Daim

...wenn man schon jemand derart kompetentes im Forum hat

Wie jetzt? Gibt es hier auch noch kompetente Leute?

Ich hätte da mal eine Frage an so einen, nämlich, wie die Lottozahlen nächste Woche aussehen :cool: .

Es geht bei der Quelldomäne um eine Größenodernung von ~ 150 PCs und ~250 Usern.

Alles kein Problem. Wenn die Route steht und das Ziel vor Augen ist, ist der Rest nur noch Fleißarbeit ;) .

Ich hatte nichts anderes erwartet :cool:

Der neuen FQDN für beispiel.local soll am Ende der Migration beispiel.intra.contoso.de lauten. Wobei beispiel. eine subdomain von intra.contoso.de sein soll.

Ahhhaa.... na also, jetzt ist es klarer ;) .

Du schreibst das ADMT keine Domaincontroller migriert.

Yepp, dass geht nicht. Der Vorgang wäre viel zu aufwändig und vorallem viel zu kritisch.

Welches Vorgehen schlägst du vor wenn die Quelldomäne beispiel.local mehrere Domaincontroller mit verteilten Rollen aufweist?

Die Frage kannst du dir leicht selbst beantworten.

Du weißt jetzt, dass man DCs nicht mit ADMT migrieren kann, also musst du nach und nach die DCs aus der alten Domäne herunter- und in der neuen Domäne herauf stufen.

Falls dir in der neuen Domäne Hardware zur Verfügung steht, gilt es die Rollen Schritt für Schritt auf die neuen Maschinen zu portieren.

Wenn du wissen möchtest wie ich es machen würde, dann würde ich die DCs sauber aus der alten Domäne entfernen

(damit das AD in der alten Struktur sauber bleibt), die Systeme neu installieren und anschließend in der neuen Domäne erneut zu DCs stufen.

Es hängt natürlich davon ab, wie die Situation vor Ort aussieht, welche Dienste existieren usw. usf.

Servus,

Im Sicherheitsprotokoll (Ereignisanzeige). Allerdings musst die Überwachung eines ordners meines Wissens nach "VORHER" in den Gruppenrichtlinien einschalten . . . . . .

ganz genau so ist es.

@der_aragon

Beachte die rote Schrift in diesem Artikel:

Yusuf`s Directory - Blog - Dateizugriff überwachen

Ich habe ja nun ADPREP /DOMAINPREP schon auf dem 2000er ausgeführt. Sollte man jetzt ADPREP /DOMAINPREP /GPPREP nochmal auf dem 2000er starten?

Na klar, dass kannst du ruhig machen. Dabei geht dir nichts "kaputt".

Der Assistent meldet dann im ersten Part das /DOMAINPREP bereits durchgeführt wurde und führt dann lediglich das /GPPREP aus.

Prinzipiell brauch man bei dem ADPREP keine Bedenken haben.

Denn egal bei welchem Parameter, wenn dieser bereits ausgeführt wurde, bringt lediglich der Assistent die Meldung, dass es bereits durchgeführt wurde.

Mehr passiert nicht. Daher brauch man auch bei einem mehrmaligen ausführen des Befehl keine großen Bedenken zu haben.

Danach gleich nochmal adprep.exe /domainprep hinterher.

Da du von Windows 2000 zu Windows Server 2003 migrierst, kannst du auch gleich "ADPREP /DOMAINPREP /GPPREP" ausführen,

damit die ACLs der GPOs die sich im SYSVOL-Verzeichnis befinden, gleich angepasst werden.

Er müsste sich doch dann erst mal alle Zonen und deren Inhalte vom 2000er DNS Server rüberholen.

Korrekt. Du brauchst lediglich das DNS auf dem neuen Server zu installieren, aber nicht zu konfigurieren,

denn dein DNS ist ja bereits konfiguriert und existiert ja schon. Deshalb sollte man explizit darauf achten,

die Forward Lookup Zone (FLZ) im AD zu speichern. Dann übernimmt den Rest die AD-Replikation.

Was würdet ihr mir für meine gemischte Domäne raten?

Die überkreuz Variante wird des öfteren verwendet.

Der neue Server hat als ersten DNS-Server den 2000er DC und als zusätzlichen sich selbst.

So richtest du es dann auch auf dem anderen DC ein. Zuerst verweist du auf den neuen und als zweites auf sich selbst.

ich versuchs nochmal

in der ou befindet sich eine gruppe und der habe ich die pcs hinzugefügt

Du kannst es zwar noch mehrmals erwähnen, trotzdem ändert sich dadurch die Tatsache nicht,

dass Gruppenrichtlinien - in diesem Fall vielleicht ein unglücklicher Name - eben NUR auf Benutzer- sowie Computerkonten wirken.

KEINESFALLS aber auf Gruppenobjekte.

Servus,

Eigentlich dachte ich die würden nach 90 Tagen der Nichtanmeldung deaktiviert werden und ich könnte die dann entfernen.

nein, wie kommst du denn darauf?

Leider werden die Objekte nicht deaktiviert.

Warum sollten sie auch?

Frage: Wie kann ich nicht mehr vorhandene Computerobjekte lokalisieren?

Ganz einfach, mit DSQUERY + DSRM, OLDCMP oder per Skript.

Yusuf`s Directory - Blog - Computerkonto löschen

Servus,

..man wächst mit den Aufgaben

genau so sieht es aus.

...ok ich werd mich den Link nähern :-)

Hier mal zum warm werden:

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

Yusuf`s Directory - Blog - Die Besonderheiten eines Small Business Server`s (SBS)

Huhuu Güntha,

Sowviel ich weiß wird diese Url aber bereits mit der Muttermilch mitgegeben :D

Hi Norbi,

Ja. Wie die anderen vermuten, liegt das mit hoher Wahrscheinlichkeit an deiner merkwürdigen DNS Konfig.

pff... hör mal... das ist keine Vermutung sondern eine Feststellung :p .

*duck und wech*

Das erste ADPREP führt man ohne Parameter auf dem neuen 2003er aus, oder(ist übrigens ein ein R2)?

Nein, du musst das Active Directory Preparation - Tool IMMER mit einem Parameter ausführen.

Dabei musst du das ADPREP mit dem Parameter /FORESTPREP auf deinem Windows 2000 Schema-Master ausführen und zwar bei R2,

dass ADPREP von der zweiten CD! Du führst das ADPREP --> NICHT <-- auf dem Windows Server 2003 aus.

Kann es Probleme geben, wenn auf einem alten 2000er DC (mit FSMO) noch Exchange läuft?

Wie gut das du Exchange noch erwähnt hast. Das ist eine wichtige Information.

Da bei dir das Exchange 2000 Schema in der Gesamtstruktur vorhanden ist, musst du zuerst die Exchange Schema-Erweiterung „korrigieren“.

Dazu wird die Datei InetOrgPersonfix.ldf benötigt, die sich in der Archiv-Datei Support.cab im Verzeichnis „Support\Tools\" auf der Windows Server 2003 CD befindet.

Diese Archiv-Datei gilt es zu entpacken und anschließend mit LDIFDE ins Schema zu importieren.

Alles weitere erfährst du von diesem Link:

Yusuf`s Directory - Blog - Das Active Directory Preparation Tool - ADPREP

Servus,

Kann es bei der Hochstufung zu Problemen kommen, weil dies der erste 2003 DC bei uns wäre? Oder gibt es eventuell Probleme, wenn die 2000 Server heruntergestuft und aus der Domäne genommen werden?

du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten.

Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte,

beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs.

Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den

Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest.

Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu.

Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen".

Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein.

Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern.

Siehe:

Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ?

Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert".

Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben, damit diverse Sicherheitsprinzipale noch erstellt werden:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Zusätzlich solltest Du den neuen DC zum GC deklarieren.

Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort,

auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen.

Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

Was sonst noch alles zu beachten ist (z.B. sichern des EFS-Zertifikats) und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel:

Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen

Zum Schluss noch eine Empfehlung: Wenn möglich, sollten in jeder Domäne zwei DCs existieren.

Noch Fragen? ;)

Servus,

beispiel.intra.contoso.de

so lautet also der neue DNS-Name der Domäne in der neuen Gesamtstruktur.

Früher "beispiel.local" - jetzt "beispiel.intra.contoso.de".

Die Domain Intra besteht schon, contoso.de ist gleichlautend der offiziell registrierten Domain.

Dann lautet also der FQDN der Root-Domäne "intra.contoso.de".

Oder lautet die Root-Domäne "contoso.de" und "intra" ist eine weitere Sub-Domäne (kann ich kaum glauben)?

Im Forrest von "contoso" neuen DC mit subdomain "beispiel" ersllen, Vertauensstellung mit intra.contoso.de herstellen und dann mit ADMT?

Du drückst es zwar total verquer aus, aber ja... so in etwa.

Zuerst erstellst du mit einem neuen Server in der Ziel-Gesamtstruktur die neue Sub-Domäne "beispiel.intra.contoso.de",

in dem du den Server zum DC stufst und gleichzeitig somit die Domäne erstellst.

Danach stellst du eine Namensauflösung (eine bedingte Weiterleitung unter Windows Server 2003) und eine Vertrauensstellung zwischen alter und neuer Domäne her.

Anschließend kannst du mit ADMT die Benutzer- sowie Computerkonten (Clients sowie Memberserver, aber KEINE DCs!) in die neue Domäne migrieren.

Wenn du dich verständlicher ausdrücken könntest, würdest du es uns erleichtern.

Servus,

ich habe ein Problem mit der AD

es heißt "... mit dem AD".

* DNS und DHCP kommt von einem LinkSys WAG300N;

Das ist ein Fehler. Das DNS ist für das AD zwingend und gehört auch auf einem DC installiert.

DHCP sollte ebenfalls auf dem DC installiert werden.

In den TCP/IP-Einstellungen des DCs (sowie Memberserver und Clients) trägst du dann den DC als "Bevorzugter DNS-Server" ein.

Jemand ne Idee woran das liegen kann??? :confused:

DNS, DNS und nochmals DNS.

Servus,

für 200 Dollar bekommst du genau die Werkzeuge, die du für dein Vorhaben benötigst:

SBSmigration.com - Home

Servus,

Gibt es eine max. Anzahl an Objekten (Mitglieder), die einer AD Sicherheitsgruppe hinzugefügt werden?

ja, diese gibt es.

Befindet sich der Gesamtstrukturfunktionsmodus nicht im Modus "Windows Server 2003 Interim" oder "Windows Server 2003", so kann eine Gruppe maximal 5.000 Benutzer enthalten.

Erst im Gesamtstrukturfunktionsmodus "Windows Server 2003 Interim" oder "Windows Server 2003" können Gruppen - Benutzer in mindestens sieben stelligen Bereich enthalten.

Siehe:

Yusuf`s Directory - Blog - Die Linked Value Replikation (LVR)

Ich habe das Phänomen, dass Mitglieder die ich mit eigener Kraft einer Gruppe zugewiesen habe, nach 6 Std. wieder ausgetragen sind. ( Ein Spass unter Mitarbeitern schließe ich aus)

Was meinst du mit "ausgegraut"? Bekommt lediglich die Figur "graue" Haare?

Siehe:

Hair color of the "person" icon for a user group becomes gray if the group contains more than 500 users

Ansonsten bitte genauer spezifizieren.

Betrifft das immer die gleichen Benutzer?

Betrifft es immer die gleiche Gruppe?

Salut,

muss ich was beachten wenn ich einen 2003 auf 2003 r2 migriere?

wenn es sich dabei um einen Mitgliesserver handelt und du NICHT die R2-Features (z.B. die DFS-R Replikation oder Druckermanagement) nutzen möchtest, dann ist nichts weiteres zu beachten. Du legst in einen Windows Server 2003 mit installierten SP1 die zweite R2-CD ein und folgst dem Assistenten.

Damit du auf einen Windows Server 2003 R2 aktualisieren kannst, wird folgendes benötigt:

- Windows Server 2003 SP1 muss installiert sein

- Die zweite CD von der R2 Version muss vorhanden sein

- Der Windows Server 2003 R2 Produkt-Key muss vorhanden sein

(was auch eine gültige Lizenz voraussetzt: Entweder hat man R2 neu erworben oder man verfügt für den vorhandenen Windows Server 2003 über eine Software Assurance)

Soll auf dem Mitgliedsserver eines der R2-Features genutzt werden,

so muss vorher das AD-Schema mit ADPREP /FORESTPREP von der zweiten R2-CD auf dem Schemamaster ausgeführt werden.

Das gleiche gilt für einen DC. Wenn der erste Windows Server 2003 R2 DC in eine Windows Server 2003 Gesamtstruktur hinzugefügt oder der

erste Windows Server 2003 auf "R2" aktualisiert werden soll, so ist ebenfalls das ADPREP /FORESTPREP auf dem Schemamaster auszuführen.

Siehe:

Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Servus,

hat jemand schon erfahrungen bzgl. migrationsprojekten von W2k3 zu W2k8?

ja. Wenn bereits eine Active Directory-Umgebung existiert, ist die Migration ein leichtes.

Natürlich sollte vorher die Ausgangbasis kontrolliert werden, sprich, die Windows Support Tools DCDIAG sowie NETDIAG ausgeführt werden. Danach erweiterst du zuerst das Schema, mit ausführen von ADPREP /FORESTPREP auf dem Schemamaster. Anschließend führst du den Befehl ADPREP /DOMAINPREP /GPPREP auf dem Infrastrukturmaster in der Domäne aus, in der du den Windows Server 2008 hinzufügen möchtest.

Die Details erfährst du aus diesem Artikel:

Yusuf`s Directory - Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Servus,

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

jeder Domänen-Benutzer hat von Haus aus nur eine Leseberechtigung auf das AD.

Daher würde ich ein normales Benutzerkonto einrichten und evtl. die Option "Kennwort läuft nie ab" aktivieren. In den Benutzereigenschaften könntest du noch auswählen, dass dieses Benutzerkonto ausschließlich an einem bestimmten Client sich anmelden könnte. Somit hast du das ganze auch etwas beschränkt.

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern?

Ein normales Benutzerkonto wäre hier das ideale.

Auf keinen Fall die Benutzerdaten eines Administrators verwenden. Wenn die Software Amok laufen sollte, kann es mit dem Administrator einiges anrichten.

Dienstkonten sollten nur die Rechte erhalten, die sie auch tatsächlich benötigen und nicht mehr.

2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?

Wie man es nimmt... ;) .

How To Enable Secure Socket Layer (SSL) Communication over LDAP for Windows 2000 Domain Controllers

3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

Korrekt. Daher "nur" ein Benutzerkonto.

Laut Schemaupdate beim Windows Server 2003 R2 kann man das adprep nicht von der R2 CD2 (64bit) ausführen, wenn es in eine 32bit 2003 Domäne aufgenommen wird....

Korrekt. Denn dazu muss vorher das ADPREP in der 32Bit und nicht 64Bit Version ausgeführt werden.

Wenn ich allerdings einen 64 bit 2003 R2 in eine 2000er Domäne aufnehmen will geht das ja (ist ja dann auch keine 64 bit)?

Das ist zwar von Microsoft nirgends dokumentiert (erster 64Bit Windows Server 2003 R2 DC in einer Windows 2000 32Bit Domäne),

aber im Prinzip ist es genau das gleiche, wie bei einer 32Bit Windows Server 2003 Domäne. Oder hast du das etwa bereits erfolgreich durchgeführt?

mehr sagen? .....wie kommt das Zustande?

Na, du sollst darauf achten das die Forward Lookup Zone (FLZ) im AD gespeichert wird.

Gehe dazu in die Eigenschaften deiner FLZ und überprüfe dort die Einstellung "Typ".

Zusätzlich solltest du in den Eigenschaften der FLZ die Einstellung "Nur sichere" Updates wählen.

Wenn die FLZ im AD gespeichert wird, brauchst du dich darum nicht mehr zu kümmern. Die AD-Replikation repliziert die DNS-Informationen automatisch auf die anderen DCs.

- prinzipiell können alle DC in der DOMÄNE GC sein bzw sollten sein?!

Right! Ich zitiere von meiner Webseite:

Wenn mehrere Domänen in einer Gesamtstruktur existieren, darf der Infrastrukturmaster einer Domäne, nicht auf einem DC liegen, der auch die Funktion des globalen Katalogs (GC=Global Catalog) trägt, es sei denn, man deklariert jeden DC dieser Domäne zum GC.

 

Genauer gesagt, es muß jeder DC einer Domäne auch GC sein, wenn der Infrastrukturmaster dieser Domäne auf einem GC liegt.

Unabhängig davon, wieviele DCs in anderen Domänen der Gesamtstruktur existieren.

 

Wenn allerdings jeder Domänencontroller einer Domäne, der Bestandteil einer Gesamtstruktur mit mehreren Domänen ist, auch den globalen Katalog enthält, gibt es keine Arbeit für den Infrastrukturmaster. Der Infrastrukturmaster kann auf einen beliebigen Domänencontroller in dieser Domäne gestellt werden.

 

Oder wenn die Umgebung aus einem Single-Domänen Forest besteht, dann spielt es auch keine Rolle, ob der DC auf dem der Infrastrukturmaster liegt ebenfalls auch globaler Katalog ist oder nicht.

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

faq-o-matic.net » Globaler Katalog vs. Infrastruktur-Master

-gc ist nicht anderes als ein zentrales adressbuch in einer domäne, welches die infos über die domäne und weitere domänen im forest (siehe den ersten punkt) kennt und daher quasi die auskunft ist.

Korrekt. Der GC liefert dann die Informationen die ihm bekannt sind.

Aber einen "Verweis" auf andere DCs erfolgt an dieser Stelle nicht, sprich, der Benutzer stellt dann nicht eine eigene/neue Anfrage an den DC, der z.B. auf einer Child-Domäne stammt.

-wann soll der GC unbedingt nicht gleichzeitig Infrastrukturmaster sein (momentan würd ich sagen bei mehr als einer einzelnen domäne, weil in einer einzeldomäne sowieso jeder DC alles weiss und keine globalen gruppen nötig sind)????

Die Antwort darauf erhälst du von meinem Zitat aus meiner Webseite, das ich zu Beginn DIESES Posts geschrieben habe.

- alternative dazu wäre noch die UGC funktion (caching universelle gruppen), dann würde das anmelden noch funktionieren?

Richtig.

Servus,

- globaler katalog beinhaltet ALLE daten und attribute seiner eigenen domäne und ALLE Objekte anderer domänen im forest, aber nicht alle attribute

richtig!

- ohne globalen katalog keine anmeldung (nur administratoren). deswegen, weil bei der anmeldung auch universelle gruppen abgefragt werden, und diese ohne GC nicht eingesehen werden können???!

Das stimmt nur zum Teil und wird auch auf vielen Webseiten bzw. Büchern nicht richtig dargestellt (die Aussage an sich stimmt), es kommt auf die Umgebung an. Denn z.B. in einem Single-Domänen Forest kann sich der Benutzer auch ohne GC anmelden. Wenn in einem Single-Domänen Forest kein GC verfügbar ist, bekommt lediglich der Administrator beim einrichten des Benutzers zwar eine Warnmeldung die er bestätigen muss, aber trotzdem kann der Benutzer eingerichtet werden.

- vor allem anwendungen wie exchange setzen einen globalen katalog voraus (kommunikation über speziellen port - das ist u.a. auch ein punkt, der den GC von Universal Group Caching unterscheidet)

Korrekt!

- der GC ist keine separate datenbank sondern teil der AD replizierung. ??! dh. die daten befinden sich in der AD datenbank.

Genau so sieht es nämlich aus ;) .

Der Hinweis von "gysinma1" bezgl. NTFRS ist nicht korrekt.

Denn der NTFRS ist einzig und allein für die Replikation des SYSVOL-Verzeichnisses zuständig und hat mit der AD-Replikation nicht das geringste zu tun. Das wird von vielen immer wieder verwechselt. Das AD wird eben über die AD-Replikation durchgeführt (RPC over IP) und das SYSVOL durch die NTFRS-Replikation.

- in einer einzeldomäne darf derGC auch auf dem infrastrukturmaster sein, da dies keine auswirkungen hat(nur bei mehrdomänen im forest)

Stimmt!

- bei kleineren oder schlecht angebundenen standorten/sites ist zu überlegen, ob man nicht UGC verwendet statt GC, da der replikationsaufwand erhöht ist (prinzipiell ab 100 usern oder anwendungen, die den GC voraussetzen bzw. vielen notebooks in der site ist GC vorzuziehen) - war standardaussage von CBTNUGGETS

Das stimmt. Man muss nur unterscheiden um welche Größe sich es um die Umgebung handelt. Wird AD-lastig gearbeitet (viele Änderungen im AD)? Denn ansonsten entsteht lediglich bei der Initial-Replikation der Informationen die in den GC repliziert werden Last und Aufwand. Das ist aber auch nicht das Problem bei den heutigen Leitungen... Die Replikation kann nämlich auch über eine 56KB Leitung stattfinden. Sie braucht dann eben nur mehr Zeit...

- der GC dient dazu, die anfrage von anderen computern zu zentralisieren, denn ohne GC müssten jeder DC nach objekten abgefragt werden. der dc bestimmt den zuständigen DC und leitet die Anfrage dann weiter ??! so korrekt?

Jein. Der GC ist wie ein Inhaltsverzeichnis zu sehen. An welchen Server soll denn der Benutzer seine Anfrage nach einer Gesamtstrukturweiten Suche stellen? Nur der GC kennt eben ALLE Objekte in der Gesamtstruktur, wobei eben nur die wichtigsten Attribute, nämlich die bei einer Suche interessant sind (wie z.B. Distinguished Name etc.), in den GC von den anderen Domänen repliziert werden.

... to be continued

Ich warte erst auf die Antwort, dann werde ich auf dein OP antworten...

Moin,

Der GC ist Teil der AD als Ganzes jedoch befindet er sich nicht innerhalb der AD DB. Die Replikation erfolgt über NTFRS.

wie kommst du denn darauf?