Daim

Na das wurde aber auch Mal Zeit! Uns tuen schon die Füße weh, so lange warten wir hier schon auf dich. ;) Der neue DC sollte ruhig auch GC sein. Aber ich vermute du hast es nur vergessen zu erwähnen, dass er auch GC ist. Ob DU das kannst, weiß ich nicht. ;) Ansonsten korrekt. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Wenn du alle Daten sowie Dienste vom "alten" DC übernommen hast, kannst du diesen mit DCPROMO zum Mitgliedsserver herunterstufen. LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen Nein, da sind keine Probleme zu erwarten. Die Zertifikate sind ja nicht an den DC "gebunden", den du herunterstufen möchtest. ;)

Du gibst dich mit dem "bißchen" zufrieden? Ich habe es gerne, wenn man mir ein genaues Bild der Situation schildert, auch wenn ich schon vorher durch die bereits genannten Fehlermeldungen bereits eine Vorahnung habe. ;) Das hoffe ich doch sehr, dass sich der OP meldet. Für was reden wir uns die Köpfe sonst hier heiß.

Das könnte das Problem sein, aber trotzdem war das Vorgehen in dem Post auf den ich mich bezog falsch. Deswegen soll der TO erst einmal die IST-Situation und seine Umgebung beschreiben.

Hoffentlich wurde der "zweite" DC ordnungsgemäß mit DCPROMO aus der Domäne entfernt!? Falls nicht, müssen die Metadaten des AD bereinigt werden. LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Dann solltest du endlich mal deine IST-Situation genauestens beschreiben. Wie viele DCs existieren nun aktuell? Unter welchem Serverbetriebssystem werden die DCs betrieben? In den Eventlogs der DCs ist doch "Karneval in Rio" angesagt.

Servus, 1. in deinem OP steht in der Fehlermeldung "The Server holding the PDC Role is down". Es handelt sich also um die FSMO-Rolle des PDC-Emulators und nicht um die des "domain naming master". 2. Hat Norbert dir "seize" gesagt und nicht "Transfer". Ein Transfer ist nur dann möglich, wenn der ursprüngliche Rolleninhaber noch funktionsfähig ist und sich online befindet. Übrigens kannst du fast alle FSMO-Rollen, bis auf den RID-Master, auch in der GUI gewaltsam von einem anderen DC übernehmen. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben 3. Stelle erst einmal die IST-Situation fest, denn die Meldung könnte irreführend sein. Führe in der Kommandozeile auf dem DC den folgenden Befehl aus: NETDOM query FSMO. Danach bekommst du angezeigt, welcher DC welche FSMO-Rolle innehat.

Servus, im Titel deines Posts steht "2K8R2", aber in deinem Post steht "Server 2008 Standard". Wenn es sich um eine 2008 R2 Umgebung handelt und der AD-Papierkorb aktiviert wäre, könntest du das gelöschte Objekt mit allen Informationen wiederherstellen. Zur Wieerherstellung kannst du die AD-PowerShell, ADRestore oder auch ADRestore.Net verwenden. Handelt es sich nicht um eine 2008 R2 Umgebung oder ist/kann der AD-Papierkorb nicht aktiviert werden, kannst du den Benutzer autoritativ mit dem letzten Backup wiederherstellen. Du kannst aber auch lediglich das Tombstone, mit wenigen Informationen wiederherstellen. Die objectSID ist aber in jedemfall dabei. Den neuen Benutzer musst du wieder löschen und entweder das Tombstone reanimieren oder eine autoritative Wiederherstellung durchführen, wenn der AD-Papierkorb nicht existiert. Siehe: LDAP://Yusufs.Directory.Blog/ - Der Active Directory-Papierkorb im Windows Server 2008 R2

Servus, man installiert die entsprechenden administrativen Tools (AdminPak oder RSAT, je nach Betriebssystem) auf dem Client, damit diese dort zur Verfügung stehen.

Servus, dann kannst du keine Vertrauensstellung erstellen, da dazu die NetBIOS-Namen der Domänen verwendet werden, die deshalb eindeutig sein müssen. Wenn der NetBIOS-Name der Domäne "firma_neu" lautet, dann meldest du dich auch an der Domäne mit dem NetBIOS-Namen "firma_neu" an. Oder ist "firma" etwa ein Benutzer? Ja, dass funktioniert natürlich auch.

Servus, das ist ein Irrtum! Es funktioniert, sowohl über die GUI und über NETDOM. Die sichere und "sanftere" Variante ist allerdings NETDOM. Damit ist die Gefahr geringer, dass etwas schief geht.

Servus, LDAP://Yusufs.Directory.Blog/ - DHCP auf einem RODC installieren ... und lass dich nicht vom Titel beeinflussen.

Servus, lass bei dem dsrm Befehl das "user" weg, dann funktioniert das.

Wie sieht denn dein Eintrag aus, den du versuchst einzutragen? Jein, es muss für beide Anwendungsverzeichnispartitionen ein Eintrag existieren. Für den tag täglichen Betrieb benögt man das nicht. Aber spätestens wenn du einen RODC hinzufügen möchtest, müssen die Einträge stimmen. Dann stimmt was nicht. Als erste Anlaufstelle ist hier das DNS zu erwähnen. Hat der Client auch beide DCs als DNS-Server in seinen TCP/IP-Einstellungen eingetragen? Kontrolliere auch die Eventlogs der DCs. Du bist auf dem Holzweg! Der Infrastrukturmaster der Anwendungsverzeichnispartitionen hat damit nichts zu tun. Wohin verabschiedet sich denn das AD? Nach Tirol? Geht das auch konkreter? Was bedeutet "verabschiedet"? Wenn der 2003er DC mit DCPROMO heruntergestuft wird, verschwindet er auch aus dem AD. Somit weiß der 2008 R2 DC, dass er keinen Replikationspartner mehr hat. Wenn du den 2003er lediglich herunterfährst, versucht der 2008 R2 DC natürlich weiterhin mit diesem zu replizieren.

Das hier: LDAP://Yusufs.Directory.Blog/ - Die Infrastrukturmaster der Anwendungsverzeichnispartitionen Das schon, aber die Rolle des Infrastrukturmasters existiert innerhalb einer Domäne mehrmals.

Servus, du versuchst also den Infrastrukturmaster für die Anwendungsverzeichnispartitionen zu ändern. Wie versuchst du das genau? Auf dem DC? Direkt auf dem Infrastrukturmaster? Mit ADSIEdit, LDP? Wenn du es gerne skriptbasiert hättest, dann verwende das Skript aus dem folgenden KB-Artikel: Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"

Servus, LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Ein Inplace-Update ist zwar von einem Windows Server 2003 SP2/2003 R2 SP2 auf Windows Server 2008 R2 zwar technisch möglich, aber da der 2008 R2 "x64Bit only" ist funktioniert das nur, wenn die 2003er ebenfalls unter x64Bit betrieben werden. Aber abgesehen davon, ist es ohnehin empfehlenswert, die Domänenaktualisierung mit einem zusätzlichen Server durchzuführen. Natürlich. Lies dir die o.g. Anleitung durch und führe vorher zumindest ein System State Backup durch. Wenn du ungeübt bist, test das in einer Testumgebung oder hole dir Hilfe.

Das wollte ich doch hören. :cool: Genau, am Ende findet der Client dann doch einen DC, auch wenn dieser suboptimal (Bandbreite, Leitungskosten) zum Client steht. Klar, in diesem Szenario kann das durchaus Sinn machen. Das kommt wie immer, auf die Umgebung an. Ob nun das Einschränken der Registrierung generischer SRV-Einträge oder ein Catch-all Subnet das geeignete ist, müsste man dazu dann genauer die Umgebung inspizieren. Jetzt ja! Das denke ich auch. Das skizzierte Szenario hier, wird auf den OP kaum zutreffen. Aber dazu kann dann ja der OP noch was dazu schreiben. Üblich? Kommt darauf an. Nötig? Kommt auf die Umgebung und vor allem auf die zur Verfügung stehende Bandbreite an. :p Auch hier ist es wichtig zu wissen, um welche Umgebung es sich handelt. Wenn es sich um zwei-drei physikalische Standorte handelt, in denen jeweils vielleicht 20 User sitzen, die nichts anderes machen als sich über die Leitung an der Domäne zu authentisieren, dann genügt auch ein einziger AD-Standort. Aber auch hier kommt es wie so oft und wie wir es wissen, auf die Umgebung und das Ziel an. So isses. ;)

Servus, ich kann dir nicht ganz folgen. Im Fall des OP geht es darum, dass der Client nicht weiß in welchem Subnetz er sich befindet. Aber einen DC findet der Client letztlich ohnehin, da er diese Abfrage stellt: _ldap._tcp.dc._msdcs.<Domäne>. Was bringt der Registry-Eintrag "DnsAvoidRegisterRecords" dem OP?

Servus, führe in der AD-PowerShell diese Abfrage durch: Search-ADAccount -LockedOut | FT Name Handelt es sich um Windows Server 2003 oder um Windows Server 2008 DCs, so kannst du den AD-Webservice nach installieren, der unter anderem zwingend für die AD-PowerShell notwendig ist. LDAP://Yusufs.Directory.Blog/ - Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008

Servus, na na na... es handelt sich um "gesperrte" und *nicht* um deaktivierte Benutzerkonten. :)

Servus, kontrolliere deine Vorgehensweise nach dieser Anleitung: LDAP://Yusufs.Directory.Blog/ - Einen Domnencontroller an einen anderen Standort verschieben

Was bedeutet "wo sie sich befinden" genau? Möchtest du herausfinden, in welcher OU sich die Computerkonten befinden? LDAP://Yusufs.Directory.Blog/ - Wie finde ich heraus wo sich ein Objekt befindet? Mit dem zweiten Link aus meiner vorherigen Antwort erfährst du ebenfalls mit den Abfragen auch den LDAP-Pfad, den sogenannten Distinguished Name (also in welcher OU sich das Objekt befindet).

Servus, es kommt mir so vor, als ob du veraltete Computerkonten löschen möchtest. LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen LDAP://Yusufs.Directory.Blog/ - Den OS- und SP-Stand abfragen LDAP://Yusufs.Directory.Blog/ - Computerkonto löschen

Servus, warum denkst du das? DNS, DNS und nochmal DNS. Der Client versucht zuerst einen DC, an "seinem" AD-Standort zu erreichen. Wenn der Client nicht weiß zu welchem AD-Standort er gehört, wie es z.B. bei einem neu installierten Client auch der Fall sein kann, sucht er Dank des DNS nach einem DC in der Domäne. Dann kontaktiert der Client irgendeinen DC der egal an welchem AD-Standort steht. Aber erreichen kann der Client in jedem Fall einen DC. Siehe dazu (bitte lesen): LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort Du suchst das Catch-all Subnetz!

Servus, Tests müssen in einer Testumgebung durchgeführt werden und keinesfalls in der produktiven Umgebung! Oder bist du etwa auch einer derjenigen, die lediglich eine Test- und keine produktive Umgebung in der Firma haben? Und abgsehen davon, ist NAT auf einem DC ganz und gar keine gute Idee!

Wie hast du denn das Problem behoben? Hast du die Infrastrukturmasterrolle auf einen DC verschoben, der kein GC ist oder hast du auf jedem DC den GC aktiviert? Aber nochmals, das hängt von der Umgebung ab.