amichel
-
Gesamte Inhalte
216 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von amichel
-
-
Hi,
Das folgende gilt nut wenn der physikalische server nicht mehr läuft.
Bezgl virtueller DCS:
Considerations when hosting Active Directory domain controller in virtual hosting environments
Support policy for Microsoft software running in non-Microsoft hardware virtualization software
Download details: Using Domain Controller Virtual Machines
mach mal repadmin /options RMISRV07
Wenn da im output so was wie
options:
+DISABLE_INBOUND_REPL steht,
dann gib mal repadmin /options RMISRV07 -disable_inbound_repl ein.
lg amichel
-
Hi,
ganz verstehe ich Dein problem nicht. Kannst du vom Server nicht ins Internet, oder kannst Du aus dem internet nicht auf die homepage Deines Servers. Wenn Du letzteres meinst, dann mußt Du mittels port forwarding von 86.33.86.33 auf die interne Karte Port 80 weiterleiten. Das mußt allerdings auf dem "Modem" einstellen.
lg
amichel
-
Also wenn es nur ums kopieren geht, dann nimm doch Robocopy - ist gratis.
Download details: Windows Server 2003 Resource Kit Tools
aber Lösung ist das keine - Ich würde es mir an Deiner Stelle schriftlich geben lassen daß Du die Anforderungen einfach nicht erfüllen kannst und daß Deine Entscheidungsträger das wissen und im Falle des Falles die volle Verantwortung tragen.
Sonst bist du nämlich der der üblirg bleibt.
amichel
PS: off topic: Sepp Deine Signatur ist ja toll, aber wie soll das ein Analphabet lesen?
-
Hallo,
bitte sei mir nicht böse aaaaber
@marin: Ich wollte hier keine Grundsatzdiskussion lostreten, dass Sicherheit Geld kostet. Ich kann daran nichts ändern und weiß das es keine richtig "saubere" und ganz tolle Lösung geben wird ... muss mich aber mit den Gegebenheiten abfinden und suche dafür eine Art "Behelfslösung" ...
Aber genau diese Grundsatzdiskussion solltest Du mal in deiner Firma lostreten. Das schaut mir sehr nach Layer 8 Problem aus - und Organisatorische Mängel kann man eben nur beschränkt mit Technik erschlagen. Wenn ich Dir nur ein Fahrrad gebe, dann kannst Du nicht innerhalb von 4 Stunden von Wien nach München damit fahren - das kann ich festlegen wie ich will. Physik ist Physik, und es hilft auch nicht wenn ich Dir gnädigerweise noch ein zweites Rad genehmige. Wenn es bei diesen Datenmengen wirklich so kritisch ist, dann hilft nur ein Cluster der vor Serverproblemen schützt, und ein SAN mit snapshot-Technologie das Dir beim Restore hilft.
Eventuell kann man die Daten auch klassifizieren und nur von den wichtigstren 20 GB verlangen, daß sie in 4 stunden wieder da sind.
lg
amichel
-
Sorry Leute, aber ich blick´s noch nicht wirklich!
In meinen NTDS Sites sind jeweils automatisch generierte Verbindungen vorhanden, welche auch automatisch wieder auftauchen, wenn ich diese lösche…
OK, habe nachgelesen und festgestellt, das ich das ganze deaktivieren kann.
Somit muss ich die Verbindungen manuell anlegen.
-
Warum ? laß doch den kcc seine Arbeit tun, der kann das auch noch mit 900 dc's also wird er es bei 3 auch schaffen.
Unter IP kann ich die Standortverknüpfung und die Standortverknüpfungsbrücke erstellen / aktivieren.
Will ich aber eine Standortverknüpfungsbrücke erstellen, so bekomme ich eine Meldung, dass ich mindestens ZWEI Standortverknüpfungen benötige.
-
laß doch die Brücken Weg, mach doch einfach 2 Site links.
Muss ich für jeden Standort eine Standortverknüpfung erstellen?
Also A mit B; A mit C und danach die Brücke von B mit C ?
-
mach doch A mit B und A mit C - Wenn A der Hauptstandort ist, das reicht
Und wenn das der Fall ist, was ist wenn ich eine vierte Niederlassung (D) bekomme…
Muss ich dann A mit D hinzufügen und dann zwei Brücken erstellen (B mit D, C mit B)?
-
NEIN nur A mit D fertig
Ich hoffe Ihr versteht was ich meine und könnt mir helfen.
-
keine Ahnung :)
Bitte lies mal:
The Role of the Inter-Site Topology Generator in Active Directory Replication
und
lg
amichel
-
ja klar: sc \\pc stop w32tm
sc \\pc start w32tm
-
sind die dcs so konfiguriert um als time server zu dienen? (dcdiag)
-
Hi,
ja am client muß nt5ds reinkommen. Entweder Du änderst es über eine GPO oder Du machst auf dem client
w32tm /config /syncfromflags:domhier
w32tm /config /update
w32tm /resync
Dann synct sich der client auch automatisch
amichel
-
Hallo
sollte Dir informationen geben wie die Zeit konfiguriert sein muß.
Um es kurz zu machen: nur der PDCE holt sich von extern die zeit, der rest verwendet nt5ds
amichel
-
Hallo,
also ich weiß jetzt nicht genau wie das passieren kann ich hab das bis jetzt auch nur einmal gesehen.
sollte Dir helfen, wenn es wirklich die trusts sind :)
lg
amichel
-
Hmm ich weiß es jetzt nicht genau aber kann sein daß der Account auch noch log on as a service, log on as a batch job, oder eines von diesen rechten braucht?
http://www.mcseboard.de/newreply.php?do=newreply&noquote=1&p=730858
lg
amichel
-
Hi,
schau doch mal folgende KB's an ob sie Dir helfen.
Lingering objects prevent Active Directory replication from occurring
Inbound Replication to Global Catalog Servers Does Not Work Because of a Database Error
Aber mal zu Deinem Hauptproblem. Window 2000 SP3 wird schon seit ewigkeiten nicht mehr supported und wenn ich lese
Frei nach Schema "never touch a running system" lief er bisher auch völlig problemlos ca. 5 Jahre
dann wird mir schlecht. Kein verantwortungsvoller Sysadmin wird einen Server ungepatched 5 jahre laufen lassen. Ein Sysadmin der seine Server nicht anrührt macht schlicht und einfach seinen Job nicht. Das hat da nix mit "never touch a running system zu tun"
Also solange da auf dem 2000 kein SP4 drauf ist möcht ich da nix mehr dazu sagen, denn was zu tun ist ist klar:
SP4 und alle Patches drauf
FSMO auf die 2003-er verschieben
lg
amichel
-
-
Muß noch was nachtragen: Bitte mach das removelingeringobjects auch in die Gegenrichtung.
Die GUID des DC's bekommst Du am besten mit repadmin /showrepl
-
Hi,
eventuell hast Du da einige lingering objects Lingering objects prevent Active Directory replication from occurring
mach mal bitte repadmin /removelingeringobjects <inbound_dc> a6f54c79-4844-4aa3-864e-afa034009bd8 dc=xxxx,dc=de /ADVISORY_MODE
und schau dann bitte mal im directory services event log nach, ob da ein 1942 oder 1943 (weiß ich jetzt nicht genau welcher) event auftaucht. Wenn Du da was siehst, dann mach mal das ganz nochmals nur ohne /Advisory_mode
-
Hallo,
FSMO rollen kannst Du am besten mit ntdsutil verschieben.
cmd aufmachen
1.) ntdsutil
2.) roles
3.) connections
4.) con to server DC2 (auf den du die rolle schieben willst)
5.) quit
6.) transfer pdce
7.) mit yes bestätigen
8.)qit
9.) erledigt
details hierzu
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller
oder für die GUI fans:
How to view and transfer FSMO roles in the graphical user interface
-
Salut,
der Cache spielt dabei keine Rolle. Es kommt natürlich darauf an, welche IP-Informationen dem Client eingetragen bzw. ihm zugewiesen wurden.
Das entscheidende ist, ob der DNS-Server per Ping erreichbar ist und beim lediglichen stoppen des DNS-Dienstes auf dem Server ist er nämlch erreichbar.
Der Client versucht also erst garnicht seinen zweiten eingetragenen DNS-Server anzufragen.
Erst wenn der erste DNS-Server per Ping nicht erreicht werden kann, dann wird der zweite DNS-Server angefragt.
Yep stimmt - danke fürs nachbessern :D
-
-
Hallo,
welchen DNS server bekommen denn die clients?
Was sagte denn dcdiag /test:dns /s:dc1 /e /v ?
Wenn Du den DNS server nur stoppst, dann haben die clients eventuell noch infos im cache.
der Trust zu der anderen Domain -ist diese 2. Domain eine domain im gleichen forest? wenn nicht, dann ist es klar, daß die authentifizierung nicht mehr klappt. Für externe Trusts sind die PDCE's zuständig und wenn der nicht verfügbar ist....
lg
amichel
-
Hi,
ja gibt es:
allgemein und
im besonderen :D
amichel
-
-
Hi,
1.) Stoppe auf dem DC das FRS service
2.) Setze auf dem DC den Regkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
auf D4
EDIT D4 deshalb weil es der einzige DC in der domain ist - sonst D2
3.) Starte Frs und warte bis ein 13516 erscheint
4.) Problem solved.
5.) Wenn der 13568 wieder auftritt mach mal ein checkdisk auf dem Volume und starte bei 1.)
6.) Promote ASAP einen 2. DC in die Umgebung hinein.
Using the BurFlags registry key to reinitialize File Replication Service replica sets
Troubleshooting journal_wrap errors on Sysvol and DFS replica sets
How to rebuild the SYSVOL tree and its content in a domain
lg
amichel
-
Hi,
Klauth hat recht - Du kannst aber auch mit netdom das Paßwort des PC's zurücksetzen.
netdom reset wk08 /d:<domain_name> /s:<DC_name> /usero:<admin_account> /passwordo:<pw des useros>
-
Servus,
also das ist halb so schlimm. Normalerweise überlagert die Policy ja nur die lokale Registry und wenn die Policy weggenomen wird, dann gelten wieder die werte in der Registry.
Wenn man aber nun selber ADM files schreibt, dann wirken die normalerweise so, daß die registry hardcoded befüttert wird und so bleiben wenn die Policy weggenommen wird.
Und diese Meldung bekommst Du also.
amichel
dcdiag wirft unerklärlichen Fehler
in Windows Server Forum
Geschrieben
auf welchen DNS server zeigt denn der zerberus?