Daim

Servus,

schau dir mal in der Kommandozeile das Tool SC an.

Das sieht dann so in etwa aus:

Server Performance Advisor (SPA) auf einem deutschen System - faq-o-matic.net

Servus,

du könntest die An- sowie Abmeldung protokollieren.

Das ist aber rechtlich ein heißes Eisen und muss vorher vom Betriebsrat bzw. Datenschutzbeauftragten genehmigt werden.

Denn wenn du das ohne Zustimmung ausführst, wäre das ein Grund für eine fristlose Kündigung.

Siehe:

Yusuf`s Directory - Blog - Anmeldungen protokollieren

Bonjour,

ein DC mit mehreren NICs ist ohnehin ein Spezialfall und neigt dazu, Probleme zu verursachen.

Active Directory communication fails on multihomed domain controllers

Damit nun lediglich nur eine IP-Adresse im DNS registriert wird, muss im ersten Schritt, im DNS-Reiter der IP-Konfiguration der einen LAN-Verbindung,

die dynamische Registrierung der IP abgeschaltet werden. Das hast du ja bereits getan.

Im zweiten Schritt muss in den Eigenschaften des DNS-Servers, das Abhören des Dienstes an der einen IP-Adresse verhindert werden.

Denn ein DNS-Server registriert sich auch die IP-Adressen, an denen er abhört.

Wäre alles nicht so schlimm, wenn ich den alten Servernamen verwenden hätte können, ging nicht, weil mir immer die Fehlermeldung kam, dass der Name bereits existiert.

Klar, denn du hättest vorher den gecrashten DC (die Leiche) mit NTDSUTIL oder ADSIEdit aus dem AD entfernen sollen.

Dann hättest du dem neuen DC deinen gewünschten Namen verpassen können.

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

Vielleicht habe ich irgendwas übersehen, irgendein Eintrag

Ja, du hast übersehen erst den gecrashten DC aus dem AD zu entfernen.

Der neue DC läuft.

Achte darauf das auf dem neuen DC das DNS installiert ist und sich die FLZ im AD befindet.

Des Weiteren solltest du auf dem neuen DC auch den GC aktivieren.

Servus,

Aber nach einer weile ändern die sich einfach in z.B. 193.101.111.10 und 193.101.111.20

wenn das wieder eintritt, mach doch an solch einem Client mal ein IPCONFIG -ALL und überprüfe,

von welchem DHCP-Server der Client seine IP-Informationen bekommen hat.

Ist das dann dein bestehender DHCP-Server oder ein fremder?

Denn von alleine ändert sich die IP-Adresse der DNS-Server auf den Clients nicht.

Moin,

falls du deine Fragen nicht durch die Boardsuche beantwortet bekommst, schildere mal deine Situation genauer.

Wer oder was ist hier der alte DC (der gecrashte?)?

Und was bedeutet diese Aussage:

...aber wenn den neuen DC in die Domäne bringen will, bekomme ich die Fehlermeldung, dass der Computer bereits vorhanden ist.

Servus,

Der neue DC erhält die Betriebsmaster Rollen und auch die 3 Rollen (BDC usw.), die man zusätzlich zuweisen kann.

es gibt in einer Gesamtstruktur fünf FSMO (Flexible Single Master Operations) - Rollen.

Diese wären:

- Schemamaster (kann nur einmal in der Gesamtstruktur existieren)

- Domänennamenmaster (kann nur einmal in der Gesamtstruktur existieren)

- PDC-Emulator (kann nur einmal pro Domäne existieren)

- Infrastrukturmaster (kann nur einmal pro Domäne existieren)

- RID-Master (kann nur einmal pro Domäne existieren)

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Ausserdem übernimmt der "neue" DC auch den globalen Katalog, dem "alten" DC wird dieser entzogen.

Ist auf dem neuen DC auch das DNS installiert und befindet sich die Forward Lookup Zone im AD (AD-integriert gespeichert) ?

Wird der neue DC auch an die Clients/Server als weiterer DNS-Server verteilt?

Nun kann man beobachten, dass sich beide Systeme untereinander synchronisieren,

in den gängigen MMC GUIs sind beide DCs kontaktierbar, aus meiner Sicht "normal".

Falls das nicht so wäre, würde dir das Eventlog das schon melden.

c) Herabstufung "alter" DC Win2000 bricht mit einer Fehlermeldung ab, dass kein ComputerAccount bzw. DC in der entsprechenden Domäne gefunden wird.

Wenn du auf diesem DC DCDIAG ausführst, bekommst du sicherlich einige Fehler angezeigt, den es dann nachzugehen gilt.

Kontrolliere ob der DC auch tatsächlich noch ein "echter" DC ist (z.B. der Wert im Attribut userAccountControl).

Gehe dazu diesen Artikel durch:

Domain controller is not functioning correctly

d) nach Abschaltung "alter" DC dauert der Reboot des "neuen" DC lange mit "Netzwerkverbindung wird hergestellt". Anschliessend dauert es einige Zeit, bis die MMC GUIs gültige Domain Informationen anzeigen, anfangs starten die Verwaltungstools mit vielen roten Kreuzen

Ein Indiz für klare DNS-Probleme!

Ich meinte nur für die Authentifizierung am DC. Dazu müßte es doch ausreichen, oder?

Dafür reicht es aus.

Was muss ich umstellen damit mein Win 2003 Server mit meiner Win 2000 Domäne kontaktieren kann?

Konfiguriere das SMB-Signing wie es im Abschnitt "Bestpraxis: Default Domain Policy + Default Domain Controllers Policy" beschrieben steht.

Reicht da ein olles net use \\deinDC "passwort" /user:deinedom\Benutzer aus?

Wie will ich diesen Befehl ausführen, wenn ich mich erst garnicht anmelden kann?

Und unter einem anderen Benutzer das ausführen, macht keinen Sinn.

Servus,

das liegt am SMB-Signing. Befolge diesen Artikel:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Hier gibt es die deutsche Enterprise Version zum Download:

Download details: Windows Server 2008 RC1 Enterprise

Servus,

auf der Microsoft Connect-Seite, sowie im Technet-/MSDN-Abo gibt es die RC1 auch auf deutsch.

Servus,

Gibt es eine Möglichkeit, das bisherige lokale Profil mit allen Einstellungen in die Domöne zu übernehmen.

ja, die gibt es. Du deklarierst das bestehende Profil zum "Default-Profil".

Also das Profil, das standardmäßig jeder neue Benutzer erhält. Wie das funktioniert, wird hier beschrieben:

Wie kann ich Benutzerprofile migrieren? - faq-o-matic.net

Über IPCONFIG/ALL sehe ich natürlich auch die IP einstellungen, ist mir soweit auch bekannt und dort wird als DHCP Server die 192.168.0.40 oder 192.168.0.1 angezeigt, aber es gibt definitiv keine gerät mit der IP.

Wenn bei IPCONFIG -ALL als DHCP-Server mal die oder die andere IP-Adresse angezeigt wird, dann funkt irgendetwas als DHCP-Server in dem Netz. Punkt!

Servus,

dann führe doch an einem solchen Client mal ein IPCONFIG -ALL aus, dann siehst du von welchem DHCP-Server es kommt.

Evtl. hängt doch ein Gerät im Netz, dass DHCP spielt.

Servus,

Was meint Ihr was ich tun kann?

per GPO hast du lediglich Einfluss auf den IE.

Dort kannst du nun einen falschen Proxy eintragen lassen etc., was aber nicht viel Sinn macht und dazu auch noch leicht zu umgehen ist.

Was du brauchst, ist ein echter Proxy (ISA, Squid usw.) mit Benutzerauthentifizierung. Schau dir z.B. den IPCop mit dem "Advancerd Proxy" Addon an.

Denn ansonsten kann sich der Benutzer Firefox downloaden, nach %Temp% entpacken, die Firefox.exe starten und freut sich das er im Internet surfen kann, obwohl er das nicht soll. Es ist keine Installation notwendig und es wirkt auch keine GPO.

Stellt sich die Frage ob ich so ein Problem mit verlorenen zwischengespeicherten Domänenkonten irgendwie für die Zukunft vermeiden kann!?

Nein, da man nicht weiß, wie das zustande kommt.

Die User haben per VPN Zugriff auf einige unserer Server bzw. Anwendungen. Wenn ich per VPN eine Kommunikation mit dem DC ermögliche, aktualisieren sich die (offline angemeldeten) Domänen-Konten vielleicht irgendwie?

Der Zugriff alleine reicht nicht aus. Der Benutzer muss sich am DC authentifizieren/anmelden, erst dann funktioniert es.

Servus,

ich würde sagen, dass ein Problem mit dem sicheren Kanal besteht.

Dazu müstest du den Client aus- und wieder in die Domäne nehmen.

Es gibt aber noch weitere Möglichkeiten, die du hier lesen und nachgehen kannst:

EventID.Net

Gib´s ne Möglichkeit als lokaler Admin das Profil irgendwie wiederherzustellen ohne den Rechner in die Domäne zu hängen?

 

Der User kann mit seinem lokalen Konto (mit Einschränkungen) arbeiten.

Du könntest höchstens dem lokalen Benutzer, das Profil des Domänen-Benutzers zur Verfügung stellen.

Du meldest dich als lokaler Administrator an, löschst das Profil des bestehenden lokalen Benutzers. Da er sich mit dem lokalen Benutzer bereits angemeldet hat, existiert auch lokal sein Profil.

Nun deklarierst du das Domänen-Profil zum "Default-Profil".

Das bedeutet, jeder neue Benutzer würde bei der Erst-Anmeldung das Domänen-Profil bekommen.

Das ganze ist in diesem Artikel beschrieben:

Wie kann ich Benutzerprofile migrieren? - faq-o-matic.net

Dann hast du lediglich den Domänenfuntkionsmodus, aber nicht den Gesamtstrukturfunktionsmodus heraufgestuft.

Lies nochmals meine erste Antwort genau durch, da steht alles drin.

Servus,

Klappt auf über 60 Rechnern einwandfrei, nur bei einem hat der Mitarbeiter seit heute die Fehlermeldung das die Domäne nicht verfügbar ist und er somit nicht angemeldet werden kann.

leider kann das "einmal im halben Jahr" vorkommen.

Dann vergisst sozusagen der Client das zwischengespeicherte Benutezrprofil.

Wenn es dann keinen lokalen Benutzeraccount gibt (somit hat der Benutzer ein anderes Profil), kann sich der Benutzer erst wieder anmelden,

wenn er sich erfolgreich an der Domäne authentifiziert hat.

Erst danach, kann er sich auch ohne Verbindung zum Netzwerk wieder anmelden.

Servus,

Kann mir jemand plausibel den unterschied zwischen forwarder und conditional forwarder erklären?Und wenn da einer ist auch die Idee dahinter? ich seh da nicht wirklich einen Unterschied..

alle Anfragen die der DNS-Server nicht beantworten kann, leitet er an den Forwarder weiter.

Jetzt kannst du seit Windows Server 2003 bestimmen, dass er aber anfragen einer bestimmten Domäne, an einen bestimmten DNS-Server weiterleiten (bedingte Weiterleitung) soll.

2. gibt es beides auch sowohl in AD integriertem DNS und nicht AD integrierten DNS?

Ja.

Salut,

Der Aufwand ist minimal die Folgen evtl. gravierend. Was muss beachtet werden? Was habt ihr für Erfahrungen gemacht? Ich würde zunächst ein Snapshot von beiden DCs machen und dann den Level anheben.

es ist auf alle Fälle ratsam, in den höheren Modus (in diesem Fall Windows Server 2003) zu wechseln,

um von den vorteilen die dir dieser Modus bietet (AD-Replikation, LVR, etc.), zu profitieren.

Der Modus betrifft lediglich die DCs und nicht die Clients oder Memberserver.

Auch in Domänen- respektive Gesamtstrukturfunktionsmodus "Windows Server 2003" können weiterhin Windows NT/2000 Memberserevr existieren.

Fakt ist, einmal hochgestuft - immer hochgestuft. Ein zurückwechseln des Modus ist nicht mehr möglich.

Wenn du den Dom.-Modus hochgestuft hast, kannst du keine DCs die mit einem älteren OS laufen mehr zur

Domäne hinzufügen (was ohnehin nicht tragisch ist).

Den Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen.

Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist

umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können.

In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen.

Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs

mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist.

Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus

"Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein.

Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin.

Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive

Gesamtstruktur "zügig" vollzogen werden. Denn wenn man sich dabei Zeit lässt, können Replikationsprobleme auftauchen.

Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“

oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN),

wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ heraufgestuft werden kann.

Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen.

Für den Gesamtstrukturfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet <CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen.

Für den Domänenfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet

<DC=DeineDomäne,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen.

Servus,

aktualisiere mal die Netzwerkkarten-Treiber und starte den Server neu.

Wenn das auch nicht geholfen hat, dann lege das Eventlog neu an:

1. den Dienst für die Ereignisanzeige deaktivieren

2. danach den Server neu starten

3. die Datei für die Ereignisanzeige löschen (Pfadangabe steht

in den Eigenschaften des jeweiligen Logs)

4. den Dienst erneut auf "Automatisch" stellen

5. Server neu starten