Daim

Servus,

dann existiert mit diesem Computerobjekt ein Konflikt (CNF = Conflict). Das Eventlog protokolliert das ebenfalls.

Siehe dazu:

LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt

Ahh... ok, wir sind von verschiedenen Szenarien ausgegangen. Deine Schilderung kann ich natürlich nachvollziehen und dem stimme ich auch uneingeschränkt zu und so ist das auch korrekt.

Mir ging es nur darum, dass man prinzipiell das D4 auf einem gesunden DC und davon bin ich "per se" ausgegangen, im laufenden Betrieb, ohne im DSRM zu starten setzen kann. Um mehr ging es mir gar nicht. :) Ich war davon ausgegangen, dass der zu wiederherstellende DC der "erste DC" in der Domäne ist und somit eben das setzen von D4 nicht im DSRM notwendig ist.

Ansonsten hast du ja die Antwort für das Szenario des OP bereits geliefert. ;)

Schön das wir das nun geklärt haben. :cool:

Freut mich und weiterhin viel Spaß. :)

@Yusuf: Damit der DC schlichtweg nicht beim ersten Reboot als nicht authorativer Partner versucht, die Daten von einem anderen DC zu replizieren. Dann würden die wiederhergestellten Daten überschreiben.

Das habe ich verstanden und dem stimme ich auch zu. Ich beziehe mich aber auf diese Aussage:

Authsysvol greift auch für FRS, siehe dazu: Performing a Nonauthoritative Restore of AD DS --> Problem kann hierbei nur werden, daß der D4 Wert beim Restart wieder überschrieben wird, da ja der Systemstate zurückgesichert wurde und damit beim Neustart auch der Schlüssel überschrieben wird.

Also wenn der Schlüssel nach einer System State Rücksicherung überschrieben wurde, warum noch einmal im DSRM starten um D4 zu setzen, anstatt direkt, ohne im DSRM zu starten das D4 setzen? Oder schmeiße ich da jetzt was durcheinander? Bitte nicht falsch verstehen, mir geht es hier nicht um "Erbsenzählen", ich möchte es gerne verstehen. ;)

Servus,

Daher nach dem Authsysvol noch einmal in den DS Restore Modus fahren, den D4 Schlüssel manuell setzen, neu starten.

warum im DSRM? D4 kann man doch auch im laufenden Betrieb setzen.

Servus,

starte auf dem Windows Server 2008 unter Start - Ausführen das DCPROMO.

Vorher musst du aber noch das AD Schema aktualisieren. Wie das funktioniert steht hier:

LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

Ich gehe davon aus, dass du deine bestehende Domäne behalten und somit eine Domänenaktualisierung und keine Migration durchführen möchtest.

Servus,

du kannst es folgendermaßen lösen (unten das Template15):

LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent

Ja, die Meldung erscheint dann, wenn man den letzten DC einer Domäne in der --> GUI <-- löschen möchte. In diesem Szenario geht das bis dato noch nicht über die GUI. Du musst den letzten DC der nicht mehr existierenden Domäne mit NTDSUTIL entfernen. Die Vorgehensweise mit NTDSUTIL findest du ebenfalls in dem von dir verlinkten Artikel im OP.

Anschließend musst du dann noch mit NTDSUTIL die nicht mehr existierende Domäne aus den Metadaten entfernen. Diesen KB-Artikel findest du ebenfalls in dem Link deines OP.

How to remove orphaned domains from Active Directory

Servus,

im letzten Absatz meines Artikels auf den du verlinkst steht:

Neben der MMC Active Directory-Benutzer und -Computer können die Daten eines beschreibbaren Windows Server 2008 DC

oder RODC auch durch die MMC Active Directory-Standorte und -Dienste entfernt werden. Die Vorgehensweise ist die gleiche

wie in der MMC ADBuC. Allerdings muss das NTDS Settings Objekt gelöscht werden und nicht etwa das DC-Objekt!

 

Der Versuch direkt das DC-Objekt in dssite.msc zu löschen schlägt fehl,

solange nicht zuerst das NTDS Settings Objekt unterhalb des DC-Objekts gelöscht wurde.

Also lösche doch bitte *zuerst* das NTDS Settingsobjekt und anschließend das DC-Objekt (quasi die Hülle).

Servus,

gibt es irgendwelche Probelem oder Dinge die ich beachten muss, wenn ich einen Windows 2008 R2 Server zum DC mache in einer 2003 Funktionsebene / Struktur?

es existieren keine prinzipiellen Probleme.

Verscheiben sich irgendwelche Rollen?

Nicht von alleine oder automatisch. Die FSMO-Rollen müssen und sollten immer auf den DC mit dem aktuellsten OS verschoben werden.

LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Dazu sollte man wissen, dass die von Daim geschilderte Vorgehensweise zwar funktioniert, aber nicht supported ist, wenn ein Exchange 2010 darauf installiert ist.

Ich hatte den TO ohnehin so verstanden, dass noch kein Exchange installiert ist. Aber gut das du es explizit noch einmal erwähnst, denn jetzt ist es glasklar. ;)

Servus,

Wie soll das gehen?

Dism /online /Set-Edition:ServerEnterprise /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

Upgrading Windows Server 2008 R2 without media - Server Core - Site Home - TechNet Blogs

Servus,

...kann aber sein, dass ich da irre.

si senior. ;)

Servus,

In Sites und Services sehe ich diesen noch immer. Allerdings ohne Eigenschaften.

das ist "by Design" so. Das DC-Objekt, quasi die Hülle ohne das NTDS Settings-Objekt bleibt immer bestehen. Sei es bei einem "normalen" oder "gewaltsamen" herunterstufen. Nachträglich muss das DC-Objekt in "Standorte und Dienste" immer händisch entfernt werden.

Ist das normal, daß der länger braucht um entfernt zu werden, oder sollte er gleich "verschwinden"?

Lösche "die Hülle" und habe noch etwas Geduld.

Fehlerteufel, wollte eigentlich W2k8 hinzufügen, wenn foretsprep mit W2k8R2 gelaufen ist. Wenn ich es richtig verstehe, dann wird das wegen der dann schon vorhanden Schemata (also Version 44) gehen. Die Domänenfunktionsebene muss den Server natürlich unterstützen.

Genau! Wenn du das AD-Schema auf "Windows Server 2008 R2" und somit auf die Version 47 aktualisierst, beinhaltet das AD-Schema automatisch auch die Attribute und Klassen für "Windows Server 2008". Das Entscheidende dabei ob du einen Windows Server 2008 DC zur Domäne hinzufügen kannst, ist wie bereits erwähnt der Domänenfunktionsmodus.

Klar, habe halt für beide Typen Lizenzen verfügbar.

Also nochmal zum mitschreiben: Wenn du das AD-Schema auf "2008 R2" aktualisierst und sich der Domänenfunktionsmodus auf der Ebene "Windows Server 2008" befindet, kannst du weitere Windows Server 2008 DCs zur Domäne hinzufügen!

Servus,

Dort sind alle Objekte von AD enthalten.

nein, sind sie keineswegs. Was willst du denn überhaupt erreichen?

Ansonsten mache ich mal einen "Schuß ins Blaue":

Download details: Combined Active Directory Schema Classes and Attributes for Windows Server

Servus,

1. Authentifizieren sich jetzt die XP + Win7-Clients, W2k3 + W2k8 MemberServer gegen W2k3 + W2k8R2 DC's?

ja, sowohl als auch.

2. Wenn ich noch einen W2K3 (kein R2) DC installieren möchte, dann kann ich ihn direkt per dcpromo zum DC machen, da der forestprep schon mit W2k3R2 gelaufen ist ?

Ja, kannst du. Entscheidend ist der Domänenfunktionsmodus. Solange dieser Windows Server 2003/R2 DCs zulässt, kannst du weitere 2003er DCs zur Domäne hinzufügen.

3. Ist es sinnvoller die Domänenerweiterung nur erst auf W2k8 vorzunehmen oder egal ob ich direkt W2k8R2 wähle ?

Nö, ist es nicht. DU musst doch wissen, welche Serverlizenzen du gekauft hast bzw. besitzt. Dann erweiterst du das AD-Schema auf die notwendige Schemaversion.

Könnt Ihr mir etwas Licht ins Dunkel bringen ?

Ich hoffe das ich es hiermit getan habe.

LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

Servus,

das kann dir die Suchmaschine deiner Wahl sehr gut beantworten.

Servus,

die Suchfunktion des Bords ist ganz praktisch. ;)

Siehe:

https://www.mcseboard.de/active-directory-forum-79/2003-computer-letzte-mal-online-174087.html#post1072648

Servus,

wo ist der Screenshot? Bzw. wie lautet die genaue Fehlermeldung und wie sieht deine LDF-Datei aus?

Servus,

Welches AD Level?

worauf zielt denn diese Frage? Bzw. was hat der DFL/FFL mit der Frage des OP zu tun?

Also wenn ich richtig verstanden, nach dem zweite DC installation, Replikate erste DC alle info über Exchange (z.b schema und etc.) zu zweite DC. daswegen braucht man nicht wieder Adprep von Exchange spielen. oder habe falsch verstanden!

Nein, du hast es richtig verstanden. Der zweite DC holt sich alle AD-Informationen, also auch das AD Schema vom ersten DC.

Servus,

Wenn ich zweite Windows Server 2008 R2 als seconde DC installieren will, was soll genau tun?

da in der Domäne bereits ein Windows Server 2008 R2 DC existiert, musst du bei einem zusätzlichen Windows Server 2008 R2 den du zum DC stufen möchtest nicht erneut ADPREP ausführen. Es genügt das du lediglich nach der Betriebssysteminstallation DCPROMO ausführst.

LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen

Servus,

1. erläutere genauer, was du wo, wie versuchst.

2. heißt es "sAMAccountName" und nicht "sMAAccountName". Daher wunderts mich das du überhaupt irgend etwas zurück bekommst... außer einer Fehlermeldung.

3. gibt es bzgl. des Anmeldenamen einmal den "sAMAccountName" und den userPrincipalName (UPN).

<hust> <räusper>

https://www.mcseboard.de/active-directory-forum-79/verwirrung-um-rodc-clients-etc-2-175162.html#post1079755

;)