türkischlan

Hallo zusammen, hier mal ein link als kurz info: http://www.mcseboard.de/windows-forum-allgemein-28/fehlermeldung-dc1-zwei-dcs-156485.html Ich habe nun auf einem DC via ASR ein restore gemacht. Achtung der Server ist nicht mit dem Netzwerk verbunden und soll es auch ned. Nach dem alles wiederhergestellt ist kann ich, kann ich was ja bekannt ist keine weiteren Objekte anlegen. Da der Server seinen Replikationspartner (also den zweiten DC) kontaktieren möchte. Da ich nun mit ntdsutil die metadaten reinigen möchte, habe ich schon das erste Problem. 1) also starte den server normal 2) loge mich als Administrator in der Domain an 3) starte ntdsutil 4) metadata cleanup 5) connections 6) set creds dcname domainname\Administrator Passwort eingabe 7) connect to server dcname wenn ich dann hier auf enter drücke bekomme ich folgende Fehler Meldung: DSBindWithCredsW error 0x5(Access denied) Wie kann das sein?? Ich bin doch als Domain Administrator eingeloggt! Muss ich einem evtl. Objekt noch die rechte geben via ADSIEdit?? den Befehl regsrv32 schmmgmt.dll habe ich auch gemacht und komme in das ADS Schema rein. Hoffe ihr könnt mir hier weiter helfen LG TL

Hallo zusammen, da ich immer noch bei dieser Sache dran bin würde es mich freuen wenn der oder die jenige hier noch etwas mit auf den Weg geben könnte. Wenn ich ein ASR von einem zweiten DC mache und diesen dann auf einen Baugleichen Hardware Server restore der völlig vom Netzwerk getrennt ist, so sehe ich meine ADS und deren Objekte. Jedoch kann ich keine weiteren Ressourcen eintragen. Erst wenn ich den restorten DC mal an das Netz hänge und ihn neustarte klappt alles.(Da er mit dem Rplikationspartner kommuniziert) Es gibt ja zwei Arten mit denen ich die AD restoren kann. Nach dem ASR restore gehe ich in den Verzeichnisdienst und könnte bei einem Hardwareausfall des einen DC´s einfach einen nicht autorisierten restore machen. Hier würde sich der neue DC einfach mit den aktuellen DC´s replizieren. Was wenn ich die AD auf einem sagen wir mal so BackupDC restoren möchte, wenn mir mal die AD DB um die Ohren fliegt!. Klar könnte ich auf den Servern eine Verzeichnis Wiederherstellung vom Typ autorisierte Wiederherstellung machen und die AD DB restoren und das wars oder??. Würde mich mal auf ein Paar Interessante Antworten freuen. LG TL

:shock::shock: UPS Stimmt da war mal was... Ja danke für die Info, leider sehe ich das da sich nicht viel geändert hat. Naja ich hoff das ich es wieder auffrischen kann das alte Thema. Evtl. hatte mal der ein oder andere das Problem mal... Danke dennoch für die Info. LG TL

Hallo und erst mal sehr nett für die Tipps. Einen Drucker Treiber haben wir auf unserem DC nicht installiert. Das mit dem Poolmon werde ich wohl machen müssen um näher Informationen zu bekommen. Ich mache gerade ein ASR Backup vom ersten DC für alle Fälle. Ach so gerade wegen dem ASR wollte ich wissen wer das schon mal hatte oder kennt. Wenn ich mein ASR Restore vom ersten DC und diesen dann starte ohne ihn im Produktiv Netzwerk anzuschließen, so ist die ADS im offline Modus und ich kann keine neuen Objekte anlegen. Aber wenn ich mein DC in das Netzwerk anschließen so Repliziert er dann mit dem zweiten DC und alles ist OK. Ich mein was wenn mir beide DC´s abschmieren... @ Mods Sorry aber das ich dazu kein Thema erstelle, aber evtl. kann da jemand helfen. Danke und Gruß

Hallo zusammen, ich hatte heute Mittag im Unternehmen ein Problem. Wir haben ein Netzwerk mit zwei DC die jeweils mit Windows Server Enterprise 2003 laufen inkl. SP2. Folgendes trat auf, so gegen 15:15 Uhr konnte ich über die mmc das Active Directory User Computer nicht öffnen. Es kam eine Fehlermeldung in der besagt das dieser Computer kein DC ist und DC mit min. Server 2000 SP3 laufen muss. Als ich das ließ war ich etwas geschockt. Als ich mich auf dann auf dem zweiten DC anmeldete hatte und die ADS startete liess sich diese öffnen. Auch war auf dem DC1 im Event log unter Application mehrere Fehlermeldungen enthalten in der GPO´s nicht anwendbar ist und etc.. Ich habe den Server neu gestartet und ab da war wieder alles OK. Frage: Wer kennte das Problem oder hatte es mal gehabt? Ich wäre dankbar wenn ihr mit wichtige Infos geben könnt. Info von mir: Folgende Fehlermeldungen sind im Event log unter System enthalten (min. 15 ~ 20 Stück) auf dem DC wo der Fehler war: Event Type: Error Event Source: Srv Event Category: None Event ID: 2019 Date: 17.09.2009 Time: 15:37:07 User: N/A Computer: DC01 Description: The server was unable to allocate from the system nonpaged pool because the pool was empty. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 00 00 04 00 01 00 54 00 ......T. 0008: 00 00 00 00 e3 07 00 c0 ....ã..À 0010: 00 00 00 00 9a 00 00 c0 ....?..À 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ 0028: 0a 00 00 00 .... sagt euch diese Meldung etwas?? Im EventID.com habe ich leider nichts passendes gefunden. Ich hoffe ihr habt was. Danke und Gruß. TL

Hallo Helmut, danke für deinen Post. Nun die Konstellation die ich im Einsatz habe Funktioniert ohne Probleme. Nochmals zum ablauf: - habe eine Computer konfigurierte gpo in eine ou verknüpft - in der gpo ist ein VBScript enthalten was ich erstellt habe. Dieses Script erstellt bei der Anmeldung des Laptops einen Ordner unter C:\Dokumente und Einstellungen\ mit dem namen des Users in der AD (z.B userabc). Danach kopiert er den Profilinhalt vom Server auf das lokale Verzeichnis C:\Dokumente und Einstellungen\userabc. Das Profil was sich auf dem Server befindet beinhaltet auch die Datei ntuser.MAN - Dem User in der AD gebe ich unter Profileinstellungen den Pfad zum lokalen Profil (D.h C:\Dokumente und Einstellungen\userabc) - Nun meldet sich das Laptop in der Domäne an und die gpo wird abgearbeitet - melde ich mich als userabc an habe ich mein festgelegtes profil und kann diese zwar ändern, aber nach dem nächsten neustart bekommt man das Ursprungs Profil wieder. - Fahre ich den Laptop runter und stecke das Netzwerkkabel aus und Boote, so kann ich mich weiter mit dem User userabc mit auswahl Domäne anmelden und habe das gleiche Profil. Bei einer Änderung wird das Profil wieder zum Ursprung gebracht. gruß TL

Danke für die Information und deren Link. bye TL

Hallo blub, da wurde wohl von meiner Seite aus falsch beschreiben oder missverstanden. Ich wollte nur fragen ob es generell jemand macht mit FSMO verteilen oder Clustern unabhängig wie viel DC oder ActiveDirectory Domänen hat. Aber nicht wenn man mehrere GPO´s hat. Ich mein mit ein paar GPO´s FSMO verteilen oder mehrere DC´s aufsetzen wehre zu viel des guten.:rolleyes: Also von daher gab es da wohl ein Missverständnis.:wink2: gruß TL

@ spaceguy: früher oder später wird es auf server 2008 einlenken. Bin noch in der Testmigration. gruß TL

Wissen tue ich es schon, nur hätte ja sein können wie es der ein oder andere Admin so lässt oder es anderst macht. War nur eine neugierige frage... Hallo Norbert, deine Antwort nehme ich nicht persönlich. Was die Tragweite der AD im generellen und auch Aktuell angeht kann ich gut abschätzen. Ich dachte es könnte ja weitere Möglichkeiten geben die AD Performanter oder ausfallsicherer zu gestalten (z.B einen dritten DC). Aber sei es drum man kann auch ein ASR oder Image Backup nutzen. Gruß

na dann ist es ok.:) Aber es kommt demnächst ein dritter Server hinzu den ich als dritten DC eingliedern möchte. Was meinst du sollte mann da die Verteilung machen oder weiter so belassen. Ja klar, aber wenn es so gewünscht wird von mir aus. Administrationsaufwand sollte auch kein Problem sein. Habe fertige Vorlagen und Templates die ich dann verteilen werde. Ok was dazu kommt wehren die User oder Gruppen, diese lasse ich über einen VBScript erstellen und gut ist. Aber so werde ich mehr Spaß an der Sache haben...;) Gruß TL

-> nun was die größe anbelangt ist diese nicht so emens. Es gibt ca. 200 Clients XP und 8 Server Win3k. Zwei DC´s und der rest sind Member. Ressourcen/Objekte in der AD könnten so ca. ~ 310 Objekte (Gruppe/User/OU´s) -> naja evtl. Aufteilung der Abteilungen und bereiche in der die Passwort/Kennwortrichtlinien sowie gewünschte Subdomains in einer Gesamtstruktur. Gruß

Ich empfehle bei diesem Thema, sich diesen Artikel mal durchzulesen, auch wenn er schon bekannt ist. Leistungsoptimierung für Gruppenrichtlinien -> Danke für den Link, werde es mal anschauen gruß

Hallo zusammen, Das verraten wir dir, wenn du uns sagst, warum man sie verteilen sollte (in deiner Umgebung). -> naja ich meinte ja um die arbeit nicht einem dc zu überlassen. Mann könnte ja den RID und Infrasructure Master auf den zweiten DC übertragen und den PDC auf dem ersten DC lassen. Wie viele Domänen hast du denn? -> noch habe ich eine Domain...:wink2: aber das wird sich noch ändern:) grüßle TL

@türkischlan, DCs clustern wir nicht , Die Lastverteilung erledigt das DNS ->Hallo, ich meinte die FSMO Rollen, bleiben die bei euch auf einem Server oder verteilt ihr die auf die dc´s? Gruß TL PS: DNS, ist diese auch mit AD Integriert auf allen DC oder auf allen DNS Servern in der Domäne??

ok mein respeket!!,:eek: wie ist bei euch die anzahl der dc??? ich gehe mal davon aus das die ganzen gpo´s auf gesammtstrukturen, subdomains, etc verteilt sind. habt ihr die lasten verteilung ebenfalls im einsatz oder gar im cluster (bei der mänge....);) hey wer weis, bestimmt komme ich auch noch an die 2000:D:D

hallo, nun wenn man so wissen würde was all die gpo´s machen, ist es schon mehr oder weniger komplex zumindest bei mir. wenn ich sehe was alles so bereits gemacht wird und wurde.... um einfach mal das gefühl zu geben was bereits mit gpo´s so gemacht habe: -kopieren und erstellen von userverzeichnisen auf den lokalen clients. -das computeranmelde hintergrund vie registry eintrag ändern. - anlegen von zweit admin accounts auf allen clients. - kopieren und automatische konfiguration des bginfo auf allen clients. - firewall konfigurationen - sms2003 konfigs - isa firewallclient - verteilung von softwarepacketen neben dem SMS 2003 - useroberflächen sowie umgebungen standardisieren. - ldap konfig. - power management - rdp sessions und portfreigaben von unterschiedlichen netzen - zertifikate - ipsec aushandlungen zwischen server und clients - etc Da die GPO anzahl doch steigt und diese auch in den nächsten Monaten, bin ich in der Überlegung die Last zu verteilen. D.h ich werde einen dritten dc implementieren und ihn ebenfalls zum globalen katalog server machen. habe so eben den zweiten dc zum gc gemacht. wins, dns sind bereits verteilt. wenn der dritte auch dazu kommt werde ich auch die 5 fsmo masterrollen auf alle drei verteilen. erzählt was weiter was habt ihr so an umgebungen etc. gruß tl

hi, das ist ja auch nicht falsch. da hast du recht. aber anhand des scriptes was ich erstellt habe, wird auch ein ordner mit dem usernamen unter c:\dokumente und einstellungen erstellt. und in dem ist dann auch das profil abgelegt. angenommen ich melde mich nicht mit angeschlossenem netzwerkkabel mit einem domain user an, so kann das auch nicht gehen. dann kommt auch die meldung domäne xy ist nicht verfügbar. aber wenn ich mich das erste mal anmelde, so wird bei servergespeicherten profilen ein obligatorisches profil angelegt (auf der lokalen machiene). somit kannst du dich auch anmelden wenn du mal nicht im büro bist. gruß

Hallo zusammen, ich habe in meinem Netzwerk zwei DC wobei nur der PDC als GlobalKatalog agiert. Ich kann dich den SDC auch zum GlobalKatalog machen.... Und ich würde gerne mal wissen wie viele GPO´s ihr in eurem Netzwerk habt. Ich habe 60 gpo´s und zwei DC´s und wie gesagt ist der PDC als GlobalKatalog eingerichtet. Gibt es irgendwo eine max. GPO ab Arbeitungsgrenze eines Clients bzgl. der GPO. Gruß TL PS: Sagt ihr mal wie ihr es macht mit vielen GPO´s handelt...

Hallo zusammen @ Wurstsalat: Danke für dein Tipp aber es lag an der Konfiguration vom SMS. Ich hatte unter Roaming Boundaries einen IP-Adressrange eingetragen und diese als Remote hinterlegt. Nach dem ich diese in ActiveDirectory Site und als local abgeändert habe, konnte ich meine Advertise Programs über den SMS verteilen und ggf. voll Automatisch oder je nach User Bestätigung installieren. beste Grüße TL

Hallo, ich habe die Vorstellung realisieren können. Ich versuche diese hier zu erläutern. @ Hauch: -> Wie auch? Er kann ja unmöglich das Servergespeicherte Profil laden. Mein Vorgehen: Das ist richtig, aber ich kann unter Eigenschaften vom AD User im Profilpfad außer einem UNC Pfad auch einen lokalen Pfad angeben. Daher habe ich C:\Dokumente und Einstellungen\user.schulung angegeben. @ Hauch: -> Servergespeicherte Profile sind für den Einsatz innerhalb einer Domäne gedacht, nicht für den Einsatz auf autargen Notebooks. Gehe hin und erstelle einen lokalen Benutzer. Mein Vorgehen: Nun ich habe auf einem Client mich mit einem user (kein lokaler User) angemeldet und das gewünschte Profil erstellt. Nach dem erstellen habe ich als Admin das Profil vom User auf den Server kopiert. Der Inhalt des Profiles liegt in einer versteckten Freigabe auf dem Server. Habe die ntuser.dat in ntuser.man umbenannt. Im Anschluss habe ich eine GPO erstellt in der ich ein VBScript erstellt habe, was den Inhalt vom Profil (liegt auf dem Server) auf das lokale Verzeichnis unter C:\Dokumente und Einstellungen\user.schulung kopiert. Natürlich wird in diesem Script ein Ordner "user.schulung" unter C:\Dokumente und Einstellungen\ erstellt. Nun wenn sich der Computer in der Domäne anmeldet, greift die GPO für Computer zu und kopiert die paar KB großen Profil Inhalte. Danach melde ich mich das erste mal mit dem User user.schulung an und bekomme das erstellte Profil. Ändere ich was am Profil oder erstelle einen Ordner auf dem Deskop, so wird diese nach der Abmeldung nicht übernommen. (ntuser.dat in ntuser.man). Wenn ich mich ohne Netzwerkanschluss (Vor Ort beim Kunden) anmelde habe ich auch das gewünschte Profil. Wird an diesem Profil auch etwas geändert und erstellt (z.B) Ordner etc. werden diese bei der Abmeldung ebenfalls nicht übernommen (ntuser.dat in ntuser.man). Somit mit passt diese auf die Bedürfnisse und Vorstellungen. @ Hauch: -> der Punkt ist das eintragen des Profilpfades unter dem AD User. Dort habe ich C:\Dokumente und Einstellungen... eingetragen und nicht den UNC Pfad. (Das Profil wird ja bei jeder Anmeldung aktualisiert). beste Grüße TL

Hallo zusammen, ich habe folgendes Szenario: Möchte für die Schulungslaptops Servergespeicherte Profile einsetzen. Ich habe einen User in der ADS mit dem Namen Schulung. Unter Eigenschaften setze ich den Profilpfad zum Server \\Server\Freigabe\%username%. Erstelle mit einem zweiten User (User Profil) ein Profil auf einem Client und kopiere diese auf die o.g Freigabe. Zum Abschluss benenne ich auf dem Server die Datei ntuser.dat auf ntuser.man. Nun wenn ich mich mit einem Laptop in der Domäne anmelde bekommen diese auch das Profil. Wenn ich was ändere und wieder neustarte bekomme ich wieder das Ursprungs Profil. Somit klappt diese auch 100%. Sooo wenn die Laptops mal beim Kunden vor Ort sind (vor Ort Schulung) und die User sich mit dem Domainkonto anmelden, kommt berechtigterweise das, dass Profil nicht laden kann, da nicht verfügbar…. Wenn ich nun aktuell was ändere und neu starte, so bekomme ich nicht das Ursprungs Profil sonders das was ich manuell geändert habe. Ich habe mal lokal unter C:\ Dokumente Einstellungen\schulung\ nachgeschaut und auch gesehen das die ntsuser.man existiert. Hat jemand eine Idee warum oder wieso das so ist. Geht das denn Überhaupt oder geht das nicht. Danke.

Hallo, nun ich habe die Pakete (.msi), die ich z.B mit dem AdminStudio erstellt habe auf einer Freigabe liegen auf denen jeder Vollzugriff hat. Die msi Pakte habe ich mit dem o.g Tool erstellt. Habe auch beim erstellen des Paketes im SMS (unter den Pfad angegeben in der auch die *.msi liegt. Von den Clients aus komme ich auf die Freigabe ohne jegliche Probleme drauf. Danke für die Unterstützung

Hallo, gibts hier keinen der mir weiter Helfen kann.... Gruß TL

Hallo zusammen, ich hoffe das sich einer findet der ein tipp oder gar eine Lösung zu meinem Problem hat. Nun kurz zur Umgebung. Ich habe eine kleine Testumgebung auf denen zwei DC Win 2003 mit einer ADS bestehen mit DNS, DHCP, WINS etc… Darüber hinaus habe ich eine ISA 2006 im Einsatz und einen SMS 2003 Server als Member in der Domain. So nun zum Problem. Ich habe vor das SMS 2003 in der Produktivumgebung einzusetzen und habe es auch bis dato Installiert (auf der o.g Umgebung) mit SQL 2005. Habe im Anschluss das ActiveDirectory Schema erweitert (für den SMS2003) Ergebnis OK. Auch habe ich dem Host auf dem das SMS läuft das recht auf der AD Struktur „System“ mit dem Recht Ändern Zugriff erteilt. Nach diesen Konfigs habe ich einen AD User mit Domain Admin rechten erstellt um den SMS Clienten zu Installieren. Die Installation der Clients über das SMS (Konsole) mit rechtsklick auf das entsprechende Client Objekt (über Collections) und dem Punkt Install Client funktioniert ohne Probleme. Nach einer gewissen Zeit stehen auch die Clients im SMS in der Site. Nach langem Text komme ich nun zu meinem Problem, wenn ich versuche eine Application zu verteilen klappt diese leider nicht. Angenommen ich möchte FireFox verteilen auf den Clients, so lege ich auf dem SMS eine Freigabe die SMSApps heißt und gehe im SMS auf SiteDatabase  Packages  rechtklick neu Package. Unter dem jeweiligen Package gehe ich auf Programs und lege die unter Command lines die .exe an. Wenn ich nun die Software Distributire so erscheinen mir auf den Clients Meldungen (unten rechts an der Taskleiste) „neue Software verfügbar“. Klicke ich auf die Meldung so erscheint mein Softwarefenster mit der zur Verfügung stehenden Application. Klicke ich auf die Application kommt folgende Meldung  „Cannot Run Program“ This program cannot be run because the program files cannot be found. Fore more information bla bla gehe zum Admin… Hoffe euch nicht mit viel Test zugemüllt zu haben, aber würde mich freuen wenn ihr hier weitern helfen könnt. PS: So wie es aussieht findet er die exe nicht??. Geht das überhaupt das wenn ich eine eigene Freigabe mache und einfach die exe ablege??. Oder müssen die exe files irgendwo Speziell abgelegt werden?? Ich danke denen die sich die Zeit genommen haben das alles durchzulesen und Hilfestellung geben können. Danke und Gruß TL