gemLeo

Windows 2000-IP-Konfiguration

       Hostname. . . . . . . . . . . . . : srv_l7test
       Primäres DNS-Suffix . . . . . . . : hugo.at
       Knotentyp . . . . . . . . . . . . : Hybridadapter
       IP-Routing aktiviert. . . . . . . : Nein
       WINS-Proxy aktiviert. . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : hugo.at
                                           test.at

Ethernetadapter "LAN-Verbindung":

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

       Physikalische Adresse . . . . . . : ##########
       DHCP-aktiviert. . . . . . . . . . : Nein
       IP-Adresse. . . . . . . . . . . . : 192.168.0.20
       Subnetzmaske. . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . :
       DNS-Server. . . . . . . . . . . . : 192.168.0.20
                                           192.168.0.10

und nein... alles korrekt :(

ich habe schon experimentiert stimmt, sollte ich wins aktivieren? die wins db gleicht sich aber sicher nicht mit den beiden domänen ab? oder doch durch die vertrauensstellung?

danke!

so long

Hi,

 

läuft in der Windows Server 2003 Domäne die Replikation korrekt? Wie viele DCs stehen in der 2003er Domäne?

Hast Du im Eventlog der 2003er DCs eventuell Meldungen zu Replikationsproblemen?

 

Viele Grüße

olc

ich habe jeweils nur einen DC mit GC :/

Hallo nochmal,

 

 

 

Das hatte ich vorhin überlesen. Das heißt, daß der Zugriff auf die Dateiserver über die Angabe des FQDN klappt?

Was sagt ein "setspn -L srv_2test" und ein "setspn -L srv_7test", ausgeführt jeweils auf dem 2000 Server und auf einem der 2003er Systeme?

 

ITHome hat vollkommen Recht - unter Umständen sind die WINS Einträge schlichtweg nicht korrekt und daher kein Mapping auf die SPNs möglich.

 

Viele Grüße

olc

ok danke, musste erstmal setspn auf den w2k portieren, denn selbst mit den support tools kennt er das nicht :/

WINS verwende ich nicht...

möchte noch hinzufügen dass ich jetzt nochmal eine testumgebung aufgezogen habe mit geänderten daten....

w2k3 server: srv_l2test.test.at

w2k sever: srv_l7test.hugo.at

ergebnis des w2k3:

C:\Programme\Support Tools>setspn -L srv_l2test
Registered ServicePrincipalNames for CN=SRV_L2TEST,OU=Domain Controllers,DC=test
,DC=at:
   NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l2test.test.at
   ldap/srv_l2test.test.at/ForestDnsZones.test.at
   GC/srv_l2test.test.at/test.at
   HOST/srv_l2test.test.at/TEST
   HOST/SRV_L2TEST
   HOST/srv_l2test.test.at
   HOST/srv_l2test.test.at/test.at
   E3514235-4B06-11D1-AB04-00C04FC2DCD2/4257d098-f888-4532-9aea-0936df3c65ce/te
st.at
   ldap/4257d098-f888-4532-9aea-0936df3c65ce._msdcs.test.at
   ldap/srv_l2test.test.at/TEST
   ldap/SRV_L2TEST
   ldap/srv_l2test.test.at
   ldap/srv_l2test.test.at/DomainDnsZones.test.at
   ldap/srv_l2test.test.at/test.at
   DNS/srv_l2test.test.at

C:\Programme\Support Tools>setspn -L srv_l7test
FindDomainForAccount: DsGetDcNameWithAccountW failed!
Cannot find account srv_l7test

ergebnis des w2k:

C:\Dokumente und Einstellungen\Administrator.HUGO\Desktop\temp>setspn -L srv_l2t
est
Registered ServicePrincipalNames for CN=SRV_L2TEST,CN=Computers,DC=hugo,DC=at:
   HOST/srv_l2test.hugo.at/HUGO
   HOST/SRV_L2TEST
   HOST/srv_l2test.hugo.at
   HOST/srv_l2test.hugo.at/hugo.at
   NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l2test.hugo.at
   DNS/srv_l2test.hugo.at

C:\Dokumente und Einstellungen\Administrator.HUGO\Desktop\temp>setspn -L srv_l7t
est
Registered ServicePrincipalNames for CN=SRV_L7TEST,OU=Domain Controllers,DC=hugo
,DC=at:
   SMTPSVC/SRV_L7TEST
   SMTPSVC/srv_l7test.hugo.at
   DNS/srv_l7test.hugo.at
   GC/srv_l7test.hugo.at/hugo.at
   HOST/srv_l7test.hugo.at/hugo.at
   HOST/srv_l7test.hugo.at/HUGO
   LDAP/ed75faf9-6af7-4447-9c63-0ef22b0a6822._msdcs.hugo.at
   LDAP/srv_l7test.hugo.at/HUGO
   LDAP/SRV_L7TEST
   LDAP/srv_l7test.hugo.at
   LDAP/srv_l7test.hugo.at/hugo.at
   E3514235-4B06-11D1-AB04-00C04FC2DCD2/ed75faf9-6af7-4447-9c63-0ef22b0a6822/hu
go.at
   NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l7test.hugo.at
   HOST/SRV_L7TEST
   HOST/srv_l7test.hugo.at

so long

ganz genau, auf dem w2k3 ist eine bedingte weiterleitung eingerichtet.

am w2k ist eine sekundär zone der w2k3 domäne eingerichtet :/

du meinst die suffixe beim w2k server händisch eintragen? denn das hätte ich schon probiert, ohne erfolg:

test1.local

test2.local

so long

edit: mit dem FQDN klappt alles problemlos, aber ich versteh nicht warum!

übrigens der genaue wortlaut der fehlermeldung lautet:

"Das Netzlaufwerk konnte nicht verbunden werden, da der folgende Fehler aufgetreten ist:

Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig."

ganz genau! :)

Windows 2000-IP-Konfiguration

       Hostname. . . . . . . . . . . . . : srv_7test
       Primäres DNS-Suffix . . . . . . . : test1.local
       Knotentyp . . . . . . . . . . . . : Hybridadapter
       IP-Routing aktiviert. . . . . . . : Nein
       WINS-Proxy aktiviert. . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : test1.local

Ethernetadapter "LAN-Verbindung":

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

       Physikalische Adresse . . . . . . : #########
       DHCP-aktiviert. . . . . . . . . . : Nein
       IP-Adresse. . . . . . . . . . . . : 192.168.0.20
       Subnetzmaske. . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . :
       DNS-Server. . . . . . . . . . . . : 192.168.0.20
                                           192.168.0.10

Windows-IP-Konfiguration

  Hostname  . . . . . . . . . . . . : srv_2test
  Primäres DNS-Suffix . . . . . . . : test2.local
  Knotentyp . . . . . . . . . . . . : Hybrid
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Nein
  DNS-Suffixsuchliste . . . . . . . : test2.local

Ethernet-Adapter LAN-Verbindung:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung  . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
  Physikalische Adresse . . . . . . : ######
  DHCP aktiviert  . . . . . . . . . : Nein
  IP-Adresse. . . . . . . . . . . . : 192.168.0.10
  Subnetzmaske  . . . . . . . . . . : 255.255.255.0
  Standardgateway . . . . . . . . . :
  DNS-Server  . . . . . . . . . . . : 192.168.0.10
                                      192.168.0.20

byebye

hallo leute!

ich muss den fall nochmal neu aufrollen... den alten thread bitte vergessen!

jetzt zu meinem problem:

ich habe 2 domänen, die unabhängig voneinander arbeiten, jedoch im selben ip range sind!

die 1. domäne hat w2k3 am laufen, die 2. domäne einen w2k sever!

jeweils mit AD und DNS (klar)!

ich kann die vertrauensstellungen auf beiden seiten problemlos einrichten, ohne fehlermeldung!

die jeweiligen administratoren habe ich gekreuzt den lokalen administratoren gruppen hinzugefügt!

und jetzt: als administrator kann ich vom w2k3 server problemlos auf die ress des w2k server zugreifen, umgekehrt nicht! warum?

besten dank!

so long

edit: über den FQDN klappt es :/

ich muss das thema nochmal auskramen...

• ich habe das problem mit den dns suffixen bei den clients mit einem script gelöst, soweit so gut
  
• jedoch habe ich noch das problem, dass der w2k server nicht auf die freigaben vom w2k3 server (andere domäne) zugreifen kann!
  gebe ich jedoch den FQDN an, klappts!
  auch hier die dns suffixe wie am client einzustellen blieb ergebnislos! thx!
  

:confused:

Du kannst den Verbindungssuffix nicht vom W2K Server via DHCP verteilen lassen ?

thx! also leider kann ich nur einen suffix angeben...

nein leider nicht, ich lasse die beiden wins dbs miteinander replizieren, was doch korrekt sein müsste?

dns suffix kann ich via dhcp nicht verteilen, zumindest nicht mit dem w2k server...

via gpo muss ich mir jetzt noch etwas suchen, denn auch hier bietet nur der w2k3 unter computerconfiguration/.../dns... etwas entsprechendes an!

beim w2k fehlen die ganzen netten gimmicks :/

bleibt wohl nur ein logon script?

thx!

ja das mit den suffixen ist mir klar, aber gibt es evtl. noch eine elegantere lösung?

ich habe wins im einsatz und dennoch klappt es ohne suffixe nicht? remote netz hab ich auch nicht...

so long

wollte noch anmerken, dass es ohne dns suffixe auch klappt, jedoch nicht über den netbios namen!

so long

;) ich habe 2 domänen (1. mit w2k server und 2. w2k3 server) und die clients sind in der w2k domäne registriert, und sollten aber über die vertrauensstellung auf ressourcen der w2k3 domäne zugreifen können.

das problem hab ich mit hilfe eines freundes gsd gelöst, ich muss die dns suffixe beider domänen bei den clients hinzufügen dann klappts!

bye

genau!

das problem ist, soabld ich diese weiterleitung am 2000er einrichte, klappt nslookup, aber die clients können auf die w2k3 freigabe nicht zugreifen! zumindest nicht via dns! über die ip hingegen schon...

was mache ich verkehrt?

thx!

–

selbst mit der zonenübertraung klappt es nicht... über die ip kann ich auf freigaben der w2k3 domäne zugreifen, aber über den namen nicht :(

anmelden tu ich mich an der w2k domäne...

*HELP*

thx!

hello!

ich muss eine w2k und w2k3 domäne verbinden, so weit so gut, denn die vertrauensstellung funktioniert!

jedoch gibt es ein problem, dass der dns nich so ganz funktioniert wie ich das will! -> namensauflösung funktioniert nicht!

am w2k3 habe ich die bedingte weiterleitung zum w2k server eingerichtet und nslookup funktioniert, ABER

am w2k funktioniert nslookup entsprechend nicht... es gibt auch keine bedingte weiterleitung... was nun? :/

sobald ich ne sekundäre dns zone einrichten möchte, kommt eine fehlermeldung -> "Zone wurde vom DNS-Server nicht geladen.... Die Übertraung von Zonendaten vom Masterserver ist fehlgeschlagen"

ist das überhaupt der richtige weg? wenn ja, was mache ich verkehrt?

besten dank!

so long

Servus,

 

 

 

was lässt dich diese Annahme vermuten?

im event log sind schlimme fehler, webdav, offline adressen änderung funktioniert nicht mehr, grund: exchange absturz und ne "brutale" wiederherstellung...

Du willst also in eine neue Domäne migrieren. Hast du schon versucht die Fehler zu beseitigen? Mit externer Hilfe?

ne firma war auch schon hier, hat das handtuch geworfen, trotz exchange neuinstallation und herumtüftelei wurden die fehler nicht weniger :/

Yepp, dass Tool heißt ADMT.

Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauensstellung benötigt. Das ADMT richtet dann ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"

vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.

 

Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet. Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte, auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.

 

Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To

besten dank! das tool hab ich schon installiert, aber ich hab keine erfahrung mit vertrauensstellungen, aber der link klingt vielversprechend! besten dank! ;)

Klar, denn diese sind einmalig bzw. im Falle der SID, hängen diese von der Domäne ab.

stimmt, und am einfachsten wäre wenn alles konvertiert wird, dann gäb es weniger arbeit bzw. aufwand!

werde mal weitertesten!

besten dank!!!

byee

hello!

ich weiß, die frage war schon sehr oft, aber ich komme auf keinen grünen zweig hinsichtlich der lösungen!

folgendes problem:

die exchange schema erweiterung ist im e****.

jetzt wäre es interessant, die benutzer, computer und gpo's aus dem AD zu exportieren und diese dann in ein neues sauberes AD zu importieren!

gibt es evtl. ein tool dafür?

ldifde liefert nicht das gewünschte ergebnis, da guids und sids nicht mitübernommen werden...

thx!

so long

ja danke, den letzten beitrag hab ich mehr oder weniger überlesen :(

so long

alle anstrengungen können fallen gelassen werden :p

die rätsels lösung ist der letzte beitrag bei eventid :/ -> lockout von usern

thx & so long

danke, eventid hab ich auch schon durch :/ *mist*

bye

Replikationswarnung: Das Verzeichnis ist ausgelastet und konnte das Objekt x nicht mit den durch das Verzeichnis x verursachten Änderungen aktualisieren. Der Vorgang wird zu einem späteren Zeitpunkt wiederholt.

Ich habe schon die knownledgebase gequält... jedoch kann ich duplikate und passwort änderungen ausschließen... hat noch jemand ideen? besten dank!

bye

ps: es tritt nicht periodisch auf... und ja es ist immer ein anderer user...

hi leute!

bevor ich natürlich unsinnige poste, habe ich google und die knownledgebase schon gequält, bin aber nicht fündig geworden.

problem tritt keines auf, aber im eventlog bekomme ich eine fehlerüberwachung mit der event id '565' und der source 'security'

hier ein auszug: bin für tipps sehr dankbar!

------------------------------

Geöffnetes Objekt:

Objektserver: DS

Objekttyp: container

Objektname: %{ entfernt }

Neue Handlekennung: -

Vorgangskennung: {0,526121107}

Prozesskennung: 356

Primärer Benutzer: | 1. domainservername (PDC) |

Primäre Domäne: | domäne |

Primäre Anmeldekennung: (0x0,0x3E7)

Clientbenutzername: | 2. domainserver |

Clientdomäne: | domäne |

Clientanmeldekennung: (0x0,0x1F4F6C73)

Zugriffe Read Property

Berechtigungen -

Eigenschaften:

LÖSCHEN

SYNCHRONISIEREN

ZUGRIFF_SYS_SIC

Create Child

Delete Child

List Contents

%%7690

%%7691

%%7692

%%7695

%{00000000-0000-0000-0000-000000000000}

---

uSNChanged

:wink2: ist wohl nur eine frage der zeit bis es mir stromschläge übers keyboard verpasst......... ;)

so long

es funzt!!! es funzt!!! :D thx an deine hilfe! aber frag mich nicht... hab alles nochmal definiert... und voila... :suspect:

so long

ja ;) trotzdem danke! ich bin nur ein wenig ratlos... es ist alles korrekt konfiguriert (kann gerne screenshots posten) dennoch wird nichts protokolliert... :suspect:

so long

und wenn ich das schon habe? *duck* :( das ist ja das problem... in den ordnern ist es schon aktiviert...

ein beispiel:

ich möchte einen uo auf einem freigegebenen laufwerk überwachen lassen!

also gehe ich in den uo -> "x:\...\...\zu ueberwachender ordner" und setze dort über die sicherheits einstellungen die überwachung für die jeweiligen benutzer? oder muss ich vom ersten uo anfangen diese zu aktivieren?