Daim

Servus, ich spiele mal den Korinthen... ;). Es gibt die folgenden Domänenfunktionsebenen: - Windows 2000 gemischt (existieren unter Windows 2000 und 2003) - Windows 2000 pur (existieren unter Windows 2000 und 2003) - Windows Server 2003 Interim (existiert nur unter Windows Server 2003, bei einer Migration von NT) - Windows Server 2003 (nur unter Windows Server 2003) Als Gesamtstrukturfunktionsebenen gibt es: - Windows 2000 (in dieser Ebene könne alle Domänenfunktionsmodis existieren) - Windows Server 2003 Interim (hier können ausschließlich Windows Server 2003 Interim Domänen existieren) - Windows Server 2003 (hier müssen alle Domänen im Modus Windows Server 2003 sein)

Servus, du brauchst ADMT. Mit ADMT kannst du die Benutzer- sowie Computerkonten von einer Domäne in die andere migrieren, ohne das an den Einstellungen etwas verloren geht. Der Benutzer bekommt davon nichts mit. Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Mit ADMT bleibt dir all dies erhalten. Du benötigst die v.2.

Servus, installiere dir NetDIAG aus den Support Tools und führe auf dem DC ein NetDIAG /Fix durch. Dann gehe für den Fehler 5722 diesen Artikel durch: Event ID 5722 is logged on your Windows 2000 Server-based domain controller

Moin, es lautet (noch) AD und nicht ADS ;) . Es gibt AD-Tools wie Sand am Meer. Z.B. Hyena oder die AD-Tools von Quest sind sehr zu empfehlen. Aber Windows bringt auch einiges selbst mit, z.B. die DS*-Tools (dsquery+dsmod+dsadd etc.). Oder es gibt AdModify etc. pp.

Die werden auftauchen, denn zeitgleich machst du einen Betriebssystemwechsel von Windows 2000 auf SBS 2003. Dazu muss vorher auf dem Windows 2000 Schema-Master das ADPREP ausgeführt werden. Einfach mal danach suchen.

Yepp, der KCC prüft alle 15 Minuten die Struktur und justiert ggf. nach.

Ja, dass kann man machen. Zur Not sogar "mit Gewalt". Aber vorher würde ich den Problem-DC erneut auf Herz und Niere prüfen. Gehe die folgenden Punkte, die in diesem Artikel erwähnt werden durch und kontrolliere ob sich das Verhalten des DCs verbessert: Domain controller is not functioning correctly

Ein "s" reicht ;) . Doch, der Parameter /DOMAINPREP ist zwingend! Du solltest aber statt "/Domainprep" gleich das "ADPREP /Domainprep /Gpprep" ausführen. Denn mit dem zusätzlichen Parameter /Gpprep werden die ACLs der GPOs im SYSVOL-Verzeichnis aktualisiert. Imho erscheint eine Warnung, aber so genau weiß ich das unter Windows 2000 nicht mehr. Wozu aber auch, denn die Rollen müssen verschoben werden. Punkt. Wenn die Rollen nicht verfügbar sind, kann der zusätzliche DC nicht erstellt werden. Denn der neue DC benötigt min. den RID-Master. Dann stehen dir eben die Vorteile des höheren Modus nicht zur Verfügung. Welche das sind, efährst du aus diesem Artikel: Microsoft Corporation Da wäre mir ein zweiter DC lieber, als die Vorteile des höheren Modus. Lege einen größeren Wert auf die Redundanz der DCs.

Servus, schau dir mal die Eigenschaften der Festplatte auf dem Server an und suche nach Datenträgerkontingent ;) .

Huhuu, das tut er bereits, sobald sich eben die AD sowie DNS-Informationen repliziert haben. Der neue DC sollte auch GC sein. Wenn nun der Träger der FSMO-Rollen crashen würde, müsstest du "lediglich" die Rollen auf den anderen DC seizen (mit Gewalt verschieben). Das musst du nicht, nur wenn der DC aus der Domäne entfernt werden soll, dann sind die FSMO-Rollen zu verschieben. Oder wenn der neue DC das neuere Betriebssystem wäre - also ein Windows Server 2003 - dann sollten die Rollen ebenfalls verschoben werden. Es ist aber kein muss, nur eine Empfehlung. Einen GC überträgt man nicht, man aktiviert diesen ;) . Der GC ist schließlich nicht mit den FSMO-Rollen zu verwechseln. Kontrolliere ob der neue DC sich mit seinen SR-Records im DNS eingetragen hat. Das Heraufstufen wurde auch ohne Fehlermeldung abgeschlossen? Kontrolliere auch das Log der DCs. Ansonsten kannst du noch prüfen, ob der neue DC auch sich tatsächlich als ein DC ausgibt. Dabei kannst du z.B. das Attribut userAccountControl vom DC kontrollieren, dort müsste als Wert 532480 eingetragen sein. Ansonsten siehe: Domain controller is not functioning correctly Ahaa... das ist genau das Problem. Dort müsste sich der neue DC automatisch eintragen. Führe auf dem neuen DC in der Kommandozeile folgenden Befehl aus: net stop netlogon && net start netlogon. Nicht selbst eintragen, dass muss der DC selbst machen. Ansonsten ist an der Konfiguration etwas faul. Lief DCPROMO ohne Fehler durch? Wie sieht das Eventlog aller DCs aus (Verzeichnisdienst- sowie DNS Log)? Du kannst dann auch noch eine DCDIAG auf dem neuen DC ausführen.

Na na na... so hast du den Befehl (ich habe es extra rot markiert) bei mir aber nicht gesehen/gelesen. /Forestprep bereitet die Gesamtstruktur vor und /Domainprep die Domäne. Das sind völlig verschiedene Parameter die zusammen nicht ausgeführt werden können. Lediglich "/Domainprep /Gpprep" können und sollten zusammen ausgeführt werden, bei einem Update von 2000 auf 2003 (und zu einem Update auf Windows Server 2008). Jetzt wirfst du die DOMÄNE mit dem Forest (zu deutsch Gesamtstruktur) über einen Haufen ;) . Wenn du die erste Domäne erstellst, hast du bereits eine Gesamtstruktur. Eine Domäne sowie die Gesamtstruktur sind eine logische Komponente des Active Directorys. Bevor du den ersten Windows Server 2003 DC zu einer Windows 2000 Gesamtstruktur hinzufügen kannst - musst du vorher die Gesamtstruktur auf Windows Server 2003 vorbereiten. Das tust du mit dem Befehl ADPREP /FORESTPREP. Dabei werden dem Schema neue Attribute sowie Klassen hinzugefügt. Würdest du diesen Befehl vorher nicht ausführen, käme beim Ausführen von DCPROMO auf dem Windows Server 2003 an entsprechender Stelle die Meldung, dass das ADPREP /FORESTPREP nicht ausgeführt wurde. Da es sich bei dir um einen R2-Server handelt, musst du dabei das ADPREP von der zweiten CD verwenden. Nein, die Rollen werden erst beim herunterstufen eines Windows Server 2003 DCs automatisch auf einen anderen DC verschoben (falls es einen weiteren gibt). Trotzdem bin ich ein Freund davon, diesen Schritt manuell durchzuführen, damit man sich dessen bewußt wird und es realisiert, was da vor sich geht. Ich würde den Windows 2000 Server vorher auf Windows Server 2003 aktualisieren, damit du in den Domänen- bzw. Gesamtstrukturfunktionsmodus Windows Server 2003 wechseln kannst. Dadurch profitierst du eben von den Vorteilen, die dir dieser Modus bietet (z.B. eine verbesserte AD-Replikation usw.). Fast ;) . Der Rest ist soweit korrekt.

You are welcome ;)

Das freut mich zu hören :) . Auhaa... Tippfehler vom Amt auf die schnelle. Es muss natürlich Snap-In "Active Directory-Benutzer und -Computer" heißen ;) . Ja, wenn die DCs den FSMO-Rollen Träger nicht erreichen können, erscheint in der GUI FEHLER. Resete auf dem Problem-DC das Computerkonto-Kennwort: Error Message "Target Principal Name is Incorrect" When Manually Replicating Data Between Domain Controllers How To Use Netdom.exe to Reset Machine Account Passwords of a Windows 2000 Domain Controller How to use Netdom.exe to reset machine account passwords of a Windows Server 2003 domain controller

Bonjour, kontrolliere im Snap-In "Active Directory-Standorte und -Dienste" in den Eigenschaften des DCs, welche Option im Reiter Delegierung aktiviert ist. Unter Windows Server 2003 ist es die Einstellung "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)". Mangels Zugriff auf einen 2000 DC kann ich nicht genau sagen, wie es da lautet. Du meinste eher die Kontrolle der Replikation. Gehe in das Snap-In "Active Directory-Standorte und -Dienste", erweitere einen DC und wähle in den Eigenschaften des NTDS SETTINGS Objekts die Option Alle Aufgaben - Replikationstopologie überprüfen. Den AD-Standorten sollte natürlich das jeweilige Subnetz verknüpft sein. Überprüfe dazu das DNS. In den TCP/IP-Einstellungen - gerade unter Windows 2000 - sollten alle DCs einen zentralen DNS-Server eingetragen haben. Es sollte nicht die Localhost Adresse verwendet werden. Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ? Ist der Träger der FSMO-Rollen denn erreichbar und existiert noch im Netz? Bestehen Netzwerk-/Verbindungsprobleme evtl.? Kontrolliere alle Verzeichnisdienst-Logs der DCs.

Wenn die Hardware Windows Server 2003 tauglich ist, spricht natürlich nichts dagegen. Aber meistens macht genau die Hardware die Probleme. Da NT weniger Ressourcen beansprucht hat, als Windows Server 2003. Aber vor dem Update auf Windows Server 2003 kann beim beim Ausführen von der Setup.exe die Hardware vom Assistenten checken lassen, ob diese für Windows 2003 tauglich ist. Er wird dir dann einen sagen welche Hardware nicht tauglich wäre.

Merke: Ab Windows 2000 gibt es die Begrifflichkeiten PDC und BDC so in der Form nicht meh. Ab Windows 2000 sind es alle DCs, nur manche haben eine besondere Rolle. Diese sind nämlich die Träger der FSMO-Rollen: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Wenn das Update abgeschlossen und die Applikationen auf einem anderen Server übernommen wurden, könntest du mit dem Tool UPROMOTE den NT-PDC zum Memberserver stufen. UPromote - Promote your NT Server to a Domain Controller Das herunterstufen unter NT geht nämlich nicht. Nur mit Hilfe von Tools.

Dann liegt die Ursache doch auf dem DC. Lass auf dem DC mal ein DCDIAG laufen. Kontrolliere dann auf diesem auch seine HOSTS Datei auf alte Einträge. Wurde der DC auf eine neue Hardware umgezogen mit gleichem Namen aber dafür anderer IP-Adresse. Oder das Szenario in umgekehrter Variante? Ansonsten gehe auch mal den Vorschlägen bei Eventid.net mal nach: EventID.Net

Welche Meldung erscheint, wenn du auf dem 2000er DC das DCDIAG ausführst. Deine Aussage ist nicht richtig. DCDIAG führt mehrere tests durch und meckert die dann diverse Fehler - sofern diese bestehen - mit einem failed an. Hast du nun die Rollen tatsächlich mit Gewalt auf einen anderen DC verschoben oder wie soll das zu verstehen sein? Du weißt das danach der Ursprungsträger der FSMO-Rollen nicht mehr online gehen/sein darf? Denn ansonsten existieren zwei DCs mit den FSMO-Rollen. Wie DCPROMO? Bahnhof?

Nicht korrekt. Er war von 1945 bis 1990 ;) . Kalter Krieg - Wikipedia Dann nimm doch den Client aus der Domäne, lösche sein Computerkonto im AD und füge anschließend der Client zur Domäne hinzu.

Servus, wenn ich es recht verstanden habe, dann hat der Client ein Problem. Eine weitere Maschine mit dem gleichen Computernamen existiert auch nicht in der Domäne? In der HOSTS Datei ist nicht ein alter Eintrag vorhanden? Wann war der kalte Krieg? Der Client wurde nicht vor kurzem zurückgesichert bzw. geimaget?

Wenn der Client die passende IP zum DC erhält, dann funktioniert das. Achte darauf, dass im Snap-In "Active Directory-Standorte und -Dienste" das AD-Standort existiert und das entsprechende Subnetz verknüpft ist.

Wenn lokal keine Firewall existiert oder die DCs sich nicht durch eine Firmen-Firewall replizieren müssen, dann würde ich darin nicht viel Zeit investieren. Kontrolliere das Eventlog und führe DCDIAG aus, dann erkennt man ggf. mehr. Ansonsten siehe: Yusuf`s Directory - Blog - Active Directory Replikation durch eine Firewall

Servus, das reicht für den Fall von DNS-Abfragen. Aber das hat noch lange nichts mit IP zu tun. Du musst das bereits am Switch trennen. Entweder bekommen beide Domäne ihre eigenen Switche oder du erstellst z.B. VLANs. Ansonsten antwortet dem Client der DHCP, der am schnellsten ist. Das kann heute der eine DHCP sein und morgen der andere.

Dann solltest du dem Windows 2000 DC mit DCDIAG zu Leibe rücken sowie das Eventlog vom 2000 DC kontrollieren. Evtl. läuft lokale etwas, was Ports sperrt... Nun ist Troubleshooting angesagt.

Servus, hattest du nach dem bearbeiten der Default Domain Policy auch einen Moment gewartet? Denn die DCs kontrollieren alle 5 Minuten ob sich an den Policies etwas geändert hat. Oder du führst auf den DCs ein gpupdate /force durch. Gruppenrichtlinien - Übersicht, FAQ und Tutorials