Daim

Servus, LDAP://Yusufs.Directory.Blog/ - Computerkonto löschen

Nichts leichter als das: Null problemo und Hauptache man hat das Ziel erreicht. ;)

Servus, ergänzend. es wird nicht die *Domain*, sondern die Forward Lookup Zone repliziert. ;) Mit dieser Option werden die DNS-Informationen in der Anwendungsverzeichnispartition "DomainDNSZones" gespeichert.

Denn neben den Benutzerkonten müssen sich auch Computerkonten in der Domäne authentisieren Genau, sie können sich mit ihren cached credentials anmelden, haben aber dadurch keinen Zugriff auf Netzwerkressourcen! Eben, das funktioniert nicht. Wenn also die VPN-Verbindung down ist und beispielsweise das Computerkontokennwort *nicht* zum RODC vor Ort repliziert wurde, dann kann der RODC den Benutzer nicht authentisieren. Und damit ein Benutzer auf eine Netzwerkressource zugreifen kann (dazu gehören die Ressourcen auf dem RODC), benötigt er ein gültiges TGT (Ticket Granting Ticket), damit der Netlogon-Prozess lokal auf dem Client, dass (und jetzt kommt das entscheidende für den Zugriff auf eine Netzwerkressource) Access-Token generieren kann. Dann leitet der RODC die Authentisierungsanforderung an einen beschreibbaren DC weiter, wenn nicht beide Kennwörter (vom Benutzer- und Computerobjekt) zum RODC repliziert wurden. Es geht ja nur darum, wen der RODC eigenständig authentisieren soll, wenn zum Zeitpunkt der Authentisierung das VPN nicht zur Verfügung steht. Siehe oben. Die Angabe des DCs (Replikationspartner für die Initialreplikation) während dem DCPROMO-Vorgang, dient einzig und alleine der Erstreplikation. Der RODC nimmt automatisch jederzeit Verbindung zu einem verfügbaren beschreibbaren DC auf.

Du zweifelst an meinen Worten? ;) Selbstverständlich ist es für den Gesamtstrukturfunktionsmodus die richtige Stelle! Sie ist nicht "falsch", einfacher ist es jedoch, wenn du den Gesamtstrukturfunktionsmodus über die MMC "AD-Domänen und -Vertrauensstellungen" hochstufen würdest bzw. hättest. Wie in meinem Artikel beschrieben, findet man das Attribut msDS-Behavior-Version an zwei Stellen. Einmal in der Domänen- und einmal in der Konfigurationspartition. Wenn du das Attribut in der Konfigurationspartition bearbeitest (CN=Configuration...), stufst du an dieser Stelle den Gesamtstrukturfunktionsmodus hoch. Bist du auch in LDP mit dem DC verbunden, auf dem du die Änderung gemacht hattest? Oder wird dir vielleicht mittlerweile "2003" angezeigt? Falls nicht, wie sieht das Eventlog aus?

Servus, Off-Topic:aber selbstverständlich spricht etwas dagegen. Das kann ja jeder. Solche Situationen kann man auch für zum Know How Aufbau nutzen. Neu machen kann man hinterher immer noch. :p Aber in der Praxis würde ich auch das DCPROMO erneut ausführen. :cool:

Servus, wenn ihr bisher keine Funktionen vermisst habt, ist das doch halb so schlimm. ;) Ne, so nicht. Es muss sich lediglich der Domänenfunktionsmodus im "einheitlichen" Modus befinden. Der Gesamtstrukturfunktionsmodus spielt keine Rolle. Aber empfehlenswert ist es, stets den höchstmöglichen Domänen- sowie Gesamtstrukturfunktionsmodus einzustellen, um von den Vorteilen die einem der höhere Modus bietet zu profitieren. LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Nein, dass ist nicht zwingend notwendig. Aber wie bereits geschildert, es ist empfehlenswert den höher Modus wenn möglich zu konfigurieren. Der Domänenfunktionsmodus muss sich lediglich im einheitlichen Modus befinden. Beachte oben meinen zweiten Link. Das steht im ersten o.g. Link. Dito!

Servus, auf "was" hast du die GPO verlinkt? Denn Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden. Wenn du eine Kennwortrichtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients. Das ist korrekt. Wichtig ist, dass die Kennwortrichtlinie auf Domänenebene verlinkt ist. Weil du vielleicht die GPO auf eine OU verlinkt hast? Hä? GPO Ebene?

Servus, warum möchtest du unter XP die RSAT nutzen? Unter XP heißen die RSAT "AdminPak".

Servus, wenn es kostenlos sein soll, dann nimmst du ADMT. Wenn es "Luxus" sein soll und etwas kosten darf, dann nimmst du Quest. Siehe: LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen

Servus, das ist egal wo du "anfängst". Jein, denn wenn sich alle Domänen innerhalb einer Gesamtstruktur im einheitlichen Domänenfunktionsmodus befinden, dabei spielt es keine Rolle in *welchem* einheitlichen Modis sich die Domäne befindet, werden automatisch alle Domänen hochgestuft, wenn der Gesamtstrukturfunktionsmodus hochgestuft wird. Oder du stufst zuerst den Domänenfunktionsmodus von allen Domänen auf "Windows Server 2008 R2" und dann den Gesamtstrukturfunktionsmodus. Beachte: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus

Servus, LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten LDAP://Yusufs.Directory.Blog/ - Hinweise zu PSOs

Mit dieser Art wirst du hier wenig Hilfe bekommen! EOD für mich.

Wenn deine Frage klar gestellt wäre, hättest du bereits Antworten erhalten... Und abgesehen davon kann ich in deinem Zitat kein Fragezeichen erkennen.

Servus, was möchtest du nun konkret von uns hören? Wie würden wir "was" angehen? Und was meinst du mit "üblichen" Schritten? Eine Migration ist eine Herausforderung, dass für den einen mehrere und für den anderen mit Erfahrung wenige Stolperfallen beinhaltet. Stelle konkrete Fragen auf die man antworten kann. LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen

Das Eventlog sollte stets die erste Anlaufstelle sein, denn gerade wenn es mit dem AD Probleme geben sollte, z.B. Replikationsprobleme, ist "Karneval in Rio" angesagt. ;) Replmon gibt es ab Windows Server 2008 nicht mehr. Das Schweizer Messer für die AD Replikation hat dir dmetzger bereits genannt: REPADMIN! Download details: Troubleshooting replication with repadmin

Glück gehabt. ;) Der Gesamtstrukturfunktionsmodus spielt keine Rolle. Entscheidend ist der Domänenfunktionsmodus, der sich zwingend im einheitlichen Modus befinden muss. Erst dann kannst du einen 2008 R2 als zusätzlichen DC zur Domäne hinzufügen. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

Servus, bist du zufällig auch der hier: W2K Domne auf W2K3, was muss beachtet werden? - Windows Server - administrator ?

Servus, du meinst wohl den Domänen- respektive Gesamtstrukturfunktionsmodus. Den Domänen- bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können. In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist. Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein. Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin. Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive Gesamtstruktur "zügig" vollzogen werden. Denn wenn man sich dabei Zeit lässt, können Replikationsprobleme auftauchen. Das Heraufstufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN), wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ heraufgestuft werden kann. Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen. Für den Gesamtstrukturfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet <CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen. Für den Domänenfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet <DC=DeineDomäne,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus

Servus, LDAP://Yusufs.Directory.Blog/ - Die Besonderheiten eines Small Business Server`s (SBS)

Servus, wie wäre es damit: Move a CA to a Different Computer

Servus, neben dem Benutzerkontokennwort muss noch das Computerkontokennwort zum RODC repliziert werden, wenn der RODC eigenständig die Benutzer authentisieren soll. Bzgl. deiner zweiten Frage: Wenn das Verbindungsobjekt "automatisch" vom KCC generiert wurde, erstellt der KCC automatisch ein neues Verbindungsobjekt, falls der jetzige Replikationspartner vom RODC nicht mehr zur Verfügung stehen sollte. Ist das Verbindungsobjekt manuell erstellt worden, muss der Admin ein neues Verbindungsobjekt zu einem bestehenden RWDC erstellen. In den meisten Umgebungen ist es empfehlenswert, die Verwaltung der Replikation dem AD bzw. KCC zu überlassen. LDAP://Yusufs.Directory.Blog/ - Die Installation eines RODC

OK, dann ist zumindest das Alter des Backups nicht das Problem. Die Frage jedoch noch, wie die Sicherung erstellt wurde? Ich hoffe nicht durch ein Image? Das reicht für die Funktion des DCs. Ob das die Dienste auf dem DC "verkraften", hängt von den Diensten ab. ;) Da sich die DCs nicht mehr replizieren, müsstest du mit DCPROMO /Forceremoval die AD Daten lokal vom DC entfernen. Ein einfaches DCPROMO zum herunterstufen des DCs funktioniert nicht, wenn sich die DCs nicht replizieren können. Daher gewaltsam mit /Forceremoval. Danach müssen aber noch zwingend die Metadaten des AD bereinigt werden. LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

Servus, wenn es sich um reine DCs handelt, warum hast du überhaupt den DC rückgesichert? In den meisten Fällen ist es für die Administratoren einfacher in so einem Fall den gecrashten DC aus den Metadaten des ADs zu entfernen, den DC zu reparieren und neu zu installieren und anschließend ganz normal wieder als zusätzlichen DC zur Domäne hinzuzufügen. Einen "Master" gibt es so auch nicht, denn seit der Einführung des Active Directory mit Windows 2000 gibt es nur noch DCs. In einer AD-Umgebung hat, im Gegensatz zu einer NT-Umgebung wo lediglich der PDC das Schreibrecht in die Security Account Manager (kurz SAM) Datanbank hatte, jeder DC das Schreibrecht. Da diese Konstellationen auch zu Problemen führen kann (wenn z.B. zwei DCs gleichzeitig das AD-Schema ändern) dürfen eben manche Änderungen nur von bestimmten DCs durchgeführt werden. Diese DCs sind die Träger der fünf FSMO-Rollen. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Wie alt ist denn die Sicherung die verwendet wurde? Und ja, die DCs kennen den Replikationsstand ihrer Replikationspartner.

Servus, "globale Gruppen" können als Mitglieder Benutzer- sowie andere globale Gruppenkonten aus --> derselben Domäne <-- enthalten. Universelle- sowie domänenlokale Gruppen können nicht Mitglied von "globalen Gruppen" werden. P.S. Wenn ihr nicht gleich den Zähler meiner Beiträge hochschnellen lässt, hole ich meine Brüder. :cool: