Jump to content

Search the Community

Showing results for tags 'Active Directory'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Windows Server Forum & IT Pro Forum
    • Windows Forum — Clients
    • Windows Forum — Server & Backoffice
    • Windows Forum — LAN & WAN
    • Windows Forum — Scripting
    • Windows Forum — Security
    • Tipps & Links
  • MCSE Forum & Cisco Forum
    • Microsoft Zertifizierungen
    • Cisco Forum — Allgemein
    • Testsoftware & Bücher
    • Off Topic

Blogs

  • MCSEboard.de Blog

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Meine Homepage

Found 4,050 results

  1. Guten Morgen, ich habe hier eine Umgebung mit einem physikalischen Domain-Controller, einem virtualisierten Domain-Controller sowie einem Exchange Server 2010. Alle Systeme basieren auf Server 2008 R2. Der Austausch des Exchange Server 2010 steht zum Herbst diesen Jahres an. Im Vorfeld wollen wir die beiden Domain-Controller austauschen, die im Netzwerk neben Ihren AD-Funktionalitäten für uns eine sehr zentrale Rolle spielen (Zeit, usw). Daher würde ich gerne IP-Adressen beibehalten. Der virtualisierte Domain-Controller hält auch die FSMO-Rollen vor. Die Kernfrage ist, ob ich nach folgendem Ablaufplan die Systeme austauschen kann. - neuen physikalischen Domain-Controller aufnehmen und Replikation abwarten - die IP-Adresse des vorherigen Domain-Controller ändern und DNS-Replikation abwarten - dem neuen phys. Domain-Controller die IP-Adresse des alten geben und die DNS-Replikation abwarten - den vorherigen physikalischen Domain-Controller aus der Domäne entfernen Für den virtualisierten Domain-Controller würde ich die selben Schritte wie oben durchführen, jedoch vor der Änderung der IP-Adresse des vorhandenen Domain-Controllers die FSMO-Rollen verschieben. Ist dies ein gangbarer Weg?
  2. Hallo Leute, wir haben ein tolles Problem. Ich versuche aktuell unsere AD mit Azure über das Azure AD Connect-Programm zu synchronisieren. Das Programm läuft auch soweit, jedoch kann die "Synchronization Server.msi" nicht installiert werden. Das Programm beendet seinen Vorgang mit dem Code 1603. Nach langem Rumprobieren habe ich herausgefunden, dass es an einem Berechtigungsproblem liegen muss. Ich bin als (Domänen)Admin auf dem Domänencontroller (Win Server 2016) angemeldet. Dieser Admin hat auf alles Rechte. Ich habe folgendes probiert: - Programm als ADsync gestartet (Benutzer) - Die MSI als einzelnes Setup per Admin ausgeführt -> nicht genug Rechte (http://prntscr.com/pwfbjv) - Die MSI als einzelnes Setup per AdminPS ausgeführt -> genug Rechte um es zu starten, findet im Setup dann selber nicht die DB (anderes Problem denke ich) - In den Komponentendienste -> Arbeitsplatz -> COM-Sicherheit den Admin ansich eingetragen und zum Spaß "Jeder", was auch nicht half - Programm per AdminPowerShell gestartet error_log_azure.txt
  3. Hallo, Habe manchmal Probleme mit unseren GPO's. Hier im Standort habe Ich 2 Root DC'S und 2 child DC's in China haben wir 1 child DC. die drei DC's sind im selben AD wir haben CH und DE mit zwei OU's getrennt. Die Verbindung nach China ist an vielen Tagen bescheiden. Replikation funktioniert. Manchmal sehr träge. Das Problem liegt jetzt an den Maschinen in DE. Ab und an versuchen die Clients die Richtlinien über China zu ziehen, da mein nslookup alle drei nacheinander bringt. Dann läuft der ins Timeout und bekommt verschiedene Fehlermeldungen. Nach einem Neustart läuft alles wieder. Unter Standorte und Dienste wurden die DC's der Subnetze schon zugeordnet. Kann mir jmd verraten wo ich eventuell noch was anpassen kann? Ich möchte eigentlich nur dass DE Clients nur mit dem DE DC's kommunizieren. Danke.
  4. Liebe Leute, vor paar Monate habe ich die Kennwortrichtlinien Komplexitätsvoraussetzungen GPO geändert bzw. aktiviert. Domain ist 2003 und der Server ist 2008 St. Seitdem bekommt der User keine Warung mehr, dass sein Kennwort in 14 Tagen abläuft. Wo kann ich dies festlegen?? Ich danke für die Hilfe im Voraus. Gruß Nizo
  5. Hallo an alle, habe mal eine Frage bezüglich Powershell und CSV. ICh habe ein Script geschrieben das mir in der AD mehrere Benutzerkonten anlegt, das funktioniert auch wunderbar, nur was ich nicht schaffe ist das gleichzeitig auch die OUs angelegt werden. Meine CSV hat folgenden Aufbau. Vorname Nachname Login Passwort Stadt Das Ziel ist es das beim Anlegen die OUs für die Stadt angelegt werden und darin die Benutzer abgelegt werden. Kann mir dabei jemand behilflich sein ??? Würde mich üner jede Hilfe sehr freuen.
  6. Hallo, ich stehe hier vor einem kleinen Problem. Ich bin gerade dabei eine Migration von einem SBS2008 Server auf Windows Server 2019 durchzuführen. Der neue Server ist bereits primärer DC und Exchange 2007 habe ich auch schon auf einen temporären Exchange 2013 erfolgreich migriert. Um jetzt Exchange 2019 installieren zu können muss ich die Domänenfunktionsebene anheben. Meines Wissens nach kann ich das nur machen wenn der SBS2008 kein DC mehr ist. Um "dcpromo" ausführen zu können muss ich die Active Directory Zertifikatsdienste deinstallieren. Und hier hänge ich jetzt fest. Über den Server Manager habe ich bei "Rolle entfernen" die AD Zertifikatsdienste deselektiert und die Deinstallation gestartet. Seit über einer Stunde steht der Deinstallations- Status an der gleichen Stelle mit der Meldung "Entfernvorgang wird initialisiert..." daneben dreht sich noch die Sanduhr. Hattet Ihr schon einmal das selbe Problem und wisst eine Lösung oder dauert der Vorgang wirklich so lange? Liebe Grüße firebb
  7. Moin zusammen! Ich habe ein fieses Problem auf einem 2019-DC. Dieser ist auf Grund der Größe leider nicht Stand-Alone, sondern gleichzeitig auch Fileserver. Kurz zur Situation: - als wir irgendwann für den Kunden etwas ändern sollten, ist aufgefallen, dass der Domänen-Admin keinerlei Rechte mehr auf dem DC hat. Es funktioniert bsp. in der CMD noch nicht einmal ein "whoami" oder "ipconfig". Ein neu angelegter Domänen-Admin unterliegt auf dem DC den gleichen Problemen. Das Eventlog unter Sicherheit gibt leider nichts her Auf dem parallel laufenden Exchange-Server ist alles wunderbar. Dort sind bisher keine Probleme dieser Art aufgetreten. Hat jemand von Euch schon einmal so etwas gesehen und eventuelle einen Hinweis wo man suchen könnte? Oder gar eine Lösung Grüße, Rüdiger
  8. Hallo Community, ich habe vergangene Woche auf einigen Clients ein Upgrade von Office 2013 auf Office 2019 durchgeführt. Nun tritt beim Outlook Start folgendes Problem auf: Beim Outlook Start bleibt der Ladebildschirm für ca. 4 Minuten mit "Profil wird geladen." stehen. Zum Vergleich hat dies bei Outlook 2013 ca. 5-10 Sek. gedauert, je nach Größe des Postfaches. Auch die Aktualisierung bzw. die Ladedauer der Profilbilder in Skype for Business ist sehr verzögert. Bereits ausprobiert: - Hardwarebeschleunigung deaktiviert. - Neuinstallation auf Win10 1903 - Exchange Account hat keinerlei Delegationsrechte auf andere Accounts. - Windows - Anmeldeinformationsverwaltung (Tresor) komplett gelöscht. - Userprofil mit Delprof gelöscht und neu erstellen lassen. - Outlook.exe /safe (Abgesicherter Modus) - verschiedene Add-Ins deaktiviert Exchange 2013 Outlook 2019 / Office 2019 Windows 10 V1903 Skype for Business Kennt jemand das Problem? Gibt's noch Einstellungen die auf die Performance Auswirkungen haben im Bezug auf Offfice 2019? Vielen Dank! Florian
  9. Wir haben auf einer separaten Freigabe ein Startup Script (nicht im SYSVOL). Damit das Script funktioniert haben wir bei Computer> Administrative Templates>Network>Lanman Workstation>Enable insecure guest logons aktiviert. Gibt es keinen anderen (sichern) Weg? Irgendwie dieser Freigabe oder xxx.cmd vertrauen? Vielen Dank.
  10. Hallo zusammen, ich setze aktuell eine neue Domäne inkl. Gruppenrichtlinien Netzwerkfreigaben etc. mit Windows Server 2019 ein. Ich habe die Gruppenrichtlinie "Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows Komponente -> Datei-Explorer -> Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen" aktiviert. Der Zugriff auf Laufwerk C: und alle damit verbundenen Unterverzeichnisse (wie die User Bibliotheken) ist damit unterbunden. Sowohl der einfache Zugriff auf die Verzeichnisse als auch das Speichern in den jeweiligen Ordnern. Der Zugriff ist unterbunden, speichern kann man hier grundsätzlich nicht, was so auch gewünscht ist. Um unseren Usern aber die Möglichkeit zu geben irgendwo Daten abzulegen habe ich auf unserem Fileserver eine Freigabe erstellt und diese einem Benutzer per GPO gemapped. Dem Ordner in der Freigabe habe ich eine Sicherheitsgruppe hinzugefügt, mit Vollzugriff. Die gleiche Sicherheitsgruppe habe ich dem User gegeben. Leider kann ich aber nichts in dem Ordner innerhalb der Freigabe ablegen. Es kommt immer die Fehlermeldung es würden Rechte fehlen und ob ich alternativ unter "Dokumente" speichern möchte. Hier kann ich nun trotz oben genannter GPO abspeichern, komme aber wiederrum nicht an die gespeicherte Datei, da ja der Zugriff darauf unterbunden ist. Testweise habe ich dem Testuser auch mal expliziten Vollzugriff auf Festplatte und darin befindlichem Ordner erteilt. Ergebnis bleibt jedoch das gleiche. Ich finde es kurios, dass ich trotz entsprechender Berechtigung auf der Freigabe nicht speichern kann, aber jedoch unter Dokumente, was ich eigentlich mit oben stehender GPO unterbunden habe!? Hat jemand von euch eine Idee, was ich hier falsch mache? Lieben Dank schonmal! MFG
  11. Hi Leute und zwar hätte ich folgende Frage: Wie kann ich auf einem TerminalServer (2012 R2) einen Benutzer so einschränken dass er bestenfalls nichts mehr anders machen kann als eine sich am Desktop befindende exe auszuführen. (Die verbindet sich aber mit einem SQL Server) Ich hab jetzt in den Gruppenrichtlinien schon ein bisschen was gefunden aber noch nichts was den Nutzer wirklich komplett einschränken würde. Erreichen will ich das, da ein Gastarbeiter nichts am Profil ändern bzw nur eben mit einem Programm arbeiten soll. Der Benutzer ist in einem AD angelegt. Vielen Dank schon mal.
  12. Hallo zusammen, gibt es eine Möglichkeit meinen Clients eine Priorisierung von DCs mitzugeben? Wir betreiben zwei Domänen und wenn ein Client aus Domäne abc.com die Domäne 123.com abfragt antwortet ein beliebiger DC der 123.com Domäne. Dieses würde ich gerne steuern. Ich hoffe die Frage ist irgendwie verständlich.. Gruß DerDodger
  13. Hallo Forum, ich habe hier ein Problem bei dem ich nicht ganz weiter weiß. Ich habe vor einiger Zeit ein paar Sachen an den Kennwortrichtlinien geändert (Länge des Passwortes und Maximales Kennwortalter). Das ganze habe ich in der Default Domain Policy geändert. Jetzt habe ich aber das Problem, dass die Passwörter weiterhin nach 30 Tagen und nicht wie in der Policy eingestellt nach 120 Tagen ablaufen. Ich kann mir das ganze nicht wirklich erklären, da ich keine andere GPO habe die Kennwortrichtlinien definiert... Hat jemand eine Idee wo das Problem liegen könnte?
  14. Moin, also jetzt seit nicht so streng mit mir. Ich habe ein wenig sc***s einen 2ten DC wieder einzuschalten. Ihr fragt euch bestimmt jetzt wieso? Also dann hole ich mal etwas aus. Ein VMware Netzwerk mit 3 VM sollte nach Hyper-V konvertiert werden. 1. Exchange 2016 Server mit Disk2VHD konvertiert alten VMWare Server ausgeschaltet und neuen Hyper-V Server gestartet, alles läuft 2. RDP Server mit Disk2VHD konvertiert alten VMWare Server ausgeschaltet und neuen Hyper-V Server gestartet, alles läuft 3. Einen neuen 2ten DC auf dem Hyper-V eingerichtet und mit dem ersten DC repliziert, alles läuft 4. Alle Server ausgeschaltet und den 1ten DC mit Disk2VHD konvertiert alten VMWare Server ausgeschaltet und neuen Hyper-V Server gestartet, alles läuft (Ihr fragt euch jetzt warum hat er denn den alten DC noch konvertiert. Da soviele Daten und Freigaben darauf eingerichtet waren und ich das nicht zeitlich geschafft hätte Der Kunde will ja morgen wieder arbeiten und zwar auf dem neuen Hyper-V. Was auch jetzt funktioniert.) 5. Den Exchange und den RDP Server auf dem Hyper-V wieder gestartet, alles läuft und auch noch viel schneller auf dem neuen Hyper-V Jetzt geht mir etwas der Stift, da ich bevor ich mit der DC Konvertierung gestartet bin so viel über den USN Rollback gelesen habe. Kann ich ohne Probleme den 2ten DC den ich ja vorher frisch erstellt habe als der 1. DC noch auf dem VMWare Host lief. Aber eigentlich sollte das doch kein Problem sein. Der 1. DC ist eine Offline Kopie der VM vom VMware Host. Der 2. DC sollte sich jetzt mit dem 1. DC wieder replizieren oder? Wie schon gesagt seit nicht so streng mit mir. Das mit dem USN Rollback habe ich noch nicht so ganz verstanden. Ich weiss, wenn ich den alten 1. DC auf dem VMware Host wieder einschalten würde hätte ich den USN Rollback zu 100%, aber das wollen wir ja gar nicht. Ich habe den 2. DC jetzt erst einmal ausgelassen. Wer weis ob man ihn wieder einschalten darf ohne das ein USN Rollback stattfindet. Aber eigentlich war der 2. DC ja nur aus und vor der Konvertierung des 1. DC hat der ja gar nichts mitbekommen, da ich ihn ja vorher ausgeschaltet habe.
  15. Hallo, ich hätte da mal eine Frage: Wie geht ihr mit Accounts von Mitarbeitern um welche das Unternehmen verlassen? Wann löscht ihr Accounts, Mailboxen etc. Was macht ihr wenn Mitarbeiter gehen und die Accounts nicht gleich gelöscht werden (können, sollen, dürfen)? Ihr versteht schon: Ich suche Ideen für einen Exit-Prozess. Mich interessiert nur die technische Umsetzung. So Dinge wie "Wissenstransfer sicherstellen", "Partyservice bestellen" etc sollen jetzt mal außer acht gelassen werden.
  16. //abgetrennt: https://www.mcseboard.de/topic/206935-policydefinitions-ordner-wird-nicht-synchronisiert/ Hallöchen, ich habe leider das gleiche Problem: Vorhanden sind 2 x 2012R2 DC's mit CentralStore. In diesem liegen ca. 220 Dateien, auf den DC's sind aber jeweils nur ca. 180 im Windows\PolicyDefinitions Ordner. Der Besitzer der Dateien ist der vordefiniert Administrator. Lesen, Ausführen dürfen z.B. Authentifizierte Benutzer. Welches Recht sollte vorhanden sein? Oder hat jemand evtl. einen anderen Vorschlag. Vielen Dank
  17. Hallo zusammen, ich habe eine Windows-Domäne mit Windows Server 2012 R2 und einem DC (192.168.0.230) eingerichtet. Darauf läuft auch ein DNS-Server sowie ein DHCP-Server. Das Gateway der Netzwerkkarte des DCs zeigt auf eine Fritzbox (192.168.0.1), als DNS-Server habe ich 127.0.0.1 angegeben. Den Internetzugang im Netzwerk stellt die Fritzbox bereit. Dort habe ich den DHCP-Server deaktiviert. Der DHCP-Server des DC ist aktiv und hat eine eigene Range, innerhalb derer er Adressen vergibt. Als DNS-Server ist dort der DC eingetragen, als Router/Gateway die Fritzbox. Im DNS-Server ist als Forwarder die Fritzbox eingetragen. Wenn ich nun einen Client in der Domäne per ipconfig /renew dazu zwinge, sich eine neue IP zu holen, dann klappt das auch. Er bekommt eine IPv4-IP vom DC und übernimmt die am DHCP-Server konfigurierten Gateway- und DNS-Server-Einträge korrekt. Leider kann der Client aber nun nicht mehr auf das Internet zugreifen. Weder google.de, noch eine direkte IP (nicht mal die der Fritzbox im LAN!) funktionieren. RDP auf den DC funktioniert hingegen. tracert google.de scheitert schon am ersten HOP. Frage: Was kann das für Gründe haben? Zuerst dachte ich an ein DNS-Problem, da ja google.de scheinbar nicht aufgelöst wurde. Allerdings würde ich dann erwarten, dass zumindest IPs als Adresse gehen. Die Fritzbox kann aber ja auch nicht erreicht werden. Daher denke ich liegt es vllt. gar nicht an der (lt. einer Internetrecherche manchmal nicht ganz stressfreien) Zusammenstellung DC+Fritzbox, sondern eher daran, dass der DC neue Clients generell "nicht ins Internet lässt". Kann das sein? Wo kann ich noch ansetzen? Viele Grüße mf_3
  18. Hallo zusammen, ich migriere und konsolidiere gerade eine Windows-Umgebung. Derzeit bin auf der Suche nach einer Übersicht über die supporten Versionen der DC (2003 - 2016) und den DFL. Leider finde ich trotz intensiver Suche keine Übersicht. Die Frage ist konkret: Kann ich einen DC w2k16 in einer Umgebung installieren wo noch ein w2k3 DC läuft? Der 2003 fliegt bald, leider nicht sofort.
  19. Servus zusammen, ich habe eine Liste von AD-Sicherheitsgruppen, die nun auch Exchangeverteiler (Exchange 2010SP3 RU 28) werden sollen. Die Gruppen habe ich alle schon auf "Universal" umgestellt. Allerdings scheitere ich leider daran, die Gruppen über "Enable-Distributiongroup" so zu erstellen, das für den Wert "Identity" der Verteilergruppen z.B. der jeweilige SamAccountName des AD-Objekts pro Gruppe übernommen wird. Sprich am Ende möchte ich, dass jeder Exchangeverteiler als "Identity" den SamAccountName des AD-Objekts hat. Kann mir da jemand zufällig die korrekte Schleife nennen, wie ich das hinbekomme? Ist bestimmt kein Hexenwerk, ich weiß. Aber ich freue mich über jede Hilfe! (: Viele Grüße Novo
  20. Hallo liebe Kollegen, ich möchte einen neuen DC erstellen mit Server 2019, der aktuelle DC ist Server 2016. Der aktuelle DC 2016 ist der einzige DC in der Domäne. Jetzt möchte ich in dem Zuge auch die Struktur des AD sinnvoller gestalten, nach dem PWA Prinzip von Microsoft und eine Art "Tiering" System abbilden, damit man nicht in einem Zug durch unsere Server rutschen kann. Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice? Ich hoffe meine Problemstellung ist deutlich geworden. Für jede Empfehlung oder Tipp bin ich dankbar! MFG * Ich bin Software Entwickler in einer kleinen Firma, kein Netzwerktechniker oder Admin, habe aber gutes IT Allgemeinwissen *
  21. Hallo zusammen, ich habe letzte Woche die Anforderung bekommen "Alle User müssen ab sofort MFA nutzen", Microsoft will das ab 1. August 2019 für alle CSP verpflichtend (Und ja ich wurde 2. August erst darauf angesprochen). Nun habe ich natürlich nicht direkt die Baseline Policy "End User Protection" aktiviert, da intern noch ein paar Anwendungen mit Legacyprotokollen (IMAP, SMTP) arbeiten und diese dann nicht mehr funktionieren. Jetzt habe ich mir überlegt, ob es nicht möglich wäre die MFA gegen einen ADFS Server (oder ist doch ein Cluster besser?) zu schicken, um die Anmeldung der internen Anwendungen zukünftig per SAML zu realisieren. Zudem müssen auch Kunden auf die interne Anwendung zugreifen, das wäre doch dann über einen Azure B2B User und einem Application Proxy möglich, oder? Macht das Sinn was ich mir hier überlegt habe? Gerne weitere Fragen stellen falls was unklar ist. Ich bin um eine zweite (und auch dritte, vierte und fünfte) Meinung dankbar. LG theonlybrand
  22. Moin, ich habe hier 4 DCs. Bei einem DC ist nach Windows-Updates jetzt folgende Fehlermeldung (gekürzt) erschienen: NTDS (696) NTDSA: Bei Überprüfung der aus Datei "C:\Windows\NTDS\ntds.dit" bei Offset 25772032 (0x0000000001894000) (Datenbankseite 3145 (0xC49)) für 8192 (0x00002000) Bytes gelesenen Datenbankseite ist durch eine Inkonsistenz der Seitenprüfsumme ein Fehler aufgetreten. Während dieser DC mit den Windows-Updates beschäftigt war, liefen alle andern 3 DCs weiter. Sie waren in der Zwischenzeit nicht aus. Muss man die Datenbank reparieren? Oder wird nicht einfach vom intakten DC eine neue Datenbank erzeugt? Zum Reparieren habe das hier z.B. gefunden. http://blog.dikmenoglu.de/2006/09/die-active-directory-datenbank-reparieren/ Wie geht man denn in diesem Fall vor?
  23. Hallo Liebe MCSE-Community, ich versuche seit über einer Woche eine 2FA mittels Smartcard in meinem Netzwerk einzurichten und stoße immer wieder auf neue Hindernisse. Es liegt ziemlich sicher daran, dass etwas mit den DNS Einstellungen nicht passt. Aktuell komme ich selbst mit meinem Freund Google und anderen Foren nicht mehr weiter. Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt. Vorab die technischen Eckdaten (Server): OS: Windows Server 2012R2 (64 Bit) Modell: Server PER730 CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz RAM: 64GB Technische Eckdaten (Clienten): OS: Windows 7 Professional (64 Bit) Modell: Dell Precision 7720 CPU: Intel(R) Core(TM) i7-6920HQ @ 2,90Ghz RAM: 32GB Smartcards/Reader: 2x MD830 FIPS Lvl 2 Operator cards f. Vsec 1x CT40 Reader per USB (alle Laptops verfügen zusätzlich über eigene Reader) 5x MD830 FIPS Lvl 2 Smartcards Mein aktueller Stand ist, dass ich eine Karte mit einem Zertifikat beschreiben konnte, aber Windows die Anmeldung nach der PIN-Eingabe nicht zulässt. Fehler: "Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist." AD DS Übersicht mit Fehlermeldungen Warnung 4013: "Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde." Fehler: 1202: Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen. Verzeichnisinstanz: NTDS LDAP-Port der Verzeichnisinstanz: 389 SSL-Port der Verzeichnisinstanz: 636 Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. Weitere Informationen: Fehler: 160 (Ein oder mehrere Argumente sind ungültig.) AD CS zeigt Fehler 91: Fehler 91: Es konnte keine Verbindung mit Active Directory hergestellt werden. Der Vorgang wird wiederholt, sobald der Zugriff auf Active Directory während der Verarbeitung erneut erforderlich ist. Gerne liefere ich bei Bedarf noch mehr CMD-Ergebnisse oder andere Informationen. Windows PowerShell Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten. PS C:\Users\cseidl> dcdiag /all Ungültige Syntax: ungültige Option /all. Hilfe erhalten Sie mithilfe von "dcdiag.exe /h". PS C:\Users\cseidl> dcdiag /fix Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = ASPSERVER01 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Connectivity ......................... ASPSERVER01 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Advertising ......................... ASPSERVER01 hat den Test Advertising bestanden. Starting test: FrsEvent ......................... ASPSERVER01 hat den Test FrsEvent bestanden. Starting test: DFSREvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... Der Test DFSREvent für ASPSERVER01 ist fehlgeschlagen. Starting test: SysVolCheck ......................... ASPSERVER01 hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... ASPSERVER01 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... ASPSERVER01 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... ASPSERVER01 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... ASPSERVER01 hat den Test NCSecDesc bestanden. Starting test: NetLogons [ASPSERVER01] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs. Das für diesen Test verwendete Konto muss für die Domäne dieses Computers über Netwerkanmelderechte verfügen. ......................... Der Test NetLogons für ASPSERVER01 ist fehlgeschlagen. Starting test: ObjectsReplicated ......................... ASPSERVER01 hat den Test ObjectsReplicated bestanden. Starting test: Replications [Replikationsüberprüfung, ASPSERVER01] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105 "Der Replikationszugriff wurde verweigert." ......................... Der Test Replications für ASPSERVER01 ist fehlgeschlagen. Starting test: RidManager ......................... ASPSERVER01 hat den Test RidManager bestanden. Starting test: Services Der Dienst NTDS auf ASPSERVER01 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert" ......................... Der Test Services für ASPSERVER01 ist fehlgeschlagen. Starting test: SystemLog Warnung. Ereignis-ID: 0x000727AA Erstellungszeitpunkt: 08/01/2019 09:39:08 Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/ASPSERVER01.ASPSERVER01.ADDS; WSMAN/ASPSERVER01. Warnung. Ereignis-ID: 0x0000000C Erstellungszeitpunkt: 08/01/2019 09:39:08 Ereigniszeichenfolge: Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Compute r in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls wird dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie aus geführt. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden. Warnung. Ereignis-ID: 0x00002724 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewähr leisten. Fehler. Ereignis-ID: 0x00000423 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden. Fehler. Ereignis-ID: 0x00000423 Erstellungszeitpunkt: 08/01/2019 09:39:11 Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden. Warnung. Ereignis-ID: 0x00001696 Erstellungszeitpunkt: 08/01/2019 09:39:24 Ereigniszeichenfolge: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler: Warnung. Ereignis-ID: 0x00000937 Erstellungszeitpunkt: 08/01/2019 09:39:37 Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider: Physical Disk 0:1:6 Controller 0, Connector 0 Warnung. Ereignis-ID: 0x00000937 Erstellungszeitpunkt: 08/01/2019 09:39:37 Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider: Physical Disk 0:1:7 Controller 0, Connector 0 Warnung. Ereignis-ID: 0x0000091F Erstellungszeitpunkt: 08/01/2019 09:39:42 Ereigniszeichenfolge: Controller event log: PD 06(e0x20/s6) is not a certified drive: Controller 0 (PERC H730 Mini) Warnung. Ereignis-ID: 0x0000091F Erstellungszeitpunkt: 08/01/2019 09:39:42 Ereigniszeichenfolge: Controller event log: PD 07(e0x20/s7) is not a certified drive: Controller 0 (PERC H730 Mini) Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 08/01/2019 09:43:12 Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID 1810 (C:\Windows\system32\dcdiag.exe). Fehler. Ereignis-ID: 0x0000900A Erstellungszeitpunkt: 08/01/2019 09:53:41 Ereigniszeichenfolge: Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, v om Server unterstützt. Fehler bei der SSL-Verbindungsanforderung. Fehler. Ereignis-ID: 0x00009018 Erstellungszeitpunkt: 08/01/2019 09:53:41 Ereigniszeichenfolge: Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205. Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 08/01/2019 09:55:33 Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID 16bc (C:\Windows\system32\dcdiag.exe). ......................... Der Test SystemLog für ASPSERVER01 ist fehlgeschlagen. Starting test: VerifyReferences ......................... ASPSERVER01 hat den Test VerifyReferences bestanden. Partitionstests werden ausgeführt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: ASPSERVER01 Starting test: CheckSDRefDom ......................... ASPSERVER01 hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ASPSERVER01 hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS Starting test: LocatorCheck ......................... ASPSERVER01.ADDS hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... ASPSERVER01.ADDS hat den Test Intersite bestanden. PS C:\Users\cseidl> Windows PowerShell Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten. PS C:\Users\cseidl> dcdiag /test:dns Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = ASPSERVER01 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: Connectivity ......................... ASPSERVER01 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Default-First-Site-Name\ASPSERVER01 Starting test: DNS DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten... ......................... Der Test DNS für ASPSERVER01 ist fehlgeschlagen. Partitionstests werden ausgeführt auf: ForestDnsZones Partitionstests werden ausgeführt auf: DomainDnsZones Partitionstests werden ausgeführt auf: Schema Partitionstests werden ausgeführt auf: Configuration Partitionstests werden ausgeführt auf: ASPSERVER01 Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS Starting test: DNS Testergebnisse für Domänencontroller: Domänencontroller: ASPSERVER01.ASPSERVER01.ADDS Domäne: ASPSERVER01.ADDS TEST: Basic (Basc) Achtung: Adapter [00000024] Microsoft Network Adapter Multiplexor Driver besitzt einen ungültigen DNS-Server: 192.168.5.1 (<name unavailable>) Warning: The A record for this DC was not found Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden. Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running) Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server: DNS-Server: 192.168.5.1 (<name unavailable>) 1 Testfehler auf diesem DNS-Server Name resolution is not functional. _ldap._tcp.ASPSERVER01.ADDS. failed on the DNS server 192.168.5.1 Zusammenfassung der DNS-Testergebnisse: Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw. _________________________________________________________________ Domäne: ASPSERVER01.ADDS ASPSERVER01 PASS FAIL n/a n/a n/a n/a n/a ......................... Der Test DNS für ASPSERVER01.ADDS ist fehlgeschlagen. PS C:\Users\cseidl> Vielen Dank im Voraus! Gruß Bene
  24. Hallo Liebe Gemeinde, wie das Thema halbwegs verrät, geht es um die schon viel zu späte Migration auf DFSR. Hintergrund ist, das wir nun einen 2019er Server haben, der zur Replizierung nun zwingend DFSR benötigt und FRS entgültig verabschiedet Über die verschiedenen Befehle : dfsrmig /setGlobalState 0 dfsrmig /GetMigrationState dfsrmig /setGlobalState 1 dfsrmig /GetMigrationState dfsrmig /setGlobalState 2 dfsrmig /GetMigrationState dfsrmig /setGlobalState 3 dfsrmig /GetMigrationState hab ich auch brav gesehen, das : Alle Domänencontroller wurden erfolgreich zum globalen Status („Entfernt“) migriert“ Auch der Server 2019 war dabei. Nun ist mir aber aufgefallen, das der Server 2019 als einziges unter C:Windows noch den FRS Sysvol Ordner hat, und nicht wie bei allen anderen den SYSVOL_DFSR ?! Also wenn einer diesen Ordner doch zwingend haben muss, dann doch der Server 2019, und nicht den SYSVOL Ordner vom FRS ? Könnt ich die Schritte einfach nochmal ausführen, damit vom PDC erkennt, das der Server 2019 nur den SYSVOL Ordner hat, und nicht wie alle anderen bereits über SYSVOL_DFRS repliziert ? So kontrovers. Die Replikationen stimmen alle. Der Server 2019 bekommt alle Replikationen mit. Für eine Idee wäre ich sehr dankbar
  25. Hallo zusammen, bei mir passiert etwas sehr komisches. Die Rechner in einem Netzwerk können die interne Domain nicht auflösen obwohl die richtigen DNS Server eingetragen sind. Die DNS server können per ping und telnet erreicht werden. Externe Anfrage werden richtig aufgelöst Sogar solche die auf interne Adressen umgebogen sind Server: Srv-SYS1.krauss.test Address: 10.0.0.1 ------------ SendRequest(), len 36 HEADER: opcode = QUERY, id = 18, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: srv-mail.krauss.de, type = A, class = IN ------------ ------------ Got answer (68 bytes): HEADER: opcode = QUERY, id = 18, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 2, authority records = 0, additional = 0 QUESTIONS: srv-mail.krauss.de, type = A, class = IN ANSWERS: -> srv-mail.krauss.de type = A, class = IN, dlen = 4 internet address = 10.0.0.32 ttl = 3600 (1 hour) -> srv-mail.krauss.de type = A, class = IN, dlen = 4 internet address = 10.0.0.31 ttl = 3600 (1 hour) ------------ ------------ SendRequest(), len 36 HEADER: opcode = QUERY, id = 19, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: srv-mail.krauss.de, type = AAAA, class = IN ------------ ------------ Got answer (103 bytes): HEADER: opcode = QUERY, id = 19, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 0, authority records = 1, additional = 0 QUESTIONS: srv-mail.krauss.de, type = AAAA, class = IN AUTHORITY RECORDS: -> srv-mail.krauss.de type = SOA, class = IN, dlen = 55 ttl = 3600 (1 hour) primary name server = srv-sys1.krauss.test responsible mail addr = hostmaster.krauss.test serial = 16 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) ------------ Name: srv-mail.krauss.de Addresses: 10.0.0.32 10.0.0.31 Wird nun die interne domain abgefragt erhalte ich nur DNS Timeouts. Im DNS Server log finde ich die entsprechende Antrag auch nicht. krauss.test Server: Srv-SYS1.krauss.test Address: 10.0.0.1 ------------ SendRequest(), len 29 HEADER: opcode = QUERY, id = 20, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: krauss.test, type = A, class = IN ------------ DNS request timed out. timeout was 2 seconds. timeout (2 secs) Fehler bei SendRequest. ------------ SendRequest(), len 29 HEADER: opcode = QUERY, id = 21, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: krauss.test, type = AAAA, class = IN ------------ DNS request timed out. timeout was 2 seconds. timeout (2 secs) Fehler bei SendRequest. ------------ SendRequest(), len 29 HEADER: opcode = QUERY, id = 22, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: krauss.test, type = A, class = IN ------------ DNS request timed out. timeout was 2 seconds. timeout (2 secs) Fehler bei SendRequest. ------------ SendRequest(), len 29 HEADER: opcode = QUERY, id = 23, rcode = NOERROR header flags: query, want recursion questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: krauss.test, type = AAAA, class = IN ------------ DNS request timed out. timeout was 2 seconds. timeout (2 secs) Fehler bei SendRequest. *** Zeitüberschreitung bei Anforderung an Srv-SYS1.krauss.test. Hat irgend jemand eine Ahnung was das sein Kann. Client ist - Windows Server 2019 - Windows 10 1903 Vielen Dank für eure Unterstützung
×
×
  • Create New...