Daim

Wenn das der erste DC in der Gesamtstruktur ist, dann wäre noch das EFS-Zertifikat zu sichern. Es sein denn du bist dir 100% sicher, dass bisher kein EFS genutzt wurde. Dann kannst du den 2000er mit DCPROMO aus der Domäne nehmen, dass DNS sowie WINS kontrollieren und im Snap-In die "Hülle" des 2000er DCs entfernen. Anschließend - wenn keine weiteren 2000er DCs mehr existieren, kannst du im ersten Schritt den Domänenfunktionsmodus, gefolgt von dem Gesamtstrukturfunktionsmodus (hierbei darf es keinen 2000er DC in einer anderen Domäne geben) auf Windows Server 2003 stufen. Den Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können. In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist. Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein. Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin. Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive Gesamtstruktur "zügig" vollzogen werden. Denn wenn man sich dabei Zeit lässt, können Replikationsprobleme auftauchen. Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN), wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ heraufgestuft werden kann. Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen. Siehe auch: How to raise domain and forest functional levels in Windows Server 2003

Salut, warum "muss" ? Da es sich um eine SBS-Domäne handelt, kann doch das Netz nicht soo groß sein ,da der SBS lediglich 75 Benutzer zulässt ;) . Das ist genau ein DC zu wenig. Wenn möglich sollte jede Domäne - und dazu gehört auch eine SBS-Domäne - zwei DCs haben. Warum hast du keinen DHCP im Einsatz ? Der erleichtert dir doch das Leben. Beachte diesen Artikel bezgl. des DCs: Yusuf`s Directory - Blog - Die IP - Adresse eines Domänencontrollers ändern Du musst eben auf allen Geräten die neue Adresse eintragen (Clients, Server, Drucker, Kopierer etc.). Die Clients tragen sich im DNS dann mir der neuen IP-Adresse ein. Das AD hat damit nichts zu tun, eher das DNS ;) .

Servus, erleichterst du dir dabei die Arbeit und migrierst auch mit ADMT ? Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Bitte gleich merken, PDC/BDC gibt es nicht mehr. Seit Windows 2000 sind es nur noch DCs ;) . Das ist das entscheidende. Dann kannst du den 2000er Server ganz normal als zusätzlichen Domänencontroller einer bereits existierenden Domäne hinzufügen. Danach solltest du auf dem 2000er das DNS noch installieren und auf diesem den GC aktivieren. Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

Servus, wenn du dir mit Gewalt deine Struktur zerstören möchtest, könntest du dich ins innere des AD stürzen und z.B. mit ADSIEdit das Trust-Objekt löschen. Aber dann kannst du auch gleich mit dem Hammer auf den DC schlagen. Die AD-Replikation ist dabei das elementare und so wie grizzly es korrekterweise schon geschrieben hat, sind die Trusts in einem Forest transitiv und diese lassen sich standardmäßig mit dem Standard-Snap-In (AD Domänen- und Vertrauensstellungen) nicht löschen (warum wohl?). Du könntest aber, entweder per selbst erstellter ADM die Default Domain hinterlegen oder aber komplett ausblenden. Dann könnte man sich aber nur noch über den UPN-Namen sich anmelden und nicht mehr mit dem samAccountName (NT-Namen). Wie genau das geht, suchst du bitte selbst im Internet. Fakt ist: Finger weg von den Vertrauensstellungen!

Warum machst du einen neuen Post auf? Was soll das mit dem "...hier alle Ahnungslos" ? Die Antwort habe ich dir im anderen Thread gegeben: http://www.mcseboard.de/windows-forum-ms-backoffice-31/windows-2003-a-3-15556.html#post748843 Nochmal so ein Post und ich antworte auf keiner deiner Fragen mehr :( .

Servus, erstens wird dort von "Hardware requirements" gesprochen. Zweitens können auch heute - zu Windows Server 2003 Zeiten - noch, Windows NT-BDCs existieren. Es kommt auf die Domänenfunktionsebene darauf an. Drittens gibt es ab Windows 2000 die Funktion des NT-BDCs eben nicht mehr, da ab Windows 2000 alle DCs schreibberechtigt sind. Der BDC zu Zeiten von NT konnte keine Änderungen vornehmen, sondern nur der PDC. Die FSMO-Rolle des PDCs spielt hierbei keine Rolle. Viertens wird ein NT-BDC erst mit dem Windows Server 2008 nicht mehr unterstützt. Dort kann es nur noch Windows 2000/2003/2008 DCs geben. Memberserver kann es aber weiterhin noch geben, sprich NT/2000/2003/2008.

Dabei gilt es die DNS-Konsole zu kontrollieren (existieren alle Unterordner und die SRV-Records). Zeigt das DNS-Log etwas an usw. Auch gezielte DNS-Tests mit DCDIAG sind hilfreich. Warum denn das? Der Parameter /removelingeringobjects entfernt Objekte die älter als die Tombstone Lifetime (TSL) sind. Ist das denn bei euch der Fall, dass der DC sich länger als die TSL nicht repliziert hat oder warum kommt ihr auf den Gedanken, dass anzuwenden ? Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte) Na soviel englisch wirst du wohl auch können, um die Meldung zumindest Wort-wörtlich zu übersetzen. Leider sagt diese Meldung nicht aus, wo genau das Problem liegt. Also gilt es hier Troubleshooting zu betreiben oder wenn man keine Zeit/Lust/Nerven dazu hat, den Microsoft Produkt Support Service (MS-PSS) anzurufen. Den kann man aber auch dann anrufen, wenn man selbst alles mögliche versucht hat ;) .

Dein Hauptproblem ist das DNS. Dieses gilt es erstmal in den Griff zubekommen. Da das DNS ein elementarer Bestandteil einer Active Directory Domäne ist, kann es nicht ordnungsgemäßer Funktion zu Fehlern kommen, die nicht gleich auf ein DNS-Problem hinweisen (z.B. das öffnen von dsa.msc). Wenn das DNS Problem gelöst wird, werden dadurch auch andere Nachfolge-Fehler gelöst. Da der Fehler sehr vielseitig ist, musst du dich leider durch diese Artikel/Hinweise durcharbeiten :( . Problems with Many Domain Controllers with Active Directory Integrated DNS Zones EventID.Net Generell kannst du die Fehler IDs bei EventID.Net nachgehen. Wurde der DC in letzter Zeit zurückgesichert/geimaget?

Servus, dieses Symptom kann auch auftreten, wenn z.B. eine Gruppe mit vielen Mitgliedern, in weiteren Gruppen verschachtelt ist bzw. ein Benutzer war in vielen Gruppen Mitglied, die wiederum in anderen Gruppen verschachtelt waren. Das Token konnte dabei von dem Benutzer nicht erstellt werden, da es die ganzen Gruppen nicht auswerten konnte. Abhilfe könnte folgender Artikel schaffen: New resolution for problems with Kerberos authentication when users belong to many groups Falls das nicht zutrifft, wäre ein DCDIAG /v interessant.

Servus, existiert diese Richtlinie denn auch unter Windows 2000 (habe gerade keinen 2000er Client da) ?

Das findest du doch recht schnell heraus. Ein Benutzer soll sich an einem Client, an dem er sich bisher noch nicht angemeldet hatte anmelden. Danach überprüfst du, ob das Verhalten gleich ist oder nicht. Überprüfe an den Clients auch das Eventlog.

Der Server Core unterstützt bisher AD, DNS, DHCP, File-Services und seit neustem auch der IIS. Datenbank- sowie Mail-Server werden auf dem Server Core (Stand heute) nicht unterstützt. Macht ja auch Sinn, denn auch diese Systeme würden das Konzept des Server Cores über Board werfen.

Nope. Korrrrrrekt ;) . Was willst du für Neuigkeiten hören ? Ob man die Powershell unter dem CORE nutzen kann ? Das wird Stand-Heute nie möglich sein, da die Powershell eben das .Net Framework voraussetzt und dieses das ganze Konzept des Server Cores umschmeißen würde. Denn das .Net Framework hat jede Menge Verweise in das innere des Systems, ist also tief im System verankert.

Servus, exakto mundo. Das ist im übrigen bei vielen Chat-Clients das gleiche. Nämlich die Verbindung über die willkürlich gewählten Ports. Es lässt sich nicht fest einstellen, dass Skype NUR über die bestimmten Ports seine Verbindung zum Server suchen soll. Daher hat James vollkommen recht mit seiner Aussage, dass man dann gleich die Firewall abschalten kann.

Nee, die schnellste und effektivste Lösung ist es, von vornherein zu wissen, auf welchen DCs welche Rolle liegt. Es handelt sich ja quasi um das eigene Netz und nicht ein fremdes. Daher sollte man solche Informationen kennen. ... nun aber genug den Korinthen... gespielt :D .

Ne ne ne... das zählt aber net. Wir sprachen nicht von "kompliziert", sondern "aufwändig" ;) . Aber weils so schön ist, hier noch ein Kommandozeilen-Befehl. Diesmal mit DCDIAG: DCDIAG /Test:Knowsofroleholders /v

Servus, hast du ALLE Einstellungen deaktiviert ? Du musst die Einstellung nun in der Registry vornehmen und hast anschließend etwa 5 Minuten Zeit, die Policy anzupassen. Siehe: Yusuf`s Directory - Blog - Zugriff auf die GPOs verweigert

... würde ich von dir auch nie-und-nimmer denken :) .

Ich kann doch so einen Thread ohne eine Antwort abzugeben, nicht an mir vorbei lassen :D :cool: .

Servus, die einfachere Abfrage hat ITHome bereits genannt. Ich möchte aber die etwas aufwändigere nennen ;). dsquery server -hasfsmo schema dsquery server -hasfsmo name dsquery server -hasfsmo rid dsquery server -hasfsmo pdc dsquery server -hasfsmo infr Nur der vollständigkeitshalber :cool: .

Ja. Prinzipiell sollte das DNS auf ALLEN DCs mitinstalliert werden. Beachte in diesem Artikel, den Punkt 3: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Nein, es wird kein Konflikt entstehen. Du installierst lediglich den DNS-Dienst und erstellst ja keine weitere Zone. Den Rest erledigt dann die AD-Replikation. Dabei sollte eben die FLZ AD-integriert gespeichert sein.

Servus, mit dem File Server Ressoucen Manager - FSRM kannst du die gwünschten Datei-Endnungen verbieten, so das diese nicht auf dem File-Server gespeichert werden können. Der FSRM steht dir ab Windows Server 2003 R2 zur Verfügung. Der Nachteil an dem FSRM ist, dass er nicht in den Header der Datei schaut. Der User könnte also auf die Idee kommen und eine .MP3 Datei als .TXT zu speichern. Dann würde man die Sperre umgehen. Ist aber auch für den Benutzer lästig und es kommt nicht jeder darauf. Daher ist der FSRM empfehlenswert.

Das changetype ist systembedingt und wird standardmäßig hinzugefügt was man imho nicht abstellen kann. Wie du das (mit Verbindung) in Excel formatieren musst, zeigt dir dieser Artikel: Importdateien für CSVDE.exe einfach generieren - faq-o-matic.net Das ganze lässt sich natürlich auch mit CSVDE lösen, bei ähnlicher Vorgehensweise, nur der Filter mit LDIFDE ist mir aber in Gedanken. Du müsstest einwenig mit der Hilfe und den Parametern hantieren, dann funktioniert das auch mit CSVDE. Hier noch weitere hilfreiche Artikel: Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange LDIF-Generator für den Import in Active Directory - faq-o-matic.net csvde zum Import und Export von AD-Daten nutzen - faq-o-matic.net ldifde.exe zur AD-Bearbeitung - faq-o-matic.net Erzeugen von ldifde-Templates aus Excel mit GNU Awk - faq-o-matic.net

Servus, warum setzt du nicht "einfach" den entsprechenden Registry-Key, anstatt etwas deinstallieren zu wollen ? You Had Me At EHLO... : Windows 2003 Scalable Networking pack and its possible effects on Exchange Stichwort: Chimney

Dann machst du irgendwo einen Tipp-Fehler. Ich habe es soeben bei mir versucht und es funktioniert. Nochmals mit Beispiel-Namen: LDIFDE -f Export.ldf -s Domcon01 -d "dc=contoso,dc=com" -p subtree -r "(objectCategory=user)" -l "sAMAccountname,givenname,sn,telephoneNumber" ACHTUNG: Die spitzen Klammern bei den Namen musst du schon weglassen.