Daim

Servus,

Wenn ich DCPROMO mit "DC ist letzter Domaincontroller" ausführe, schlägt das Deinstallieren fehl mit der Meldung "Dieser DC ist nicht der letzte..".

dann wurde in der Vergangenheit ein DC nicht ordnungsgemäß mit DCPROMO nicht aus der Domäne entfernt. Somit sind die Metadaten des DCs für diese Domäne noch im AD enthalten und daher funktioniert das Herunterstufen in deinem Fall nicht. Du müsstest zuerst diese (oder mehrere) Leiche aus dem AD entfernen und kannst danach das DCPROMO ausführen. Anschließend lässt sich auch der Haken setzen damit die Domänenpartition gelöscht wird.

Zum entfernen der Leiche lies dir diesen Artikel durch und lass dich vom Titel nicht abschrecken, darin geht es auch um Windows 2003:

Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

Lasse ich den Haken weg, schlägt es ebenfallt fehl, weil kein DC mit einem Konto für diesen Computer gefunden werden konnte.

Ein weiterer Indiz das ein DC aus dieser Domäne nicht mit DCPROMO aus dem AD entfernt wurde.

Wie bekomme ich den DC weg ohne Neuinstallation?

Du bereinigst mit NTDSUTIL zuerst die Metadaten des AD und danach entfernst du den letzten DC (mit gesetzten Haken) der Domäne.

P.S. Das mit dem "SDC" hat es noch nie gegeben, seit das AD existiert!

@phoenixcp

Und warum dann noch runterstufen? Dann schalt ihn doch einfach aus und gut ist es... Wo liegt das Problem?

Wenn die Gesamtstruktur aus mehreren Domänen existiert und eine Domäne aufgelöst wird, sollte eine Domäne ordnungsgemäß aus den Metadaten des AD entfernt werden. Damit bekommen auch die GCs die Informationen, dass es die Objekte der entsprechenden Domäne nicht mehr gibt.

Servus,

ich empfehle für das Hauptgericht dieses hier:

Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Und als Nachspeise das hier:

Yusufs Directory Blog - Den einzigen Domänencontroller austauschen

Falls du nach dem studieren von beiden (und den weiterführenden) Links noch Fragen hast, dann her damit.

Aloha,

Der DC leitet eine Subdomain einer bestehenden Domain,

bitte wie meinen? Kannst du das deutlischer beschreiben?

Denn ein DC ist und kann nur ein DC einer Domäne sein und nicht von mehreren.

hat keine FSMO Rollen derzeit

OK, Hauptsache die Betriebsmasterrollen sind auf einem DC verfügbar.

ist kein installiertes DNSServer

Standardmäßig sollte auf jedem DC wegen der Ausfallsicherheit das DNS installiert sein.

und hat keinen globalen Katalog

Auch der GC sollte in jeder überschaubaren Umgebung auf jedem DC aktiviert werden.

scheint es zwei Strukturen hinsichtlich OU und GPO (??) zu geben:

Nein, tut es nicht.

Ansonsten beschreibe bitte deine Situation klar und deutlisch, sonst wird das nix.

da mein Englisch nicht so berauschend ist und dadurch den Befehl nicht finde frag ich einfach nochmal.

Dann solltest du dir zu liebe deine englisch Kenntnisse auffrischen. Das halte ich für jemanden der in der heutigen Zeit in der IT tätig ist für zwingend!

Möcht das Konto auch gleich aktivieren.

Hast du dir den Befehl den ich weiter oben gepostet hatte mal genauer angeschaut? Scheinbar nicht. Auch hättest du dir in meiner letzten Antwort die Technet-Seite zu dsadd anschauen können. Auch ohne tiefere englische Kenntnisse hättest du die Parameter schon verstanden.

Für was denkst du steht der letzte Parameter in diesem Befehl?

dsadd user "CN=User1,OU=unter OU,OU=Firma,OU=Mitarbeiter,DC=test,DC=local" -samid Hans -upn Hans@test.local -pwd Pa$$w0rd! -disabled no

Denn ohne die Angabe von "-disabled no" wird standardmäßig der erstellte Benutzer deaktiviert.

Gibt es da auch eine deutsche Beschribung zu oder könnt ihr mir Helfen.

Du hast immer noch nicht in der Kommandozeile den Befehl "dsadd user /?" ausgeführt! Warum nicht?! Wenn dir die deutsche Hilfe in der Kommandozeile zu diesem Befehl nicht ausreicht, schau dir den Link an und befasse dich damit. Nach einer Zeit blickst du dort schon durch.

da sagt er mir actives:yes ist ein unbekannter Parameter

Na klar, weil es den Parameter "actives" auch nicht gibt. Oder kreierst du gerade deinen eigenen Parameter?

Kann mir jemand sagen wo mein Fehler ist.

Das du zum einen auf uns nicht hörst und zum anderen, dass was wir dir empfehlen nicht befolgst.

Neben dem was Nils erwähnt hat bzgl. der Parameter, kannst du auch in der Suchmaschine deiner Wahl nach dem Befehl suchen. Dann würdest du schnell auf dieser Seite landen:

Dsadd user

Servus,

der Distinguished Name (DN) müsste in deinem genannten Bespiel so aussehen:

CN=User1,unter OU,OU=Firma,OU=Mitarbeiter,DC=test,DC=local

das ganze würde dann so aussehen:

dsadd user "CN=User1,OU=unter OU,OU=Firma,OU=Mitarbeiter,DC=test,DC=local" -samid Hans -upn Hans@test.local -pwd Pa$$w0rd! -disabled no

Warum? Willst du behaupten, das sei schwer? ;)

Na kloar ist das schwer, sogar "per se"... sonst könnte das ja jeder. ;)

@ careen

Du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw.

auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs.

Yusufs Directory Blog - Schemaupdate beim Windows Server 2003 R2

Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest.

Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen".

Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.

Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen

In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein. Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern.

Siehe:

Yusufs Directory Blog - Welcher DNS-Server sollte eingetragen werden ?

Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert".

Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben:

Yusufs Directory Blog - Die FSMO-Rollen verschieben

Zusätzlich solltest Du den neuen DC zum GC deklarieren. Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen.

Yusufs Directory Blog - Globaler Katalog (Global Catalog - GC)

Was sonst noch alles zu beachten ist und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel:

Yusufs Directory Blog - Den einzigen Domänencontroller austauschen

Salut,

Im ersten Fall installierst du einfach Windows 2003 als zusätzlichen DC der vorhandenen Domäne.

entferne "einfach" und wir sind konform. :p

An diese Info komme ich leider im Moment nich ran.

Dann liefere das nach und auch die Meldung (den genauen Wortlaut) die du erhälst, wenn du z.B. einen Benutzer erstellen möchtest.

OK, aber du musst schon klarer deine Situation beschreiben und auch auf meine angegebenen Punkte eingehen, damit wir dir adäquat helfen können!

Ist denn das DNS auf dem DC installiert und befinden sich bereits die DNS-Informationen auf dem neuen DC?

Ist der neue DC in seinen TCP/IP-Einstellungen als primärer DNS-Server eingetragen?

Welche Fehlermeldungen erscheinen im Verzeichnisdienstprotokoll (Eventlog)?

Wie hattet ihr denn die Kopie erstellt (geimaget)?

Dann haben wir den Testserver ganz bewusst aus dem Netzwerk rausgenommen, ab dann konnten wir das AD nicht mehr bearbeiten.

Willst du jetzt sagen das ihr (wie auch immer) eine Kopie des DCs erstellt habt und dieser auch noch im produktiven Netz auch noch aktiv war? Sprich, es war der original DC neben der Kopie aktiv in der Domäne?

Abgesehen davon, das Testsystem solltet ihr auch gegen fremde Zugriffe sichern, da sich auf dem DC alle Kennwörter vor allem der administrativen Konten befinden.

Ist denn das DNS auf dem "kopierten" DC installiert und ist dieser in seinen TCP/IP-Einstellungen eingetragen?

So müssten alle Infos vorliegen.

Keineswegs!

das Problem "war" meine Vermutung das ich in eine Struktur in der noch Win 2000 Server vorhanden sind, keine Server 2008 aufgenommen werden können.

Wie du nun weißt, kann man einen Windows 2000 DC nicht per Inplace-Update (Windows 2008 DVD in den Windows 2000 DC einlegen und aktualisieren) auf Windows Server 2008 aktualisieren. Man kann aber sehr wohl einen zusätzlichen Windows Server 2008 DC auf einer separaten Maschine (oder VM) zu einer Windows 2000 Domäne hinzufügen.

Hab durch die Artikel meinen Denkfehler behoben.

Einwandfrei. :)

Also wird alles nach Plan laufen und ich kann die bestehende Struktur um den 2008er DC erweitern. Vielen Dank für eure Hilfe

Ja, dass "sollte" so sein und keine Ursache. ;)

Bonjour,

Bei einem Kunden ist vor einiger Zeit der DC ausgefallen.

dann sollte diese Leiche im AD auch aus den Metadaten des AD entfernt werden.

[Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]

http://blog.dikmenoglu.de/PermaLink,guid,63ce9507-2f65-4b3f-8709-1b21853167b3.aspx

Die FSMO Rollen wurden auf einen 2003 umgezogen. Der Kunden hat einen zweiten DC (auch 2003) ins Netzwerk gebracht. Nun möchte er zusätzlich noch einen 2008 als DC einrichten.

OK.

Das Problem an der ganzen Sache ist das der Domainmodus momentan auf "2000 gemischt" steht und die maximale Hochstufung auf "2000 einheitlich" möglich ist.

Ja, damit ein Windows Server 2008 als zusätzlicher DC zur Domäne hinzugefügt werden kann, muss sich der Domänenfunktionsmodus zwingend auf "Windows 2000 pur" oder "Windows Server 2003" befinden. Erst dann nämlich lässt sich das ADPREP /DOMAINPREP /GPPREP ausführen.

Siehe auch:

Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Generell werde ich den 2008er nicht mal als Membeserver in die AD bekommen.

Warum das denn? Natürlich kannst du einen Windows Server 2008 als Mitgliedsserver zu einer Windows Server 2003 Domäne hinzufügen.

Kollege vermutet das der Schemamaster von dem "toten" DC nicht korrekt übernommen wurde.

Aha? Wie kommt der Kollege denn zu dieser Annahme? Und was meint er mit "nicht korrekt übernommen"?

Wo sich die einzelnen FSMO-Rollen befinden, kann man auf mehrere Wege in Erfahrung bringen. Schaue dazu in dem folgenden Artikel ganz unten:

Yusufs Directory Blog - Die FSMO-Rollen verschieben

Hat noch jemande eine Idee wo das Problem liegen könnte bzw. weiß wie ich den 2008er als DC ins Netz bekomme?

Ja, dü führst auf dem Schemamaster das ADPREP /FORESTPREP und auf dem Infrastrukturmaster in der Domäne, in der du den 2008er als DC hinzufügen möchtest das ADPREP /DOMAINPREP /GPPREP von der 2008er DVD aus.

Wo liegt denn nun genau das Problem?

Der zweite Domain-Controller hat bereits 24h funktioniert und war auch administrierbar. Dann ist die Internet Verbindung abgebrochen und danach ist der oben beschriebene Fehler aufgetreten.

Es handelt sich also um zwei AD-Standorte? Etwas "gesprächiger" könntest du schon sein. ;)

Funktioniert denn ein PING und die Namensauflösung zu diesem DC?

Wenn die AD-Replikation zwischen den DCs nicht funktioniert (so wie es bisher den Anschein hat), dann müsste im Eventlog einiges dazu stehen (neben anderen Fehlermeldungen). Kontrolliere das einmal.

Du kannst auch mit einem Rechtsklick auf das Verbindungsobjekt die Replikation anstoßen und schauen was passiert. Das Verbindungsobjekt siehst du, wenn du im Snap-In "Active Directory-Standorte und -Dienste" den Standort erweiterst, gefolgt vom Container Servers sowie <DC-Name> und anschließend das "NTDS Settings" Objekt auswählst.

Nur siehst du leider dabei nichts. Etwas mehr siehst du schon im REPLMON.

Du könntest das ganze aber auch gezielter und feiner über REPADMIN durchführen. Ein möglicher Befehl könnte folgendermaßen lauten:

Für die Inbound-Replikation (eingehend):

REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q

Für alle Verzeichnispartitionen: REPADMIN /SYNCALL <FQDN DC> /A /e /d /q

Für die Outbound-Replikation (ausgehend):

REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q /P

REPADMIN /SYNCALL <FQDN DC> /A /e /d /q /P

Achtung: Die Parameter sind "case sensititve".

Schau dir die Hilfe zu REPADMIN an um ggf. die Replikation, die deinen Wünschen entspricht, durchzuführen.

Die genannten Tools findest du in den entsprechenden Windows Support Tools. Du solltest darauf achten, jeweils die Tools, passend zum OS zu installieren (mit der SP Version).

[Download details: Windows Server 2003 Service Pack 1 32-bit Support Tools]

http://www.microsoft.com/downloads/details.aspx?FamilyId=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en

Download details: Windows Server 2003 Service Pack 2 32-bit Support Tools

Servus,

Allerdings ist dabei unsere Internetverbindung abgebrochen. An dem synchronisierten Server sind jetzt keine Eintragungen in das Activ Directory mehr möglich. Wie kann das sein, gibt es da eine Lösung ?

wurde denn die AD-Replikation erfolgreich abgeschlossen? Vermutlich nicht. Beschreibe doch mal in welchem Zustand sich nun der neue DC sich befindet. Welche Fehler erscheinen im Eventlog des neuen DCs.

Du hättest aber auch das Hinzufügen des neuen zusätzlichen DCs mit der "Install from Media" Funktion hinzufügen können.

Yusufs Directory Blog - Domänencontroller-Installation von einer Sicherung

Servus,

auf der neuen serverhardware, möchte ich windows 2008 verwenden.

bevor du den ersten Windows Server 2008 als DC zu der Windows Server 2003 Domäne hinzuzfügen kannst, musst du vorher das AD-Schema auf Windows Server 2008 aktualisieren. Wie das im einzelnen funktioniert, erfährst du vom folgenden Artikel:

Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Was sonst noch zu beachten gilt, erfährst du von hier:

Yusufs Directory Blog - Den einzigen Domänencontroller austauschen

Wenn du weitere Fragen haben solltest (nach dem studieren beider Artikel), dann her damit. ;)

Ahoi,

Wir sollen als Praxisübung diese beiden Domänen einmal im "Kopf" zusammenführen und einmal die Domäne "contoso.de" der Domäne "traincert.de" unterordnen.

ist das ein Hausaufgabe oder ist das ein bevorstehendes Projekt?

Bisher haben wir versucht eine Vertrauenstellung zwischen den Domänen her zu stellen um dann "contoso" irgendwie unterordnen zu können bzw. diese beiden Domänen zusammen zu führen, was aber nicht funktionierte.

Domänen können nur durch eine Migration z.B. mit ADMT zusammengeführt werden. Was hat denn bei euch nicht funktioniert?

Ein zweiter Ansatz war, dass wir für diese beiden Domänen eine neue "übergeordnete Domäne" auf dem DNS Server von "traincert" erstellen um dann beide Domänen in diese neue Domäne zu überführen, aber auch das hat nicht funktioniert.

OK, ihr wollt also eine Migration durchführen. Dann sucht ihr nach ADMT.

Wie wird sowas korrekt unter Win2K3 durchgeführt.

Je nach Kundenwunsch und der Anforderung kann man die eine Domäne in die andere bestehende migrieren, so das am Ende nur noch eine einzige Domäne existiert. Oder die Domäne aus der zweiten Gesamtstruktur wird als untergeordnete Domäne der ersten Gesamtstruktur migriert. Oder es wird in der einen Gesamtstruktur eine neue Domänenstruktur mit eigenem Domänennamen erstellt.

Siehe:

Yusufs Directory Blog - Eine Domänenmigration durchführen

Servus,

...und es gibt auch wenig Gründe wieso man das im Falle einer Fusion so machen sollte

das stimmt, jedoch kann es gerade bei einer Fusion zweier Firmen alleine schon wegen dem Domänennamen zu "Problemen" kommen. Daher könnte man auch in der einen bestehenden Gesamtstruktur eine weitere Domänenstruktur mit eigenem Domänennamen erstellen.

Dann lies dir für dein Vorhaben noch diesen Artikel durch, damit nichts schief geht. ;)

Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Viel Erfolg.

Servus,

Muss man bei den windows 2000 servern was beachten oder laufen die als normale members einfach mit?

ja, die Mitgliedsserver funktionieren weiterhin. Es gibt keine prinzipiellen Probleme. Falls Probleme auftauchen sollten, muss man diese einzeln bewerten und genauer nachgehen.

weil es gewachsen ist und die "angst" haben, das jetzt umzustellen....

Angst hat man hauptsächlich dann, wenn man sich mit der Materie nicht richtig auskennt.

okay, perfekt. Ich wollte nur sicher gehen, weil der Microsoft-Mensch heut sagte, oh mal schaun, ob wir aus der Nummer heile raus kommen...

Alles eine Frage der Planung.

Salut,

Also: Kennt jemand die Eigenschaft, die zum Entsperren der Benutzer gesetzt werden muss?

du kannst es entweder über den Delegierungsassistenten, durch das Bearbeiten der Discretionary Access Control List (DACL) oder mit dem Kommandozeilentool DSACLS einrichten.

Siehe dazu:

Yusufs Directory Blog - Objektdelegierungen einrichten

Servus,

Class A Netz Domäne A 88.1.1.1 255.0.0.0 domäneA.local

Class A Netz Domäne B 88.2.1.1 255.0.0.0 domäneB.local

warum wird denn im internen LAN mit öffentlichen IP-Adressen gearbeitet?

kann ich da überhaupt jemals das ordentlich und sauber aufziehen??

Klar.

Woher soll ein Client aus DomäneA wissen, ob er in der Lookupzone für DomäneA oder B suchen soll, weil es ja doch das selbe Netz ist...oder versteh ich hier was falsch??

Wenn eine Migration durchgeführt werden soll, dann sollte das ohnehin mit z.B. ADMT durchgeführt werden. Da bei einer Migration mit ADMT eine Vertrauensstellung zwischen beiden Domänen notwendig ist, darf für eine Vertrauensstellung der DNS- sowie NetBIOS-Domänenname nicht identisch sein. Jedem Windows-Client wird standardmäßig beim hinzufügen zur Domäne das "primäre DNS-Suffix" der Domäne vergeben.

Im einem Netz können sehr wohl mehrere Domänen "nebeneinander" existieren. Nur gilt es dann die Dienste wie z.B. DHCP sauber zu trennen.

Servus,

Muss ich mir Gedanken machen?

nein, keineswegs. Das ist ein Schönheitsfehler im GPRESULT. Einfach ignorieren. ;)

Nun gibt es auch das RSAT für Windows 7 RC.

Have Fun.

http://www.microsoft.com/downloads/details.aspx?FamilyID=f6c62797-791c-48e3-b754-c7c0a09f32f3&displaylang=en