Daim

Seit Windows 2000 gibt es die Bezeichnungen PDC sowie BDC so nicht mehr. Denn ab Windows 2000 sind es alles DCs. Nur manche haben eine besondere Rolle, denn diese sind die Träger der fünf FSMO-Rollen: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Du fügst den neuen Server als "zusätzlichen DC der bereits bestehenden Domäne" hinzu. Zusätzlich solltest auf diesem das DNS installieren und den GC aktivieren. Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Falls der neue Server der erste R2-Server sein sollte, musst du vorher das Schema mit dem ADPREP /FORESTPREP von der zweiten R2-CD ausführen. Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2 Na klar geht das. Es ist ja gerade empfehlenswert in jeder Domäne mindestens zwei DCs zu betreiben, gerade wegen der Ausfallsicherheit. Installiere in der Filiale einen zweiten DC, samt DNS und aktiviere den GC.

Wenn man nicht weiß was man tut, dann sollte man die Finger davon lassen. Aber so ist es mit jedem Thema. Na klar. Eine regelmäßige System State Sicherung ist Pflicht. Nur sieht die Realität, wie du weißt, leider anders aus. Mein Hinweis bezgl. des Search-Flags ist eher allgemein, nicht speziell bezogen auf den OP. Sie stehen auch nicht im Tombstone.

Servus, damit die Exchange-Reiter auf dem DC01 angezeigt werden, musst du die Exchange Verwaltungstools, den sogenannten Exchange System Manager installieren. Diese werden nicht repliziert. Exchange Setupprogramm - angepasste Installation wählen - NUR die Verwaltungstools auswählen. Siehe auch: Exchange-related tasks are missing from the Active Directory Users and Computers snap-in

Aloha, nein, werden sie nicht. Du hast nämlich das gelöschte Objekt, den Tombstone, wiederbelebt. Bekanntlich werden standardmäßig wenn ein Objekt gelöscht wird, die meisten Attribute von dem Objekt entfernt. Demzufolge werden diese auch nicht wiederhergestellt, wenn das Tombstone wiederbelebt wird. Um die restlichen Informationen erneut hinzuzufügen, wären weitere Maßnahmen erforderlich Allerdings lässt sich (für die Zukunft) durch das vierte Bit im Search-Flags Attribut (in Dezimal 8) weitere Attribute im Tombstone speichern. Damit kann man im Active Directory-Schema beeinflussen, welche zusätzlichen (neben den hartcodierten) Attribute im Tombstone erhalten bleiben. Siehe: Yusuf`s Directory - Blog - Active Directory Wiederherstellung

Servus, na klar. Schau dich mal im Snap-In "Active Directory-Standorte und -Dienste" um. Auch kannst du händisch eine Replikation mit REPADMIN, das bereits im Windows Server 2008 integriert ist, anstoßen oder auch mit REPLMON. Oder du veränderst eben den Replikationszyklus in der dssite.msc. Was du auch noch machen kannst, ist die Replikation durch eine Änderungsbenachrichtigung die sonst nur bei der INTRA-Site Replikation stattfindet, auch für die INTER-Site-Replikation einzurichten. Siehe: Yusuf`s Directory - Blog - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren Das bedeutet aber auch, es findet häufiger eine standortübergreifende Replikation statt.

Die Vorbereitung und die Planung ist bei einer Migration elementar. Egal mit welchen Werkzeugen du eine Migration durchführst, solltest du vorher einen Testlauf durchführen. Eine Namensauflösung sowie die Vertrauensstellung besteht ja bereits. Nun kommt es darauf an, wie - was - wohin das Quest Werkzeug auf welche Ebene in der Ziel-Domäne die Konten migriert. Bleiben dabei alle Informationen erhalten? Das kannst du eben in einem Testlauf versuchen herausfinden. Achte auch darauf, ob die SID des alten Benutzerkontos aus der alten Domäne, in die SID-History des neuen Benutzerkontos in der neuen Domäne hinzugefügt wird. Aber nach der Migration, solltest du die SID-History leeren. How To Use Visual Basic Script to Clear SidHistory Dann musst du noch prüfen, was alles mit dem Werkzeug migriert werden kann und was noch übrig bleibt. Wie gesagt, die Vorarbeit ist bei jeder Migration entscheidend.

Buenos tardes, das schon, aber bei einer Domänenumbenennung gibt es sehr viele Stolpersteine. Da ist die Migration in eine neue Domäne eine sehr gute Alternative, zu der ich auch (wenn möglich) jederzeit rate. Aus marketinggründen hört sich das erstmal super an. Ab Windows Server 2003 (dort auch nur im FFL 2) ist eine Domänenumbenennung möglich. Die Praxis, ist aber eine ganz andere. Existiert z.B. ein Exchange-Server, ist der Vorgang einer Domänenumbenennung, abhängig welche Exchange-Version im Einsatz ist, supportet oder auch nicht. Und wenn er supportet ist, gilt es trotzdem einiges zu beachten. Auch gibt es einiges zu beachten, wenn eine CA existiert. Und wie sieht es mit den eingesetzten Netzwerk-Applikation aus? Überleben diese eine Domänenumbenennung? Kann der Hersteller die Funktion seiner Applikation nach einer Domänenumbenennung noch garantieren? Daher sollte eine Domänenumbennung gut überlegt sein, denn ich, migriere eher in eine neue Domäne. Yusuf`s Directory - Blog - Fehler beim ausführen von DCPROMO

Buenos dias, SYSPREP ist zu bevorzugen, denn das wird seitens Microsoft supportet. Auch wenn Mark Russinovich vom dem das NEW SID stammt mittlerweile zu Microsoft gehört, ist New Sid aber nicht supportet.

Hola Sven, wenn das nicht der Fall wäre, würde der Assistent gleich zu Beginn von DCPROMO meckern. ;)

Du weißt was das heißt? :p Absolut. Für eine Übersicht ist der AD-Explorer ungeeignet. Ja, ist es. Ich finde es aber viel entspannter als in einer NG. ;)

Huhuu, das kommt auf das Tool an. Das ADSIEdit zeigt es als ein solches "Octet Stream" an. Der Active Directory-Explorer zeigt aber die SID an. Das hatte ich innerlich auch so vermutet. P.S. Alles gute für den neuen Job. P.P.S. Schön dich hier zu sehen und ich hoffe auf interessante Diskussionen. ;)

Tja, was für euch sinnvoll ist, musst du entscheiden. Ich zeige dir die möglichen Wege, die du gehen kannst. ;) Das stimmt. Allerdings ist dieses Verhalten in Windos 2000 gravierender als in Windows Server 2003. Ansonsten bedeutet das ja, falls in den TCP/IP-Einstellungen der Server selbst eingetragen wurde und die IP-Adresse sich ändert, müsste der DC ja aus dem Ruder laufen. Das tut es aber - zumindest unter Windows Server 2003 - nicht. Das mit dem Inseleffekt kam zu Zeiten Windows 2000 auf und verliert erstmal unter Windows Server 2003/2008 NICHT seine Gültigkeit, im Gegenteil, man kann diese Konfiguration weiter beibehalten. Den Aspekt von blub bezgl. der Rücksicherung für das Disaster Recovery ist aber auch nicht zu vernachlässigen. Es kommt eben immer auf das aufgezeichnete Szenario an. Genau. Der Inseleffekt KANN nur dann auftreten, wenn sich die IP ändert. Korrekt. Denn die Clients bekommen ohnehin als DNS-Server den DC aus der NL per DHCP zugewiesen. Die Namensauflösung der Clients aus den NLs wickelt also der DC aus dem NL ab. Da aber der DC selbst auch nur ein DNS-Client ist der ebenfalls ab und an eine Namensauflösung anfordert, entscheidet die TCP/IP-Einstellung welchen DNS-Server der DC selbst verwendet. Ein weiterer Aspekt wäre, wenn in den TCP/IP-Einstellungen der DC selbst drin steht und du startest den Server mal neu, dann könnten im DNS-Eventlog des DCs Fehler auftauchen. Denn der DNS-Dienst ist schneller bereit und möchte loslegen, kann das aber nicht da noch nicht das AD geladen wurde, bei AD-integrierten Zonen. Die Fehler verschwinden dann zwar, wenn das ADs bereit ist, aber die Fehler kann man nunmal von vornherein vermeiden, in dem man eben als ersten DNS-Server einen anderen einträgt. Stimmt. Aber wie gesagt, startest du den DC dann mal neu, können die berühmten DNS-Fehler 4004, 4015... im Eventlog erscheinen, was nicht weiter weh tut. Das stimmt zwar auch, aber totzdem würde immer einen alternativen DNS-Server eintragen. Genau. Die Clients verwenden den DNS-Server zur Namensauflösung, der ihnen statisch oder per DHCP mitgeteilt wird. Yepp, sieht gut aus.

Moin, korrekt. Wie viele Arbeitsstationen der Benutzer bereits zur Domäne hinzugefügt hat, wird anhand des Attributs MS-DS-Creator-SID, welches sich in den Eigenschaften der Computerkonten befindet, errechnet. In diesem Attribut wird die SID des Benutzers eingetragen. Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen Ich bin mir nicht sicher ob lediglich das herausnehmen des Clients aus der Domäne ausreicht oder ob nicht das Computerkonto aus dem AD entfernt werden muss. Denn wenn ein Client aus der Domäne entfernt wird, bleibt das Computerkonto im AD weiterhin bestehen.

Servus, die VM wurde nicht zufällig in den vergangenen Wochen zurück-/gesichert/geimaget/geclonet? Natürlich weist sich der Client die APIPA-Adresse selbst zu. Die Autorisierung des DHCP-Servers im AD wurde aber erfolgreich durchgeührt und du siehst im dem DHCP-Snap In einen grünen Pfeil? Ansonsten würde ich eine neue VM installieren und versuchen darauf den DHCP-Server zu installieren.

Je nachdem was in den TCP/IP-Einstellungen des DCs eingetragen ist, kann er auch sich selbst befragen. Steht in den TCP/IP-Settings der DC selbst als DNS-Server mit seiner IP-Adresse drin, dann befragt der DC selbst den DNS-Server der auf ihm installiert ist. Denn der DC ist selbst auch nur ein DNS-Client. Steht in den TCP/IP-Settings ein DNS-Server aus der Zentrale drin, dann erhält der DNS-Server aus der Zentrale die Anfrage. Wie gesagt, hängt von den IP-Einstellungen ab. Hängt ebenfalls von den TCP/IP-Einstellungen ab. Trotzdem wäre es ratsam, einen WSUS im Unternehmen einzusetzen.

Sinnvollerweise richtet man für die Windows-Updates einen WSUS ein und für die Verwaltung des Virenscanners sucht man sich ebenfalls eine Zentral-verwaltbare Lösung. Um auf deine Frage zu kommen: Die Namensauflösung wird vom DC aus der NL durchgeführt. Der DNS-Server der in den TCP/IP-Einstellungen des Clients konfiguriert ist erhält z.B. die Anfrage für das Internet vom Client und der DNS-Server schaut, ob er für die angefragte Adresse autoritativ zuständig ist und wenn nicht, leitet er die Anfrage weiter. Falls eine Weiterleitung konfiguriert wurde (in den Eigenschaften des DNS-Servers im Reiter Weiterleitung), leitet er diese Anfrage an den externen DNS-Server weiter. Wenn keine Weiterleitung konfiguriert ist, leitet er die Anfrage an die Root-Server weiter. Welchen physikalsichen Weg diese Anfrage geht, hängt wiederum von der Vernetzung sowie vom Routing ab. Denn viele Firmen haben ein Hub-and-Spoke Topologie (wie du sie anscheinend auch hast), wo die NLs nur über die Zentrale ins Internet können, weil dort die zentrale Firewall steht. Nein, wird er nicht. Du kannst auf dem DC der in der NL steht eine Weiterleitung direkt ins Web einrichten. Oder du installierst dir in der Zentrale einen Proxy-Server und die Clients surfen dann über den Proxy im Internet. Die Proxy-Server Adresse kannst du dann per GPO an alle Clients, egal in welcher NL sie stehen, verteilen. Das AD hat im Zusammenhang mit der Namensauflösung für das Internet, damit nichts zu tun.

Salut, genau so würde ich es auch konfigurieren und diese Konfiguration trifft man oft draußen bei Kunden.

Off-Topic: Lauter Korinthenk... und Erbsenzähler hier... Hier fühle ich mich wohl. ;)

Ist an dieser Stelle unbegründet, in dem Fall. Denn es können nur keine NT-BDCs mehr eingesetzt werden, daher ist das ganze Stressfrei. Der Artikel in meiner vorherigen Antwort erläutert das ganze ja. Dann kontrolliere mal die Ausgabe von DCDIAG. NetDIAG kannst du dann auch noch ausführen.

Korrekt bzw. beim einrichten des ADs bekommst du automatisch die Möglichkeit, dass DNS einzurichten. Willst du jetzt von mir wissen, ob servergespeicherte Profile existieren oder wie? Du kannst dein Glück mit diesen Tools versuchen: SetACL - Windows permission management JSI Tip 9640. How do I print permissions on a folder tree using standard commands? Allerdings musst du die Rechte ohnehin anpassen, da eine neue Domäne erstellt wird (Stichwort: Neue SID). Es werden neue Profile erstellt und du kannst dann die "alten" Profile umkopieren. Siehe: faq-o-matic.net » Wie kann ich Benutzerprofile migrieren? P.S. Für die Zukunft sollte der Kunde zusehen, einen zweiten DC in der Domäne zu betreiben.

Moin, warum läuft denn die Domäne im gemichten Modus? Oder existieren etwa noch NT-BDCs? Yusuf`s Directory - Blog - Domänen- und Gesamtstrukturfunktionsmodus Dann solltest du mal das DCDIAG auf dem RID-Master ausführen. Das wird sicherlich einiges ans Licht bringen. Auch ein Blick in das Eventlog wäre lohnenswert. Prinzipiell schon. Jedoch scheinen in deinem Fall Probleme zu bestehen, da das verschieben der Rollen noch nicht einmal händisch funktioniert. Demzufolge werden die Rollen mit Sicherheit auch nicht automatisch verschoben werden können.

Servus, wenn keine Sicherung vom SYSTEM STATE existiert, besteht keine Möglichkeit die Domäne ordnungsgemäß wiederherzustellen. Ich würde die Domäne neu erstellen und die Daten (samt Profile) von den Platten wiederherstellen.

Genau so sehe ich es auch. Sie haben in jedem Spiel ihre Leistung konstant gebracht und gezeigt. Sie haben es verdient.

Yoahhaa... lauter alte Knacker hier oder was? Meine Turnier-Ära fängt bei der WM 1986@Mexico an. Ich sage nur "die Hand Gottes".

Servus, entferne die nicht mehr existierenden DCs mit NTDSUtil oder ADSIEdit aus dem AD. Folge dazu diesem Artikel: How to remove data in Active Directory after an unsuccessful domain controller demotion Kontrolliere dann ob es danach funktioniert.