Daim

Egal ob mit NTDSUTIL oder ADSIEdit. Beim bereinigen der Metadaten des AD muss man wissen was, wo getan werden muss. Mit beiden Tools bleiben immer "Reste" übrig, die anschließend händisch gelöscht werden müssen. Sei es das DC-Objekt in "Standorte und Dienste" (bei NTDSUTIL) oder die Einträge im DNS. Nils stelle seine Frage mit ADSIEdit zu recht, denn damit "operiert" man am offenen herzen. Denn ein Mausklick an einer falschen Stelle und schon könnte man im ADSIEdit einiges lahm legen. Da muss man wissen was man tut. Mit NTDSUTIL kann man nicht so leicht und so schnell der Domäne und damit sich selbst Schaden. Wie bereits erwähnt, beim bereinigen des AD bleiben bei beiden Tools Reste übrig, die noch händisch entfernt werden müssen. Da hat dann aber jemand daran "geschraubt".

Wenn du sicher bist, dass die anderen DCs keine Fehler haben, wäre das ebenfalls eine Möglichkeit. Somit sparst du eben langwieriges Troubleshooting. Falls also diese Probleme NUR auf dem neuen DC auftreten und auf allen anderen DCs nicht, kannst du "deinen Weg" gehen. ;)

Bonjour, na dann wird es aber mal Zeit den 2000er DC los zu werden, damit du in den höheren Domänen- respektive Gesamtstrukturfunktionsmodus wechseln kannst und somit von den Vorteilen (AD-Replikation etc.) profitieren kannst. ;) Führst du das Löschen der Reste auf einem Windows Server 2008 aus? Falls ja, starte die Kommandozeile oder ADSIEdit mal explizit (Rechtsklick) als Administrator und versuche es erneut.

Danach halte die Eventlogs im Auge und überprüfe mit DCDIAG, NetDIAG sowie mit REPADMIN/REPLMON den Status samt der AD-Replikation des DCs.

Hola, da gibt es nichts zu korrigieren, denn genau so ist es. ;)

Salve, zuerst einmal schaffe eine fehlerfreie Basis, ehe du einen weiteren DC zur Domäne hinzufügst. Beseitige die bestehenden Fehler. Gehe dazu den Kommentaren unter EventID.net durch und auch die folgenden Artikel: Event 1586 Message: The Checkpoint with the PDC Was Unsuccessful Event ID 53258 is logged in Event Viewer after you install or remove Active Directory in Windows Server 2003 Überprüfe auch mit DCDIAG und NetDIAG den Status des DCs und wirf einen Blick ins Eventlog.

Servus, dein Vorhaben ist Mitbestimmungspflichtig. Daher solltest du das vorher abklären. Du könntest dein Ziel mit der GPO "Anmeldeereignisse überwachen" relisieren. Mit den Tools EventComb und BLAT kannst du dir dann die entsprechenden Eventlog-Einträge zumailen lassen. Oder du arbeitest mit dem LogParser. Aber du kannst es auch mit einem Login-Skript realisieren. Siehe dazu: http://blog.dikmenoglu.de/PermaLink,guid,9970eff4-48e4-407c-9617-f4034d0e05d2.aspx1

Diese "gewisse" Konstellation gibt es ja auch. Du brauchst dich nicht zu entschuldigen (es war auch nicht "viel"), nur warum macht man sich denn die Mühe und schreibt Artikel? Damit man in seinen Antworten nicht wie eine Schallplatte klingt, die einen Sprung in der Schüssel hat und sich jedesmal wiederholt. In meinem FSMO-Artikel sind die Konstellationen aufgeführt, daher der Verweis darauf. Einwandfrei. :) Ja, dass hört sich vernünftig an und kannst du auch so machen. Viel Erfolg und "Have Fun". ;)

Das wirds sein. Oder die MAschinen wissen das bald Karneval ist und wollen euch nur ärgern. ;) OK, dann solltet ihr zuerst den 3. DC zur Domäne hinzufügen. Lies doch mal in meiner vorherigen Antwort den FSMO-Artikel. Du brauchst lediglich in der zweiten Aufzählung den dritten Punkt zu lesen. Aber schonmal vorab, ja das stellt kein Problem dar wenn alle DCs in der Domäne auch GCs sind (was im Übrigen auch empfohlen wird). Wenn die Forward Lookup Zone (FLZ) AD-integriert gespeichert ist, installiere nach dem heraufstufen (oder vorher) des dritten DCs nach einem Neustart das DNS und brich die Konfiguration ab, die startet. Da das DNS bereits konfiguriert ist, müsst ihr lediglich die AD-Replikation abwarten. Siehe (und bitte auch mal lesen): Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen Wenn ein DC heruntergestuft wird, kann der Server die Rolle eines DNS-Server bei AD-interierter FLZ nicht mehr wahr nehmen. Nach dem herunterstufen eines DCs, kann auch das DNS deinstalliert werden.

Servus, wenn in deiner "Windows Server 2003" Umgebung ein Exchange 2003 existiert und du den ersten Windows Server 2003 --> R2 <-- hinzufügen möchtest, musst du mit ADPREP /FORESTPREP von der zweiten R2-CD das Schema aktualisieren. Das beireits ein Exchange-Server existiert, stellt in diesem Szenario kein Problem dar. Denn auf der ersten R2 CD ist nichts weiter als ein Windows Server 2003 mit integriertem SP1/SP2 drauf. Erst mit der zweiten R2 CD werden die R2 Erweiterungen installiert bzw. das System auf R2 erweitert. Die zweite CD macht daraus ein "R2" indem Zusatzkomponenten unter Systemsteuerung - Software eingetragen werden, die man dann für bestimmte Szenarien nachinstallieren kann. Siehe auch: Yusufs Directory Blog - Schemaupdate beim Windows Server 2003 R2 Du kannst das ADPREP /FORESTPREP im laufenden Betrieb ausführen. Jeoch solltest du es dann erst ausführen, wenn nicht oviel Last auf dem Schema-Master besteht, also in einer ruhigen Minute. Ein Neustart ist anschließend auch nicht fällig. Natürlich sollte vorher eine System State-Sicerung durchgeführt werden. P.S. Exchange auf einem DC zu installieren, wird seitens Microsoft nicht empfohlen. Es ist jedoch technisch möglich und wird auch von Mcrosoft supportet.

Bonjour, eieiei... was ist denn in eurem Netz los? Aktiviere auf jedem DC in der Domäne den GC, dann ergibt sich kein Problem. Abgesehen davon, die FSMO-Rollen sollten in den meisten Umgebungen ohnehin auf nur einem DC liegen und nicht auf mehreren verteilt sein. Siehe auch: Yusufs Directory Blog - Die FSMO-Rollen verschieben Sind denn die Probleme auf dem 2. DC nicht "reparierbar"? Wenn die Probleme nicht innerhalb des ADs liegen, würde ich zuerst das hinzufügen des 3. DCs empfehlen und dann erst mit den restlichen Arbeiten fortfahren. Sehr vernünftig. ;)

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Der Agent der automatisch beim migrieren der Clients auf den Maschinen installiert wird, biegt die Berechtigungen der Profile um. Somit meldet sich der Benutzer mit seinem neuen Benutzerkonto in der neuen Domäne an und erhält sein altes Profil. Das ist doch gerade das schöne bei einer Migration mit ADMT oder jedem anderen Migrationswerkzeug. Du musst nicht per "Turnschuh" zu jedem Client und an den Profilen "rumschrauben". Natürlich kann mal etwas schief gehen, aber größtenteils verläuft das nach meinen bisherigen (vielen) Migrationserfahrungen ganz gut. Bei der Migration der Clients installiert das ADMT einen Agent auf allen zu migrierenden Maschinen (Clients und Memberserver) und biegt eben die lokalen Berechtigungen um (samt dem Profil). Des Weiteren wird die lokale Domänenzugehörigkeit der Maschinen geändert. Das brauchst du nicht zu tun. Das erledigt ADMT für dich. Genau. Die neue Domäne sollte natürlich einen anderen Domänenname erhalten (DNS- sowie NetBIOS-Name). Beide Domänen im einem Netz stellt sonst kein Problem dar. Du musst eben auf die Dienste wie z.B. DHCP achten. Diese kannst du aber auch recht schnell zum Schluss einrichten. Yepp. Nein, du kopierst nichts. Du führst ADMT aus. ;) Lies dir auf meinem verlinkten Artikel "Eine Domänenmigration durchführen" den Artikel selbst und das Whitepaper zu ADMT durch. Alle Links die du benötigst findest du in meinem erwähnten Artikel.

Ja das ist mir schon klar. Ich weiß eben nicht, ob du mit --> ADMT <-- in eine neuen Domäne migrieren möchtest oder was du genau vor hast. Fakt ist, wenn du mit ADMT in eine neue Domäne migrierst, bleiben dir die Benutzerprofile mit allen Daten (samt den Punkten, die du aufgezählt hast) alle erhalten. Es geht im Idealfall nichts verloren.

Du möchtest mit dem neuen Windows Server 2008 eine neue Domäne aufsetzen und die Benutzer sowie Clients in die neue Domäne mit ADMT migrieren? Wenn ich dich richtig verstanden und du in eine neue Domäne migrieren möchtest, bleiben dir bei der Migration mit ADMT alle Profile erhalten. Siehe auch (samt die Whitepaper zu ADMT): Yusufs Directory Blog - Eine Domänenmigration durchführen

Servus, die AD-Informationen lokal vom DC mit DCPROMO /FORCEREMOVAL können im --> Verzeichnisdienste wiederherstellen <-- Modus erst ab Windows Server 2008 durchgeführt werden. Die AD-Daten lokal auf den DCs können unter Windows 2000 oder Windows Server 2003 NUR dann entfernt werden, wenn der DC normal gestartet ist. Entferne das Netzwerkkabel vom "defekten" DC und führe DCPROMO /FORCEREMOVAL aus. Genau. Du entfernst den DC aus den Metadaten des AD entweder mit NTDSUTIL - Metadata cleanup oder mit ADSIEdit. Siehe dir dazu den folgenden Artikel an und lass dich nicht vom Titel abschrecken. Darin geht es auch um Windows 2000/2003. Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

Servus, aber sicher ist das möglich. Der Befehl den du benötigst, lautet: dsquery * domainroot -filter "(&(objectCategory=Person)(objectClass=User))" -limit 0 -attr sAMAccountName sn givenName scriptpath distinguishedName > C:\Loginscript.txt

Hola, wenn du möchtest und du den DC noch im Modus "Verzeichnisdienstwiederherstellung" starten kannst, könntest du eine Analyse über die AD-Datenbank durchführen. Falls dann Fehler gemeldet werden, könnten diese evtl. mit einem FIXUP gelöst werden. Jedoch könnte diese Vorgehensweise weitere Probleme bereiten. Aber wenn du ohnehin ans "re-promoten" denkst, wäre es einen Versuch wert. Siehe: Yusufs Directory Blog - Die Active Directory-Datenbank reparieren

Hola, das ist auch empfehlenswert. Das kann man zwar machen, jedoch ist das nicht die Idealkonfiguration. An dieser Stelle sollte die echte IP-Adresse stehen und nicht die Localhost. Wieso denn eine zweite Zone? Das DNS ist doch bereits auf dem ersten DC konfiguriert. Idealerweise befindet sich die Forward Lookup Zone im AD, denn dann erledigt die AD-Replikation für dich den Rest. Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen Gängige Praxis ist es die "Überkreuz-Variante" zu wählen. Du trägst auf dem ersten DC den anderen DC als ersten DNS-Server ein und sich selbst als zweiten. Auf dem anderen DC machst du genau das gleiche in umgekehrter Reihenfolge. So ist der Neustart eines DCs auch nicht so langwierig. Oder alle DCs/DNS-Server verweisen auf einen zentralen DNS-Server. Beachte dazu diesen und die darin verlikten Artikel: Yusufs Directory Blog - Welcher DNS-Server sollte eingetragen werden ? Empfohlen wird die echte IP-Adresse einzutragen. Beachte dazu die verlinkten Artikel im o.g. Link. Das musst du genauer erläutern. Wer gerade lokal am DC angemeldet ist oder welche Benutzer sich an der Domäne angemeldet haben? Ja, aber dabei ist es wichtig, dass die Clients beide DCs als DNS-Server in ihren TCP/IP-Einstellungen eingetragen haben.

Bonjour, nein, musst du nicht, aber du kannst es machen. Nein, falsch war es nicht. So hast du eben "einen "Schritt" und somit einen Neustart mehr, als wenn du gleich nach der Betriebssyteminstallation DCPROMO ausführen würdest. Du kannst aber mal als Test den Server aus der Domäne entfernen, löschst sein Computerkonto im AD und führst anschließend auf dem nun Arbeitsgruppenserver das DCPROMO aus. Des Weiteren kannst du dir auch das DCPROMOUI.log anschauen, um evtl. ausführende Informationen bzgl. des Fehlers zu erfahren. Yusufs Directory Blog - Debug Protokollierung Nein. Vertrauensstellungen richtet man zwischen --> Domänen <-- oder --> Gesamtstrukturen <-- ein und nicht zwischen einem Server und der Domäne.

Servus, guckst du im OP. ;)

Salut, korrekt, denn wie will man sich auf einen nicht mehr existierenden DC verbinden? ;) Genau. Wenn du möchtest schau dir den folgenden Artikel an. Der ist klar, einfach und verständlich geschrieben und lass dich von dem Titel nicht beirren. Darin geht es auch um Windows Server 2003. ;) Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

Ohhaa... das sind alles Vermutungen und keiner weiß es genau. Nun bin ich etwas vorsichtig, da die Replikation deaktiviert war. Überprüfe sicherheitshalber ob nicht doch ein USN-Rollback vorliegt, was leider sein könnte. Die deaktivierte AD-Replikation wäre ein Indiz dafür, denn ich denke nicht das ein Admin das verstellt hat. Siehe: How to detect and recover from a USN rollback in Windows 2000 Server

Salve, hier meckert das DCDIAG an, dass die eingehende AD-Replikation deaktiviert sei. Installiere dir die Windows Support Tools von der Server -CD und führe folgenden Repadmin-Befehl aus, um die eingehende AD-Replikation wieder zu aktivieren: REPADMIN /Options -DISABLE_INBOUND_REPL Hier das gleiche wie oben, nur das hier die ausgehende Replikation deaktiviert ist. Zum aktivieren führst du diesen Befehl aus: REPADMIN /Options -DISABLE_OUTBOUND_REPL Kommt die ID 13508 öfters und alleine, also ohne die EventID 13509? Denn schau dazu hier: Troubleshooting File Replication Service Eins nach dem anderen. Aktiviere erstmal die AD-Replikation und gib dann dem ganzen etwas Zeit. Danach schaust du, was noch übrig bleibt von den Fehlern. Denn wenn die AD-Replikation nicht läuft, steht quasi alles auf dem DC. Daher können auch die vielen Fehlermeldungen kommen. Die Fehler hätte man natürlich vorher beseitigen sollen. Ich persönlich bin zwar ein Freund davon, die Infrastrukturdienste direkt auf der Maschine zu installieren, jedoch können DCs sehr wohl virtualisiert werden. Zumal der Trend ohnehin in diese Richtung geht. Aber natürlich gilt es die Randbedingungen zu kennen. Siehe diesen und die dort weiterführenden Links: Running Domain Controllers in Hyper-V Oder: Considerations when hosting Active Directory domain controller in virtual hosting environments

Servus, dann suchst du so etwas in der Art: List print queues v2 (VBScript) - Active Directory, 3rd Edition

Na was willst du dann noch? ;) Sobald du auf dem neuen Server das DCPROMO ausgeführt hast, wird er zum DC gestuft. Die AD-Informationen werden dann von dem 2000er DC auf ihn repliziert. Na durch die AD-Replikation vom 2000er DC. Wichtig ist, der neue Server muss den 2000er DC als ersten und einzigsten DNS-Server in seinen TCP/IP-Einstellungen eingetragen haben. Nein. ADPREP aktualisiert nur das Schema, damit du überhaupt den 2008er als DC zur Domäne hinzufügen kannst. Das Leben eines DCs fängt mit DCPROMO an. ;)