Daim

Ja, mein PDM-Bruda, natürlich. Deshalb schrub ich ja auch das du es doch auch weißt. Erbsen und so. ;) Abgesehen davon ist die Idee nicht falsch, darüber wollte ich eben diskutieren. Kloar, technisch möglich wäre es ja. Aber je nach Größe der Umgebung kann das Vorhaben wiederum unmöglich werden. Ein Forest-Recovery ist in einer SoHo-Umgebung BEZGL. des Zurückstufen des FFL noch durchaus durchführbar und denkbar, aber in einer größeren Umgebung mit mehreren x-Domänen kaum. Wie gesagt, ich beziehe mich immer auf den Fall des FFL. Ein Crash des Forests ist ein anderer Fall. Jawoll. Das stimmt.

Nenene... du missbrauchst das Whitepaper für einen Zweck, für den es nicht vorgesehen ist und du weißt selbst, dass nicht jede technische Möglichkeit auch praktikabel ist. Insbesondere in diesem Fall. Denn wann fällt es denn auf das man in den vorherigen Modus zurück möchte bzw. muss? Genau, nach Wochen oder Monaten und was passiert dann mit den mitlerweile durchgeührten Änderungen im AD? Da ist ein Forest-Recovery ohnehin weder sinnvoll noch praktikabel. Daher gibt es an der Aussage von Christoph nichts zu rütteln, dass weißt du selbst. ;)

Dann konvertiere doch beide DCs in eine VM und seize die Rolle des PDC-Emulators in einer Testumgebung auf den DC01. Achte dabei, dass die Testumgebung keine Verbindung zum produktiven Netzwerk hat. Falls das dann funktioniert, kannst du es nach einer vorher erstellten sowie funktionierenden SYSTEM STATE Sicherung auf den produktiven DCs durchführen. Na das ist doch schon einmal ein Ansatz. Gehe anhand der EventID auf der Seite EventID.Net dem Fehler nach bzw. mit der Suchmaschine deines Vertrauens.

Aloha, erzähl mal etwas mehr. Handelt es sich um zwei physikalische DCs die von CD installiert und nicht ge-imaget/clonet wurden? Erscheinen Fehlermeldungen im Eventlog? Wie verschiebst du die Rolle? Ich nehme an über die GUI. Du kannst auch mit NTDSUTIL die Rolle verschieben um somit einen Fehler in der GUI auszuschließen und wenn der Fehler weiterhin auftritt, kannst du noch die Rolle "mit Gewalt" (seize) verschieben. Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Ich persönlich halte von Images insbesondere von DCs nichts und dabei ist es mir völlig egal, ob es sich dabei um eine Umgebung mit nur einem DC handelt oder mehreren. Abgesehen davon, Probleme kann es immer und jederzeit geben. Aber auch diese Probleme können einen zum Wahnsinn treiben. Ich habe dir in meiner vorherigen Antwort die Vorgehensweise wie ich sie durchführen würde erläutert. Was du daraus machst bleibt dir überlassen

Moin, korrrrekt. Denn das Heraufstufen der Gesamtstruktur wird in der Konfigurationspartition durchgeführt, das bekanntlich zu allen DCs in der Gesamtstruktur repliziert wird. Nope. Du solltest nur zusehen die Heraufstufung der Gesamtstruktur nicht durchzuführen, wenn gerade im AD Änderungen durchgeführt werden. Es sollte in einer ruhigen Minute vollzogen werden, da einiges an Netzwerktraffic erzeugt wird. Bei dem Heraufstufen des Gesamtstrukturfunktionsmodus wird im Attribut msDS-Behavior-Version, das sich in den Eigenschaften des Containers <CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> befindet, als Wert "2" eingetragen. Der Wert "2" steht eben für den Modus "Windows Server 2003". Der glöeiche Wert ist auch für den Domänenfunktionsmodus eingetragen, nur an anderer Stelle. Für den Domänenfunktionsmodus findet man das Attribut msDS-Behavior-Version in den Eigenschaften des Containers <DC=Domäne,DC=TLD>. Yusuf`s Directory - Blog - Domänen- und Gesamtstrukturfunktionsmodus

"Glauben", tut der Pfarrer. Warum das denn? Warum "müssen"? Wie soll dir geholfen werden, wenn du nicht deine genaue Situation beschreibst? Der Windows Server 2008 kann noch NIE ein Domänencontroller gewesen sein. Denn schon im ersten Post hast du geschrieben: Da stimmt hinten und vorne etwas nicht an deiner Schilderung. Wenn bereits ein Windows Server 2008 als Domänencontroller in der Domäne Mitglied war, dann ist das Schema auch schon aktualisiert worden. Demzufolge kann ein weiterer 2008er DC hinzugefügt werden. Da du aber weiterhin die Meldung bezgl. ADPREP erhälts, kann ADPREP noch NIE ausgeführt worden sein. Kontrolliere mal deine Vorgehensweise nach diesem Artikel: Yusuf`s Directory - Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Hier stimmt nie und nimmer etwas an deinen Aussagen nicht. Wenn tatsächlich eine Leiche im AD wäre, was ich nicht denke, dann hat das mit der Meldung nicht im geringsten etwas zu tun. Die Meldung ist eindeutig. Du musst das Schema erweitern. Es wird auch ein ADPREP-Protokoll im Verzeichnis %Systemroot%\System32\Debug\Adprep\Logs erstellt und enthält einen detaillierten Bericht zur Domänen- und Gesamtstrukturvorbereitung.

Servus, bitte genauer. Du hast also den Windows Server 2008 als zusätzlichen DC zur Domäne hinzugefügt, was auch funktioniert hat? Der Windows Server 2003 DC repliziert sich auch mit dem 2008er DC? Kontrolliere das Eventlog der DCs. Du hast also das ADPREP /FORESTPREP sowie ADPREP /DOMAINPREP /GPPREP von der Windows Server 2008 DVD auf dem Windows Server 2003 Schemamaster ausgeführt?

Salut, mit Sicherheit. ;) Ist er hardwaremäßig kaputt? Oder ist es gecrasht, geklaut bzw. gesprengt worden? Klar. Da scheinbar der DC nicht mehr online ist und auch nicht mehr online gehen kann, musst du diesen händisch aus dem AD entfernen. Du könntest nun in allen Snap-Ins (Benutzer- und Computer, Standorte- und Dienste, DNS) den DC händisch entfernen oder folgst dem folgenden Artikel, in dem du die Leiche mit NTDSUTIL oder ADSIEdit aus dem AD entfernst: How to remove data in Active Directory after an unsuccessful domain controller demotion

Servus, ADPREP /DOMAINPREP kann nur auf dem Infrastrukturmaster ausgeführt werden, wobei du besser direkt ADPREP /DOMAINPREP /GPPREP ausführen solltest. Server1? Denke daran das die Leser deiner Fragen nicht neben dir stehen. Du musst deine Umgebung uns schon genauer erläutern. Aber ein Verschieben des Infrastrukturmasters - wohin auch immer - ist nicht notwendig.

Hola, das kann dir letztenendes nur einer beantworten und das wäre Microsoft. Was die genauen Gründe sind oder was sie dazu bewegt hat, diese Strategie zu wählen, wird kein anderer wissen ausser Microsoft. Alles andere wäre Spekulation.

Die gibts nur hier. ;) Sind das beides NT-BDCs? Falls es sich um zwei Memberserer handelt, dann spielt das keine Rolle. Denn Memberserver können egal in welchem Modus existieren. Lies dir meinen verlinkten "Domänen- und Gesamtstrukturfunktionsmodus" Artikel in der vorherigen Antwort durch. Ich zitiere mal den entscheidenen Absatz aus dem Artikel: Falls die beiden NT-Server BDCs wären, dann ist der Mixed-Mode in Ordnung, wobei du trotzdem zusehen solltest die beiden NT-Maschinen durch das aktuelle OS zu ersetzen. Ich hoffe das du JETZT schlauer bist. ;)

Servus, da hat die Meldung sogar Recht. ;) Ist garnicht soo schlimm. Ich lese heraus, dass es sich um eine überschaubare Umgebung handelt, also mit wenigen DCs. Wenn im AD nichts gepfuscht wurde, in dem Schemaänderungen an Objekten durchgeführt wurden die ebenfalls vom ADPREP aktualisiert werden, dann stellt das kein Problem dar. Die Basis sollte aber trotzdem stimmen, was soviel heißt, dass du die Windows Support Tools auf dem DC installieren und das DCDIAG sowie NetDIAG ausführen solltest. Wenn alle Tests mit einem PASSED quittiert werden ist alles in Butter. Sicherheitshalber sollte aber eine aktuelle und vorallem funktionierende SYSTEM STATE Sicherung existieren, nur für den Fall der Fälle. Um einen Überblick für ADPREP zu erhalten, lies dir den Artikel den GuentherH verlinkt hat durch. Das ist kein Problem. Du musst lediglich das ADPREP von der --> zweiten <-- R2-CD auf dem Schemamaster, mit dem Befehl ADPREP /FORESTPREP ausführen. Das war es schon und der Befehl läuft auch schnell durch. Beachte dabei diesen Artikel: Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2 Ja, kannst du. Es sollte aber zu diesem Zeitpunkt keine Last auf dem DC bestehen oder AD-Arbeiten/Änderungen durchgeführt werden. Du kannst es in einer ruhigen Minute ausführen, z.B. Freitags kurz vor Feierabend. Nein, werden sie nicht. Die Benutzer bekommen von diesem Vorgang nichts mit. Nein. Der Domänen- respektive Gesamtstrukturfunktionsmodus spielt bei dem ADPREP von R2 keine Rolle. Das funktioniert. Aber es wäre ohnehin empfehlenswert in den Gesamtstrukturfunktionsmodus "Windows Server 2003" zu gehen, damit dir die Vorteile die dir dieser Modus bietet profitieren kannst. Yusuf`s Directory - Blog - Domänen- und Gesamtstrukturfunktionsmodus

Dann führe eine Swing-Migration durch. Du benötigst in jedemfall eine zusätzliche Maschine. Das kann auch Interimsweise eine Client-Hardware sein. Auf diesem installierst du dann z.B. die Trial-Version des Windows Server 2003 und stufst diesen als zusätzlichen DC der bestehenden Domäne hinzu. Das DNS installierst du selbstverständlich auch und dabei sollte sich die Forward Lookup Zone im AD befinden. Nun verschiebst du alle Daten sowie Dienste auf die Interims-Maschine. Anschließend installierst du auf der Ursprungsmaschine den SBS und fügst diesen zur bestehenden Domäne als zusätzlichen DC hinzu und verschiebst die Dienste und Daten auf den SBS. Dabei musst du meine vorherige Antwort beachten. Zum Schluss stufst du die Interims-Maschine herunter.

Servus, nein, zuerst muss ADPREP /FORESTPREP und anschließend ADPREP /DOMAINPREP /GPPREP ausgeführt werden. GPPREP führt nicht "zusätzlich" sondern lediglich die Anpassungen an den GPOs durch. Mehr nicht. Für die Migration ist der Parameter "Gpprep" zwar nicht zwingend notwendig, jedoch ist es ratsam dies direkt mit durchzuführen.

Servus, dann füge doch den SBS der bestehenden Domäne hinzu und verschiebe die FSMO-Rollen auf diesen. Zusätzlich musst du noch den globalen Katalog auf dem SBS aktivieren. Dabei bleibt dir die bestehende Domäne erhalten und auf diese Weise hast du am wenigsten Arbeit. Denn empfehlenswert wäre es ohnehin, zwei DCs in der Domäne zu betreiben. How to install Small Business Server 2003 in an existing Active Directory domain Dann löst du eben die servergespeicherten Profile auf und arbeitest in Zukunft mit lokalen Profilen. Alles kein Problem.

Servus, der Benutzer dem die benötigten Rechte delegiert werden, entweder durch den Objektdelegierungsassistenten oder durch direktes bearbeiten der DACL in den erweiterten Sicherheitseinstellungen der OU oder durch zuweisen der Rechte mit dem Kommandozeilenprogramm DSACLS, bekommt auf seiner Workstation das Adminpak mit lediglich den AD-Snap-Ins installiert oder eben eine angepasste MMC (Stichwort: Taskpad). Der Benutzer muss sich nicht am DC anmelden, um seine OU zu administrieren. Das kann er alles von seinem Client aus. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Die Softwareinstallation auf einem DC kannst du so aber nicht lösen, da kannst du den Benutzer gleich zum Admin erklären, denn es gibt kein einzelnes Recht "erlaube dem Benutzer die Softwareinstallation und das auch noch auf dem DC". Genau für dein Szenario ist der Read-Only Domänencontroller (RODC) im Windows Server 2008 gedacht. Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

Moin, Yusuf`s Directory - Blog - Einem Server mehrere (DNS/WINS) Alias-Namen vergeben

Servus, das soll wohl bedeuten, dass sich beide Gesamtstrukturen im Gesamtstrukturfunktionsmodus "Windows Server 2003" befinden? Es handelt sich dabei aber nicht zufällig um eine virtuelle Umgebung, in der du nach der Betriebssysteminstallation eine VM kopiert hast, ohne vorher SYSPREP anzuwenden? Falls dem so ist, stufe einen der DCs herunter und ändere mit z.B. NEWSID die SID. Danach stufst du den Server erneut zum DC. Denn für eine Vertrauensstellung muss die Eindeutigkeit der folgenden Daten sichergestellt sein: - Der NetBIOS Name der Domänen - Der Fully Qualified Domain Name (FQDN) der Domänen - Der Security Identifier (SID) der Domäne Yusuf`s Directory - Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen

Off-Topic:Es muss daran liegen, dass ich erst kurz vor dem schreiben meiner Antwort aufgestanden bin. Denn für meinen nächsten Blog-Eintrag beschreibe ich gerade DSACLS, das ich hier nicht erwähnt habe. Wenn meine Maschinen bereits auf Hochtouren gewesen wären und ich das immer noch vergessen hätte zu erwähnen, wäre das schon fast peinlich. ;)

Servus Edgar, dann musst du die entsprechenden Berechtigungen im Container COMPUTERS für die Benutzer setzen. Das Feld Beschreibung ist im AD das Attribut "description". Hierauf musst du den Benutzern die Berechtigungen Read_Property (RP) sowie Write_Property (WP) setzen. Führe auf dem Container Computers den Objektdelegierungsassistenten aus und wähle einen "benutzerdefinierten Task". Danach wählst du im nächsten Schritt lediglich "Computer-Objekte" und wählst im darauffolgenden Fenster "Beschreibung lesen" sowie "Beschreibung schreiben". Du kannst den Assistenten natürlich auch überspringen und führst das direkt in der DACL (erweiterte Sicherheitseinstellungen im Container Computers) des Container Computers durch.

Aloha, Dsquery server -forest (DCs werden mit ihren DNs angezeigt) Dsquery server -forest -o rdn (DCs werden mit ihrem RDN "Computernamen" angezeigt)

Servus, du könntest kurzfristig an der Gewichtung und Priorität des DC-Eintrags im DNS drehen. Dann melden sich die Clients bevorzugt an diesem DC an.

Servus, wenn du auf allen DCs dieser Domäne den KDC-Dienst (Kerberos-Schlüsselverteilungscenter) stoppst und sicherheitshalber würde ich noch den Anmeldedienst stoppen, sollte sich kein Client mehr authentifizieren können.

Off-Topic:Na klar, daher auch "...im ersten Moment...". Aber neben der richtigen Mondphase muss nicht ein Huhn geopfert werden, sondern die Schweiz in der EM gegen die Türkei verlieren. Erst dann kommt eine stabile Leitung zustande. ;)