Daim

Aloha, daraus entnehme ich, dass jeder Standort bisher seine eigene Single-Forest Domäne ist. Das hört sich so an, als wenn du nach dem Single-Domain-Forest nun für alle Standorte suchst. Das bedeutet, alle Standorte befinden sich in einer Domäne und die einzelnen Standorte werden im Active Directory durch die AD-Standorte abgebildet. Das macht auch Sinn, wenn ihr in der Zentrale für alle Standorte verantwortlich seit. Wie du das IP-technisch erledigst, bleibt dir überlassen. Fakt ist, dass Routing muss zwischen den Standorten funktionieren (OSI-Layer). Die IP-Adressen sollten sich nicht mit anderen Standorten überschneiden. Das hast du bei der Single-Domänen Struktur automatisch. Wenn möglich, würde ich an jedem Standorte einen DC hinstellen. Dieser dient dann als Anmeldeserver für die Clients. Natürlich müssen die Standorte im Snap-In "Active Directory-Standorte und -Dienste" erstellt und samt ihrem Subnetz verknüpft werden. Die jeweiligen DC-Icons müssen dann an ihren entsprechenden Standort verschoben werden. Somit würde an jedem Standort ohnehin je ein DC der gleichen Domäne stehen und somit wäre die Domäne gegen einen DC Crash mehrfach (durch die DCs an den Standorten) gesichert. Es sollte lediglich sichergestellt werden, dass an den jeweiligen DCs, regelmäßig das System State gesichert wird. Prinzipiell kann man sagen: Der Nachteil bei mehreren Domänen wären: - Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte. - Dadurch entstehen hohe Hardware- sowie Lizenzkosten. - Jeder DC sollte/muss vor Ort physikalisch geschützt sein. - Jede Domäne muss gesichert werden (Backup). Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden. Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an. Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen. Lies dir auch diesen Artikel durch: Welches Domänenmodell ist das Beste für Active Directory? - faq-o-matic.net

The same Procedure. Ohne vorher eingestelltes "verfeinertes" protokollieren der AD-Replikation - das ohnehin NUR beim Troubleshooting eingestellt werden sollte, da ansonsten der Überblick anhand der Menge auf der Strecke bleibt - No Chance! Morituri te salutant :cool: .

Moin, da hast du aber auch sowas von Recht ;) . JETZT, wo der User bereits gelöscht und die Richtlinie nicht aktiviert war = No Chance :( . Der OP kann für die Zukunft folgende Policy aktivieren: Computerkonfiguration\Windows-Einstellungen\ Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen Erst ab dann, wird die eingestellte Option protokolliert. Wie immer an dieser Stelle wenn es um Protokollierung geht: Eine Protokollierung ist vom Betriebsrat zu genehmigen!

Nö, ich bin schon im richtigen Thread. Ich bin lediglich - aus mir noch nicht erklärlichen Gründen - vom OP abgewichen ;) .

Servus, nach meinem Kenntnis-Stand liegt unter Windows 2000 sowie Windows Server 2003 das Abfrage-Limit bei 1000. Also jeder Abfrage werden 1000 Ergebnisse/Werte geliefert. Daher sollte im vornherein, eine Seitenweise Abfrage gestellt werden. Das hängt mit der Hardwareanforderung ab. Wenn z.B. 200 Clients zur gleichen Zeit eine größere Abfrage starten würden, wäre der DC damit überfordert, wenn er die vollen Ergebnisse liefern müsste. Denn eine Abfrage könnte ja schließlich 5.000.000 Werte liefern :suspect: . Daher hat man das ganze eingegrenzt, was ja auch Sinn macht, wenn man die Hardware (hauptsächlich den RAM) mit einbezieht.. Retrieving Large Results Sets (Windows)

Dein erwähnter "normaler Benutzer" ist doch meistens (standardmäßig) auf s/einem Standalone Rechner ohnehin Admin ;) . Daher ist das Feld zum joinen dort bei ihm nie ausgegraut :P .

Ohne DNS läuft platt gesagt, kein AD. Dann gilt es zuerst das DNS zum laufen zu bringen. Alles andere ergibt sich dann. Also werte die Fehlermeldungen im DNS-Log aus.

In den Benutzereigenschaften findest du - falls eins besteht - das Anmeldeskript (z.B. Login.bat). Dieses wiederum findest du im Netlogon-Verzeichnis. Das könnte man mit NTBACKUP lösen. Die Sicherung erstellt die z.B. eine BKF Datei die dann wiederum auf DVD gebrennt werden müsste. Das brennen kann jeder erledigen.

Das Backup gehört zumindest nicht auf eine HDD, die im gleichen Server hängt. Je nachdem um wieviel Daten es sich handelt, wären DVDs eine bessere Variante als eine HDD in der gleichen Maschine. Die DVD könnte man dann zusätzlich nochmals kopieren. Das kommt eben auf die Datenmenge an. Die Freigaben werden ja sicherlich per Login-Skript gemappet. Dort gilt es dann die Pfade anzupassen. Tatsächlich kann es aber auch in Word-Dateien zu Verzögerungen kommen. Siehe: WD: Das Öffnen von Word-Dokumenten dauert sehr lange

Je nachdem um welche Verlinkungen es sich handelt, könnte das schon zutreffen. Man könnte sich auch mit einem CNAME-Eintrag im DNS behelfen (was für mich aber nur Interimsweise in Frage käme). Beim Thema Backup kann es sich sogar um den Privat-PC vom Papst handeln. Im Fall der Fälle - stehst DU alleine da. Da kommt keiner und sagt vonwegen... "ja stimmt, wir haben dem Admin gesagt, er soll das Backup so oder so machen". Dann heißt es sehr schnell: "Ja warum denn das? Sie sind doch der Fachmann". ICH würde mich auf nichts einlassen und trotzdem versuchen, mit Egenlszungen die Jungs zu überzeugen. Das ist besser so ;) .

Das geht garnicht. Dieser soll ja schließlich ein DC werden und sich mit dem anderen DC replizieren. Zu Windows Server 2003 Zeiten, kann man einen DC jederzeit umbenennen, aber nicht einen Windows 2000 DC. Wenn dir der Name so wichtig ist, musst du über eine dritte "interims" Maschine gehen.

Dann füge eben den neuen Server als zusätzlichen DC deiner bereits bestehenden Domäne hinzu. Gehe dazu nach diesem Artikel vor: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Du tust dir und deiner Firma aber keinen gefallen, glaube mir. Im Fall der Fälle, ist das Backup das einzige was deine Firma und deine vier Buchstaben rettet. Mir ist klar das die Vorgesetzten zuerst die ganz eGeschichte nicht dramatisieren, dass sollten sie aber und spätestens wenn es zu spät ist, spüren sie es am eigenen leibe. Daher kann ich nur an den gesunden Menschenverstand appelieren, stellt das Thema Backup auf vernünftige und vorallem gesundene Beine. Das macht ihr nicht mir zu liebe... Wenn möglich, sollte jede Domäne zwei DCs haben und wenn der zweite eine VM wäre... Hmm... das ganze ist eine "wackelige" Angelegenheit... damit könnte ich nicht ruhig schlafen. Andere dafür, vielleicht schon. Na klar. NTBACKUP ist ja auch in Windows 2000 enthalten. Mit Sicherheit ;) .

Mit CSVDE sowie LDIFDE kommst du ebenfalls zum Ziel ;) .

Das hängt mit deinem "gesamt Problem" zusammen. Denn wie ich bereits erwähnte, wie konnte das passieren ? Gehe den einzelnen Fehler-IDs mit Hilfe einer Suchmaschine nach. Die Seite EventID.Net ist dir dabei ebenfalls behilflich.

Sehr guter Einwand :cool: . @OP Der authentifizierte Benutzer konnte schon seit NT-Zeiten bis zu 10 Clients zur Domäne hinzufügen. Alles weitere steht im verlinkten Artikel von ducke .

Aloha, ist der 2000er Server auch ein DC ? Der neue Server soll dann wohl auch ein DC werden ? Ich hoffe als Betriebssystem ist ein Windows Server 2003 installiert ? Das könntest du per Explorer einfach kopieren, aber die bessere Variante wäre z.B. über NTBACKUP oder ROBOCOPY. Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen Kopiere die User-Profile z.B. mit "XCopy /o" auf den neuen Server und trage den neuen Pfad in die Benutzerkonten ein. Yusuf`s Directory - Blog - Profile (lokal/servergespeichert) Reichen dir die bereits verlinkten Artikel ? Du hast kein RAID im DC ? Backup auf die zweite Festplatte die im gleichen Server steckt ? :suspect: Das Thema Backup von Dateien ist ein ganz sensibles. Eine Sicherung gehört weg vom Server. Wenn dir der Server abraucht, einen elektrischen Schaden bekommt, dann könnte auch die zweit eHDD einen Schaden bekommen. Falls es ein DC ist, dann gehört regelmäßig das SYSTEM STATE mit NTBACKUP gesichert. Meine Antworten kosten dich Null ;) .

... und da gehört - wie auf allen DCs - mindestens das System State gesichert. Exakto Mundo. Deswegen soll man ja in jeder Domäne zwei DCs betreiben, aus gründen der Redundanz. Es wäre für dich leichter gewesen, wenn du dich vorher gemeldet hättest, natürlich ist es kein muss. Aber "Null Problemo", dass lässt sich auch jetzt - zwar mit mehr Aufwand - richten ;) .

Jahaa... das zweite Zitat hast du nachgeschoben. Eine neue Diskette mit der ASR-Sicherung kann man sich dann natürlich auch erstellen. Erst JETZT, habe ich dich verstanden.

Ja hast du. Auch wenn es sich um eine nagelneue Diskette handelt, ist sie nicht ewig (sogar viel kürzer) lesbar. Gerade auf Disketten gebe ich nicht eine lange Lebenszeit. Ich würde auf doppelten Boden bauen... Warum diese Verwunderung ? Hattest du es noch nie erlebt, dass du eine Diskette nicht mehr lesen konntest und das, obwohl es sich um eine neue Diskette handelte und diese dazu auch noch, nur wenige Wochen alt war ?

Do you speak english ? ;) . ADUC = Active Directory-Users and -Computers = Active Directory-Benutzer und -Computer (ADBuC).

Wobei ich die Gefahr dann sehe, dass wenn der Fall dann eintritt, die Diskette nicht mehr lesbar ist, weil sie vor 6 Monaten erstellt wurde... Das erfordert in meinen Augen eine weitere Handlung.

Das, in jedemfall. Wenn der Fehler dann weiterhin protokolliert wird, versuche herauszufinden, ob es sich noch um ein weiteres Objekt handelt. Ein Blick in das Snap-IN ADUC, dort in den Ordner Lost-and-Found (unter Ansicht - Erweiterte Funktionen aktivieren) ist auch hilfreich.

Schade das man es jetzt nicht mehr nachvollziehen kann. Das hätte sicherlich auch anders gelöst werden können und wenn es am Ende mit einer System State Sicherung gelöst wäre. Ich bleibe dabei, dass AD war noch installiert ;) . Es lag an etwas anderem. Aber jetzt ist es ohnehin zu spät. :shock: Das ist aber nicht die feine englische... Ist das der einzigste DC ? Merke: Mit Datenbanken so wie es die AD-Datenbank darstellt, sowie dem SYSVOL-Verzeichnis ist behutsam vorzugehen. Ein Copy-and-Paste kann tödlich sein. Würde ich in jedemfall tun. Der jetztige Zustand wäre mir zu ungewiss. Auch wenn nur ein DC existiert, würde ich zusehen und einen zweiten dazu installieren... und wenn es letztenendes eine VM ist.

Das steht alles hier: Was muss ich tun, um den ersten DC zu deinstallieren? - faq-o-matic.net Ja, die Freigaben sowie Dateien werden nicht angefasst. Du kannst es ja in einer VM nachstellen. Na, dazu muss ich ja was sagen ;) .

OK und diese Sicherungsart trifft doch auf dein gegebenes Beispiel einer gecrashten DCs exakt wieder. Genau dafür, ist eine ASR-Sicherung gedacht. Wenn zum Beispiel eine HDD asfällt (oder sich das RAID zerschießt), dass man diese austauscht, dass System neuinstalliert und direkt die ASR-Sicherung rücksichert. Das auch noch ohne Zusatz-Software (Kosten.)