Daim

Servus, da bereits das DNS auf dem ersten DC installiert und konfiguriert ist, sollte idealerweise die Forward Lookup Zone AD-integriert gespeichert sein. Dann brauchst du lediglich das DNS auf dem zweiten DC am zweiten Standort zu installieren und musst nichts mehr konfigurieren, da ja das DNS auf dem ersten DC bereits konfiguriert ist. Wenn du das DNS installierst, brichst du anschließend den Konfigurationsassistenten ab und wartest darauf, dass die AD-Replikation stattgefunden hat. Danach befinden sich dann anschließend die DNS-Informationen auch auf dem zweiten DC. Nun kannst du per DHCP oder statisch den neuen DNS-Server als zweiten DNS-Server an die Clients verteilen. Auf den DCs selber, wäre es empfehlenswert jeweils den anderen DC als primären DNS-Server in den TCP/IP-Einstellungen einzutragen. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Welcher DNS-Server sollte eingetragen werden ? LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen

Wenn auf dem 2000er DC der globale Katalog aktiviert ist, deaktiviere diesen und versuche es erneut. Natürlich sollte auf den 2003er DCs der GC aktiviert sein.

Von welcher Fehlermeldung sprechen wir denn? Wenn das Schemaupdate noch nicht durchgeführt wurde, hättest du nicht einen 2003er zum DC stufen können bzw. es dürfte kein 2003er DC existieren. Ein Inplace-Update würde technisch funktionieren. LDAP://Yusufs.Directory.Blog/ - Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update)

Bonjour, Güntha, wenn ich das richtig sehe geht es um Windows Server 2003. ;) @kennymaccormic Wenn das so wäre, dürftest du keinen Windows Server 2003 DC haben. Denn dann hättest du einen 2003er nicht zum DC stufen können. Wie lautet die Meldung exakt die du erhälst?

Servus, wenn Server1 nicht mehr zur Verfügung steht, musst du diesen mit NTDSUTIL - Metadata cleanup "gewaltsam" aus dem AD entfernen. Lass dich von dem Titel des folgenden Artikels nicht abschrecken, es ist die gleiche Vorgehensweise: LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

Salut, auch wenn der Name Gruppenrichtlinien zu dieser Annahme verleitet, wirken GPOs tatsächlich nur auf Benutzer und Computer jedoch nicht auf Gruppen.

OK, würde ich auch so tun. Wobei dabei aber nichts "kaputt" gehen würde, denn der Rolleninahber stellt erst eine Verbindung zum Ziel-DC her und wenn das nicht möglich ist, bricht er den Vorgang ab ohne etwas durchgeführt zu haben. Ich pflege immer zu sagen: SYSVOL-Probleme sind "eklige" Probleme. Kontrolliere trotzdem anhand des folgenden Artikels (unter dem Punkt "Stattdessen wäre folgendes durchzuführen:"), ob mit dem SYSVOL-Verzeichnis alles in Ordnung ist inkl. der Junction Points. LDAP://Yusufs.Directory.Blog/ - Dateireplikationsfehler mit der ID 13568 Tue das. ;)

Servus, nein, gibt es nicht mehr. Man kann das NTBACKUP unter 2008 nachinstallieren um Sicherungen die mit NTBACKUP erstellt wurden unter Windows Server 2008 rückzusichern [1]. Ein "sichern" damit ist nicht möglich. Das Stichwort lautet "wbadmin", was bereits zahni erwähnt hatte. [1] http://www.microsoft.com/downloads/details.aspx?FamilyID=7da725e2-8b69-4c65-afa3-2a53107d54a7&displaylang=en

Servus, konfiguriere in den TCP/IP-Einstellungen der DNS-Server jeweils den anderen DC als primären und sich selbst als zweiten DNS-Server (die sogenannte Überkreuzeinstellung). Die beiden Gesamtstrukturrollen Schemamaster sowie Domänennamenmaster würde ich ebenfalls auf den Windows Server 2003 DC übertragen. Bei dem Advertising-Test im DCDIAG wird überprüft, ob die Anmeldung am Active Directory möglich war und ob der DC sich im AD bekannt gegeben hat. Falls es bei diesem Test zu einem "failed" kommt, kann das Problem auch darin bestehen, dass der Netlogon Dienst "hängt" oder nicht starten konnte. Kontrolliere das. Gehe meine erwähnten Punkte durch und gib dem ganzen etwas Zeit. Danach kontrolliere das Eventlog.

Salut, auch ohne dem doppelten Leerzeichen funktioniert der Befehl nicht. Das Problem ist das "Piping" zu dsget. Das Pipen zwischen den ds*-Tools ist nicht in allen Situationen geeignet, wie z.B. auch beim pipen von dsquery zu dsmove (was auch bekannt ist). Denn wenn dsquery mehrere Objekte liefert und somit mehrere Distinguished Names erscheinen, funktioniert das übergeben an DSMOVE nicht. Genau. Ich finde für den "kleinen Admin" oder für eine "quick-and-dirty" Aufgabe sind die ds*-Tools nicht schlecht. Diese werden imho mit Blick in die Zukunft, mit der Einführung der AD-Powershell vom "Platz gefegt" werden. ;)

Servus, die SYSVOL- und somit die NTFRS-Replikation darf nicht mit der AD-Replikation verwechselt werden. Für die AD-Replikation verwendet man z.B. die Tools Replmon sowie RepAdmin. Für die NTFRS-Replikation (das für die SYSVOL-Replikation zuständig ist), wären dann die Tools Sonar, Ultrasound, FRSDiag oder NTFRSUTL zu verwenden. Versuche dich mal an diesem Artikel: Troubleshooting File Replication Service

Servus, standardmäßig wird der Profilordner unter "Dokumente und Einstellungen" mit dem Anmeldenamen erstellt, ohne die Bezeichnung der Domäne. Wenn z.B. ein Profilordner existiert, z.B. der vom lokalen Administrator, wird beim anmelden des Domänen-Administrators der Ordner "Administrator.Domäne" erstellt. Das bedeutet, erst wenn bereits ein Profilordner mit dem gleichen Namen existeirt, wird ein weiterer Ordner mit dem Suffix "Domäne" erstellt. Edit: Argh... Sekunden Norbi, Sekunden... ;)

Servus, siehe: LDAP://Yusufs.Directory.Blog/ - Einem Server mehrere (DNS/WINS) Alias-Namen vergeben

Off-Topic: Ich hing am Telefon, sonst wäre ich schneller gewesen. :p

Nein, keineswegs, eher ein "Wahrnehmungsproblem". Man kann sich entweder mit dem Prä-Windows 2000, dem sogenannten sAMAccountName oder mit dem UPN anmelden. Weitere Anmeldemöglichkeiten gibt es nicht.

Servus, es handelt sich also um den userPrincipalName (UPN). Der Benutzername lautet dann: Vorname.Nachname@Domäne.de Welche Fehlermeldung erhälst du denn? Funktioniert es nur bei einem Benutzer nicht oder bei allen? Kann sich der betroffene Benutzer mit seinem UPN an einem anderen Rechner anmelden?

Servus, erzähl mal etwas mehr über die Umgebung. Handelt es sich um eine Test- oder Produktivumgebung (ich vermute Testumgebung)? Sind die DCs virtuelle Maschinen? Mit "NETDOM Trust ... /reset" kannst du den "sicheren Kanal" zwischen den Domänen zurücksetzen. http://technet.microsoft.com/en-us/library/cc776879(WS.10).aspx

Servus, auch wenn der DC von Viren bereinigt wurde, ist dieser nicht mehr "vertrauenswürdig". Du kannst nicht abschätzen was alles bereits "verändert" wurde. Daher solltest du diesen DC herunterstufen und nach einer Neuinstallation erneut zum DC stufen. Das kann eben nicht sein. Jeder DC hat seinen eigenen Administrator mit eigenem Kennwort für den DSRM. Dieses Konto liegt in der lokalen SAM und wird auch nicht repliziert. Wenn du das Kennwort mit SETPWD zusetzen konntest und es anschließend immer noch nicht funkioniert, würde ich in deinem Fall nicht zögern und das System neu aufsetzen.

Das DCDIAG ab Windows Server 2008 bringt bei dem NCSecDesc-Test den Fehler, wenn der Befehl ADPREP /RODCPREP noch nicht ausgeführt wurde. Dieser Test prüft, ob der Security Descriptor der genannten Verzeichnispartitionen, in dem Fall die beiden Anwendungsverzeichnispartitionen "DomainDNSZones" sowie "ForestDNSZones", über die entsprechenden Berechtigungen für die Replikation verfügen. Der Fehler zeigt an, dass die Gruppe "NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION" keine Zugriffsberechtigung auf die Replikation der Verzeichnisänderungen für die genannten Verzeichnispartitionen besitzt. Wenn du also *nicht* planst einen RODC in der Gesamtstruktur zu installieren, kannst du diesen "Fehler" getrost ignorieren. Aber wenn du doch einen RODC in der Gesamtstruktur installieren möchtest, führe das ADPREP /RODCPREP von der "Windows Server 2008 DVD" aus, denn damit verschwindet dann auch dieser Fehler.

Servus, der Reiter "Verwaltet von" in den Eigenschaften der Gruppe dient einzig und alleine als "Information" und hat nichts mit einer Rechtevergabe zu tun. Man darf das nicht mit dem RODC verwechseln, wo das Attribut "managedby" eine andere Bedeutung hat. Du müsstest eine Objektdelegierung im AD einrichten. Schau dich zum Thema "Objektdelegierung" auf diesen Seiten um: LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

Ahoi, nein, die gibt es nicht.

Genau. Wobei --> ich <-- den DC herunterstufen und direkt die VM neu installieren würde.

Servus, du könntest es auch mit einem der GPMC-Skripte "CopyGPO.wsf" durchführen. Denn die GPMC bringt 32 Skripte mit, die im Verzeichnis "%PROGRAMFILES%\GPMC\Scripts“ abgelegt sind.

Bonjour, dann ändere das doch wenn du es "weißt". Genau. Denn die Linked Value Replication (LVR) funktioniert erst ab der Gesamtstrukturebene "Windows Server 2003". LDAP://Yusufs.Directory.Blog/ - Die Linked Value Replikation (LVR) Ja, im Gegensatz zur LVR stimmt das sehr wohl. Das stimmt so nicht. Wenn ein Attribut auf zwei DCs gleichzeitig verändert wird, entsteht ein Replikationskonflikt und das AD löst diesen Konflikt folgendermaßen: LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt Deine Wahrnehmung trügt. Kontrolliere die AD-Replikation, nicht dass es dabei Probleme gibt. Wirf auch einen Blick in das Eventlog des DCs und führe DCDIAG aus.

Servus, dein Filter ist korrekt. Evtl. ist "-inactive 4" zu hoch oder dein DN stimmt nicht? Nur was willst du denn damit erreichen? Zuerst möchtest du wissen welche Benutzer sich nicht in den letzten 4 Wochen angemeldet haben und pipest das dann zu dsget, um lediglich die Gruppenmitgliedschaften der Benutzer die sich in den letzten 4 Wochen nicht angemeldet haben, angezeigt zu bekommen.