Azreth

Hallo zusammen, wir stoßen derzeit auf ein unschönes Thema, bei welchem wir evtl. Unterstützung bzw. Hints bräuchten. Wir wollen eine Pilotumgebung in Form einer Windows Server 2012 Subdomain innerhalb eines Forests (2003). Das Schema ist Forest-Wide bereits auf 2012 geupdated worden. Die jetzige Umgebung sieht so aus, dass wir eine Root-Domain haben und 12 Subdomains. Forest Functional Level ist 2003. Die Root-Domain liegt in Deutschland, die Subdomain, die erstellt werden soll in der Schweiz. Wenn wir jetzt die installierten 2012 DCs promoten wollen, stellt der prerequisite Check erst mal keine Fehler dar und gibt grünes Licht. Dann beginnt der DC, die Subdomain zu erstellen und schreibt sich in die Site, erstellt die NTDS und SYSVOL Ordner etc. Kurze Zeit später gelangt dieser zu dem Task "Replicating the Schema Partition" und das Eventlog beginnt Fehler zu schmeißen "no connection to XY (root DC) possible". Dann bleibt als einzige Option, das Ganze abzubrechen. Jetzt denkt man natürlich sofort daran, dass es an der IP Config bzw. Firewalling/Routing liegt. Das war auch unsere erste Vermutung. WIr waren dann in Gesprächen mit den Netzwerkern und Security Spezialisten, welche uns alle versichert haben, dass sämtliche Ports innerhalb der AD offen sind und es da keine Beschränkungen gibt. Wir haben daraufhin einen Windows Server 2008 R2 installiert und dort den Aufbau der Subdomain versucht, was problemlos geklappt hat. Das promoten der 2012 DCs in diese (nun Functional Level 2008) Subdomain hat ebenfalls problemlos geklappt. Jetzt stellt sich uns die Frage: Warum hat das nicht direkt mit den 2012er geklappt, wenn doch augenscheinlich alles geklappt hat? Hat schon jemand ähnliche Erfahrungen gemacht? Weiß von euch jemand, woran das liegen könnte? Wenn wir nun den 2008 R2 DC demoten und das Funktionslevel anheben, sind wir irgendwo skeptisch, dass dann die Replizierung sauber läuft. Die Ports, die für die Schema Partition Replikation verantwortlich sind auf dem Windows Server 2012, waren alle so in dem Bereich von 47xxx - 49xxx. Für Antworten aller Art bedanke ich mich im Vorfeld schon recht herzlich! Liebe Grüße!

Hallo, ich habe mal eine recht banale Frage: wie finde ich unter 2K3R2 die Kerberos Version heraus? Dr. Google ist dabei nicht sehr hilfreich. Danke im Voraus und Gruß :-)

Ein dickes Danke auch von mir! Sehr gut geschriebene, verständliche und plausible Artikel. Top! ;) Eine Frage hätte ich zu der Aussage: "Heutzutage definiert man FSMO Rollen nicht mehr und jeder DC ist auch ein GC." Worauf bezieht sich das "heutzutage"? Ist das auch anwendbar auf 2K3R2?

Hallo liebes Forum, wir planen derzeit eine Back-out Lösung für ein Schema Update von 2003R2 auf 2008R2. Die sieht derzeit vor, dass wir in der Rootdomain, sowie in allen Subdomains (insgesamt 13 Domains) jeweils 1-x Server als Back-out herunterfahren. Da die Rollen natürlich gesplittet auf den DCs liegen, wollten wir schauen, dass diese möglichst auf einen Server, der dann upgedatet wird, übertragen werden. Teilweise sind es halt nur 2 DCs in einer Domäne. Es handelt sich insgesamt um ca. 40 DCs, die fast alle auch gleichzeitig GC sind, mit Ausnahme der Infrastructure Master. Nun ist es ja nicht sinnvoll, den Infrastructure Master auf einen DC zu kopieren, der GC ist, sofern nicht ALLE DCs in den Domains auch GC sind. Jetzt meine Frage: Wäre es eher sinnvoll, temporär JEDEN DC zum GC zu macehn oder eher diejenigen DCs, die upgedatet werden sollen (quasi die Online DCs) den GC wegzunehmen? Das würde dann halt bedeuten, dass zum Zeitpunkt des Updates in einigen Domains kein GC vorhanden ist. Danke schon mal im Voraus und lieben Gruß!

Hallo zusammen, dies hier ist mein erster Beitrag und ich muss gestehen, es sind meine Anfänge mit der Powershell. Gegeben ist eine sehr große und umfangreiche Domäne mit mehreren tausenden Servern, etlichen Standorten, Forests etc. In dieser befindet sich eine OU namens "Trash", in welche die Server, die nicht mehr benötigt werden, verschoben werden (Sie werden nicht aus der Domäne gelöscht). Zu jedem dieser Server gibt es Admin-Gruppen. Die Server wurden ordnungsmäßig verschoben - da gibt es rund 300 Einträge. Die Gruppen jedoch nicht. Namentlich wurde das jedoch vernünftig gepflegt. Wenn ein Server "Donald" hieße, so gäbe es eine Gruppe, die "Donald-Administrators" hieße. Ich könnte jetzt natürlich die 300 Einträge händisch "bereinigen", was aber nicht in meinem Sinne ist, da eine gewisse Automatisierung immer vernünftig ist. Und ich will ja auch was dabei lernen. Vor allem, damit ich das beim nächsten mal schneller bewältige. Pseudocode-technisch würde ich jetzt folgendermaßen vorgehen bzw. Scripttechnisch sowas bauen: Foreach Object (CN) declare temporary $variable Search Domain Objects (CN) for $variable* Move Objects into OU Trash (aktuelles Datum) Wäre das so möglich? Wie geht man an sowas als Anfänger heran bzw. bringt sich sowas bei? Wie finde ich am schnellsten die nötigen CMDlets heraus? Ich muss gestehen, dass ich an der Umsetzung des Pseudocodes ein wenig in der Luft hänge. :/ An sich klingt das ja "relativ" banal. Vielen Dank im Voraus und ein schönes Wochenende wünsche ich!