woiza

Nein, die 297 ist ne Design. Da brauchst du auf alle Fälle eine. Du könntest die 284 in deinem Bsp weglassen.

Ja, das geht.

Welchen DNS hast du eingetragen?

DCdiag sieht gut aus, dann würde ich jetzt auch auf beiden Kisten das SMS Signing abschalten.

Poste die Ergebnisse am Besten direkt, die Freischaltung kann dauern. ;)

Wie gesagt:

Welche Macken? Ich würde da mal ansetzen. Poste mal nen Dcdiag.

Also Beispiel: In der Dom-OU ist ein Wert aktiviert, in der OU deaktiviert. -Keine Häkchen sind gesetzt. Dann gewinnt die OU. ->deaktiviert -Häkchen Vererbung spielt hier keine Rolle, weil auch bei aktivierter Vererbung die OU gewinnt. ->deaktiviert -Bei kein Vorrang wird unabhängig von der Vererbung die obere durchgesetzt wird ->aktiviert In der Dom-OU ist Wert aktiviert, in der OU "nicht konfiguriert. -Kein Häkchen, dann schlägt die Vererbung zu. -> aktiviert -Häkchen "Vererbung deaktivieren" gesetzt. Dann bleibt die effektive Richtlinie "nicht konfiguriert" -Häkchen "Kein Vorrang" gesetzt. Dann gewinnt wieder unabhängig von der Vererbung die obere -> aktiviert. Stell es dir so vor: jede effektive Einstellung ist so ein Röhrchen, wie bei den Lottozahlen. Die einzelnen GPOs liegen jetzt übereinander. Erst die OU, dann übergeordnete OUs, dann Domäne, dann Site, dann Lokal. Jede GPO versucht jetzt, falls die Einstellung gesetzt ist, nen Ball in das Röhrchen zu kriegen. In dem Fall steht dann auf dem Ball entweder "aktiviert" oder "deaktiviert". Bei "nicht konfiguriert" gibt es von der Richtlinie eben keinen Ball. In das Röhrchen passt aber nur ein Ball. Normal gewinnt also der unterste, weil er am Nächsten ist. In unserem Fall also OU vor Domäne. Wenn aber die OU keinen Ball hat, dann würde die Domäne gewinnen. Jetzt setze ich den Haken "Vererbung deaktiviert". Damit spanne ich über alle Röhrchen einen Schirm auf. Kommt jetzt von oben ein Ball, wäre das Röhrchen zwar frei, der Ball prallt aber am Schirm ab. Jetzt setzt der Admin oben "kein Vorrang". Damit kommt vor jedem Ball ein Ziegelstein. Der haut erst den Schirm kaputt und dann auch noch den unteren Ball, womit sein Ball letzten Endes im Rohr landet. Ist ein bisschen verquer, aber so konnte ich mir das merken. Alternativ gibts auch noch ne Erklärung auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials Gruß woiza

Für öffentliche Ordner gibt es pfmigrate. Das hab ich aber noch nie getestet. Wir haben ÖO grundsätzlich neu angelegt.

Die Accounts "Administrator" werden bei uns nicht verwendet, außer in der Root. Da gibts dann geteiltes PW. Ansonsten bekommt jeder Admin einen personalisierten Admin Account. Für diese gelten zwangsläufig die selben PW Richtlinien.

Klar, es betrifft nur die Rollen, die für neue Objekte im AD sicherstellen sollen, dass diese auch unique sind. Wenn man sich nicht sicher ist, ist plattmachen bei der falschen Rolle auch kein Beinbruch und besser als ne falsche wieder online zu nehmen. ;)

Ich habs noch nicht ausprobiert, aber er selbst wird zumindest die eigenen RIDs nehmen.

Schon klar, aber das meinen die Meisten, wenn sie vor dem Verschieben Panik haben. Vielleicht wurde das mal in nem Buch oder in der KB schlampig übersetzt. Auf alle Fälle hält es sich hartnäckig. ;)

Seize ist gemeint. Seize wird normal nurdurchgeführt, wenn der Transfer nicht mehr tut, sprich der DC ist Offline. Bei seize wird also dem "alten" Rolleninhaber nicht mitgeteilt, dass er die Rolle hergeben muss. Es wird nur dem "neuen" die Rolle verpasst. Wenn der "alte" z.B. nach Hardwarereparatur wieder Online geht, glaubt er immer noch Rolleninhaber zu sein. Das macht v.A. bei RID wenig Spaß, weil dann 2 Maschinen lustig RID-Pools vergeben. Daher bei "seize" immer die alte Kiste plattmachen. Gruß woiza

Willkommen ;) Find ich gut, dass du die Dinge begreifen willst und nicht stumpf Fragen auswendig lernen willst. Alles andere bringt auch nix. Beides geht. "Die Juhuu, ich hab Bestanden" Threads sind zwar nachvollziehbar (hab ich auch gemacht), würden aber kaum ein Forum rechtfertigen. Korrekt, außer weiter oben ist "kein Vorrang" aktiv. Wie kommst du darauf? Das ist definitiv nicht richtig. Die OU schlägt dieDomain Policy, wenn nicht (kein Vorrang" gesetzt ist.

Oh, keine Balken? Das ist ja dämlich. Drücke dir die Daumen fürs nächste mal.

VB kommt nicht vor. Wenn dann vbs. ;) Das war bei mir letztes Jahr in der 290 auch schon dran. Ich hatte da so ne Verschiebeaufgabe, wo ein Script in der richtigen Reihenfolge zusammengesetzt werden muss. Was wars bei dir? Wobei bei 617 dürften die 3 Fragen nicht das Hauptproblem gewesen sein. Was sagen denn die Balken?

Bei einer Domäne mit zwei DCs ist die Platzierung der Rollen völlig Rille. Da langweilen sich die DCs sowieso. Bei ner Single Domain Umgebung ist auch egal, ob der IS Master GC ist, weil der da eh nix zu tun hat.

Wie viele DCs hast du? Was heißt neu aufgesetzt? Als neue Domäne oder in ne bestehende? Ist der PDC-Emulator verfügbar? Poste mal nen Dcdiag.

Ja, so Helden hatten wir auch schon. "Wieso müssen alle drei DCs laufen? Wir haben einen runtergefahren."

Ob exmerge oder mailmig, wenn er die User mitnehmen will, braucht er in jedem Fall ne Vertrauensstellung. Mailmig ist imo. einfacher zu bedienen. Aber gehen tut beides. Gruß woiza

Oh, da war die Edith zu langsam ;). Wir haben es bei uns so gelöst, dass alle DCs GC sind. Somit sind in den Subdomains auch alle Rollen auf einem DC (inkl. IS Master). In der Root sind die beiden Forestrollen separat. Wir haben auch alle Server zu DNS gemacht, das spart in großen Umgebungen viel Ärger. Wichtiger als die Verteilung der FSMOs ist aber, zu wissen, wofür sie gut sind. Also, wenndu z.B. keine Objekte mehr anlegen kannst, dann hat der RID ein Problem usw. Gruß woiza

WIe groß ist deine Umgebung? Wie viele Domänen/DCs? Wenn sie eher klein ist, würde ich alles auf einer Kiste lassen. Edit: Um auf deine Frage zu antworten: Der DNS-Master muss GC sein, wenn er neue Domänen erstellen soll. Da Schema und DNS nur einmal pro Forest exisitieren und man für die Verwendung auch gesonderte Rechte benötigt (Schemaadmin, bzw. Org.admin), sollte man die möglichst zusammen auf einer Kiste lassen. Sonst bringt das keine Vorteile. RID und PDC kann man davon trennen. Dies kann zum einen aus Perfomancegründen passieren, weil beide ressourecenintensiver sind, als die anderen FSMOs. Das schlägt aber nur bei sehr massiven Umgebungen zu Buche. Auch organisatorisch könnte man eine Trennung begründen, weil die beiden (+Infrastruktur) ja nicht nur in der Root, sondern in allen Domänen vorkommen. Somit hätte man dann die Enterprise Rollen von den Domänenrollen getrennt. Zusätzlich wird der Schemamaster in großen Umgebungen manchmal sogar in ne eigene Site separiert, die sog. Lakesite. Auch der IS gehört zu den Domänenrollen, spielt aber ne Sonderrolle, weil er nicht mit dem GC zusammenlaufen darf, AUSSER alle DCs sind GC.

Alternativ kannst du mit eseutil.exe" /MK schauen, welche Logfiles bereits in der Datenbank sind und wegkopiert (nicht gelöscht!!!) werden können. Aber falls du das noch nie gemacht hast und dir was am Server liegt, dann frag lieber jemanden, der sich mit sowas auskennt. Wenn du aber mutig bist, können wir dir gerne helfen, nur Remote eben ohne Gewähr ;). Gruß woiza

Was heißt unterschiedliche Domänen? Zwei Forests? Dann wirst du ne Vertrauensstellung bauen und ADMT/mailmig verwenden müssen. Um wie viele User gehts denn? Evtl. bist du mit neuanlegen + .pst schneller.