Daim

Off-Topic:Huhuu Daniel, auch dir ein frohes neues. Ja, ich befinde mich gerade in der heißen Planungs-Endphase einer weltweiten Migration mit ~15.000 Usern. Diskussionen ohne Ende. Und um noch etwas produktives hier im Thread beizutragen: Nicht zu vergessen, beinhaltet auch eine Gesamtstruktur einen einzigen globalen Katalog, egal wieviele Domänenstrukturen existieren.

Servus, eine Vertrauensstellung ist im Prinzip nichts anderes, als eine Beziehung. Da wird nichts zur "Einheit". In deinem zweiten Beispiel ist eben nicht klar, ob es sich um zwei oder ob es sich um eine Gesamtstruktur handelt. Denn innerhalb einer Gesamtstruktur können mehrere Domänenstrukturen, dem Volksmund auch als Tree bekannt, mit völlig unterschiedlichen Namensräumen existieren. Grundlegendes zu Vertrauensstellungen

Nein.

Servus, änderst du das Subnetz von /24 auf /23, stehen dir 510 IP-Adressen zur Verfügung. Der IP-Bereich wäre dann von 192.168.4.1 bis 192.168.5.254. Du müsstest das entsprechend im DHCP konfigurieren, sofern DHCP (was ich schwer hoffe) im Einsatz ist. Auf allen anderen Geräten mit statischer IP-Adresse muss das ebenfalls angepasst werden. Ich weiß nicht, ob DU das einfach so kannst. ;)

Kannst du auch nicht. Ich vermute Frank war auch über die Feiertage "schwer im Stress". Diesmal eben mit Familie. ;)

Windows Server, AD, Exchange und mehr…..

Das kannst du doch in Excel einstellen. Sieh dir im folgenden Link, den letzten Absatz an. Dann sollte es klar werden. LDAP://Yusufs.Directory.Blog/ - Massenimporte- und -exporte mit CSVDE und der AD-PowerShell durchführen

Servus, überprüfe im folgenden Link, ob dort der Fehler den du erhälst, beschrieben ist. ADMT 3.2: Common Installation Issues - Ask the Directory Services Team - Site Home - TechNet Blogs

Servus, gib die Parameter, die dir dmetzger genannt hat, im dsquery Befehl und *nicht* im dsget Befehl an.

Wir haben nichts anderes erwartet. :p Viel Erfolg und viel Spaß weiterhin.

Servus, das Ausführen von ADPREP geht nicht schief, zumindest wenn im AD Schema nicht gepfuscht wurde. ;) Aber warum möchtest du ADPREP ausführen und dann keinen Widnows Server 2008 R2 zum DC hochstufen? Das Schema sollte immer dann erweitert werden, wenn es notwendig ist und nicht einfach mal so aus "Spaß an der Freude". Eine supportete Sicherung sollte vor jeder Schemaaktualisierung durchgeführt werden, jedoch wirst du die Sicherung nach dem Ausführen von ADPREP nicht benötigen. :)

Servus, das hat weder im geringsten, noch im entferntesten etwas mit dem o.g. Fehlerbild zu tun! Das Problem auf DC2, wird so wie von Nils bereits vermutet, mindestens ein DNS-Problem sein. Das Eventlog und DCDIAG liefern einiges dazu.

Servus, doch, natürlich kannst du einen neuen DC mit gleichem Computernamen und gleicher IP-Adresse erneut hinzufügen. Allerdings musst *vorher* bei einem DC-Crash die Metadaten des AD bereinigen. Damit entfernst du die "Leiche" aus dem AD. LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Dieses "nie mehr online" bedeutet, es sollen keine zwei DCs mit denselben FSMO-Rollen online sein. Angenommen der Rolleninhaber crasht und du übernimmst die FSMO-Rollen auf einen anderen DC. Dann reparierst du den "defekten" DC, weil z.B. nur das Netzteil defekt war und schaltest ihn an. Jetzt wären zwei Rolleninhaber online und das ist alles andere als ok.

Servus, ein reiner DC stellt keine so hohen Ansprüche, was die Hardware anbetrifft. Wenn es sich um eine Umgebung mit 100 Usern handelt, würde sogar eine bessere Client-Hardware ausreichen. Nicht falsch verstehen, davon rate ich natürlich strengstens ab, denn der Anspruch an einen DC der schließlich die Domäne aufrecht hält, ist und muss hoch sein! Dazu genügt natürlich keine Client Hardware. Ein NO-GO ist jedoch, dass der DC als Webserver dienen soll!

Nein, ein Problem an sich ist das nicht. Dukel hat es bereits erwähnt. Ohaa... ich habe da so meine Bedenken... :rolleyes: Trotzdem gebe ich dir noch diesen Hinweis. Verfolge den Pfad rückwärts: Du befindest dich schon in der Konfigurationspartition, aber nicht im richtigen Container.

Ja, genau darum geht es. Wenn der DC sauber aus dem AD entfernt worden wäre, würde eben dieser Eintrag nicht erscheinen: Du sollst auch nicht den aktuellen, sondern den "gewaltsam" entfernten DC komplett aus dem AD löschen. Wenn dir die GUI lieber ist, verbinde dich in ADSIEdit und entsprechenden Rechten mit der Konfigurationspartition und navigiere zu diesem Container: CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=gemeinde,DC=domaene,DC=at Überprüfe ob dort das folgende Objekt existiert und falls ja, lösche es: "CN=NTDS Settings\0ADEL:acd1ab3d-2c14-4916-8142-838eb8f2904d,CN=TIME\0ADEL:230059ce-9afd-4ffb-9a64-b525e0e0ba1f". Aber wenn du dir bei dem was du da tust nicht sicher bist, hole dir jemanden zur Seite der sich damit auskennt!

Servus, das stimmt, aber du solltest dich mit dem Schweizer Messer Werkzeug für die AD-Replikation REPADMIN anfreunden. REPLMON existiert ab Windows Server 2008 ohnehin nicht mehr und ist auch nicht notwendig. Die Informationen die einem REPLMON anbietet, sind sehr spärlich. Klar, REPADMIN ist ein Kommandozeilentool ohne GUI, aber wenn man sich damit etwas beschäftigt, kommt man damit schnell klar und lernt es vor allem zu schätzen. http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c6054092-ee1e-4b57-b175-5aabde591c5f&displayLang=en Wenn es sich um einen Single-Domain Forest (es existiert nur eine einzige Domäne) handelt, ist der GC für das AD unrelevant. Ich weiß zwar nicht genau was du mit "köpfeln" meinst, aber trotzdem sage ich dazu ein klares "Nein". dmetzger hat's schon geschrieben, er ist noch nicht sauber aus dem AD entfernt. Da solltest du nochmals mit NTDSUTIL Hand anlegen (ab Windows Server 2008 kann man das über die GUI lösen) und insbesondere das DNS kontrollieren.

Dann fragst du trotzdem hier nach? :suspect: Hmm...

... und wieder eine NT-Domäne weniger auf dieser Welt. Prima das es Reibungslos funktioniert hat und weiterhin viel Erfolg. Du weißt ja, wo du uns bei Problemen findest. ;)

Servus, bitte mindestens "einmal" durchlesen und vorallem --> verstehen. LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus

Servus, je nach Hardware muss man den Server nach der VT-Aktivierung im BIOS ausschalten und einen "Cold-Start" durchführen. Ein alleiniger Reboot genügt nicht immer.

Tja mein bub, hättest du dein "nein" ein wenig mehr erläutert, wäre allen klar was du meinst. ;)

Das ist korrekt. Es lassen sich auch selbst definierte Gruppen verwenden.

Huhuu, wenn der RODC die Authentisierung des Benutzers auch bei gestörter WAN-Verbindung eigenständig durchführen soll, dann muss auch das Computerkontokennwort zum RODC repliziert werden.

Genau, aber ein normales herunterstufen mit dem einfachen Ausführen von DCPROMO funktioniert nicht, da die Replikationspartner die AD-Reoplikation mit dem "veralteten" DC verweigern. Du kannst DCPRMO /Forceremoval ausführen, um die AD-Informationen lokal vom DC zu entfernen. Möchtest du allerdings den DC neu installieren (was ich empfehlen würde), kannst du dir das DCPRMO /Forceremoval sparen. Die Metadaten des AD musst du ohnehin bereinigen. LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Nein, es existieren in deiner Umgebung ja mehrere DCs. Dann ist das Rücksichern des System States ohnehin nicht notwendig. Dann solltest du dir wirklich einen anderen suchen. Wer so als Dienstleister arbeitet, gehört "geteert und gefedert".