Daim

Man braucht dazu noch nicht einmal eine Quelle. Woher soll denn Microsoft "eigentlich" wissen, was die virtuelle Software eines Dritt-Herstellers so treibt. Hier hast du die Quelle: Support policy for Microsoft software running in non-Microsoft hardware virtualization software

Kontrolliere (wie so oft) - das DNS. Überprüfe ob im DNS die SRV-Records von den bestehenden DCs existieren und die Clients, einen bestehenden DNS-Server (nicht einen externen DNS-Server oder Router) mitgeteilt bekommen, sei es statisch oder per DHCP. Des Weiteren sollten auf den bestehenden DCs, der globale Katalog aktiviert werden. Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) Der Fehler mit der ID 13508 ist ein NTFRS Problem und hat mit dem Anmelde-Problem der Benutzer nichts zu tun. Natürlich solltest du abre diesen Fehler beheben. Betriebshandbuch für Active Directory: Problembehandlung für den Dateireplikationsdienst Das DNS ist in einer Active Directory Domäne elementar.

Aloha, der UPN ist für Mitarbeiter die viel im Unternehmen unterwegs sind und an verschiedenen Clients sitzen interessant. Sie bräuchten dann nicht - egal in welcher Domäne sie sich befinden - ihre Domäne auswählen. Gerade für den IT-Support der stets unterwegs ist, wäre es interessant. Stümmt :cool: .

Servus, eine Gruppe unter Windows 2000 kann/darf max. 5.000 Mitglieder haben. Gruppenmitgliedschaften sind im Active Directory unter Windows 2000 ein mehrwertiges Attribut, was soviel heißt, dass bei einer Änderung dieser Gruppe, die gesamte Gruppe repliziert wird und nicht nur der z.B. hinzugekommene Benutzer. Weiterhin wird das Ticket das der Benutzer bei der Anmelddung erhält größer, da in dem Ticket die SIDs der Gruppen in denen der Benutzer Mitglied ist enthalten ist. Dabei zählen die Gruppen in denen der Benutzer direkt oder verschachtelt Mitglied ist. Dieses Verhalten hat sich unter Windows Server 2003 - da auch nur, wenn sich die Gesamtstruktur im Gesamtstrukturfunktionsmodus "Windows Server 2003" befindet - verbessert. Dort gibt es diese Grenze von 5.000 Benutzern nicht mehr. Das Stichwort dazu lautet: Linked Value Replication (LVR). Der Benutzer kann zwar in beliebig vielen Gruppen Mitglied sein, aber in das Access-Token des Benutzer können maximal 1.024 SIDs eingetragen werden. Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication Tatsächlich kann es aber schon weit unter dem Wert (1.024) zu Problemen kommen. Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen. New resolution for problems with Kerberos authentication when users belong to many groups Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen: Microsoft Corporation

Servus, das regeln die DCs unter sich bzw. der Client bekommt durch das DNS mitgeteilt, welche DCs in der Domäne existieren. Man könnte anhand der Priorität sowie Gewichtung im DNS daran drehen, welche DC bevorzugt zu nutzen wäre oder künstlich durch erstellen von AD-Standorten, dass ist aber nicht empfehlenswert. Die Systeme machen das unter sich aus, ganz nach dem Motto: Wer zuerst kommt, der malt zuerst. Aus dem DC solltest du auch das DNS installieren und deine FLZ sollte AD-integriert sein. Achte darauf das sich der neue DC mit seinen SRV-Records im DNS eingetragen hat und kontrolliere das Eventlog. Welche DC den Benutzer authentifiziert hat, erfährst du auf folgende Art: Yusuf`s Directory - Blog - Welcher DC ist der Anmeldeserver ?

Servus, du kannst einen Windows 2000 Server nur dann als Domänencontroller in eine Windows Server 2003 Domäne hinzufügen, wenn die Domänenfunktionsebene noch auf Windows 2000 gemischt oder Windows 2000 pur ist. Ist die Domänenfunktionsebene auf Windows 2003 Interim oder Windows Server 2003, kannst du einen 2000er DC nicht hinzufügen. Ein zurückstufen des Domänen-Modus ist nicht möglich!

Slm Ümit, achte in folgendem Artikel auf die rote Schrift: Yusuf`s Directory - Blog - Anmeldungen protokollieren

Servus, ist diese Aussenstelle seine eigene Domäne im einem Forest oder lediglich ein AD-Standort einer bestehenden Domäne? Da du von einem Monat sprichst, ist auch die Tombstone Lifetime nicht überschritten. Wenn es sich um eine Domäne handelt, kannst du den DC mit Stand der System State Sicherung wiederherstellen. Die Änderungen nach der System State Sicherung wären dann verloren. Beachte dazu folgenden Artikel: Yusuf`s Directory - Blog - Einen Server mit rücksichern des System State zum DC stufen Wenn es sich um einen Standort handelt, kannst du ihn neu installieren und fügst ihn erneut als "zusätzlichen DC einer bereits existierenden Domäne" hinzu. Den Rest erledigt dann die AD-Replikation. Beachte meinen verlinkten Artikel.

Cool... warum nicht gleich so :cool:

Servus, den ISA auf einem DC zu installieren ist: Wie wenn der Bodyguard auf der Tanzfläche steht (und nicht VOR der Tür). Der ISA auf dem DC ist ein NO GO !

Servus, zuerst einmal, solltest du dir über die Begrifflichkeiten im klaren sein. Z.B. heißt es nicht mehr ADS - sondern AD ... und zu Windows Server 2008 Zeiten heißt es dann AD-DS ;) . Jetzt geht es mit den Begrifflichkeiten schon los. Es existiert also eine Gesamtstruktur mit nur einer (also Single-Domain Forest) oder mehreren Domänen ? Existieren in der Domäne Windows 2000 oder Windows Server 2003 (oder beides) DCs ? Nur weil die mobilen Clients (Laptops) selten am Netz hängen, kann man sie doch trptzdem zur Domäne hinzufügen. Wenn die Clients dann unterwegs sind, kann sich der Benutzer mit seinen zwischengespeicherten Benutzerinformationen am Laptop ganz normal anmelden. Es sieht alles so aus, wie wenn er sich an der Domäne anmeldet mit dem einzigen unterschied, dass ihm keine Netz-Ressourcen zur Verfügung stehen. Ich würde für den Fall der Fälle, zusätzlich lokal einen administrativen Account einrichten. Der Benutzer sollte lokal natürlich auch keine Admin-Rechte haben. So oder so, ich würde alle Clients zur Domäne hinzufügen. Abgesehen davon hängt das von der Applikation ab. Begrifflichkeiten-Alarm ;) . Du fügst die mobilen Clients ebenfalls zur Domäne hinzu und diese nutzen die bestehenden Domänencontroller. Nicht jeder Client erhält einen DC, dass wäre ja noch schöner ;) . Bisher geht es nach meinem Verständnis nach diversen mobilen Clients. Diese würde ich zur bestehenden Domäne hinzufügen. Wenn das nicht zutrifft, musst du das ganze etwas weiter erläutern. Wenn kein Traffic zwischen WEM nicht stattfindet? DCs müssen sich replizieren. Man kann das splitten, in dem man mehrere Gesamtstrukturen erstellen würde. Aber das muss eben den Anforderungen entsprechend designed werden. Ich persönlich tendiere gerne zu dem Single-Domänen-Forest, aber das kommt immer auf die Gegebenheiten darauf an. Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen. Lies dir auch diesen Artikel durch: Welches Domänenmodell ist das Beste für Active Directory? - faq-o-matic.net

Servus, ergänzend hierzu: Das Computerkonto-Kennwort auf DCs, lässt sich NUR über Netdom zurücksetzen und nicht über das dsa.msc. Das würde das Snap-In einem aber auch mitteilen ;) .

Servus, du meinst sicherlich nicht den "globalen Katalog", sondern, den Schema-Master ;) . ADPREP gilt es nur beim hinzufügen des allerersten R2-DCs in der Gesamtstruktur auszuführen. Wurde also bereits das ADPREP von der zweiten R2-CD ausgeführt, ist ein erneutes ausführen nicht nötig. In einer Windows Server 2003 Domäne ist der Parameter /Domainprep nicht nötig.

Servus, nein. Was zu beachten ist, entnimmst du bitte aus dem unten stehenden Artikel. Du musst nur, wenn du die R2-Features nutzen möchtest/musst. Dann müssen alle Server auf R2 aktualisiert werden. Es spricht nichts dagegen. R2 ist keinerlei Update der Betriebssystemkomponenten. R2 müßte man eher "Feature-Pack" nennen. Die erste CD von R2 ist ein Windows Server 2003 mit Service Pack 1. Die zweite CD macht daraus ein "R2" indem Zusatzkomponenten unter Systemsteuerung - Software eingetragen werden, die man dann für bestimmte Szenarien nachinstallieren kann. Wenn Du ein R2 hast, schau mal auf die zweite CD im Ordner DOCS. Die dortige Datei R2SETUP.CHM enthält alle Informationen über R2. Worauf du achten musst, kannst du hier entnehmen: Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Servus, jajaa... der Virtualisierungs-Hype ;-). Dann auch gleich 5 Server, darunter Mail-, DB-, DC Server auf einem Host-System :cool: . Auf die Frage "sollte man..." kann man nur antworten, man kann virtualisieren. Es hängt von der Strategie ab, die das Unternehmen verfolgt. Und wenn man virtualisiert, sollte man darauf achten, welche Server man im Unternehmen virtualisiert. Lies dir dieses Whitepaper durch: http://www.microsoft.com/downloads/details.aspx?FamilyId=64DB845D-F7A3-4209-8ED2-E261A117FC6B&displaylang=en

Servus, kontrolliere ob dir dieser Artikel hilft (das sollte es). Event ID 53258 is logged in Event Viewer after you install or remove Active Directory in Windows Server 2003

Servus, das Troubleshooting des Fehlers - warum/wieso/weshalb - dauert länger, als den DC so wie es twenty bereits erwähnte, herunterzustufen. Siehe: Yusuf`s Directory - Blog - Das Active Directory gewaltsam vom DC entfernen Aber nicht vergessen, zum Schluss muss dann noch die Leiche aus dem AD mit NTDSUTIL oder ADSIEdit entfernt werden.

Servus, deine Fehler bezgl. des SYSVOL hatte ich nocht nicht. Dafür hatte ich den Fehler mit der Event ID 13568. Darüber habe ich selbst einen Artikel geschrieben: Yusuf`s Directory - Blog - Dateireplikationsfehler mit der ID 13568 Wichtig ist, dass auf irgendeinem DC das SYSVOL komplett ist und die Junction Points existieren - also bei dem Fehler 13568. Du kannst das aber auch bei dir mal kontrollieren (anhand des Artikels).

Servus, da erwartet dich einniges an Arbeit. Forste dich durch dieses Dokument durch: Recovering missing FRS objects and FRS attributes in Active Directory Dieser Fehler ist sicherlich ein Folgeproblem. Versuche zuerst den o.g. Fehler zu beheben und kontrolliere ob noch weitere Fehler gemeldet werden.

Servus, generelle Empfehlung: Bearbeite die GPOs immer von dem neueren System - in deinem Fall von einem XP-Client und installiere dir die GPMC.

Servus, der Benutzer bekommt bei der Anmeldung ein Access-Token und dabei werden die Gruppenmitgliedschaften ausgewertet. Änderungen an den Gruppenmitgliedschaften können und werden NICHT "online" ausgewertet. Das Access Token wird nur bei der Anmeldung erstellt und wird nicht während der laufenden Benutzer-Sitzung automatisch aktualisiert. Bei der Benutzer-Anmeldung erzeugt der Client mit Hilfe seines Anmelde-DCs ein Access-Token für den User. In diesem Token steht seine aktuelle SID, die SID seiner SID-History und die SIDs aller Gruppen, denen der Benutzer angehört. Mit diesem Token wird dem Benutzer erlaubt, auf die Netz-Ressourcen zuzugreifen. In den Ressourcen (z.B. Freigaben) ist ebenfalls die SID hinterlegt (die Namen der Zugriffsberechtigten). Dann vergleicht der Server die SID in den ACLs mit der SID im Access-Token des Benutzers. Der Client findet über das DNS seinen KDC der ihm sein Ticket ausstellt. Yusuf`s Directory - Blog - Kerberos - Das Authentifizierungsprotokoll unter Windows Server 2003

Servus, warum "musst" du die Domäne umbenennen ? Eine Domänenumbenennung sollte gut überlegt und bis zum Ende durchdacht sein. Ich empfehle wenn möglich, jederzeit eine Domänenumbenennung zu umgehen (wenn es sich vermeiden lässt). In einer produktiven Umgebung existieren einige (um nicht zu sagen etliche) Applikation, die sowohl von größeren wie auch von kleineren Software-Häusern entwickelt wurden. Können diese Hersteller dafür garantieren, dass ihre (Netzwerk) Applikationen nach einer Domänenumbenennung noch ordnungsgemäß funktionieren? Es handelt sich dabei aber nicht um die Root-Domäne ? Denn diese muss immer die Root-Domäne bleiben. Die Clients sowie Memberserver müssen zweimal gebootet werden. Idealerweise testet man so eine große Aktion vorher in einer Testumgebung. Und vorallem, dass Whitepaper von grizzly aufmerksam durchlesen.

Servus, dem Client der pingt, ist das DNS-Suffix der Sub-Domäne nicht bekannt ist. Du kannst das DNS-Suffix per GPO an die Clients verteilen. Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client "Suchliste für DNS-Suffix"

Das ist dann aber wirklich ein sehr merkwürdiges Verhalten. Das solltest du direkt mit dem Hersteller mal besprechen.

Das liest du bitte selbst im Internet nach. Eine Suchmaschine deines vertrauens ist dir bei behilflich. Wenn der bereits heruntergestufte der allererste DC war, dann ist es ohnehin zu spät. Du kannst dann mit Cipher /r ein neues Zertifikat erstellen. Was muss ich tun, um den ersten DC zu deinstallieren? - faq-o-matic.net