protom

Ich habe das so in errinnrung: 1. Du gibst den Domainnamen ein. 2. Wenn die Domain gefunden wurde(wenn das erfolgreich war,funktioniert dns an dieser Stelle) authentifizierst du dich als Domian Admin. An dieser Stelle brauchst der Server dann zur Authentizierung einen DC der Domain. 3. War diese erfolgreich, gehts weiter..

Trag einfach bei der Netzwerkkarte des neuen DCs die IP deines 1. DNS Servers ein. Wenn du unbedingt nen 2ten DNS brauchst, dann konfigurierst du 'ne primäre, ad - integrierte. Auf KEINEN Fall eine sekundäre, weil in diese nicht geschrieben werden kann.

nein. mach es so wie oben beschrieben.

Der DNS Eintrag auf dem neuen DC muss auf den DNS Server der Domain zeigen. Aber wenn du schon Benutzername und PW eingegeben hast, dann hat er die Domain doch schon kontaktiert. Versuchs mal ohne .local.

Um sich in der Netzwerkumgebung alle Server und Clients anzeigen zu lassen? Browsing ist doch nur subnet-insite. Du wirst in allen Subnetzen einen WINS Server benötigen, welche sich dann mit push und pull replizieren.

Müsste ich auch erst rumprobieren. Der Syntax ist ja nicht ganz einfach. Du braucsht den distinguished name von dem Server denke ich.( Oder doch für die Administrtive Gruppe??? Hmmm...) Hast du die Rechte auf die Admin.Gruppe oder auf das Serverobjekt verändert? versuch erstmal mit "dscalcs CN=Someone,OU=Software,OU=Engineering,DC=Microsoft,DC=Com" (beispiel) dir die Rechte anzeigen zu lassen, eh du was änderst oder zurücksetzt. Guck, ob das Deny dort irgendwo auftaucht. Wie der DN für die Admin. Gruppe heißt weiss ich leider nicht.

Na nix,aber Ich würde DCs nie länger als 1 Tag ohne Replikation lassen. oder soll ich jedesmal, wenn ich was ändere die Replikation manuell auslösen? Aber ich sags noch mal, in meinem Fall verursachte die Replikation NiCHT die Kosten.

Sorry, meinte DSACLS http://support.microsoft.com/?kbid=281146 Ist in den Support Tools enthalten. Für dich ist der PArameter S sicher interessant.

Ja, schon klar, von wegen TombstoneLifetime. In meinem Fall lief die Domain mitsamt allen Anwendungen aber schon einige zeit. Und trotzdem kam es zu den Kosten. Und die wurden nicht durch replikationsverkehr erzeugt. Die Replikation sollte nachts erfolgen, was auch funktionierte.

Jaaaa... nur war genau das alles schon korrekt konfiguriert. Und trotzdem kam der Schock in Form der telefonrechnung. Was meinst du denn mit "AD wird nach 60 Tagen" verworfen?

Das lag damals wohl glaube ich teilweise an Exchange. Exchange sucht wohl irgendwie dynamisch nach Servern. Auf jedenfall wurde der Traffic durch Änderung eines Regkey auf die Hälfte reduziert. Was noch war, weiß ich nicht mehr. Nur allein mit Konfiguration der Replikation war nichts zu machen. Muss ja auch nicht heißen, dass es bei dir genauso ablaufen muss. Ich wollte nur mal drauf hinweisen. Da gibts sicher ne Menge zu beachten. Browsing, Namensauflösung.... Vielleicht kann jemand anderes mehr zum Thema Traffic over WAN Links machen.

Dazu fällt mir nur ein: mit dscalc die Rechte auf das Objekt resetten.

Mit DNS wird das nichts zu tun haben. Browsing geht über Netbios. Kannst du denn die Rechner anpingen?

Hallo, was meinst du denn mit "sehen?" In der netzwerkumgebung?

Ich sehe da ein Problem bei den Kosten, die durch die Wählverbindungen auf dich zu kommen werden. Ich hatte mal einen Kunden, der von NT4 auf W2K3 upgegraded hatte, und dann plötzlich Telefonrechungen von um die 600 EURO (pro Standort !) hatte. Mit NT4 war das alles kein Thema. Auf jedenfall musste im nachhinnein 'ne Menge umkonfiguiert werden.

schau mal hier: Das sollte wenigstens deine Frage zum dcdiag beantworten. http://support.microsoft.com/kb/829306/en-us

Diese und andere Informationen gibts hier: http://support.microsoft.com/default.aspx?scid=KB;gr;322692

Ich seh da kein Problem. Wenn der Forest nicht im Windows 2003 Functional Level läuft, wie raisu schon erwähnt hat... Was vermutest du denn für Probleme?

Klar, geht! Einfach mit DCPROMO.

Das Problem ist möglicherweise, das du nen Single Label DNS Domain Name verwendest. Wenn der verwendet wird, funktioniert die dynamische DNS Aktualisierung nicht mehr und du hast ein fettes DNS Problem. Man kann mit regkeys die Dynamische aktualisierung dann wieder erlauben -> http://support.microsoft.com/default.aspx?scid=KB;gr;300684

Der schemamaster war schon vor dem Verschieben nicht erreichbar. Den wirst du nun mit ntdsutil "seizen" müssen.

Gibt es im SnapIn AD Sites and Services noch manuell erstellte NTDS Verbindungsobjekte zum alten DC? Am besten mal alle rauslöschen und mit repadmin /kcc neue erstellen lassen.

Offenbar können die Server den Lizensierungscomputer nicht erreichen. Das ist üblicherweise der PDC Emulator. Pro Standort gibt es einen Lizensierungscomputer. Im AD Snapin Sites und Services gibts den Lizensierungscomputer unter Standort Lizenz Einstellungen. Schaut da mal, ob und welcher DC da drin steht. Ich empfehle den LLS einfach zu deaktivieren, denn der wird für den reinen betrieb des Servers nicht benötigt. Von Haus aus ist der Dienst bei W2K3 eh deaktiviert. Das ganze sollte man allerdings gut beobachten, da es auch Apllikationen gint, die den LLS tarsächlich verwenden (Datenbanken).

Ich bin zwar nicht 100% fitt in Security, aber ich denke ich kann deine Fragen beantworten. 1.) Ich habe keine Zertifizierungsstelle in der ADS eingerichtet. Wird dieser für EFS benötigt ? Nein. Kann, muss aber nicht. Die Zertifikate sind self signed Certificates. 2.) Wo werden die Schlüssel abgespeichert ? Wenn ich lokal etwas verschlüssel, finde ich den Schlüssel unter Zertifikate/Eigener Benutzer wieder. Doch wenn ich etwas auf dem Fileserver verschlüssel, find ich keine Zertifikate. Private Key und zertifikat werden im Benutzerprofil (Roaming oder local) geespeichert. Wenn das Profil verloren geht, oder der Benutzer sich mit einem anderen Benutzernamen anmeldet, hat er u.U. keinen Zugriff auf die Daten. 3.) Gibt es irgendwie eine Einstellung für die Haltbarkeit des EFS Zertifikates ? Nur wenn du die CA verwendest. Das self signed EFS Certificate ist glaube ich 2 Jahre gültig.

Wozu brauchst du das Host File? Auf welchen Rechner (Client, Server?) kriegst du den die 1058/1030?