Daim

Ich schrieb auch im ersten Satz meiner ersten Antwort: So ist das. In der Ruhe liegt die Kraft. ;)

Es handelt sich dabei um einen AD-Standort? Wie verifizierst du das denn, in dem du z.B. in der MMC "Benutzer und Computer" den RODC auswählst? Die AD-Replikation findet in jedemfall in Sekunden statt, wenn es sich um "einen AD-Standort" handelt. <nicht böse gemeint> Z.B. auch an der Wahrnehmung. </nicht böse gemeint> ;) Nein.

Servus, wenn du den RODC "gerade eben" verschoben hast, gib dem ganzen noch etwas Zeit. Änderungen im AD oder DNS musst du auf einem beschreibbaren DC durchführen und nicht auf dem RODC. Im DNS steht der RODC natürlich noch mit seinen alten Standortinformationen drin. Diese solltest du händisch auf einem beschreibbaren DC bereinigen, auch wenn im DNS der Aufräumvorgang aktiviert ist. Wichtig ist aber auch, zumindest vorübergehend, in den TCP/IP-Einstellungen des RODCs einen DC aus dem alten Standort als DNS-Server einzutragen. LDAP://Yusufs.Directory.Blog/ - Einen Domnencontroller an einen anderen Standort verschieben

Servus, es gibt nur ein einziges AD. Das AD auf einem SBS unterscheidet sich in keinsterweise von einem AD, das auf einem "Windows Server 2003" etc. läuft. Führe den folgenden Befehl von der zweiten R2-CD auf dem SBS aus: <CD-Laufwerk>:\CMPNENTS\R2\ADREP> ADPREP /FORESTPREP

Servus, handelt es sich um eine Domäne? Wenn ja, könntest du die Drucker z.B. mit CSVDE in eine CSV-Datei exportieren: CSVDE -f Drucker.txt -r "(objectClass=printQueue)" -n

Servus Markus, der folgende Artikel sollte deine Frage beantworten. Auf dem Exchange muss das SP2 installiert sein. Bzgl. der Probleme die auftreten können, habe ich im letzten Absatz eine Linksammlung zusammengestellt von Problemen die auftreten könnten. LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen ... to slow ;)

Ja, so kann man das durchführen. Verschieben kann man die Objekte mit MOVETREE, aber das willst du nicht. Was du möchtest, ist ADMT.

Ja, du kannst ab der Funktionsebene "Widnows Server 2003" eine Domäne umbenennen. Auch die Root-Domäne kannst du umbenennen. Sie bleibt aber weiterhin die Root-Domäne. Aber ob man eine Domäne wirklich umbenennen möchte, muss jeder selbst entscheiden. Es kommt darauf an welche Applikationen in der Domäne existieren. Exchange, eine CA usw. machen das Vorhaben nicht gerade einfach.

Servus, die erste Domäne mit der eine Gesamtstruktur erstellt wurde ist die Root-Domäne. Diese Domäne bleibt die Root-Domäne solange die Gesamtstruktur exisitiert. Du kannst die Root-Domäne nicht ersetzen! Du müsstest migrieren.

Servus, in deiner CSV-Datei sind Zeilenumbrüche. Das darf nicht sein! Erstelle dir z.B. eine TXT-Datei und füge folgendes hinzu: DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName "CN=Danielle Tiedt,OU=Mitarbeiter,DC=contoso,DC=com",user,dtiedt,Tiedt,Danielle,danielle.tiedt@contoso.com "CN=Lorrin Smith-Bates,OU=Mitarbeiter,DC=contoso,DC=com",user,lsmithbates,Smith-Bates,Lorrin,lorrin.smithbates@contoso.com Die Einträge in der Datei sollten genau so aussehen. Du kannst natürlich noch weitere Attribute angeben.

Der Assistent möchte an diesem Punkt eine Delegierung einrichten, wie man das z.B. beim erstellen einer Subdomäne machen "würde". Erstellt man eine Subdomäne, könnte man im DNS eine Delegierung einrichten. Wenn deine Domäne "domäne.local" heißt, würde der Assistent in der Zone "local" (die es ja nicht gibt und wenn, wäre sie offiziell wie "de" und da dürftest du natürlich auch keine Delegierung erstellen ;) ) eine Delegierung erstellen wollen. Du kannst die Meldung getrost ignorieren.

@ Kraftwerk Wird ein Client aus der Domäne entfernt, erscheint zuerst die Meldung "Willkommen in der AG", gefolgt von der Meldung "Der Computer muss neu gestartet werden, damit die Änderungen wirksam werden". Es erscheint nichts dergleichen, dass das Computerkonto erhalten bleiben würde. Auch mit 2008 R2 nicht. @ TruckerTom Sorry, aber das ist Unsinn. Das Computerkonto wird auch zu Zeiten "Windows Server 2008 R2" nur deaktiviert und nicht gelöscht. Wird der entfernte Client erneut zur Domäne hinzugefügt, wird das bestehende Computerkonto wieder aktiviert und es wird kein neues Computerkonto erstellt.

Servus, wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos vorliegen hat. Falls das nicht der Fall ist (was standardmäßig so ist), leitet er diese Anmelde-Anfrage an einen beschreibbaren DC weiter und erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Passwort-Hash zum RODC. Damit der RODC eigenständig einen Benutzer authentisieren kann, muss zum einen das Benutzer- und zum anderen das Computerkontokennwort auf den RODC repliziert werden. Dazu fügst du die entsprechenden Konten in die "Zulässige RODC-Kennwortreplikationsgruppe" hinzu.

Genau. Der Assistent weist dich nur daraufhin, dass du vor dem hinzufügen eines RODC noch das ADPREP /RODCPREP ausführen musst. Das brauchst du aber erst dann tun, kurz bevor du einen RODC hinzufügen möchtest. Das ist auch gut so. Das ist überhaupt nicht notwendig und das kannst du wieder rückgängig machen. Nein, alles soweit korrekt. Mit "Ja" folgst du einfach den Assistenten weiter.

Man kann schon deutsche und englische DCs innerhalb einer Domäne betreiben. Das funktioniert ohne Probleme. Du müsstest dann nur bei den GPOs mit den SIDs und nicht den Namen arbeiten. Denn auf dem deutschen DC heist es "Domänen-Benutzer" und auf dem englischen "Domain-User". Na klar, dass funktioniert ebenso. Aber wie Brainstorm bereits mit Recht erwähnt hat, ob eine Enterprise-Version für einen DC Sinn macht, steht auf einem anderen Blatt.

Bitte schön: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Exchange 2010 ist quasi schon auf dem Markt und du möchtest noch Exchange 2003 installieren? Festplattenspeicher stellt ja in der heutigen Zeit kein Problem mehr dar. Auf einem reinen DC würde ich mindestens 20 GB für das System reservieren.

Servus, das kann man so durchführen. Aber wenn der "Windows Server 2008 R2" ohnehin auch zum DC gestuft werden soll, erstelle mit diesem die Domäne. Denn wenn du zuerst den 2003 R2 zum DC stufen würdest, müsstest du eine Schemaaktualisierung durchführen ehe du den 2008 R2 zum DC stufen könntest. Das ist zwar nicht weiter tragisch, aber das kann man sich eben ersparen wenn du den 2008 R2 zuerst zum DC stufst. Du musst während dem Heraufstufen des 2008 R2 nur darauf achten, dass du als Gesamtstruktur- und Domänenfunktionsebene "Windows Server 2003" wählst. Mindestens das DNS sollte wegen der Ausfallsicherheit auf allen DCs installiert werden und die Forward Lookup Zone im DNS sollte AD-integriert gespeichert sein. Was die Infrastrukturdienste anbetrifft (AD,DNS... etc.) gibt es keine Probleme. Ausnahmen bestätigen die Regel ;) , aber prinzipiell funktioniert solch eine Umgebung natürlich. Wäre ja sonst noch schöner, gerade weil es den 2008 R2 nur noch als 64Bit gibt. Du musst auf einem 64Bit System z.B. auf folgendes achten: 1. Die Backup-Software. Kann diese 64Bit oder stellt diese einen 64Bit Agenten zur Verfügung? 2. Ist der Virenscanner 64Bit tauglich? Du hast dich bestimmt nur verschrieben oder ist es wirklich angedacht Exchange 2000 zu installieren?

Salut, du! Wird ein Client aus der Domäne entfernt, wird lediglich das Computerkonto im AD deaktiviert und nicht gelöscht!

Servus, man erteilt Rechte ohnehin stets Gruppen und nicht einzelnen Benutzern. Erstelle eigene Gruppen und füge die jeweiligen Benutzer hinzu. Du kannst auch die Gruppe "Domänen-Benutzer", in der standardmäßig jeder Benutzer Mitglied ist, für die Delegierung verwenden. Anschließend delegierst du den Gruppen die entsprechenden Rechte. LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

Servus, lies dir diesen Artikel durch, dann wird es klarer: LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort

Das ist in der Tat merkwürdig. Aber installiere dir doch das AdminPak auf deiner Admin-Workstation (oder auf einem anderen Client) von einem Windows Server 2003 (Memberserver oder DC) aus dem Verzeichnis "%windir%\system32\Adminpak.msi" und kontrolliere ob du von dort in der MMC dsa.msc den Container sehen kannst. Aber zumindest werden diese ja im ADSIEdit angezeigt und somit existiert ja auch der Container. Man kann davon ausgehen, dass wenn der Container existiert das soweit alles in Ordnung ist.

Du wirst an der falschen Stelle schauen. Öffne ADSIEdit, verbinde dich mit der Domänenpartition und navigiere zu dem Pfad: <Domäne>\OU=Domain Controllers\<DeinDC>\CN=NTFRS Subscriptions Du siehst das aber auch in der MMC "AD-Benutzer und -Computer". Öffne dsa.msc und aktiviere unter Ansicht die Option "Benutzer, Kontakte, Gruppen und Computer als Container". Danach navigierst du in der MMC dsa.msc zu OU=Domain Controllers - <DeinDC> und unterhalb findest du dann den Container "NTFRS Subscriptions".

Servus, genau das ist es. LDAP://Yusufs.Directory.Blog/ - DCDIAG: NCSecDesc Fehler

Nein. Wie immer, 700 Punkte.

OK, aber meine Aussage bzgl. des langsamen Startverhaltens des AD trifft auf alle Serverversionen zu. Wie bereits geschrieben, warte nach dem Starten ein paar Minuten, dann wird das DNS funktionieren wenn das AD bereit ist.