Purecut

@morphium bist zu bei deinem Problem weitergekommen? Ich habe auf einem 2008 R2 genau die selben Fehler. 4672, 4624, 4634. Über 2500 Einträge pro Tag. Ich setze auch SEP ein. Eine Deaktivierung von Netzwerkscannen brachte leider auch nicht den Erfolg. Für jeden Hinweis, Tip - Danke.

Danke für deine Erklärung.

Danke OLC für deinen Kommentar. Ich störe mich nur etwas daran, das Microsoft in seiner "Best practice" sagt, dass in dem RootCA keine CRL Pfade enthalten sein sollen. Die hab ich aber jetzt in der Nr. 1 jetzt drinstehen. Das ist der Grund für das warum und ich hab auf den Clients 2 RootCAs liegen.

Hallo, ich habe ein Zertifikatsproblem der Zertifizierungsstelle. Bis dato hatte ich nur das Zertifikat mit der Nr. 0 in der Zertifizierungsstelle, welches zum Ausstellen von Zertifikaten im Unternehmen genutzt wird. Da jetzt aber Mitarbeiter via RDP sich verbinden, musste die Zertifikatssperrliste veröffentlicht werden. Das Zertifikat 0 beinhaltete die Info, wo die Sperrliste von außen zugänglich und gezogen werden konnte leider nicht. Aus diesem Grund habe ich in den Eigenschaften des Zertifikates 0 die Infos eingetragen. Danach wurde die Zertifizierungsstelle neu gestartet und nun habe ich zwei Zertifikate in dem Liste der zu verwendeten Root CAs stehen. 0 mit den alten Infos, 1 mit den aktuellen und der Sperrliste. Wie bekomme ich das Zertifikat 0 aus dieser Liste und aus dem AD raus, so dass ich nur noch das Zertifikat 1 mit den entsprechenden Infos habe und dies auch benutzt wird. Alle Clients haben bereits neue Zertifikate basierend auf Root CA 1. Ich suche mir im Netz ein Wölchen wie ich das 0er Zertifikat aus der Zertifizierungsstelle löschen kann. Vielleicht hat von euch jemand eine Anleitung wie ich dies anstelle ohne mir die Zertifizierungsstelle zu zerschießen.

Das war von mir eine allgemeine Frage zur Vorgehensweise. Es kann ja auch einmal vorkommen, das man das ganze Netz runterfahren muss, weil man z.B. am Wochenende eine neue USV installieren muss oder es steht ein neues Rack an.

Die ERRORS im Log habe ich nun weg. Diese stammten noch von vor dem Aufsetzen des neuen DC-02. Ich habe die Logs gelöscht und die neu erstellten Logs sind sauber. Auch Sonar zeigt mir keine Fehler bei der Replikation an. Es bleiben halt nur noch die 2. Fehler der Junction Links.

Und wie soll ich nun das Problem deinerseits am besten anpacken, um die Fehler zu beseitigen?

Kein Virenscanner auf dem DC-02. Keine Firewall Was soll ein erneutes DCPROMO auf dem DC-02 bringen? Dazu müsste ich den doch erst einmal wieder runterstufen - oder?

Hallo zusammen, ich habe letzte Woche einen 2. DC neu aufsetzen müssen. Nach dem dieser nun neu aufgesetzt, zum DC hochgestuft und DNS ebenfalls auf diesem DC installiert wurde scheint wohl alles wieder zu laufen. Was mir aber aufgefallen ist, das auf dem DC-01 (hat alle FSMO Rollen) das im Dateireplikationsdienst nichts drin steht. Auf dem DC-02 (ist GC) jedoch die normalen Informationseinträge: 13501 Der Dateireplikationsdienst wird gestartet. und 13516 Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "DC-02" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann. Ist das normal das auf dem DC-01 im Protokoll keine Einträge drin stehen? Das ganze beunruhigt mich ein wenig und habe daraufhin die FRSDiag Tools installiert. Das Protokoll zeigt mir dann folgendes: Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... ERROR: Junction Point missing on "c:\windows\sysvol\sysvol" ERROR: Junction Point missing on "c:\windows\sysvol\staging areas" Daraufhin habe ich dann LINKD %windir%\sysvol\sysvol aufgerufen und es wurde mir angezeigt: C:\WINDOWS\sysvol\sysvol is not linked to another directory Das verstehe ich nicht. Wenn ich Junction Link Magic aufrufe werden mir nach dem Scan die oben fehlenden Junction Links angezeigt. Weiterhin sehe ich im FRSDiag log noch diese Fehler: ERROR on NtFrs_0002.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 6088: 904: S0: 20:18:23> :SR: Cmd 0ade98f0, CxtG 45a1f103, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (494) [sndFail - Send Penalty] ERROR on NtFrs_0002.log: "ERROR_ACCESS_DENIED": <SndCsMain: 4664: 877: S0: 20:18:23> :SR: Cmd 0adea770, CxtG 7f995d20, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (360) [sndFail - rpc call] ERROR on NtFrs_0002.log: "ERROR_ACCESS_DENIED": <SndCsMain: 4664: 904: S0: 20:18:23>:SR: Cmd 0adea770, CxtG 7f995d20, WS ERROR_ACCESS_DENIED, To dc-02.Worldmedia.local Len: (360) [sndFail - Send Penalty] ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain:788: 883: S0: 08:42:18> ++ ERROR - EXCEPTION (000006d9) : WStatus: EPT_S_NOT_REGISTERED ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 788: 884: S0: 08:42:18> :SR: Cmd 00325ff0, CxtG 45a1f103, WS EPT_S_NOT_REGISTERED, To dc-02.Worldmedia.local Len: (360) [sndFail - rpc exception] ERROR on NtFrs_0001.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 788: 904: S0: 08:42:18> :SR: Cmd 00325ff0, CxtG 45a1f103, WS EPT_S_NOT_REGISTERED, To dc-02.Worldmedia.local Len: (360) [sndFail - Send Penalty] ERROR on NtFrs_0004.log : "RPC_S_CALL_FAILED_DNE(Indicates RPC Session was established to target, but there was a failure to send RPC call package. Check for Networking problems!)" : <FrsDsGetName: 3176: 4580: S0: 23:06:41> :DS: ERROR - DsCrackNames(cn=dc-02,ou=domain controllers,dc=worldmedia,dc=local, 00000002); WStatus: RPC_S_CALL_FAILED_DNE Auf beiden DCs ergibt DCDIAG keine Fehler

Danke, und wie sähe eine von Nils befürwortete Best Practice für Windows 2003 R2 Server aus. Und wie fahre ich denn nun ein System komplett sauber runter: erst DC-02 und dann DC-01?

Verstehe ich nicht. Ich habe doch die Sysetmplatte auch mit einem Image zurück gespielt und dann vom Backup den System State vom Vortag zurückgeschrieben. Wo soll den da das Problem bestehen. Der Server läuft wieder wunderbar und Replikationen laufen auch ohne Probleme. Dateninkonsistenz habe ich auch keine.

Hallo Gemeinde, in der letzten Woche hatte ich den Ausfall des Haupt DC, bei dem die Systemfestplatte ab rauchte. Daraufhin habe ich ein Image zurück gesichert und den System State von der letzten Datensicherung zurück gespielt. Nun läuft das System wieder. Dabei stellten sich mir aber ein paar Fragen, die mir bis dato nicht ganz klar sind. In unserem System befinden sich zwei DCs. Beiden DCs sind zunächst einmal GC DCs. Der erste DC hat zudem die FSMO Rollen. Bei beiden DCs ist ein DNS Server installiert und die Zonen AD integriert. Auf dem ersten DC läuft auch der DHCP. Hier zur Konfiguration: DC-01: FSMO Rollen GC DNS DHCP Zertifizierungsstelle IP: 10.0.0.1 Konfiguration Netzwerkkarte für den DNS 1. DNS Server: 10.0.0.3 2. DNS Server: 10.0.0.1 DC-02: GC DNS IP: 10.0.0.3 Konfiguration Netzwerkkarte für den DNS 1. DNS Server: 10.0.0.1 2. DNS Server: 10.0.0.3 Wie sollte ich nun das System am besten herunterfahren, um von allen Servern Images anzufertigen? Fahren ich den DC-01 mit FSMO Rollen runter, um diesen zu sichern, dann fehlen mir ja für eine gewisse Zeit die FSMO Rollen und Replikationen können mit DC-02 nicht durchgeführt werden. Fahren ich den DC-02 herunter, dann fehlt mir ja der DNS Server für den DC-01. Oder soll ich zunächst den DC-02 herunterfahren und im Anschluss den DC-01 und später beim Hochfahren mit DC-01 anfangen? Hört sich zwar alles sehr banal an, aber mich beschäftigen diese Dinge seit dem letzten Crash.

Danke NorbertFe Du warst aber schnell. Ich war gerade dabei meinen Beitrag etwas zu ändern, was du vielleicht nicht mehr mitbekommen hast. Dazu hier nochmals: Dann könnte ich ja auch 2008er User Cals erwerben und mein Downgrade Recht nutzen. Denn sollte später einmal ein Update auf 2008 erfolgen kann ich ja mit den 2003 User Cals nix mehr anfangen - Richtig?

Danke euch beiden. Dann lag ich ja mit meiner Berechnung so ziemlich richtig. @Dr.Melzer Den Artikel kannte ich bereits. Wie gesagt, ich habe im Vorfeld viel gelesen auch diesen Artikel, da der Hinweis ja in fast all deinen Antworten drin steht .-), aber für mich blieben/bleiben da immer noch Fragen offen, die ich doch verstanden wissen möchte. @lizendoc Nein es sind nur 7 TS User. Die haben ihre festen PC's/Laptops. Andere User im Netzwerk haben auf den TS keinen Zugriff und kann auch nicht angesprochen werden, um sich einzuloggen. Das ist in den GPO's fest hinterlegt und andere User sind gesperrt. Was ich aber noch nicht richtig verstanden habe ist der Zugriff der TS User auf das Netzwerk bzw. die anderen Server. Deckt das die TS Lizenz ab, oder muss ich zu den 7 TS Lizenzen dann auch noch zusätzlich 7 User Cals erwerben? Und als zweites fällt mir noch unsere Backup Exe ein. Die sichert vom Haupt DC alle 3 Server. Für den zusätzlichen Zugriff auf die anderen Server haben wir die Backup Lizenz, benötige ich für die Backup Exec dann auch noch 2 User Cals oder ist für reine Software so etwas nicht nötig? Dann könnte ich ja auch 2008er User Cals erwerben und mein Downgrade Recht nutzen. Denn sollte später einmal ein Update auf 2008 erfolgen kann ich ja mit den 2003 User Cals nix mehr anfangen - Richtig? Danke schön

Hallo Zusammen, auch nach vielem Lesen bin ich nicht recht weitergekommen in den Lizenzfragen. Die Hardware sieht wie folgt aus: 2 x Windows 2003 R2 Server als DC 1 x Windows 2003 R2 Server als Memberserver auf dem ein TS installiert ist. Auf dem TS greifen nur max. 7 User zu. TC Cals etc. ist kein Problem Im gesamten Netzwerk haben wir 17 Windows XP und 3 Win 7 Pro Client = 20 Clients. In dieser Anzahl sind dann Notebooks etc. enthalten. Benutzer haben wir aber mehr als 20 nämlich 24. Das liegt daran, dass sich ein Benutzer an mehreren Clients gleichzeitig anmelden kann. Wenn ich nun die Server als ProServer lizenziere, dann würde ich 3 x 27 Device Calls benötigen - 20 normale Geräte plus 7 TS Geräte - sehe ich das richtig? Also müsste ich dann 81 Device Cals erwerben. Wenn ich aber das ganze auf Pro User / Gerät umstelle, würde ich dann nur 27 User Cals benötigen und diese dann im Lizenz Manager alle als Pro User zuweisen? Denn wenn ich das richtig verstanden habe, dann kann ein Pro User Cal auf alle Geräte / Server zugreifen und benötigt nur 1. Cal. Die erworbenen Lizenzen würde ich dann auf dem Haupt DC im Lizenzmanager eintragen. Was trage ich dann auf dem zweiten DC und auf dem Memberserver im Lizenzmanager ein. Beachte ich diese dann gar nicht - abgesehen von den TC Cals, die laufen ja über den TS Lizenzserver. Liege ich da mit meinen 27 User Cals richtig oder müssten es mehr z.B. 31 User Cals sein (plus 4 für die Admins / Server und einen für den TS selbst)? Ich bin jetzt so verunsichert, dass ich gar nicht mehr durchblicke was ich kaufen muss. Danke für die Aufklärung. als Hinweis: Auf dem TS läuft keine Microsoft eigene Anwendung für die 7 User, sondern eine WaWi, die auf den 2. DC zugreift.