Daim

OK, damit kann ich mich in diesem Jahr noch zufrieden geben. :p Da bin ich ja auch bei dir und sehe es auch so. Ich hatte mich nur auf das technische beschränkt und wollte es erwähnt haben. @ craine81 Wenn du ADSIEdit als Admin startest, kannst du unter "Ansicht-Filter" die Option "Max number of items per container" verändern. Ist aber nicht empfehlenswert.

Das ist eben die Kehrseite der Medaillie. ;)

Servus, nö, nicht bei "jedem" Aufruf, sondern nur beim ersten. Danach erweitert man die maximale Anzahl anzuzeigender Objekte pro Container, unter Ansicht-Filteroptionen.

Was willst du jetzt damit behaupten?

Servus, das stimmt nicht! Es ist so wie es gogo_seven geschrieben hat. Best Practice ist es bei bestehen von mehreren DCs, jeweils einen anderen DNS-Server als ersten und sich selbst als zweiten DNS-Server in den TCP/IP-Einstellungen einzutragen. LDAP://Yusufs.Directory.Blog/ - Welcher DNS-Server sollte eingetragen werden ?

Und jetzt aktiviere gleich mal den AD-Papierkorb. ;) LDAP://Yusufs.Directory.Blog/ - Der Active Directory-Papierkorb im Windows Server 2008 R2

OK. Wenn sich in der Gesamtstruktur keine weiteren Domänen mit Windows 2000 DCs befinden, stufe auch den Gesamtstrukturfunktionsmodus auf "Windows Server 2008 R2". Es gibt keinen Grund diesen nicht hochzustufen. Es sei denn natürlich, dass noch ältere DCs existieren würden.

Servus, wenn es sich um einen Windows Server 2008 R2 handelt, dann ist dieser Artikel der passende: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Achte darauf, dass die Forward Lookup Zone (FLZ) AD-integriert gespeichert ist. Wenn der Windows 2000 DC dann heruntergestuft wurde, konfiguriere in den Eigenschaften der FLZ, dass die DNS-Informationen in der Anwendungsverzeichnispartition (die erst ab Windows Server 2003 eingeführt wurden) "DomainDNSZones" gespeichert wird. Verteile den neuen DC auch als DNS-Server an die Clients, sei es statisch oder besser mit DHCP. Des Weiteren musst du halt alles vom Windows 2000 DC auf den Windows Server 2008 R2 DC übernehmen, wie z.B. weitere Dienste, Applikationen, Daten, Loginskript anpassen etc. Halte dich daran: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen Was bedeutet "hochstufen"? Ich dachte der neue Server ist bereits zum DC hochgestuft? Du hattest geschrieben: Oder meinst du den Domänen- sowie Gesamtstrukturfunktionsmodus? Dann ist es korrekt. Beides lässt sich erst hochstufen, wenn alle DCs den neuen Modus unterstützen. Alle DCs müssen unter Windows Server 2008 R2 laufen. Als Mitgliedsserver können aber weiterhin Windows 2000/2003/2008 Server existieren. Wenn du dann "glaubst" alles vom Windows 2000 auf den neuen DC übernommen zu haben, schalte für ein paar Tage den 2000er DC aus und kontrolliere, ob noch irgendetwas fehlt. Wenn nach ca. einer Woche alles normal läuft, fährst du den Windows 2000 DC hoch und stufst ihn mit DCPROMO zum Mitgliedsserver herunter. Denke daran das es wegen der Ausfallsicherheit empfehlenswert ist, in jeder Domäne min. zwei DCs zu betreiben.

Servus, dann schlägt bei dir der AdminSDHolder zu. Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste eines speziellen AdminSDHolder - Objekts übereinstimmen. Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten ausführen können. MSXFAQ.DE - Senden als

Servus, ich wette über die GUI und nicht wie es empfohlen ist mit NETDOM.

Das eBook gibt es breits seit Juli/2009 und es wurde hier schon darauf hingewiesen. http://www.mcseboard.de/tipps-links-5/ebook-mastering-powershell-154120.html Die Österreicher sind wohl nicht ganz so schnell und haben das eBook erst jetzt entdeckt. :p Ohje... jetzt kommt bestimmt Güntha... und bestätigt das. ;)

rdsbonn schon, aber fantasticgroup ja nicht, der sich "einfach so" an den Thread angehängt hat. Besser wäre es gewesen wenn er einen neuen Thread eröffnet hätte.

Servus, man sollte sich endlich von der Begrifflichkeit "PDC oder BDC" trennen. Denn seit der Einführung des Active Directory mit Windows 2000 gibt es nur noch DCs. In einer AD-Umgebung hat, im Gegensatz zu einer NT-Umgebung wo lediglich der PDC das Schreibrecht in die Security Account Manager (kurz SAM) Datanbank hatte, jeder DC das Schreibrecht. Da diese Konstellationen auch zu Problemen führen kann (wenn z.B. zwei DCs gleichzeitig das AD-Schema ändern), dürfen eben manche Änderungen nur von bestimmten DCs durchgeführt werden. Diese DCs sind die Träger der fünf FSMO-Rollen. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Natürlich. Ich zitiere:

Das könnte an der Übersetzung liegen. Aber eins kann ich dir versichern, du wirst - wenn überhaupt - die Prüfung nicht wegen dieser einen Frage vergeigen. ;)

Servus, die Beschreibung im Buch ist korrekt. "Globale Gruppen" können als Mitglieder nur Benutzer- sowie andere globale Gruppenkonten aus --> derselben Domäne <-- enthalten. "Lokale Domänengruppen" können als Mitglieder Benutzer- sowie globale und universelle Gruppenkonten aus beliebigen Domänen enthalten. LDAP://Yusufs.Directory.Blog/ - Gruppen

Doch, auch darüber funktioniert es. Ist das zufällig der aktuelle Infrastrukturmaster?

Du öffnest das DNS-SnapIn und öffnest mit einem Rechtsklick auf deine Zone die Eigenschaften auf. Dort kannst du bei "Typ" erkennen, ob sich die Zone im AD befindet oder nicht. Falls nicht: Ändern -> Haken setzen -> OK.

Ja, so kann man das machen. Aber von einem Inplace Update würde ich Abstand nehmen, wobei es funktioniert. Stelle aber auch sicher, das die DNS-Zone AD-integriert gespeichert ist. Wenn du dich an den Artikel hälst, funktioniert das.

Warum schaust du dir nicht diesen Link an? LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

Die Forward Lookup Zone sollte idealerweise AD-integriert gespeichert sein. Du schrubst aber: Da der Exchange kein DC ist und demzufolge kein AD hat, kann dieser auch keine AD-integrierte DNS-Zone haben. Es muss eine Zonenübertragung stattgefunden haben.

Dann bin ich ja beruhigt. Der Eintrag wid standardmäßig also doch erstellt, so wie es sein muss. Dann wurde der Registryeintrag "lediglich" in deiner Konstellation - warum auch immer - nicht gesetzt. Das darf auch nicht sein. Dort müssen die Einträge genauso existieren. Erstelle die Registryeinträge auch auf den 2003er DCs. Da das alles nicht "normal" ist, solltest du deine Umgebung genauer untersuchen. Kontrolliere die Eventlogs und führe auf jedem DC das DCDIAG aus und überprüfe ob alle Tests erfolgreich durchgeführt werden. Auf alle Fälle. Endlich existiert der BPA nun auch für das AD, DNS usw. Der ist dem Administrator eine echte Hilfe. LDAP://Yusufs.Directory.Blog/ - Der Active Directory Best Practice Analyzer Es existiert ja noch die Tombstone Lifetime, die dich vor veralteten Objekten schützt. Also ganz so dramatisch ist es nicht. Trotzdem solltest du die Registryeinträge erstellen.

Servus, ich empfehle eine Domänenaktualisierung stets über eine zusätzliche Hardware und nicht über ein Inplace Update durchzuführen. Ab Windows Server 2003 SP2 wird zwar ein Inplace Update supportet, doch die sicherste Variante wär es über eine zusätzliche Maschine durchzuführen. Des Weiteren sollte auf jedem DC das DNS installiert werden und auf dem DC sollte auch der GC aktiviert sein. Die Hyper-V Rolle hat auch auf einem DC nichts zu suchen. Du hast doch mehrere DCs, dann stufe einen davon runter (wenn keine Gründe dagegen sprechen wie z.B. große AD-Umgebung) betreibe darauf dann Hyper-V. LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

Mit GUI meinst du ADSIEdit? Versuchst du das auch auf dem Infrastrukturmaster selbst? Falls nicht, ändere den Eintrag auf dem Infra.Master. Hier kann ich dir leider nicht folgen. Bitte genauer erläutern. Der Screenshot ist doch eindeutig.

Ja, das ist der Grund. Erstelle den Registry-Key, dann verschwindet die Meldung im BPA. Siehe auch: AD DS: Strict replication consistency should be enabled on all domain controllers in this forest Es wundert mich das dieser Registryeintrag nicht standardmäßig unter Windows Server 2008 R2 gesetzt ist. Das muss ich heute Abend in meiner Testumgebung prüfen.