kein Anfänger und habe auch schon unzählige Systeme aufgesetzt (auch bin ich gerade noch im Stande eine englische Beschreibung zu lesen :))

 

Gruss

Xaver

[zahni 521]

Sysprep funktioniert tadelos. Allerdings braucht Sysrep eine korrekte Antwort-Datei. Sonst wird u.U. auch die SID neu generiert. Mit der ProductID hat das nichts zu tun.

 

Server werden hier in der ESX-Farm mit der Funktion "Deploy from Template" erzeugt. Dabei "fummelt" Vmware Sysrep in die VM, zusammen mit der passenen Antwort-Datei.

 

Kein Problem. Eure Probleme hatte ich auch noch nie.

[xb58 10]

Hallo Zahni

Endlich eine Antwort, die Sinn macht - Danke :). Bis jetzt hatte ich Sysprep immer nur verwendet, nachdem ich einen Server in eine andere Domain gejoint habe. Dabei hatte ich natürlich eine korrekte SID, die sicher nicht die Gleiche wie auf dem DC war.

 

Ich habe auf diesen Systemen leider nicht VMWare, sondern eine Oracle VM VirtualBox. Diese "fummelt", wie es scheint nicht an der SID herum. Gibt es ein Tool, das nicht von ESX ist, mit dem man diese Antwort-Datei erstellen kann? Würde mir sehr helfen, da ich auf meinem Notebook kein ESX installieren kann.

 

Danke und Gruss

Xaver

[Sunny61 773]

Gibt es ein Tool, das nicht von ESX ist, mit dem man diese Antwort-Datei erstellen kann? Würde mir sehr helfen, da ich auf meinem Notebook kein ESX installieren kann.

 

Selbst ist der Admin: http://community.cert.de/blogs/mg/archive/2010/01/25/antwortdatei-windows-bereitstellungsdienste.aspx

 

Erstellen einer Antwortdatei für Server-Manager-Befehle

Windows-Bereitstellungsdienste