gemLeo
-
Gesamte Inhalte
104 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von gemLeo
-
-
ich habe schon experimentiert stimmt, sollte ich wins aktivieren? die wins db gleicht sich aber sicher nicht mit den beiden domänen ab? oder doch durch die vertrauensstellung?
danke!
so long
-
Hi,
läuft in der Windows Server 2003 Domäne die Replikation korrekt? Wie viele DCs stehen in der 2003er Domäne?
Hast Du im Eventlog der 2003er DCs eventuell Meldungen zu Replikationsproblemen?
Viele Grüße
olc
ich habe jeweils nur einen DC mit GC :/
Hallo nochmal,Das hatte ich vorhin überlesen. Das heißt, daß der Zugriff auf die Dateiserver über die Angabe des FQDN klappt?
Was sagt ein "setspn -L srv_2test" und ein "setspn -L srv_7test", ausgeführt jeweils auf dem 2000 Server und auf einem der 2003er Systeme?
ITHome hat vollkommen Recht - unter Umständen sind die WINS Einträge schlichtweg nicht korrekt und daher kein Mapping auf die SPNs möglich.
Viele Grüße
olc
ok danke, musste erstmal setspn auf den w2k portieren, denn selbst mit den support tools kennt er das nicht :/
WINS verwende ich nicht...
möchte noch hinzufügen dass ich jetzt nochmal eine testumgebung aufgezogen habe mit geänderten daten....
w2k3 server: srv_l2test.test.at
w2k sever: srv_l7test.hugo.at
ergebnis des w2k3:
C:\Programme\Support Tools>setspn -L srv_l2test Registered ServicePrincipalNames for CN=SRV_L2TEST,OU=Domain Controllers,DC=test ,DC=at: NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l2test.test.at ldap/srv_l2test.test.at/ForestDnsZones.test.at GC/srv_l2test.test.at/test.at HOST/srv_l2test.test.at/TEST HOST/SRV_L2TEST HOST/srv_l2test.test.at HOST/srv_l2test.test.at/test.at E3514235-4B06-11D1-AB04-00C04FC2DCD2/4257d098-f888-4532-9aea-0936df3c65ce/te st.at ldap/4257d098-f888-4532-9aea-0936df3c65ce._msdcs.test.at ldap/srv_l2test.test.at/TEST ldap/SRV_L2TEST ldap/srv_l2test.test.at ldap/srv_l2test.test.at/DomainDnsZones.test.at ldap/srv_l2test.test.at/test.at DNS/srv_l2test.test.at C:\Programme\Support Tools>setspn -L srv_l7test FindDomainForAccount: DsGetDcNameWithAccountW failed! Cannot find account srv_l7test
ergebnis des w2k:
C:\Dokumente und Einstellungen\Administrator.HUGO\Desktop\temp>setspn -L srv_l2t est Registered ServicePrincipalNames for CN=SRV_L2TEST,CN=Computers,DC=hugo,DC=at: HOST/srv_l2test.hugo.at/HUGO HOST/SRV_L2TEST HOST/srv_l2test.hugo.at HOST/srv_l2test.hugo.at/hugo.at NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l2test.hugo.at DNS/srv_l2test.hugo.at C:\Dokumente und Einstellungen\Administrator.HUGO\Desktop\temp>setspn -L srv_l7t est Registered ServicePrincipalNames for CN=SRV_L7TEST,OU=Domain Controllers,DC=hugo ,DC=at: SMTPSVC/SRV_L7TEST SMTPSVC/srv_l7test.hugo.at DNS/srv_l7test.hugo.at GC/srv_l7test.hugo.at/hugo.at HOST/srv_l7test.hugo.at/hugo.at HOST/srv_l7test.hugo.at/HUGO LDAP/ed75faf9-6af7-4447-9c63-0ef22b0a6822._msdcs.hugo.at LDAP/srv_l7test.hugo.at/HUGO LDAP/SRV_L7TEST LDAP/srv_l7test.hugo.at LDAP/srv_l7test.hugo.at/hugo.at E3514235-4B06-11D1-AB04-00C04FC2DCD2/ed75faf9-6af7-4447-9c63-0ef22b0a6822/hu go.at NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv_l7test.hugo.at HOST/SRV_L7TEST HOST/srv_l7test.hugo.at
so long
-
ganz genau, auf dem w2k3 ist eine bedingte weiterleitung eingerichtet.
am w2k ist eine sekundär zone der w2k3 domäne eingerichtet :/
du meinst die suffixe beim w2k server händisch eintragen? denn das hätte ich schon probiert, ohne erfolg:
test1.local
test2.local
so long
edit: mit dem FQDN klappt alles problemlos, aber ich versteh nicht warum!
übrigens der genaue wortlaut der fehlermeldung lautet:
"Das Netzlaufwerk konnte nicht verbunden werden, da der folgende Fehler aufgetreten ist:
Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig."
-
ganz genau! :)
Windows 2000-IP-Konfiguration Hostname. . . . . . . . . . . . . : srv_7test Primäres DNS-Suffix . . . . . . . : test1.local Knotentyp . . . . . . . . . . . . : Hybridadapter IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : test1.local Ethernetadapter "LAN-Verbindung": Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : ######### DHCP-aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.0.20 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server. . . . . . . . . . . . : 192.168.0.20 192.168.0.10
Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : srv_2test Primäres DNS-Suffix . . . . . . . : test2.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : test2.local Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : ###### DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.0.10 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 192.168.0.10 192.168.0.20
byebye
-
hallo leute!
ich muss den fall nochmal neu aufrollen... den alten thread bitte vergessen!
jetzt zu meinem problem:
ich habe 2 domänen, die unabhängig voneinander arbeiten, jedoch im selben ip range sind!
die 1. domäne hat w2k3 am laufen, die 2. domäne einen w2k sever!
jeweils mit AD und DNS (klar)!
ich kann die vertrauensstellungen auf beiden seiten problemlos einrichten, ohne fehlermeldung!
die jeweiligen administratoren habe ich gekreuzt den lokalen administratoren gruppen hinzugefügt!
und jetzt: als administrator kann ich vom w2k3 server problemlos auf die ress des w2k server zugreifen, umgekehrt nicht! warum?
besten dank!
so long
edit: über den FQDN klappt es :/
-
ich muss das thema nochmal auskramen...
- ich habe das problem mit den dns suffixen bei den clients mit einem script gelöst, soweit so gut
- jedoch habe ich noch das problem, dass der w2k server nicht auf die freigaben vom w2k3 server (andere domäne) zugreifen kann!
gebe ich jedoch den FQDN an, klappts!
auch hier die dns suffixe wie am client einzustellen blieb ergebnislos! thx!
:confused:
- ich habe das problem mit den dns suffixen bei den clients mit einem script gelöst, soweit so gut
-
Du kannst den Verbindungssuffix nicht vom W2K Server via DHCP verteilen lassen ?
thx! also leider kann ich nur einen suffix angeben...
-
nein leider nicht, ich lasse die beiden wins dbs miteinander replizieren, was doch korrekt sein müsste?
dns suffix kann ich via dhcp nicht verteilen, zumindest nicht mit dem w2k server...
via gpo muss ich mir jetzt noch etwas suchen, denn auch hier bietet nur der w2k3 unter computerconfiguration/.../dns... etwas entsprechendes an!
beim w2k fehlen die ganzen netten gimmicks :/
bleibt wohl nur ein logon script?
thx!
-
ja das mit den suffixen ist mir klar, aber gibt es evtl. noch eine elegantere lösung?
ich habe wins im einsatz und dennoch klappt es ohne suffixe nicht? remote netz hab ich auch nicht...
so long
-
wollte noch anmerken, dass es ohne dns suffixe auch klappt, jedoch nicht über den netbios namen!
so long
-
;) ich habe 2 domänen (1. mit w2k server und 2. w2k3 server) und die clients sind in der w2k domäne registriert, und sollten aber über die vertrauensstellung auf ressourcen der w2k3 domäne zugreifen können.
das problem hab ich mit hilfe eines freundes gsd gelöst, ich muss die dns suffixe beider domänen bei den clients hinzufügen dann klappts!
bye
-
genau!
das problem ist, soabld ich diese weiterleitung am 2000er einrichte, klappt nslookup, aber die clients können auf die w2k3 freigabe nicht zugreifen! zumindest nicht via dns! über die ip hingegen schon...
was mache ich verkehrt?
thx!
–
selbst mit der zonenübertraung klappt es nicht... über die ip kann ich auf freigaben der w2k3 domäne zugreifen, aber über den namen nicht :(
anmelden tu ich mich an der w2k domäne...
*HELP*
thx!
-
hello!
ich muss eine w2k und w2k3 domäne verbinden, so weit so gut, denn die vertrauensstellung funktioniert!
jedoch gibt es ein problem, dass der dns nich so ganz funktioniert wie ich das will! -> namensauflösung funktioniert nicht!
am w2k3 habe ich die bedingte weiterleitung zum w2k server eingerichtet und nslookup funktioniert, ABER
am w2k funktioniert nslookup entsprechend nicht... es gibt auch keine bedingte weiterleitung... was nun? :/
sobald ich ne sekundäre dns zone einrichten möchte, kommt eine fehlermeldung -> "Zone wurde vom DNS-Server nicht geladen.... Die Übertraung von Zonendaten vom Masterserver ist fehlgeschlagen"
ist das überhaupt der richtige weg? wenn ja, was mache ich verkehrt?
besten dank!
so long
-
Servus,
was lässt dich diese Annahme vermuten?
im event log sind schlimme fehler, webdav, offline adressen änderung funktioniert nicht mehr, grund: exchange absturz und ne "brutale" wiederherstellung...
Du willst also in eine neue Domäne migrieren. Hast du schon versucht die Fehler zu beseitigen? Mit externer Hilfe?
ne firma war auch schon hier, hat das handtuch geworfen, trotz exchange neuinstallation und herumtüftelei wurden die fehler nicht weniger :/
Yepp, dass Tool heißt ADMT.
Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauensstellung benötigt. Das ADMT richtet dann ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.
Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet. Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte, auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.
Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To
besten dank! das tool hab ich schon installiert, aber ich hab keine erfahrung mit vertrauensstellungen, aber der link klingt vielversprechend! besten dank! ;)
Klar, denn diese sind einmalig bzw. im Falle der SID, hängen diese von der Domäne ab.
stimmt, und am einfachsten wäre wenn alles konvertiert wird, dann gäb es weniger arbeit bzw. aufwand!
werde mal weitertesten!
besten dank!!!
byee
-
hello!
ich weiß, die frage war schon sehr oft, aber ich komme auf keinen grünen zweig hinsichtlich der lösungen!
folgendes problem:
die exchange schema erweiterung ist im e****.
jetzt wäre es interessant, die benutzer, computer und gpo's aus dem AD zu exportieren und diese dann in ein neues sauberes AD zu importieren!
gibt es evtl. ein tool dafür?
ldifde liefert nicht das gewünschte ergebnis, da guids und sids nicht mitübernommen werden...
thx!
so long
-
ja danke, den letzten beitrag hab ich mehr oder weniger überlesen :(
so long
-
alle anstrengungen können fallen gelassen werden :p
die rätsels lösung ist der letzte beitrag bei eventid :/ -> lockout von usern
thx & so long
-
danke, eventid hab ich auch schon durch :/ *mist*
bye
-
Replikationswarnung: Das Verzeichnis ist ausgelastet und konnte das Objekt x nicht mit den durch das Verzeichnis x verursachten Änderungen aktualisieren. Der Vorgang wird zu einem späteren Zeitpunkt wiederholt.
Ich habe schon die knownledgebase gequält... jedoch kann ich duplikate und passwort änderungen ausschließen... hat noch jemand ideen? besten dank!
bye
ps: es tritt nicht periodisch auf... und ja es ist immer ein anderer user...
-
hi leute!
bevor ich natürlich unsinnige poste, habe ich google und die knownledgebase schon gequält, bin aber nicht fündig geworden.
problem tritt keines auf, aber im eventlog bekomme ich eine fehlerüberwachung mit der event id '565' und der source 'security'
hier ein auszug: bin für tipps sehr dankbar!
------------------------------
Geöffnetes Objekt:
Objektserver: DS
Objekttyp: container
Objektname: %{ entfernt }
Neue Handlekennung: -
Vorgangskennung: {0,526121107}
Prozesskennung: 356
Primärer Benutzer: | 1. domainservername (PDC) |
Primäre Domäne: | domäne |
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: | 2. domainserver |
Clientdomäne: | domäne |
Clientanmeldekennung: (0x0,0x1F4F6C73)
Zugriffe Read Property
Berechtigungen -
Eigenschaften:
LÖSCHEN
SYNCHRONISIEREN
ZUGRIFF_SYS_SIC
Create Child
Delete Child
List Contents
%%7690
%%7691
%%7692
%%7695
%{00000000-0000-0000-0000-000000000000}
---
uSNChanged
-
:wink2: ist wohl nur eine frage der zeit bis es mir stromschläge übers keyboard verpasst......... ;)
so long
-
es funzt!!! es funzt!!! :D thx an deine hilfe! aber frag mich nicht... hab alles nochmal definiert... und voila... :suspect:
so long
-
ja ;) trotzdem danke! ich bin nur ein wenig ratlos... es ist alles korrekt konfiguriert (kann gerne screenshots posten) dennoch wird nichts protokolliert... :suspect:
so long
-
und wenn ich das schon habe? *duck* :( das ist ja das problem... in den ordnern ist es schon aktiviert...
ein beispiel:
ich möchte einen uo auf einem freigegebenen laufwerk überwachen lassen!
also gehe ich in den uo -> "x:\...\...\zu ueberwachender ordner" und setze dort über die sicherheits einstellungen die überwachung für die jeweiligen benutzer? oder muss ich vom ersten uo anfangen diese zu aktivieren?
vertrauensstellungen
in Windows Forum — LAN & WAN
Geschrieben
und nein... alles korrekt :(