Daim

Dann führe es erneut genauestens nach der o.g. Anleitung durch und melde dich bei Problemen.

Was ist denn nun damit?

Das kommt darauf an, in welchem "Zustand" der alte DC ist. Ist denn dieser noch ein Domänencontroller und funktioniert dieser noch ordnungsgemäß? Kontrolliere auch das Eventlog des alten DCs.

Wir benötigen schon mehr detailliertere Informationen von dir.

Ansonsten kannst du auch einen Blick auf den folgenden Artikel werfen:

Yusufs Directory Blog - Langsame Netzwerkverbindung

Hm, ok - ich seh gerade, die Clients haben zum Teil alle noch den alten Server als DNS eingetragen, und nicht den neuen - kann es daher auch zu den Problemen mit der Netzwerkgeschwindigkeit kommen?

Das kommt darauf an, in welchem "Zustand" der alte DC ist. Ist denn dieser noch ein Domänencontroller und funktioniert dieser noch ordnungsgemäß? Kontrolliere auch das Eventlog des alten DCs. Aber DNS-Probleme können sehr wohl Netzwerkprobleme hervorrufen.

Wie ueberpruefe ich das in den DNS Einstellungen mit der Forward Zone, so wie ich das sehe ist ueberall der neue (srv-...-02) hinterlegt, unter _tcp - etc...

Ein einfacher Blick in das DNS-SnapIn reicht in den meisten Fällen schon aus.

Du kannst aber auch generell überprüfen, ob die AD-Datenbank (in der sich auch die DNS-Informationen befinden, bei AD-integrierter FLZ) auf allen DCs gleich ist.

Yusufs Directory Blog - Domänencontroller vergleichen

Servus,

ja - genau! Der alte ist aber noch am Netz soweit ich weiss, hat der Vorgaenger wohl irgendwie Mist gebaut - Problem ist jetzt aber, wenn ich einfach son CleanUp mache, dass dann hinterher gar nichts mehr geht?

da es noch einen weiteren DC in der Domäne gibt, brauchst du dir darüebr keine Gedanken machen. Du soltlest nur sicherstellen, dass auf den anderen DCs das DNS instalölliert ist, sich die Forward Lookup Zone im AD befindet und die DNS-Informationen auf die DCs repliziert wurden. Des Weiteren müssen die IP-Adressen der DCs den Clients als DNS-Server mitgeteilt werden (statisch oder per DHCP).

Sprich das sich die Benutzer immer noch am alten Server anmelden und wenn ich den jetzt ganz wegkick, dass gar nichts mehr geht - kann ich irgendwie kontrollieren, ob der neue die ganzen Rollen uebernommen hat, und die User sich auch an dem DC anmelden?

Wenn du meinen oben geschriebenen Absatz befolgst, passiert das nicht. Du kannst ja aber auch zuerst der "alten" DC herunterfahren und siehst dann was passiert.

Servus,

die DHCP-Konfiguration samt den Leases, kannst du mit folgendem Befehl sichern:

"netsh dhcp server export C:\Dhcp.txt all".

Du solltest nichts händisch kopieren!

Die exportierte Datei kannst du dann auf dem anderen Server mit folgenden Befehl importieren:

"netsh dhcp server import C:\Dhcp.txt all".

Probiere das erneut.

How to move a DHCP database from a computer that is running Windows NT Server 4.0, Windows 2000, or Windows Server 2003 to a computer that is running Windows Server 2003

Servus,

die meist verwendeten Optionen wären:

003 Router Standard

006 DNS-Server Standard

015 DNS-Domänenname <-- NUR für Prä Windows 2000 Clients

044 WINS/NBNS-Server

046 WINS/NBT-Knotentyp

Im DNS-Server richtest du dann noch eine Weiterleitung auf den Router oder auf den DNS-Server deines ISPs ein. Dazu öffnest du das DNS- Snap-In und rufst mit einem Rechtsklick auf das Server-Icon die Eigenschaften auf. Im Reiter "Weiterleitungen" wählst du die Option "Alle anderen DNS-Domänen" aus und trägst unten z.B. die IP des Routers ein.

Servus,

nein, dass ist ja gerade der Vorteil einer AD-Umgebung was die Ausfallsicherheit der DCs betrifft. Steht ein DC nicht zur Verfügung, wird ein anderer für die Anmeldung genutzt (durch das DNS).

Wenn ihr Beta-Tester für Win7 auf Connect seit, dann versucht dort mal euer Glück.

Dann war aber deine anonymisierte FOR-Schleife nicht ganz korrekt.

Denn die Anführungsstriche "" sind nur dann zu setzen, wenn sich im DN Leerzeichen befinden.

In der Praxis sollte man sich aber ohnehin stets angewöhnen mit den Anführungsstrichen zu arbeiten, denn dann kommt man erst garnicht ins stolpern.

Servus,

Naja, das Problem hat eigentlich mein Pa in der Firma, der aber keinen Admin anrufen will, weil die Englisch sprechen ;o)

würde er bei der EDV anrufen, wäre das Problem schon längst geklärt.

was kann es dann sein?

Mit Sicherheit ein Tippfehler.

Kann ja nicht an der Länge der Zeichen oder Komplexitätsanforderungen liegen, da ja sonst eine andere Meldung kommen müsste

Korrekt.

Oder kann das auf einen Fehler im Benutzerkonto hinweisen, dass der Benutzer das Kennwort nicht ändern kann.

Nein.

Test steht aber eigentlich für eine OU

Poste doch mal die komplette (anonymisierte) FOR-Schleife.

Schon jemand getestet?

Diese Version wurde doch gerade eben veröffentlicht. So schnell sind wir auch wieder nicht.

Schließlich sind wir hier nicht mehr die jüngsten. ;)

Huhuu,

ja, ab dem 30.04.2009 nach Redmonder Zeitzone (PST) steht Windows 7 RC zuerst für TechNet- und MSDN-Abonnenten zum Download zur Verfügung.

Die Öffentlichkeit hat dann ab dem 5. Mai 2009 die Möglichkeit den RC herunterzuladen.

So eben frisch aus der Presse gekommen.

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=0f1eec3d-10c4-4b5f-9625-97c2f731090c#tm

Servus,

das Verhalten ist bereits bekannt. Wenn die DSQUERY-Abfrage mehrere Objekte findet und somit mehrere "Distinguished Names" erscheinen, funktioniert das übergeben an DSMOVE nicht.

@Daim

Also zu sagen dass ich unbedingt die Domäne umbenennen will wäre übertrieben.

Lies dir doch nochmals meine erste Antwort, diesmal aber genauer und zeige mir die Stelle in der ich etwas von "Domänenumbenennung" erwähnt habe.

Servus,

- Ist das eine Vorgehensweise die man so durchführen könnte oder habt Ihr andere Vorschläge / Anregungen?

du möchtest also in eine neue Domäne migrieren. Dann suchst du das Migrationswerkzeug ADMT.

- Können die Clients in der neuen Domäne auf ihre Daten aus der alten Domäne zugreifen? (das regelt doch die Vertrauensstellung?)

Ja, dass können sie. Das regelt aber nicht die Vertrauensstellung denn diese ist dafür da, damit der Zugriff auf die andere Domäne überhaupt gewährleistet ist. Wenn du mit ADMT migrierst kannst du entweder mit DUAL-ACL oder mit der SID-History arbeiten.

Was das bedeutet, verrät dir der folgende Artikel:

Yusufs Directory Blog - Eine Domänenmigration durchführen

- Kann man, sollte irgendetwas schief gehen, den ursprünglichen Zustand problemlos wiederherstellen? (neue Domäne löschen, Vertrauenstellung auflösen, Clients wieder in die alte Domäne aufnehmen)

Ja, dass kann man. Lies dir dazu das Whitepaper zu ADMT durch.

- Gibt es sonst noch Fallstricke die man beachten sollte?

Fallstricke gibt es hauptsächlich deshalb, wenn eine Migration nicht ordentlich geplant wurde.

- Jetzt das Wichtigste: Gibt es eine gute Doku zu den Vertrauensstellungen? Ich habe so etwas nämlich noch nie gemacht.

Damit du eine Vertrauensstellung erstellen kannst, benötigste du als erstes eine Namensauflösung. Ab Windows Server 2003 kannst du einfach eine "bedingte Weiterleitung" im DNS einrichten.

Erstellen einer Gesamtstrukturvertrauensstellung

Yusufs Directory Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen

Servus,

funktionieren würde beides, jedoch ist es empfehlenswert stets die echte und nicht die Localhost-Adresse einzutragen.

Siehe auch:

Yusufs Directory Blog - Welcher DNS-Server sollte eingetragen werden ?

Woran konntest du erkennen das es sich um die AD Datenbank handelt?

1. An der "Ereignisquelle" (die AD-Datenbank ist eine ESE-Datenbank).

2. An der "Ereigniskategorie".

3. Weil du "Domain Controller" erwähnt hast.

4. Weil dieser Eventlogeintrag im "Verzeichnisdienstprotokoll", das nur auf einem DC existiert, protokolliet wurde. ;)

Bonjour,

in der AD-Datenbank ist eine Indizierung "defekt".

Führe dazu zuerst einen Integritätstest der AD-Datenbank durch. Wenn dabei Fehler gemeldet werden, könntest du versuchen diese mit einem FIXUP zu beheben. Falls dieser DC jedoch dein einzigster DC in der Domäne sein sollte, erstelle zuerst eine Sicherung des DCs, für den Fall das beim FIXUP etwas schief gehen sollte.

Yusufs Directory Blog - Die Active Directory-Datenbank reparieren

Weiterhin sollte auf dem DC das SP2 für Windows Server 2003 installiert sein.

Falls nichts hilft und in der Domäne mehrere DCs existieren, könntest du den DC (wenn dieser ein "reiner" DC ist) zuerst Herunter- und erneut zum DC Hochstufen.

Im AD-User und Computer habe ich in den Eigenschaften vom DC hier am Standort unter dem Reiter Kennwortreplikationsrichtlinie in den erweiterten Eigenschaften vom Punkt Zulässige RODC-Kennwortreplikationsgruppe die Client-PC´s aus dem Standort eingetragen und danach war der Logonserver der hier am Standort.

Auhaa... Sag` bloß es handelt sich bei dem DC in Polen um einen RODC?

Und solch eine wichtige elementare Information verschweigst du uns?

Also muss man den RODC´s erst sagen wer sich an ihm authentifizieren darf.

Na klar, denn der RODC hat standardmäßig weder die Benutzer- noch Computerkennwörter. Diese müssen in der zulässigen RODC-Kennwortreplikationsgruppe hinzugefügt werden, erst dann kann der RODC die Clients eigenständig authentifizieren. Ohne die Kennwörter leitet der RODC die Anfragen zu einem beschreibbaren Windows Server 2008 DC weiter.

Wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos (samt des Computerkontokennworts) vorliegen hat. Falls das nicht der Fall ist, leitet er diese Anmelde-Anfrage an einen beschreibbaren Windows Server 2008 DC weiter und erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers (sowie Clients) an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Kennwort-Hash zum RODC.

Yusufs Directory Blog - Read-Only Domain Controller (RODC)

Deshalb hat er wohl immer einen DC aus Deutschland genommen, weil er das da ja auf jeden Fall durfte.

Genau so ist es und bitte gib beim nächsten Mal solche wichtigen Details gleich mit an. :(

Servus,

Wir an je einem Standort einen W2k8 Server stehen die 2 Netzwerkkarten beeinhalten einen für intern eine für das externe Netz.

ein DC mit mehreren NICs ist ohnehin ein Spezialfall und neigt dazu, Probleme zu verursachen. Das solltest du wenn möglich vermeiden.

Das Problem ist auch wenn ich den Eintrag im DNS lösche und in der Netzwerkkarte sag er soll ihn nicht im DNS registrien ist er trotzdem da.

Damit nun lediglich nur eine IP-Adresse im DNS registriert wird, muss im ersten Schritt, im DNS-Reiter der IP-Konfiguration der einen LAN-Verbindung, die dynamische Registrierung der IP abgeschaltet werden. Das hast du ja bereits getan.

Im zweiten Schritt muss in den Eigenschaften des DNS-Servers, das Abhören des Dienstes an der einen IP-Adresse verhindert werden. Denn ein DNS-Server registriert sich auch die IP-Adressen, an denen er abhört.

was kann m man da machen.

Idealerweise die zweite NIC ausbauen. :p

Active Directory communication fails on multihomed domain controllers

Servus,

Er schreibt ja dort:

# Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der funktioniert und auch online ist.

Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Root-Domäne>.

steht denn dort bei dir im DNS auch der entsprechende DC drin?

Und in der site ist auch nur der DC hier am Standort eingetragen. Ich frage mich warum er ihn trotzdem nicht finden kann und dann einen DC aus _tcp nimmt??

Was meinst du genau mit der Stelle die ich markiert habe?

:-( Kann ich dort etwas mit der Priorität und Gewicht etwas beeinflussen? Bei Prio ist beim dem DC am Standort als auch unter den alternativen in _tcp überall 0 eingetragen und auch die Gewichtung ist überall 100.

Davon lässt du Mal schön die Finger. Die Fehlerursache muss gelöst werden.

Aber das Problem habe ich immer noch.

Im fasse nochmals zusammen:

- Das DC-Icon befindet sich in "Standorte und Dienste" an seinem Standort und dem Standort wurde das entsprechende Subnetz verknüpft?

- Du hast anschließend das DNS bereinigt und die DNS-Records des nun verschobenen DCs aus seinem alten Standort entfernt?

- Kontrolliere an einem Client auch mal in der Registry, ob dieser mitbekommen hat an welchem Standort er sich befindet:

Der Client setzt dann in seiner Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

den Eintrag DynamicSiteName mit dem Standort, an dem er sich befindet

- Oder nicht das auf dem Client per Registry-Einstellung ein Standort fest vorgegeben wurde. Kontrolliere dazu im folgenden Registry-Schlüssel, ob dort der Eintrag "SiteName" existiert.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Selam Yavuz,

Was mich stutzig macht und ich deswegen ein Problem mit der ESET Firewall ausschließe ist, dass der Server den Client pingen kann aber der Client nicht den Server.

nein, du kannst die Firewall nicht ausschließen, sogar im Gegenteil, es liegt höchstwahrscheinlich an der lokalen Firewall auf dem DC. Deaktiviere oder deinstalliere diese mal auf dem DC.

Abgesehen davon sollte auf einem DC nur in begründeten Fällen eine lokale Firewall installiert und aktiv sein.

Das lässt sich so pauschal nicht beantworten und muss im Einzelfall geprüft werden.

Das kannst du auf der Herstellerseite der Durcker herausfinden.