Daim

Stehen denn zumindest die Einträge von dem 2003er DC, im DNS auf dem 2000er DC? Führe zusätzlich auf dem Windows Server 2003 DC in der Eingabeaufforderung ein NETDIAG /FIX durch. NETDIAG findest du in der Support Tools. Ansonsten funktioniert ber die AD-Replikation, also wenn du z.B. einen Benutzer erstellst in er in Kürze auf dem anderen DC? Du könntest auch mit dem Support Tool DNSLint (mächtiges DNS-Tool) weitere Tests durchführen. OK, da ich gerade keinen Windos 2000 DC zur Hand habe, kann ich das jetzt nicht verifizieren.

Aloha, ganz einfach, du verrätst den Benutzern nicht das lokale Admin-Kennwort. Die Benutzer sollten natürlich auch nicht mit ihrem Domänen-Benutzerkonto, in der lokalen Administratoren-Gruppe ihres Clients Mitglied sein.

Aber den Befehl mit net stop... hast du ausgeführt? Existiert auf dem Windows 2000 DC eine Forward Lookup Zone mit einem Punkt "."? Falls ja, dann glaubt der 2000er DC das er ein Root-Server sei. Entferne diese Zone mit dem Punkt, falls sie existieren sollte.

Ja, klar, minimale Rechte auf sein eigenes Benutzerobjekt hat er natürlich, z.B. beim ändern des Kennworts. Aber ansonsten darf der Benutzer nur lesen.

Servus, dann habt ihr nun einen USN-Rollback. Siehe dazu: How to detect and recover from a USN rollback in Windows Server 2003 Das funktioniert so auch nicht. Entferne das Netzwerkkabel von diesem DC und führe das DCPROMO /FORCEREMOVAL durch. Dadurch werden die AD-Daten lokal vom DC entfernt, aber nicht aus dem AD. Danach musst du noch die Metadaten des AD bereinigen. Halte dich dazu an diesen Artikel: Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Kontrolliere nach dem Herunterstufen des DCs, den Zustand der noch bestehenden DCs, z.B. mit DCDIAG aus den Windows Support Tools.

Die Voraussetzung wäre aber (aus dem Link von Wolfgang):

Aloha, dann beachte in dem folgenden Artikel, den Abschnitt mit dem 64Bit DC: Yusufs Directory Blog - Schemaupdate beim Windows Server 2003 R2 Korrekt. Du führst zuerst das ADPREP /FORESTPREP auf dem Windows 2000 Schemamaster durch und führst anschließend das ADPREP /DOMAINPREP /GPPREP auf dem Infrastrukturmaster in der Domäne aus, in der du den neuen DC hinzufügen möchtest. Yusufs Directory Blog - Das Active Directory Preparation Tool - ADPREP OK. Wenn du den Windows 2000 DC später herunterstufen solltest, stufe ihn nicht direkt herunter, sondern schalte ihn einfach aus und warte ein paar Tage ob irgendwelche Probleme auftauchen. Danach kannst du den 2000er DC immer noch mit DCPROMO aus der Domäne entfernen. Nein, sieht gut. Aber wirf auch noch einen Blick in diesen Artikel: Yusufs Directory Blog - Den einzigen Domänencontroller austauschen Ja, beachte dazu oben den ersten Link. Das ist in Ordnung. Allerdings kannst du aber so nicht in den höheren Domänen- respektive Gesamtstrukturfunktionsmodus stufen. Denn dort hättest du diverse Vorteile (z.B. bei der AD-Replikation). Yusufs Directory Blog - Domänen- und Gesamtstrukturfunktionsmodus Ja. Zwingend ist, dass das DNS auf beiden DCs installiert ist und es wäre von Vorteil, wenn die Forward lookup Zone AD-integriert gespeichert wäre. Des Weiteren sollten auf beiden DCs der globale Katalog aktiviert werden. Falls dann der 2003er DC crashen sollte, gilt es die FSMO-Rollen auf den Windows 2000 DC zu übertragen und die "Leiche" aus dem AD zu entfernen. Siehe dich dazu auf den bereits verlinkten Seiten um. Dort findest du deine Antworten. ;) Wie jetzt? Auf dem DC ein virtueller DC? Und was machst du wenn dir die Maschine crasht? Dann stehst du erstmal ohne DC da. Ich bin ein Freund davon, die Infrastrukturdienste eines Netzwerks auf physikalischen Maschinen laufen zu lassen. Ja, aber bitte nicht online! Es kommt darauf an, welche Serverversion du einsetzt. Aber hierzu hilft dir dein Dienstleister deines Vertrauen.

OK, aber lass mich raten, du hast dir den Artikel von olc nicht weiter näher beherzigt und hast dem Batch erst keine Chance gegeben? Das ist nicht gut, lässt sich aber lösen (immer positiv denken ;) ). Was bei der AD-Replikation eine elementare Rolle spielt, ist das DNS. Denn jedesmal vor der eigentlichen Replikation, führt der DC ein DNS-Lookup durch. Somit stellt der DC zwei Punte sicher: Zum einen, dass der DC - DNS technisch aufgelöst werden kann und zum anderen, das sein Replikationspartner online und erreichbar ist. Daher kontrolliere auch das DNS (sowie das DNS-Eventlog) und führe evtl. gezielt mit DCDIAG weitere DNS-Tests durch. Weiterhin sollten alle relevanten Informationen in der MMC "Active Directory-Standorte und -Dienste" eingetragen sein. Denn der KCC baut die Replikationstopologie anhand den dort eingegeben Informationen auf. Neben den AD-Standorten sollte auch das jeweilige Subnetz-Objekt erstellt und mit dem entsprechenden AD-Standort verknüpft werden. Des Weiteren müsste ja auf den DCs im Verzeichnisdienstprotokoll "Karneval in Rio" sein. Anhand den FehlerIDs kannst du im Internet auch danach suchen. Installiere dir in jedemfall die Windows Support Tools (in denen sich auch das DCDIAG befindet) und gehe dem Fehler mit dem GUI-Tool REPLMON und insbesondere mit dem Kommandozeilentool REPADMIN nach. Das Tool REPADMIN wird in diesem Whitepaper erläutert: Yusufs Directory Blog - Troubleshooting mit REPADMIN Ich hoffe nur, dass sich die DCs während der Tombstone Lifetime noch repliziert haben (Stichwort: Lingering Objects). Ansonsten lässt sich das zwar auch richten, jedoch mit einem höheren Aufwand. Na das wollen wir doch hoffen.

Nein. Das könnte sein.

Buenos dias, ein authentifizierter Benutzer hat standardmäßig ohnehin nur das Leserecht auf das AD. Er kann im AD nichts ändern, es sei denn, die entsprechenden Rechte werden dem Benutzer delegiert.

Versuchen wir mal einen weiteren Schritt um das hier vorwärts zu bekommen. Ich grenze den Ort mal auf die beiden Städte Mainz und Frankfurt ein. Als Termin schlage ich folgendes vor (jeweils einen Freitag und einen Samstag): 1. 24.10.2008 oder 25.10.2008 2. 31.10.2008 oder 01.11.2008 Wie siehts aus?

Dann führe in einer Eingabeaufforderung auf dem Windows Server 2003 DC folgenden Befehl noch aus: net stop netlogon & net start netlogon Anschließend solltest du dich etwas gedulden.

OK, dass passt soweit. In den TCP/IP-Einstellungen des Windows Server 2003 DC steht aber noch der Windows 2000 DC als primärer DNS-Server drin? Läuft der Dienst "DHCP Client" auf dem Windows Server 2003 DC und steht er auch auf automatisch? Versuche auch diesen Hinweisen nachzugehen: Windows Event ID 4521 from DNS

Kontrolliere doch zuerst bitte einmal, in welcher Verzeichnispartition die DNS-Informationen auf dem Windows Server 2003 gespeichert werden sollen. Also wo meint der 2003er-DC die DNS-Infos speichern zu wollen. Dazu klickst du mit der rechten Maustaste auf die Forward Lookup Zone im DNS Snap-In und wählst die Eigenschaften aus. Im erster Reiter "Allgemein" findest du dort oben drei Konfigurationsmöglichkeiten: 1. Status - (Zone anhalten oder laufen lassen) 2. Typ - (die Art der Zone ändern "Primär oder AD-integriert") 3. Replikation - (ist bei AD-integrierten Zonen verfügbar, ansonsten nicht) Wenn nun Winows 2000 DCs neben Windows Server 2003 DCs in einer Domäne zusammen betrieben werden, ist es wichtig, die DNS-Informationen in der Windows 2000-Domänenpartition zu speichern. In Windows 2000 befinden sich die Active Directory-integrierten DNS-Informationen in der Domänenpartiton (wo sich z.B. auch die Benutzer und Gruppen etc. befinden) und können daher nur innerhalb der Domäne repliziert werden. In Windows Server 2003 hat man nun die Möglichkeit selbst zu bestimmen, wo bzw. in welchen Verzeichnispartitionen die DNS-Informationen gespeichert werden sollen. Dort sind die folgenden Optionen möglich: 1. Auf alle DNS-Server in der AD-Gesamtstruktur. Somit werden die DNS-Informationen in einer neuen Anwendungsverzeichnispartition "ForestDNSZones" gespeichert. Die DCs müssen Windows Server 2003 sein. 2. Auf alle DNS-Server in der Domäne. Hier werden die DNS-Informationen in einer neuen Anwendungsverzeichnispartition "DomainDNSZones" gespeichert. Die DCs müssen Windows Server 2003 sein. 3. So wie bei Windows 2000 in der Domänenpartition. Kontrolliere also, ob auf dem Windows Server 2003 DC unter der DNS-Option Replikation die Einstellung "Auf allen Domänencontrollern in der Active Directory-Domäne "Domäne.TLD" ausgewählt ist. Zu den genannten Fehlern. Wenn diese NUR bei einem NEUSTART erscheinen, kannst du diese vernachlässigen. Da das DNS starten möchte es aber nicht kann, da seine FLZ im AD gespeichert und das AD aber noch nicht bereit ist. Siehe z.B.: http://technet.microsoft.com/en-us/library/cc735851.aspx

Bonjour, zuerst existierte der Windows 2000 DC und zusätzlich kam der Windows Server 2003 DC hinzu? Die DNS-Informationen werden also im AD gespeichert? Welche Fehlermeldung steht im Eventlog des 2003er-DCs?

Servus, leider lässt sich zu diesem Fehler nichts brauchbares im Internet finden. Du könntest z.B. mit DCDIAG die Fehlersuche betreiben oder im Eventlog nach Fehler Ausschau halten, aber da du ohnehin den DC aus der Domäne entfernen möchtest, führe doch DCPROMO /FORCEREMOVAL durch und entferne auf diese Art das AD lokal vom DC. Danach musst du natürlich noch die Metadaten des AD bereinigen. Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Anschließend befindet sich der Server nicht mehr in der Domäne. Falls dieser DC der FSMO-Rolleninhaber ist, musst du die Rollen dann noch einen einen anderen DC übertragen. Yusufs Directory Blog - Die FSMO-Rollen verschieben Ein globaler Katalog sollte natürlich auch noch bestehen. Yusufs Directory Blog - Globaler Katalog (Global Catalog - GC) Falls du den Clients diesen DC als DNS-Server (statisch oder per DHCP) eingetragen hast, solltest du ihn entfernen.

... und steht nun auf der Seite seines ehemaligen Arbeitgebers zum Download bereit. ;) Hier der Link: Screencast: How to Run DCPROMO on Server Core Using CoreConfigurator. Step-by-step video tutorial. Download CoreConfigurator.

Buenas noches, Exakto Mundo. Zu Beginn der neuen Prüfungen war das noch nicht so klar, so das ich die 620 und 621 gemacht hatte. Bekam aber später durch das Missverständnis von MS einen Voucher.

Off-Topic:Null problemo und dafür braucht man sich auch nicht zu entschuldigen, nicht dafür. ;)

Bonjour, berechtigter Hinweis. Jedoch findet man in dem Artikel auf den ich verlinkt hatte, im letzten Absatz genau den Hinweis zu der "primären Gruppe". ;) Aber wie gesagt, gut den Hinweis hier nochmals hevorzuheben.

Off-Topic:Klaro, du kennst doch den Faktor "eh da". ;)

Servus, siehe: Yusufs Directory Blog - Active Directory - Abfrage

Salut, ok. Stufe doch den DC mit DCPROMO herunter. Dann hast du einen Arbeitsgruppenserver und könntest falls du doch irgendwann "Lust und Laune" bekommst, eine Arbeitsgruppe betreiben in der du weiterhin Tests durchführen könntest. Dabei musst du natürlich achten, dass in den TCP/IP-Einstellungen der Clients die Optionen auf "automatisch beziehen" eingestellt sind.

Servus, also eine Hub-and-Spoke Topologie. Eine Standortverknüpfungsbrücke (Site-Link Bridge) dient ja dazu, eine Verbindung zwischen Standorten herzustellen, die keine direkte Verbindung untereinander besitzen. Wenn du eine Standortverknüpfung (Site-Link) einmal zwischen HQ und Seattle, sowie HQ und Amsterdam erstellst, wird durch die Standortverknüpfungsbrücke eine Verbindung zwischen Seattle und Amsterdam erstellt (natürlich nur wenn es das Routing zulässt). Wenn das Routing es nicht zulasen würde das Standorte untereinander direkten Kontakt haben (kein durchgeroutetes Netzwerk auch nicht über die Zentrale), wie es eben bei einer klassischen Hub-and-Spoke Topologie der Fall ist, sollte man die Standortverknüpfungsbrücke deaktivieren. Ohnehin ist das arbeiten mit Standortverknüpfungsbrücken erst mit mindestens drei Standorten möglich, wobei zwei Standorte dabei keine direkte Verbindung untereinander aufweisen. Eine Standortverknüpfungsbrücke verbindet eben Standorte, die keinen direkten Draht zueinander haben. ;) Bei der Replikation spielt das Design in der MMC "Active Directory-Standorte und -Dienste" eine wichtige Rolle. Dort gilt es die Struktur genau vorzugeben, damit das AD die ideale Replikationstopologie aufbauen kann. Denn z.B. bei aktivierter Standortverknüpfungsbrücke und definierten Kosten in den Standortverknüpfungen, kann durch eine Standortverknüpfungsbrücke eine günstigere Verbindung entstehen, als durch eine direkte Standortverknüpfung zwischen zwei Standorten. Aber bei einer AD-Standortverknüpfungsbrücke spielt die Netzwerktopologie (Routing) des Unternehmens eine entscheidende Rolle. Wenn eben ein Aussenstandort nur mit der Zentrale kommunizieren/replizieren kann, macht eine Standortverknüpfungsbrücke keinen Sinn. Ist die Standortverknüpfungsbrücke deaktiviert, gibst du durch die Standortverknüpfung genau vor, welcher Standort mit welchem Standort replizieren soll. Dadurch steuerst du exakt die Replikation der Standorte.

Servus, wenn das dein allererster DC in der Domäne ist, sichere vorher noch das EFS-Zertifikat.