Daim

Servus, dann wurde in der Vergangenheit ein DC nicht ordnungsgemäß mit DCPROMO nicht aus der Domäne entfernt. Somit sind die Metadaten des DCs für diese Domäne noch im AD enthalten und daher funktioniert das Herunterstufen in deinem Fall nicht. Du müsstest zuerst diese (oder mehrere) Leiche aus dem AD entfernen und kannst danach das DCPROMO ausführen. Anschließend lässt sich auch der Haken setzen damit die Domänenpartition gelöscht wird. Zum entfernen der Leiche lies dir diesen Artikel durch und lass dich vom Titel nicht abschrecken, darin geht es auch um Windows 2003: Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Ein weiterer Indiz das ein DC aus dieser Domäne nicht mit DCPROMO aus dem AD entfernt wurde. Du bereinigst mit NTDSUTIL zuerst die Metadaten des AD und danach entfernst du den letzten DC (mit gesetzten Haken) der Domäne. P.S. Das mit dem "SDC" hat es noch nie gegeben, seit das AD existiert! @phoenixcp Wenn die Gesamtstruktur aus mehreren Domänen existiert und eine Domäne aufgelöst wird, sollte eine Domäne ordnungsgemäß aus den Metadaten des AD entfernt werden. Damit bekommen auch die GCs die Informationen, dass es die Objekte der entsprechenden Domäne nicht mehr gibt.

Servus, ich empfehle für das Hauptgericht dieses hier: Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Und als Nachspeise das hier: Yusufs Directory Blog - Den einzigen Domänencontroller austauschen Falls du nach dem studieren von beiden (und den weiterführenden) Links noch Fragen hast, dann her damit.

Aloha, bitte wie meinen? Kannst du das deutlischer beschreiben? Denn ein DC ist und kann nur ein DC einer Domäne sein und nicht von mehreren. OK, Hauptsache die Betriebsmasterrollen sind auf einem DC verfügbar. Standardmäßig sollte auf jedem DC wegen der Ausfallsicherheit das DNS installiert sein. Auch der GC sollte in jeder überschaubaren Umgebung auf jedem DC aktiviert werden. Nein, tut es nicht. Ansonsten beschreibe bitte deine Situation klar und deutlisch, sonst wird das nix.

Dann solltest du dir zu liebe deine englisch Kenntnisse auffrischen. Das halte ich für jemanden der in der heutigen Zeit in der IT tätig ist für zwingend! Hast du dir den Befehl den ich weiter oben gepostet hatte mal genauer angeschaut? Scheinbar nicht. Auch hättest du dir in meiner letzten Antwort die Technet-Seite zu dsadd anschauen können. Auch ohne tiefere englische Kenntnisse hättest du die Parameter schon verstanden. Für was denkst du steht der letzte Parameter in diesem Befehl? dsadd user "CN=User1,OU=unter OU,OU=Firma,OU=Mitarbeiter,DC=test,DC=local" -samid Hans -upn Hans@test.local -pwd Pa$$w0rd! -disabled no Denn ohne die Angabe von "-disabled no" wird standardmäßig der erstellte Benutzer deaktiviert. Du hast immer noch nicht in der Kommandozeile den Befehl "dsadd user /?" ausgeführt! Warum nicht?! Wenn dir die deutsche Hilfe in der Kommandozeile zu diesem Befehl nicht ausreicht, schau dir den Link an und befasse dich damit. Nach einer Zeit blickst du dort schon durch. Na klar, weil es den Parameter "actives" auch nicht gibt. Oder kreierst du gerade deinen eigenen Parameter? Das du zum einen auf uns nicht hörst und zum anderen, dass was wir dir empfehlen nicht befolgst.

Neben dem was Nils erwähnt hat bzgl. der Parameter, kannst du auch in der Suchmaschine deiner Wahl nach dem Befehl suchen. Dann würdest du schnell auf dieser Seite landen: Dsadd user

Servus, der Distinguished Name (DN) müsste in deinem genannten Bespiel so aussehen: das ganze würde dann so aussehen: dsadd user "CN=User1,OU=unter OU,OU=Firma,OU=Mitarbeiter,DC=test,DC=local" -samid Hans -upn Hans@test.local -pwd Pa$$w0rd! -disabled no

Na kloar ist das schwer, sogar "per se"... sonst könnte das ja jeder. ;) @ careen Du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs. Yusufs Directory Blog - Schemaupdate beim Windows Server 2003 R2 Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest. Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen". Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig. Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein. Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern. Siehe: Yusufs Directory Blog - Welcher DNS-Server sollte eingetragen werden ? Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert". Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben: Yusufs Directory Blog - Die FSMO-Rollen verschieben Zusätzlich solltest Du den neuen DC zum GC deklarieren. Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen. Yusufs Directory Blog - Globaler Katalog (Global Catalog - GC) Was sonst noch alles zu beachten ist und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel: Yusufs Directory Blog - Den einzigen Domänencontroller austauschen

Salut, entferne "einfach" und wir sind konform. :p

Dann liefere das nach und auch die Meldung (den genauen Wortlaut) die du erhälst, wenn du z.B. einen Benutzer erstellen möchtest.

OK, aber du musst schon klarer deine Situation beschreiben und auch auf meine angegebenen Punkte eingehen, damit wir dir adäquat helfen können! Ist denn das DNS auf dem DC installiert und befinden sich bereits die DNS-Informationen auf dem neuen DC? Ist der neue DC in seinen TCP/IP-Einstellungen als primärer DNS-Server eingetragen? Welche Fehlermeldungen erscheinen im Verzeichnisdienstprotokoll (Eventlog)?

Wie hattet ihr denn die Kopie erstellt (geimaget)? Willst du jetzt sagen das ihr (wie auch immer) eine Kopie des DCs erstellt habt und dieser auch noch im produktiven Netz auch noch aktiv war? Sprich, es war der original DC neben der Kopie aktiv in der Domäne? Abgesehen davon, das Testsystem solltet ihr auch gegen fremde Zugriffe sichern, da sich auf dem DC alle Kennwörter vor allem der administrativen Konten befinden. Ist denn das DNS auf dem "kopierten" DC installiert und ist dieser in seinen TCP/IP-Einstellungen eingetragen? Keineswegs!

Wie du nun weißt, kann man einen Windows 2000 DC nicht per Inplace-Update (Windows 2008 DVD in den Windows 2000 DC einlegen und aktualisieren) auf Windows Server 2008 aktualisieren. Man kann aber sehr wohl einen zusätzlichen Windows Server 2008 DC auf einer separaten Maschine (oder VM) zu einer Windows 2000 Domäne hinzufügen. Einwandfrei. :) Ja, dass "sollte" so sein und keine Ursache. ;)

Bonjour, dann sollte diese Leiche im AD auch aus den Metadaten des AD entfernt werden. [Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen] http://blog.dikmenoglu.de/PermaLink,guid,63ce9507-2f65-4b3f-8709-1b21853167b3.aspx OK. Ja, damit ein Windows Server 2008 als zusätzlicher DC zur Domäne hinzugefügt werden kann, muss sich der Domänenfunktionsmodus zwingend auf "Windows 2000 pur" oder "Windows Server 2003" befinden. Erst dann nämlich lässt sich das ADPREP /DOMAINPREP /GPPREP ausführen. Siehe auch: Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Warum das denn? Natürlich kannst du einen Windows Server 2008 als Mitgliedsserver zu einer Windows Server 2003 Domäne hinzufügen. Aha? Wie kommt der Kollege denn zu dieser Annahme? Und was meint er mit "nicht korrekt übernommen"? Wo sich die einzelnen FSMO-Rollen befinden, kann man auf mehrere Wege in Erfahrung bringen. Schaue dazu in dem folgenden Artikel ganz unten: Yusufs Directory Blog - Die FSMO-Rollen verschieben Ja, dü führst auf dem Schemamaster das ADPREP /FORESTPREP und auf dem Infrastrukturmaster in der Domäne, in der du den 2008er als DC hinzufügen möchtest das ADPREP /DOMAINPREP /GPPREP von der 2008er DVD aus. Wo liegt denn nun genau das Problem?

Es handelt sich also um zwei AD-Standorte? Etwas "gesprächiger" könntest du schon sein. ;) Funktioniert denn ein PING und die Namensauflösung zu diesem DC? Wenn die AD-Replikation zwischen den DCs nicht funktioniert (so wie es bisher den Anschein hat), dann müsste im Eventlog einiges dazu stehen (neben anderen Fehlermeldungen). Kontrolliere das einmal. Du kannst auch mit einem Rechtsklick auf das Verbindungsobjekt die Replikation anstoßen und schauen was passiert. Das Verbindungsobjekt siehst du, wenn du im Snap-In "Active Directory-Standorte und -Dienste" den Standort erweiterst, gefolgt vom Container Servers sowie <DC-Name> und anschließend das "NTDS Settings" Objekt auswählst. Nur siehst du leider dabei nichts. Etwas mehr siehst du schon im REPLMON. Du könntest das ganze aber auch gezielter und feiner über REPADMIN durchführen. Ein möglicher Befehl könnte folgendermaßen lauten: Für die Inbound-Replikation (eingehend): REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q Für alle Verzeichnispartitionen: REPADMIN /SYNCALL <FQDN DC> /A /e /d /q Für die Outbound-Replikation (ausgehend): REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q /P REPADMIN /SYNCALL <FQDN DC> /A /e /d /q /P Achtung: Die Parameter sind "case sensititve". Schau dir die Hilfe zu REPADMIN an um ggf. die Replikation, die deinen Wünschen entspricht, durchzuführen. Die genannten Tools findest du in den entsprechenden Windows Support Tools. Du solltest darauf achten, jeweils die Tools, passend zum OS zu installieren (mit der SP Version). [Download details: Windows Server 2003 Service Pack 1 32-bit Support Tools] http://www.microsoft.com/downloads/details.aspx?FamilyId=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en Download details: Windows Server 2003 Service Pack 2 32-bit Support Tools

Servus, wurde denn die AD-Replikation erfolgreich abgeschlossen? Vermutlich nicht. Beschreibe doch mal in welchem Zustand sich nun der neue DC sich befindet. Welche Fehler erscheinen im Eventlog des neuen DCs. Du hättest aber auch das Hinzufügen des neuen zusätzlichen DCs mit der "Install from Media" Funktion hinzufügen können. Yusufs Directory Blog - Domänencontroller-Installation von einer Sicherung

Servus, bevor du den ersten Windows Server 2008 als DC zu der Windows Server 2003 Domäne hinzuzfügen kannst, musst du vorher das AD-Schema auf Windows Server 2008 aktualisieren. Wie das im einzelnen funktioniert, erfährst du vom folgenden Artikel: Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Was sonst noch zu beachten gilt, erfährst du von hier: Yusufs Directory Blog - Den einzigen Domänencontroller austauschen Wenn du weitere Fragen haben solltest (nach dem studieren beider Artikel), dann her damit. ;)

Ahoi, ist das ein Hausaufgabe oder ist das ein bevorstehendes Projekt? Domänen können nur durch eine Migration z.B. mit ADMT zusammengeführt werden. Was hat denn bei euch nicht funktioniert? OK, ihr wollt also eine Migration durchführen. Dann sucht ihr nach ADMT. Je nach Kundenwunsch und der Anforderung kann man die eine Domäne in die andere bestehende migrieren, so das am Ende nur noch eine einzige Domäne existiert. Oder die Domäne aus der zweiten Gesamtstruktur wird als untergeordnete Domäne der ersten Gesamtstruktur migriert. Oder es wird in der einen Gesamtstruktur eine neue Domänenstruktur mit eigenem Domänennamen erstellt. Siehe: Yusufs Directory Blog - Eine Domänenmigration durchführen

Servus, das stimmt, jedoch kann es gerade bei einer Fusion zweier Firmen alleine schon wegen dem Domänennamen zu "Problemen" kommen. Daher könnte man auch in der einen bestehenden Gesamtstruktur eine weitere Domänenstruktur mit eigenem Domänennamen erstellen.

Dann lies dir für dein Vorhaben noch diesen Artikel durch, damit nichts schief geht. ;) Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Viel Erfolg.

Servus, ja, die Mitgliedsserver funktionieren weiterhin. Es gibt keine prinzipiellen Probleme. Falls Probleme auftauchen sollten, muss man diese einzeln bewerten und genauer nachgehen.

Angst hat man hauptsächlich dann, wenn man sich mit der Materie nicht richtig auskennt. Alles eine Frage der Planung.

Salut, du kannst es entweder über den Delegierungsassistenten, durch das Bearbeiten der Discretionary Access Control List (DACL) oder mit dem Kommandozeilentool DSACLS einrichten. Siehe dazu: Yusufs Directory Blog - Objektdelegierungen einrichten

Servus, warum wird denn im internen LAN mit öffentlichen IP-Adressen gearbeitet? Klar. Wenn eine Migration durchgeführt werden soll, dann sollte das ohnehin mit z.B. ADMT durchgeführt werden. Da bei einer Migration mit ADMT eine Vertrauensstellung zwischen beiden Domänen notwendig ist, darf für eine Vertrauensstellung der DNS- sowie NetBIOS-Domänenname nicht identisch sein. Jedem Windows-Client wird standardmäßig beim hinzufügen zur Domäne das "primäre DNS-Suffix" der Domäne vergeben. Im einem Netz können sehr wohl mehrere Domänen "nebeneinander" existieren. Nur gilt es dann die Dienste wie z.B. DHCP sauber zu trennen.

Servus, nein, keineswegs. Das ist ein Schönheitsfehler im GPRESULT. Einfach ignorieren. ;)

Nun gibt es auch das RSAT für Windows 7 RC. Have Fun. http://www.microsoft.com/downloads/details.aspx?FamilyID=f6c62797-791c-48e3-b754-c7c0a09f32f3&displaylang=en