Daim

Servus, ist dieser Techniker ein Dienstleister? Falls ja, such dir einen neuen und diesmal einen, der sein Handwerk versteht!

Huhuu, Ähmm... ja, schön "missverständlich". ;) Das ist natürlich nicht der Fall, ganz im Gegenteil. Das AD verschwindet nicht von alleine, sondern entweder mutwillig oder wenn DCPROMO ausgeführt wird. So, jetzt weißt du es auch. :p

Bonjour, oftmals passiert das nicht von alleine. Meistens wurde vorher "etwas" durchgeführt. Hast du mal den DC neugestartet? Falls nicht, führe das als erstes durch. Existieren noch weitere DCs in der Domäne (was ich hoffe) oder ist das der Einzige DC?

OK, jetzt habe ich dich verstanden. Weitere Möglichkeiten um die bereits erteilten Berechtigungen im AD zu ermitteln sind DSREVOKE und DSACLS. LDAP://Yusufs.Directory.Blog/ - Delegierte AD-Berechtigungen anzeigen und entfernen No problem!

Hello Sam, please write in english. I dont understand exactly what you mean.

Servus, LDIFDE und die AD-PowerShell sind weitere Möglichkeiten. LDAP://Yusufs.Directory.Blog/ - LDIFDE - LDAP Data Interchange Format Data Exchange LDAP://Yusufs.Directory.Blog/ - Massenimporte- und -exporte mit CSVDE und der AD-PowerShell durchführen

Ts ts ts... Wenn man sonst keine Probleme hat, schafft man sich eben welche. ;) Na dann kann ja Weihnachten kommen. Danke für die Rückmeldung.

Da sich der DC mit dem anderen nicht mehr repliziert, musst du ihn nicht zwingend mit DCPROMO /Forceremoval herunterstufen. Denn das /Forceremoval bewirkt nichts anderes, als die AD-Informationen lokal vom DC zu entfernen. Im AD bleben die Informationen über den DC weiterhin erhalten. Das ist ein gesonderter Schritt in dem du die Metadaten bereinigst (Link dazu hatte ich gepostet). Du könntest den defekten DC direkt neu installieren. Somit ersparst du dir einen Schritt. Denn die Metadaten des AD musst du ohnehin bereinigen. In den meisten Umgebungen ist es empfehlenswert, alle Rollen einem einem DC zu lassen. Bei dir scheint es sich nicht um eine große Umgebung zu handeln, daher solltest du die Rollen auf einem DC lassen.

Du solltest den Server neu installieren und ja natürlich ist das eine vernünftige Lösung, vor allem eine, die von Microsoft supportet ist. Und nochmal: Warum um Himmels Willen zweifelst du an der Aussage von Microsoft? Garnichts passiert mit den FSMO-Rollen. Diese musst du auf einen anderen DC übernehmen (seizen). Siehe (ganz unten): LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Dann ziehe das Netzwerkkabel vom ursprünglichen Rolleninhaber, also vom "defekten" DC (wenn dieser der Ur-Rollenträger war). Denn nun könnten sich auf zwei DCs, die FSMO-Rollen online befinden und das darf nie sein! Auf den anderen DCs ist hoffentlich das DNS installiert und alle sind GCs. Das musst du wissen (evtl. DHCP?), welche Dienste auf dem DC laufen die von einem anderen Server übernommen werden müssen.

Auhaa, das DCDIAG Log hatte ich glatt übersehen. Schon seit fast zwei Monaten, da hat wohl jemand nicht aufgepasst oder das Monitoring ist verbesserungswürdig. ;)

Auf welchem DC versuchst du denn die Rollen offline zu übernehmen? Ich hoffe nicht auf dem Problem DC. Denn genau diesen möchtest du doch gewaltsam herunterstufen?

Servus, dann rufe deinen Dienstleister deines Vertrauen an! Du bist hier in einem Forum, wo du evtl. kostenlose Hilfe bekommst. Möchtest du mehr, benötigst du einen Dienstleister. "Böser Admin" ist der falsche Begriff. Mir fallen dazu eher diese Begriffe ein: Fahrlässiger, "den Job verfehlt Admin". Und wenn du noch so viele Fragezeichen eintippst, wird zum einen deine Frage nicht "fragiger" und zum anderen, bewirkst du hier im Forum eher das Gegenteil, auch wenn ich deine Situation nachvollziehen kann. Warum stellst du die Aussage von Microsoft in Frage? Die Antwort ist die einzigst vernünftige und vor allem supportete Vorgehensweise in diesem Fall. Anstatt hier im Forum rumzuhängen", könntest du dich schon längst an die Arbeit machen. Aber wer schon kein vernünftiges Backup-Konzept hat, dem gehört es fast nicht anders. Wie kann man nur so fahrlässig sein?! Da hat jemand seinen Job nicht richtig verstanden. Wer vernünftig seine Arbeit macht und weiß wie man mit den Einzelnen Technologien umzugehen hat, der wüßte in solch einer Situation, die so fahrlässig erst garnicht eintreten darf, was zu tun ist!

Liest du dir bitte auch mal die Links durch, die man dir postet. Die Antwort auf deine Frage steckt im dritten Link (weit unten) aus meiner vorherigen Antwort. :rolleyes: Man kann die FSMO-Rollen sowohl über die grafische Oberfläche, als auch in der Kommandozeile gewaltsam verschieben. Nur der RID-Master muss und kann nur zwingend in der Kommandozeile verschoben werden.

Hola, dann hatte er ein BSOD und hat daraufhin automatisch neu gestartet. Ein BSOD deutet meistens auf ein Treiber bzw. Hardwareproblem hin. Du könntest die Integrität der lokalen AD-Datenbank überprüfen um zu prüfen, ob bei der Crash die AD-Datenbank etwas "abbekommen" hat. Anschließend könntest du versuchen, diese zu "fixen". Aber Vorsicht, dabei kann auch mehr "kaputt" gehen. LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Datenbank reparieren Wenn jedoch wie in deinem Fall, mehrere DCs in der Domäne existieren, könntest du den DC gewaltsam mit DCPROMO /Forceremoval herunterstufen, die Metadaten des AD bereinigen und nach einer Neuinstallation mit gleichem Computernamen und gleicher IP den Server erneut zum DC stufen. Stelle auch sicher, dass die FSMO-Rollen auf einem DC (warum verteilst du überhaupt die Rollen?) zur Verfügung stehen. Diese kannst du ebenfalls "mit Gewalt" verschieben. LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Nur weil immer wieder mal ein paar Clients Probleme damit haben, willst du die Zeitsynchronisation der kompletten Domne umstellen, wegen diesen "paar" Clients? Das Problem haben dann eher die Clients. Hast du die betroffenen Clients denn mal genauer inspiziert? Hast du an den Clients am w32tm "gebastelt"?

Ganz genau. Überflüssig = Unnötig. Alles andere wie wir es tagtäglich hier erleben, führt oft zu Problemen. Also dann lieber "einmal" richtig einrichten wie es "Best Practice" ist und gut ist. ;)

Servus, warum glaubt nur jeder, er müsse die Zeitsynchronisation mit GPOs steuern? Lies dir diesen Thread durch um zu sehen, wie man es richtig macht: https://www.mcseboard.de/windows-server-forum-78/dc-sync-timeserver-2-172553.html#post1062271

Servus, zusätzlich zu den Fragen von dmetzger, ist denn auf allen DCs das DNS installiert und haben die Clients den DNS-Server vor Ort eingetragen? Des Weiteren kannst du das user environment debug logging aktivieren, um mehr Informationen zu erhalten, was bei der Anmeldung alles so geschieht. Understanding How to Read a Userenv Log ? Part 1 - Ask the Directory Services Team - Site Home - TechNet Blogs Understanding How to Read a Userenv Log ? Part 2 - Ask the Directory Services Team - Site Home - TechNet Blogs

Servus, nein, dass ist nicht möglich. Ein SBS muss ein DC und kann kein Mitgliedsserver sein. Abgesehen davon kann in einer SBS Domäne nur ein SBS existieren. LDAP://Yusufs.Directory.Blog/ - Die Besonderheiten eines Small Business Server`s (SBS)

Ich weiß was von acht Domänen weltweit und eine separate Gesamtstruktur für die Entwickler in Redmond. Manchmal habe ich den Eindruck, dass MSFT-DE andere Empfehlungen ausspricht als MSFT-US. :rolleyes:

Salut, ohne die Anforderung, die du uns immer noch "schuldig" bist, zu kennen: Damit hast du dir selbst einen Gefallen getan!

Off-Topic:And you are welcome! :)

Wie soll man anders darauf Antworten als: Das kommt darauf an. ;) Ich bin z.B. gerade bei einem Kunden unterwegs, wo an einem Standort mit 50 Usern kein DC vor Ort existiert. Und an weiteren 20 Standorten existieren zwischen 10-20 Usern, wo ebenfalls kein DC vor Ort existiert. Zur Verfügung steht ein MPLS-VPN vom rosaroten Panther mit entsprechenden SLAs. Auch hier: Das kommt darauf an. Aber oft existiert ein Fileserver vor Ort. Klar, dass würde dauern.

Ich weiß. :cool: Ich denke, sogar der TO hätte daran im Schlaf gedacht. ;) Aber wie du es bereits geschrieben hast, ich wollte es nicht unerwähnt lassen. :) Ja, ja, frag' bloß nicht. Ich glaube hierzulande nennt man das so: Ich hatte ziemlich viel um die Ohren. Ja ich weiß, dass ist wirklich "unerhört". Einem Südländer "so" etwas zuzumuten. :D Aber das wird sich bessern (müssen), sonst kündige ich und wandere in die Schweiz aus. Off-Topic:Das hast du/ich Nils zu verdanken (ohne das böse zu meinen). Jahrelanges zusammenarbeiten in den NGs hat mich zu dem gemacht, was ich heute bin. Und ich bin stolz darauf! ;)