Jump to content

kaineanung

Member
  • Content Count

    434
  • Joined

  • Last visited

Community Reputation

12 Neutral

About kaineanung

  • Rank
    Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Gute Idee mit dem regelmäßigem Löschen. Werde ich mal vorschlagen. Und wenn es nicht jeden Tag ist dann jedes WE oder im schlimmsten Fall an jedem Monatsanfang. Was das mit der DFS statt Laufwerksbuchstaben oder Shares angeht: wie sieht das dann aus? Wo findet man im Windows-Explorer dann seine Daten? Wo sind die gespeichert und wie wird das gesichert? (Zur Sicherung: da alles auf VMware läuft, ist es bei uns Veeam mit wem wir unsere Daten sichern werden.)
  2. Ich bin mir nicht sicher ob ich das Alles jetzt auch komplett 'erfasst' habe. Wenn ja: ich denke ich weiß was zu tun ist. Wenn nein, kann ich die Frage erst stellen wenn es klar wird das ich noch irgendwas nicht bedacht hatte oder neue Probleme auftauchen. Momentan werde ich in unserer Testumgebung die 'fast finale' Sturktur erstellen und der Geschäftführung vorführen damit die dann entscheiden wohin wir wollen. Ich würde es wie im Eingagpost umsetzen: root | -- Ungesichert | -- T2 (das ist bei uns der Verkauf) | -- Mgmt (Der 'Arbeitsordner des Teamleiters T2) | -- T2K1 ('Arbeitsordner' der Koorinators 1 des Teams 2) | -- T2K2 ('Arbeitsordner' der Koorinators 2 des Teams 2) | -- T201GL (Gruppenleiterordner der Gruppe 201 | -- T201 (Gruppenordner der Gruppe 201) | -- T202GL | -- T202 | -- usw. | -- T3 | -- usw. | -- Projekte | -- 3D Druck | -- Projekt X | -- Gesundheitskreis | -- usw. Auf den Gruppen und Teamorndern gibt es lediglich eine AD-Sicherheitgruppe und die ist mit Änderungrechte ausgestattet. (Die Gruppenordner haben keine 'Read Only User). Auf dem 'ungesichert'-Ordner kann man Daten austauschen die in keine andere Kategorie fallen. Wird nicht gesichert und jeder Domänen-User hat Änderungs-Berechtigung. Der Ordner 'Projekte' hat erstmal 'nur Ordner-Auflisten' Berechtigung für alle Domänen-User. Darunter dann die einzelnen Projekte auf die 2 AD-Sicherheitsgruppen vergeben werden. Ein 'rw-acces' und ein 'ro-access'. Jenachdem wer was machen darf landet in der entsprechenden Gruppe. Ist man in keiner der Gruppe, so wird das Projekt gar nicht aufgelistet. Ist ein Benutzer also in keinem einzigen Projekt enthalten, so bleibt für ihn der Ordner 'Projekte' leer. Und die allergrößte Änderung die ich im Vergleich zu heute hätte: Nicht jeder User bekommt aufgrund seiner Gruppenzugehörigkeit ein Laufwerk gemappt direkt in sein Gruppenordner, sondern jeder bekommt ein Laufwerksmapping direkt in root rein und darf sich dann durchklicken bis zu seinen Ordnern. Da es ja nicht mehr 7 Ebenen gibt sondern 2 ist das vertretbar. Momentan hätten wir ein I-Laufwerk das in das 'ungesichert'-Ordner verknüpft für alle Domänen-User. Dann haben wir ein F-Laufwerk welches in die einzelnen Gruppen mappt. Somit steht dann hinter F: -> \\fileserver\root$\T2\T2K1\T201GL\T201 (oder auch \\fileserver\T201$ da wir Shares auf die einzelnen Gruppenordnern haben -> sehr viele Shares da viele Gruppen). Bei neuer Struktur würde f: dann wie folgt aussehen: \\fileserver\root$ und zwar für jeden. (root$ heisst es nicht wirklich, will es aber damit nur verdeutlichen. Heissen tut es Firmenname$) So, ist heir irgendwas unlogisches dabei? Habe ich das auch mit dem Laufwerksmapping so richtig verstanden und richtig umgesetzt? ich weiß das 'richtig' relativ ist unv von Anforderung zu Anforderung anders ist und von Vorlibe zu Vorliebe anders. Aber so grob in etwa ist es so wie ihr das meistens auch umgesetzt habt?
  3. Ich weiß das. Leider weiß das der Chef nicht... und solange es 'nur' in einem Unterordner so ist bleibt es ja verwaltbar und überschaubar. Es ist so daß eine Userin irgendwas für die Chefs machen muss wo sie Informationen aus dem Unterordner benötigt wo nur die Chefs zugreifen können sollen. Dies aber eben nur auf diesen Unterordner und nur lesend. Ich werde versuchen eine andere Lösung für das Problem zu finden, aber falls ich es nicht schaffe, wollte ich lediglich wissen ob es eine systematische Lösung für das Problem gibt. Ich habe vor einigen Monaten von ABEs nichts gewusst. Ich hatte aber dieses Problem und die entsprechende Frage hier gestellt welches das aktivieren der ABE gelöst hat. Also gab es eine systematische Lösung damals für mein Problem. Ich dachte vielleicht gibt es ja wieder so eine Lösung für mein aktuelles Problem. Aber Recht habt ihr: sollte man vermeiden und 'keep it simple'. Wenn ich es schaffe es zu vermeiden: gut, wenn ich es nicht schaffe: dann bleibt mir eben in diesem Falle nichts übrig als manuell dafür zu sorgen daß die entsprechende Userin da lesend zugreifen können soll. Zu meiner Struktur die ich aufgezeigt habe: da ist nichts großes anzumahnen? Ich gehe davon aus daß dies gemeint ist mit 'nicht Firmenorganigram abbilden sondern flache Strukturen, am Besten Projektorierentier anzubieten? Ich habe jetzt Gruppenordner die flach sind und Projekt-Ordner denen man Firmenweit Mitgliedschaft vergeben kann. Das ist in etwa so wie bei euch? Wenn das so für uns passt und umsetzbar ist, dann sind wir auch in einer modernen Struktur angekommen? Nur noch zurück zum Thema 'Poweruser die die Gruppen selber verwalten': Das die Tools an Board sind (was ich so nicht wusste) ist eine Sache. Das diese Poweruser IT-Tools nutzen dürfen ist eine ganz andere Sache. Die sehen ja Domänenweit alle AD-Objekte (User, Sicherheitsgruppen, Computer) und können 'schindluder' damit treiben. Dies kann unabsichtlich sein, aber auch absichtlich. Ihr seid sicher das ihr ausserhalb der IT jemanden solch ein Werkzeug anvertraut? Ich bin mir immer noch nicht sicher ob wir vom gleichen reden? . . . Ok, ich habe es mir mal angeschaut und sehe das es nur eine Light-Version ist von der Verwaltung der AD. Kann das eigentlich JEDER so sehen oder braucht er entsprechende Berechtigung? Welche wäre das? Kann man da auch eingrenzen das ein Verantwortlicher nur in seinem Verantwortungsbereich, sprich nur in 'seinen AD-Sicherheitsgruppen' jegliche AD-User hinzufügen oder löschen kann?
  4. Das will ich ja gerade wissen: wie ihr das macht. Damit kann ich mich ja orientieren und schauen was es so alles gibt. Wir waren uns vor einiger Zeit aber alle hier einig daß es so, wie wir das nun machen, niemand machen sollte. Damit meine ich das Firmen-Organigram abbilden auf dem Fileserver. Das kommt ja dann in etwa hin wie ich mir das vorgestellt hatte. Ich hätte eben nur statt einem Odernder "Department" gleich die paar 'Departements' (sind bei uns 5 Teams) unter Root nebeneinander aber den Rest dann doch noch einmal Gruppiert mit 'Projekt' und dann die einzelnen Projekte darunter (die sprechende Namen haben). Also in etwa so: - Team 1 - Gruppe 1-1 - Gruppe 1-2 - Gruppe 1-3 - Team 2 - Gruppe 2-1 - Gruppe 2-2 - Gruppe 2-3 - Team 3 - Gruppe 3-1 usw. - Projekte - Projekt 1 - Projekt 2 usw. - Ungesichert Ok, DAS wollte ich jetzt sehen. So ähnlich ist es mir schon durch den Kopf geschwirrt nur das ich eine AD-Sicherheitsgruppe habe die alles darf (wie eim EP beschrieben) und eine die nur lesen darf. Dann hätte jede Projekt-Gruppe 2 AD-Sicherheitsgruppen. Eine normale und eine 'nur lesen'-Gruppe. ABER: dann kann ich das zwar managen wer im dem Projekt alles darf und wer nur lesen darf indem ich die entsprechende Mitgliedschaft vergebe. Das Problem mit meiner 'Ausnahme' das jemand erst im Unterordner lesen darf, kann ich so auch nicht 'mit System' lösen sondern muss manuell auf dem Projektordner 'nur Ordner auflisten' vergeben und dann auf den Unterordner 'lesen' vergeben. Mit diesem Ansatz kann ich 'nur' (was ja trotzdem ein Fortschritt wäre) auf gleicher Ordnerebene bestimmen ob wer nur lesen oder auch schreiben und ändern kann. Das mit dem Verantwortlichen der Gruppe und vor allem des selber Pflegens verstehe ich nicht ganz. Oder vielleicht verstehe ich es und kann es nur nicht glauben: hat da dann der Verantwortliche Nicht-ITler die Active Direcotory Tools (RSAT) installiert und kann Benutzer und Gruppen managen? Nee, das muss ich komplett falsch verstanden haben... Wir haben hier hochqualifizierte Leute die wirklich gut in ihrem Job sind, aber den Knopf am Monitor zum PC-Ausmachen drücken... denen gebe ich sicherlich kein Management-Tool der IT in die Hand... Also, wie meinst du daß das die das Pflegen? Zu den ABEs auf den Shares: würden wir dann auch haben. Das bedeutet aber lediglich das die Ordner ausgeblendet werden auf die man keine Berechtigung hat, richtig? Oder war das auch noch für was anderes? Das kommt mir sooo bekannt vor. Ich glaube das dies eine allgemeine Vorgehensweise weltweit ist
  5. Hallo Leute, wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16. Ich soll ein Konzept erarbeiten und dann sehen wir weiter. Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist. Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde). Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte. Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist). In Projekten bzw. deren Projektordnern sowieso. Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum). So, soweit so gut. Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt: Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen. Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr. Wie macht ihr daß das es überschaubar und verwaltbar bleibt? Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können. Wie macht ihr das? Wie löst man das am Besten? IST-Zustand: Root - Team 1 - Teamleiter 1 - Koordinator 1 Team 1 - Gruppenleiter 1 Team 1 - Gruppe 1 Team 1 - Gruppenleiter 2 Team 1 - Gruppe 2 Team 1 - Koordinator 2 Team 1 - Gruppenleiter 3 Team 1 - Gruppe 3 Team 1 - Team 2 - Teamleiter 2 - Koordinator 1 Team 2 - Gruppenleiter 1 Team 2 - Gruppe 1 Team 2 - Team 3 - Teamleiter 3 - Koordinator 1 Team 3 - Gruppenleiter 1 Team 3 - Gruppe 1 Team 3 - Koordinator 2 Team 3 - Gruppenleiter 2 Team 3 - Gruppe 2 Team 3 usw.. Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind. Davon wollen wir, auf die Empfehlung diverser User von mcseboard.de und eines anderen Borads, wegkommen. Angedacht ist folgendes: - root - Team 1 - Teamleiter 1 - Koordinator 1 Team 1 - Koordinator 2 Team 1 - Gruppenleiter 1 Team 1 - Gruppenleiter 2 Team 1 - Gruppenleiter 3 Team 1 - Gruppe 1 Team 1 - Gruppe 2 Team 1 - Gruppe 3 Team 1 - Team 2 - Teamleiter 2 - Koordinator 1 Team 2 - Gruppenleiter 1 Team 2 - Gruppe 1 Team 2 - Team 3 - Teamleiter 3 - Koordinator 1 Team 3 - Koordinator 2 Team 3 - Gruppenleiter 1 Team 3 - Gruppenleiter 2 Team 3 - Gruppe 1 Team 3 - Gruppe 2 Team 3 - Projekte - Projekt 1 - Projekt 2 - Projekt 3 Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen). So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus mcseboard.de und einem anderen Board verstanden hatte. Wenn ich auf dem Holzweg bin dann bitte einschreiten... Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar). Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben. ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen? Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung? Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar... Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das? Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann. Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!
  6. @daabm Ok, werde ich im Hinterkopf behalten. Jetzt versuche ich es dann doch mal selber. Bei der Hauptfirma habe ich es ja auch geschafft und dort ist auch ein von mir eingeführter Ubuntu-DNS-Server und da hattei ch ja noch weniger Erfahrung. Ich setze demote morgen den neuen DC, vorher übertragei ch die Rollen zurück an den SBS. Dann transferiere ich nochmals die DNS-Zonen an den neuen DNS-Server. Dann richte ich einen neuen DC ein ein und promte mal... wenn es dann nicht klappt... dann weiß ich auch nciht..
  7. server5 -> alter SBS-Server srv-g-dc0 -> neuer DC W2K16 Events sind vom neuen DC da der SBS ja momentan offline ist und ich hier zu Hause darauf warte das jemand den morgen bei der tochterfirma einschaltet. Kennst du da jemanden? Was ist so der Stundensatz? Das schlage ich morgen früh meinem Vorgesetzten so vor.
  8. Hier die Fehlermeldungen des DCs (Wenn ich im Server-Manager "AD DS" offen habe unt dann unter "Ereigsnisse": Warnung ID 2092 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. FSMO-Rolle: DC=Firma,DC=local Benutzeraktion: 1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. Die folgenden Vorgänge werden eventuell beeinträchtigt: Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird. Fehler ID 1126 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. Zusätzliche Daten Fehlerwert: 1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Interne ID: 3201395 Benutzeraktion Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden. Warnung ID 13508 Quelle: NtFrs: Der Dateireplikationsdienst kann die Replikation von SERVER5 nach SRV-G-DC0 für c:\windows\sysvol\domain mit DNS-Namen server5.Firma.local nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name server5.Firma.local von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf server5.Firma.local nicht ausgeführt. [3] Die Topologieinformationen in den Active Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde. Warnung ID 1308 Quelle Microsoft-Windows-ActiveDirectory_DomainService: Die Konsistenzüberprüfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind. Versuche: 10 Verzeichnisdienst: CN=NTDS Settings,CN=SERVER5,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=Firma,DC=local Zeitraum (Minuten): 382 Das Verbindungsobjekt für diesen Verzeichnisdienst wird ignoriert, und eine neue temporäre Verbindung wird hergestellt, damit die Replikation fortgesetzt werden kann. Die temporäre Verbindung wird entfernt, sobald die Replikation mit diesem Verzeichnisdienst wieder aufgenommen wird. Zusätzliche Daten Fehlerwert: 1722 Der RPC-Server ist nicht verfügbar. Dann noch ein paar AD Webdienste-Fehler und der DFSR Fehler Fehler 1202 Quelle DFSR: Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. Weitere Informationen: Fehler: 160 (Ein oder mehrere Argumente sind ungültig.) usw.. Der hat sich doch nicht korrekt Repliziert vom SBS wenn ich das so sehe? Ich übertrage morgen, sobald der SBS wieder eingeschaltet wurde, die FSMO-Rollen zurück und werde den neuen DC demoten und neu aufsetzen und dann nochmals promoten.
  9. Wahrscheinlich hast du Recht. Problem bei der ganzen Sache ist: der SBS-Server verabschiedet sich regelmäßig auch als FSMO-Rolleninhaber.. nur nicht so häufig wie ich feststellen muss..
  10. Oh shit. Dann ist das ein weiterer Grund warum der down ist! Daß bedeutet: Ich muss schnell demoten (zuvor prüfen ob FSMO Rollen noch dort sind woe sie hingehören). Der SBS muss ja kein DC und somit kein FSMO-Rolleninhaber, richtig? Fileserver ist noch nicht übertragen und der muss noch kurz dort verweilen... Sobald der SBS morgen (hoffentlich) eingeschaltet ist, sollte ich ihn demoten... ABER: ich habe RIESENSCHISS weil der Neue DC eben nicht alleine funktioniert..... :((( Ich werde morgen noch einen weiteren DC W2K16 promoten und mal sehen ob der dann alles richtig macht... Wenn ja: dann sofort SBS demoten. Wenn nein: Heillige sc***e...
  11. Nobbyausbb Wie Recht du hast! Aber ich hatte eben die Probleme auch ohne diesen Linux-DNS und da dachtei ch ich wechsle zum Ubuntu-DNS welcher bene nicht in den DC integriert ist (so bei uns in der Firma und funktioniert problemlos -> hat aber gedauert bis alels eingestellt war). Das war aber wohl zu voreilig.. und jetzt habe ich die Probleme... ABER: ich schaue mir gerade das DNS-Protokoll auf der Linuxkiste durch und denke das ich vielleicht ein Schritt weitergekommen bin! Ich habe vergessen dem neuen DC die Berechtigung zu geben da reinzuschreiben. ABER: es murr eigentlich nichts mehr reinschreiben denn die Zoneneinträge wurden noch durch den Windows-DNS transferiert wo er bereits DC war und sogar Rolleninhaber aller FSMOs... aber schaune wir mal was jetzt passiert..... Er startet gerade durch. Das dauert aber schon ewig (wie schon die ganze Zeit) und das ist kein gutes Zeichen... Aber Schritt für Schritt. Dann schauen wir weiter ;) DHCP IST noch der alte DC und der is offline... ABER: diese Firma wurde von einem externen 'Administrator' verwaltet und der hat überall fixe IPs vergeben... ist b***d für mich jetzt das ich überall hin muss um DHCP einzustellen aber für jetzt gerade im Moment ist es ein Vorteil da die Clients ja noch funktionieren.... IP v6 ist zwar im DNS aktiviert, aber das nutzt hier niemand... Wie meinst du der holt sich die FSMO-Rollen zurück? Wer hat ihm das erlaubt? Warum macht er das?
  12. Bei allen 5 Rollen: NeuerServer.Domain.local Was lustig ist: funktioniert nur wenn auch der alte Server online ist... ansonsten kommt die Meldung: "Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden." Also nochmals: DNSLint /ad IP-NeuerServer /s IP-mittlerweile-einziger-DNS-Ubuntu -> alles grün. Domänendienste funktnioeren. Dieser DNS ist SOA usw. FSMO-Rollen sind auf NeuerServer Domäne und diese nedom query fsmo - Abfrage funktiniert aber nur wenn der alte SBS-Server online ist (der eben auch noch DC und auch noch integrietes DNS ist was niemand nutzt ausser er selber)
  13. Der FSMO-Owner ist der neue DC (habe die Rollen gleich nach dem Hinzufügen des neuen Servers gemacht). dnslint.exe /ad IP-neuerDC /s IP-UbuntuDNS -> waren noch Kleinigkeiten im Argen aber nach ein wenig 'aufräumen' in den Ubuntu-DNS-Zonen-Listen war dann alels komplett im grünen Bereich! Und trotzdem funktioniert AD Verwaltung auf dem neuen DC ohne daß der alte gestartet ist nicht? DNS ist in Ordnung...
  14. Stimmt! Habei ch heute morgen im Eifer des Gefechtes total vergessen! Das ist doch klar Mensch Maier! Danke für den Hinweis den ich vergessen hatte! Meinst du den Artikel von Sunny61? Habe ich angefangen und dort steht eindeutig die Verwaltung über GPO. Ich habe kein Zugriff auf die AD und auch nicht auf die GPO-Verwaltung. Geschweige denn das die GPOs dann auch laufen würden. Ausserdem ist die Domänen-Funktionsebene und die Gesamtstruktur 2003. Ob es da diese GPO-Einstellungen überhaupt gibt.. Wie dem auch sei: ich werde dies per GPO umsetzen sobald ich den SBS2003 losbekommen habe (DC-technisch) und alles funktioniert. Bleibt mir ja nichts anderes übrig erstmal... oder?
  15. Hallo Leute, ich habe da mal wieder ein Problem: ich habe die Aufgabe übertragen bekommen bei unserer (kleinen) Tochterfirma den SBS2003 abzuschaffen und auf neure Maschinen zu migrieren. Ich habe ein vCenterm it 2 VMWare-Hosts aufgebaut und dort einen MS W2K16 Server installiert. Danach habe ich die Migration gemacht wie ich sie bereits vor 2 Monaten bei unserer Hauptfirma gemacht habe (dort allerdings nicht von einem SBS sondern 'normalen' uralten W2K3-Server). Jetzt habe ich das Problem das ich auf AD (Benutzerverwaltung, Standorte und Dienste usw..) NICHT zugreifen kann wenn der SBS down ist (was er leider sehr häufig ist und der Grund warum wir migrieren). Bei der Migration habe ich selbstverständlich auch den DNS-Server mit migriert und der neue Server hat in der Netzwerkeinstellung sich selber und den alten DC eingetragen. Um sicher zu gehen habe ich ein Ubuntu-DNS-Server ins Netz aufgenommen, alle Zonen dort angebunden (Er ist ein SLAVE) und den neue DC statt auf den alten SBS eben an diesen DNS-technisch angebunden. Nichts hat geholfen. Beim Versuch mich an die "Active Directory-Benutzer und -Computer" zu verbinden bekomme ich folgendes: "Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist." Bei den anderen Verwaltungstools relativ gleiche Meldungen. Einmal hatte ich eine andere Fehlermeldung die besagt daß er den globalen Katalog nicht finden kann (globaler Katalog solltedoch der neue DC aber auch sein oder nicht? Bei meiner letzten Migration von W2K3 nach W2K16 war das zumindest so.). So, was kann ich tun um sicherzustellen das der DC auch ohne den SBS normal läuft (ich dachte das ist ja auch der Sinn von mehreren DCs.....)? Vorher traue ich mich ja gar nicht den SBS zu demoten.
×
×
  • Create New...