JSchmitt

Danke für deine Antwort Norbert! Deinen Link werde ich mir nochmal genauer ansehen...! Das Problem an der Sache ist, dass es sich zwar um eine "Testdomäne" handelt, diese jedoch täglich von Programmierern des Kunden genutzt wird :). Der Exchange muss "erneuert" werden um aktuelle Programmierung bzw. Plug-Ins im Zusammenhang mit neuen Outlook/Office/Sharepoint Versionen testen zu können. Die Funktion der eigentlichen "Testdomäne" darf also durch die vollständige Deinstallation -> Neuinstallation nicht beeinträchtigt werden. Vielleicht hat ja jemand anders in der Sache schon mal Erfahrungen gesammelt und gemacht? Viele Grüße!

Guten Tag zusammen! Ich möchte in einer Testdomäne den Exchange Server 2003 SP2 ablösen. Geplant ist, hier einen komplett neuen Exchange 2013 Server zu installieren. Die vorhandenen Daten vom Exchange-Server (Mailboxen/Öffentliche Ordner) werden soweit nicht gebraucht. Kann ich nun ohne weiteres den Exchange-Server 2003 über das Setup komplett entfernen und nach erfolgreicher Deinstallation einen komplett neuen Exchange 2013 in der Domäne installieren ohne das es hier Probleme geben wird? Ich erhoffe mir damit die 2-Wege Migration (Migration 2003->2010, Migration 2010->2013) und den damit verbundenen Zeitaufwand zu umgehen...da die Benutzerpostfächer und die enthaltenen Mails nicht mehr gebraucht werden, kam mir diese Idee. Wenn das jedoch so nicht sauber klappt, streiche ich die Idee ganz schnell wieder aus meinem Kopf ;)! Hat das jemand von euch so schon mal durchgeführt, oder Erfahrungen damit gemacht? Viele Grüße!

Sooo..., nach meinem Urlaub habe ich das "Thema" nun angepackt. Nun kurz ein Feedback zum Abschluss des Threads...: Nach dem Löschen der sekundären DNS-Zonen der "Trust" und der Einrichtung der "Forwarder" bzw. der "Bedingten Weiterleitung" hat das ganze wieder sauber funktioniert. Ich danke euch beiden für die Hilfe. :thumb1: Beste Grüße!

Hallo daabm, besten Dank schonmal für deine Hilfe und deine Antwort! Ich hatte nun gedacht das sowas durch Zonenübertragungen realisiert wird...ist das vielleicht auch eine Alternative wie sowas eingerichtet werden kann oder is das grundsätzlich nur durch die "Forwarder" zu konfigurieren? Hast du einen Tipp (oder Link/HowTo) für mich wo/bzw. wie ich die Forwarder korrekt einrichte, bzw. auch kontrollieren kann ob diese eingerichtet waren (es hat ja mal korrekt funktioniert!) und warum diese nun nicht mehr funktionieren? Meinst du die Forwarder die ich ganz normal im DNS-Manager unter "Weiterleitungen" eintragen kann? :rolleyes: Grüße!

Mahlzeit zusammen ;) ! Ich habe eine Frage bzw. ein Problem in / zu einer Vertrauenstellung bei einem Kunden. Hier scheint es in der Vertrauenstellung zwischen 2 Domänen beim Kunden intern Probleme zu geben. Ich probiere kurz zu erläutern wie die Infrastruktur aufgebaut ist. Es gibt nun eine "Produktiv"-Domäne mit 2 Standorten...in dieser Domäne läuft auch eigentlich alles soweit richitg. An jedem Standort gibt es 2 DCs für diese "Produktiv"-Domäne. An Standort 2, sitzt das Entwicklerteam. Das Entwicklerteam hat für Testzwecke eine "Entwicklungs"-Domäne die schon einige Zeit vor "mir" als Vertrauensstellung eingerichtet wurde. Für die "Entwicklungsdomäne" gibt es an Standort 2 jeweils auch 2 DCs. Nun zum eigentlichen Problem: Die Entwickler haben ein Tool geschrieben, was alle verfügbaren Domänen, inkl. der AD-Benutzer und deren Daten auslesen kann. Dieses Tool konnte nun z.B. die Benutzerdaten/Objekteigendschaften die in der "Produktiv"-Domäne angelegt waren, auslesen und in ein z.B. CRM-System in der "Entwicklungs"-Domäne" weitergeben. Das Tool wurde nun nach einigen Monaten wieder getestet und funktioniert nicht mehr. In der Zwischenzeit haben an Standort 2 in der "Produktiv" wie auch in der "Entwicklungs"-Domäne einige DC-Veränderungen stattgefunden. In der "Produktiv" wie auch der "Entwicklungs"-Domäne" wurden neue DCs hinzugefügt. Ich habe nun folgendes an den DCs (in "Produktiv" und "Entwicklungs"-Domäne" an Standort2) im DNS-Manager festgestellt: In der Forward-Lookupzone ist die jeweils "andere" Zone der Vertrauenstellung nicht oder nur fehlerhaft vorhanden. Wenn die Zone bzw. der Ordner für Vertrauensdomänenzone angelegt ist, bekomme ich beim öffnen im DNS-Manager folgende Meldung: "Zone wurde vom DNS-Server nicht geladen Der DNS-Server hat einen Fehler beim Laden der Zone festgestellt. Bei der Übertraguzng von Zonendaten vom Masterserver ist ein Fehler aufgetreten." Weitere oder nähere Meldungen lassen sich auch nicht aus der Windows-Ereignissanzeige entnehmen. Ich vermute das die Replizierung der DNS-Zonen nicht richtig funktioniert und daher auch das AD-Tool zum auslesen der Objekte nicht mehr funktioniert. Das Tool und auch die "Entwicklungs"-Domäne wird nur an Standort 2 genutzt, Standort 1 brauch nichts von der "Entwicklungs"-Domäne wissen... Da ich nun vermute das dass ganze ein DNS-Zonen Problem ist, wie wäre die Zonenübertragung optimal (neu) einzurichten das die Anfragen aus beiden Domänen wieder funktionieren? Habt Ihr hierfür Tips für mich? Besten Dank für eure Hilfe!

Moin zusammen! Ich hab das ganze gestern bereits getestet...es liegt definitiv am Windows-Update "KB2883201"! Eine Deinstallation über die Kommandozeile löst das Problem... Das KB ist komischerweise nicht unter "Installierte Updates" aufgeführt sodass die Deinstallation über die Kommandozeile gemacht werden muss.

Danke Norbert! Habe zusätzlich einen anderen Artikel im deutschen TechNet gefunden der gleiches berichtet. http://social.technet.microsoft.com/Forums/de-DE/7a4e1da7-3a5a-4a33-b51e-6c49961676cf/windows-8-81-domain-kennwort-ndern-the-security-database-on-the-server-does-not-have-a?forum=active_directoryde Ist also wohl ein Bug bei Microsoft...dann bin ich mal gespannt wann dieser durch ein weiteres Update behoben wird. Reportet wurde der Fehler wohl schon Mitte November... Gut, dann warten wir mal ab ;)

Habe das ganze mit einer sauberen Workstation getestet. 8.1 heute morgen neu installiert! Da ist nun nix weiter an 3rd Party Software drauf, außer ein paar Dienstprogramme von Lenovo...und auch die ganzen Dienste habe ich nach der Anleitung aus deinem MS-Link alle deaktiviert und einen sauberen Neustart durchgeführt. Auch jetzt kommt die Meldung beim Versuch das Kennwort zu ändern.. :suspect: .

Hey Sunny, danke für deine Rückmeldung. Nein, die Clients wurden nicht geklont. Komplett neue Hardware, und eine komplette neue Installation!

Moin Moin zusammen! Ich habe folgendes Phänomen bei einem Kunden: Bei einigen Mitarbeitern läuft das AD-Kennwort regelmäßig ab...so ist es konfiguriert und so soll es auch sein. Probiert der Benutzer nun das Passwort zu ändern, an einer Workstation an der Windows 7 oder / Vista/ XP installiert ist, gibt es überhaupt keine Probleme. Anders ist es jedoch mit PCs wo Windows 8 oder Windows 8.1 installiert ist...hier gibt es zu 90% immer folgende Fehlermeldung sobald man das Formular zu Änderung absenden bzw. bestätigen möchte: "„Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung.“ (Bild im Anhang!) Das Problem existiert NUR bei neueren Clients...also Windows 8 und Windows 8.1. Das entfernen des Rechners aus der Domäne und die erneute Aufnahme ändert nichts am Verhalten...das habe ich bereits getestet. Als "Workaround" wird im Moment ein "alter" Windows 7 PC verwendet oder aber das Kennwort wird über den Outlook Web Access geändert...klappt wie gesagt beides ohne Probleme. Kennt jemand von euch das Problem, oder schonmal davon gehört? :confused: :rolleyes:

Moin Moin! :D Danke euch beiden für eure Antworten! Zur Info: Exchange läuft dort in der Version 2010, sollte also keine Probleme machen ;). Wieso kann ich "nur" zwischen den Stufen "Windows Server 2008" und "Windows Server 2008R2" wählen wenn ich in der MMC auf "Domänenfunktionsebene heraufstufen..." gehe? Müsste ich hier nicht auch die "Windows Server 2012 & 2012R2" zur Auswahl haben? - edit : Habs selbst raus gefunden...hängt natürlich davon ab, mit welcher Server Version bzw. mit welchem Server ich verbunden bin und die MMC starte... :rolleyes: Das eigentliche heraufstufen ist ja dann kein großer Akt, wenn ich das richtig verstanden habe?! Dazu dann einfach in der MMC einmal die Domänenfunktionsebene auswählen, und das bestätigen...für die Gesamtstrukturfunktionsebene funktioniert das genauso und dann ist man fertig? Sind die neuen Features dann direkt verfügbar, oder müssen die nachinstalliert werden?

Nabend zusammen! Ich habe eine Frage zur Domänenfunktion- und zur Gesamtstrukturebene bei einem Kunden. Hier sehe ich im Reiter "Allgemein" in der MMC "Active Directory Domänen und Vertrauensstellungen" Konsole das die Domänenfunktionsebene "Windows Server 2003" und die Gesamtstrukturfunktionsebene auch bei "Windows Server 2003" steht. In der Domäne gibt es 2 Standorte (je Standort 2 DCs)...an jedem der Standorte gibt es keinen DC der älter ist als Windows Server 2008R2. Jetzt wunder ich mich, ob das denn so richtig ist das die Domänenfunktionsebene und Gesamtstrukturfunktionsebene trotzdem noch auf Windows-Server 2003 steht? Hätten sich beim hinzufügen eines DCs mit Windows-Server 2008R2 oder 2012 R2 nicht die beiden Ebenen ändern müssen? Oder ist das bisher alles richtig so wie es steht? Kann bzw. sollte ich die beiden Ebenen ändern (Windows Server 2008/Windows Server 2008R2) oder führt das irgendwie zu Problemen? Ich habe definitiv keinen aktiven DC mit Windows-Server 2003 in der Domäne laufen. Vielen Dank für eure Tipps! Viele Grüße und einen angenehmen Feierabend. ;)

Ok, vielen Dank für die Informationen. Ich werde dann den DC-B (Windows Server 2008 R2) noch diese Woche "sauber" via dcpromo demoten und dann aus der Domäne sauber entfernen. Wenn alles so klappt wie Ihr das sagt, sollte der DC-A sich ja dann automatisch neue Replikationspartner von Standort2 (DC-C oder DC-D) suchen und eintragen. Falls das nicht klappt habe ich ein Problem... ;) :shock:

Mahlzeit! Danke für eure Tipps bis dato ;) Ich habe mal kurz das Szenario des Kunden in einem Dokument zusammengefasst (Bild im Anhang). Geplant ist nun, das der DC-B am Standort1 entfernt wird. Im neuen Jahr soll dann ein völlig neuer DC (als Backup) an Standort1 hinzugefügt werden. Wenn ich mir nun die aktuellen Einstellungen ansehe (Bild), sehe ich das an Standort1 der DC-A im Moment nur VON DC-B Replikate erhält. Der DC-B (welcher ja wegfällt) ist aber der DC, welcher die Änderungen von Standort2 empfängt. (Repliziert von: DC-D) und diese an DC-A weitergibt. Das heisst doch für mich, das wenn der DC-B wegfällt an dem Stanort1, ich keine Änderungen mehr von Standort2 (DC-C/DC-D) erhalte oder? Oder merkt das AD das DC-B weg fällt und fügt dann selbständig einen DC von Standort2 als Replikationspartner hinzu? :rolleyes:

Nabend zusammen! Ich habe da mal eine Frage zu der Replikation zwischen den DCs an unterschiedlichen Standorten. Kurze Erklärung zur Infrastruktur: Es gibt eine Domäne und 2 Standorte. An jedem Standort gibt es 2 DCs. Jeder der DCs ist auch Träger des Globalen Katalogs. Unter AD-Standorte und Dienste ist über "Inter-Site Transports" unter "IP" die Replikation zwischen den DCs der 2 Standorte auf 15 Minuten konfiguriert. Nun zur eigentlichen Frage: Unter Standort1/Standort2, sehe ich unter "Server" meine vorhandenen 2 DCs. In den "NTDS Settings" im Reiter "Verbindungen" sehe ich nun, welcher DC mit welchem DC kommuniziert ("Repliziert von:" / "Repliziert nach:"). Gibt es hier eine optimale, vielleicht sogar eine zwingende Konfiguration welcher DC mit welchem DC in Verbindung steht, bzw. stehen muss, wer also mit welchem repliziert? Müssen an Standort1, beide DCs mit den DCs an Standort2 repliziert werden, oder reicht es wenn nur 1 DC an Standort1 mit einem von DC2 repliziert dafür die DCs an Standort1 sich aber untereinander replizieren :confused: :rolleyes: ?! Ich hoffe ihr versteht meine komplizierte Frage...wenn nicht probiere ich es nochmal genauer zu erklären. ;) Gruß und einen angenehmen Feierabend!

Moin zusammen! Kurzes Feedback: Das "seizen" hat ohne Probleme mit NTDSUTIL geklappt. Nachdem es dann wieder einen "aktiven" DC mit den Rollen gab, konnte der AD-Assistent von Windows Server 2012 R2 ausgeführt /- und neue DCs der Domäne hinzugefügt werden. Exchange macht auch bisher keine Probleme. OT: Im Prinzip habt ihr in Sachen "Testumgebung" schon recht, nur is das glaube ich grade in kleineren Firmen und Umgebungen längst nicht überall realisierbar! Vorgeschlagen wurde es schon des Öfteren, doch das Budget wurde dafür nie freigegeben. ;)

Danke für deine Antwort Sunny! Dann hoffe ich mal, das es zu keinen Problemen nach dem "seize" der Rollen kommt. Eine Testumgebung steht mir auf Kundenseite und im eigenen Hause in der Form leider nicht zur Verfügung...aber ich nehme an, das der Assistent durchläuft wenn er dann den "neuen" Betriebsmaster erreichen kann und hier die notwendigen Information (AdPrep, etc) die der Assistent probiert durchzuführen, bekommt. Das DNS auf dem Exchange ist so konfiguriert, das hier als primärer DNS der DC drin steht der die FSMO-Rollen bekommt. Das sollte ja dann so passen... ;)

Mahlzeit! Vielen Dank für eure Antworten bis dato... Den Begriff "PDC" habe ich versehentlich genutzt...eigentlich wollte ich damit aussagen das er der Betriebsmaster/ bzw. Träger aller 5 FSMO Rollen ist/war. Die Links von "Nils" habe ich mir angesehen, leider werden dort nicht konkret die Fragen behandelt die ich mir gestellt habe... :rolleyes: Sind nach verschieben der FSMO Rollen auf einen anderen DC, Probleme mit Exchange bekannt, oder kann ich das bedenkenlos machen und Exchange arbeitet ohne Probleme weiter? Ok und wie ich das verstehe, kann ich das verschieben auch problemlos während der Arbeitszeit machen da es da zu keinen Problemen führt... Wenn das "seizen" geklappt hat, es wieder einen "aktiven" Betriebsmaster gibt, sollte der Assistent zum Hinzufügen neuer DCs ja auch wieder funktionieren oder? Dann wird nämlich fix ein neuer 2ter DC der Domäne hinzugefügt... Gut, dann werde ich das wohl morgen mal beim Kunden durchführen und hoffen das alles klappt ;)

Nabend Boardgemeinde! Ich stehe vor dem Schritt, den Betriebsmaster in einer Kundendomäne ändern zu müssen. Ich schildere mal kurz die Vorgeschichte... Der bisherige PDC(Windows Server 2003) ist nach einem Ausfall nicht wieder herstellbar...nun ist mir bei dem Versuch, einen neuen DC (Windows Server 2012 R2) der Domäne hinzuzufügen aufgefallen, das der Wizard immer beim Versuch (AdPrep - " Details:Test.VerifyForestUpgradeStatus")fehlschlägt. Daraufhin habe ich mich auf die Suche gemacht und habe festgestellt das der ausgefallende DC Inhaber aller 5 FSMO Rollen war. Damit ich nun bei dem Kunden, der Domäne neue (Backup-DCs) DCs hinzufügen kann und es wieder einen aktiven DC gibt der auch Betriebsmaster ist, möchte ich via NTDSUTIL die Rollen auf einen derzeit noch vorhandenen DC (Windows Server 2008) "seizen". Kann ich das "seizen" eigentlich während der Arbeitszeit machen, oder kann es hier/wird es hier zu Problemen kommen? Da ich mir nun nicht sicher bin...gibt es eventuell nachdem ich die Rollen geseized habe mit dem Exchange 2010 Server (separater Server) Probleme oder muss ich mir da keine Gedanken machen? Ich meine nämlich dass ich mal davon gelesen habe, das Exchange Probleme bekommt wenn der Träger der Schema-Rolle geändert wird... Vielleicht habt Ihr ja noch Tipps oder einen Rat für mich, bevor ich beim Kunden aktiv werde :rolleyes: . Besten Dank! Gruß ;)

Hallo zusammen, :) ich habe folgendes Problem: :mad: Ich melde mich auf einem Terminalserver (welcher wiederum auch als DC arbeitet) als Domänenuser an. Nun möchte ich mich mit Outlook 2007 mit unserem Exchange Server 2007 verbinden (Exchange läuft auf einem anderen separatem Server). Beim ersten Start von Outlook werden die automatischen Kontoeinstellungen des Users erkannt. Danach folgt dann der erste Fehler. Eine erneute Authentifizierung des Users wird gefordert. (Bild1). Testweise habe ich die selbe Prozedur auch als "Administrator" durchlaufen...Ohne Erfolg :cry: ! Da mir die Authentifizierung nicht genehmigt wird / nicht zustande kommt, wähle ich "Abbrechen". Eine 2te Meldung erscheint (Bild2). Ich habe die Vermutung, dass der Exchange Server keine Verbindungen von anderen Servern (hier also mein Terminalserver) akzeptiert. "Normale" - Workstations können sich nämlich ohne Probleme aus Outlook am Exchange anmelden. Der Fehler tritt also nur auf wenn ich mit dem Terminalserver und Outlook arbeiten möchte. Vielleicht kann mir ja jemand von euch helfen und das Problem ist bereits bekannt :confused:?! Wenn Unklarheiten in Hardware/Verbindung der einzelnen Komponenten herrschen..., immer her mit den Fragen. Ich danke schonmal fürs fleißige lesen :). Mit freundlichem Gruß, J. Schmitt