Jump to content

User/Gruppe lässt sich nicht mehr in Domäne anlegen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich möchte auf einem neuen neu installiertem DC (in bestehende Domäne eingehängt) eine Gruppe oder einen User anlegen... Leider kommt jedes mal nur folgende Meldung:

 

Das Objekt xyz konnte aufgrund folgenden Problems nicht erstellt werden:

"Der Verzeichnisdienst kann keinen relativen Bezeichner zuweisen"

 

Kann mir jemand helfen wie ich den DC wieder zum richtigen laufen bekomme..

 

Danke schon mal

 

Gruß

Daniel

Link zu diesem Kommentar

Servus,

 

ich möchte auf einem neuen neu installiertem DC (in bestehende Domäne eingehängt) eine Gruppe oder einen User anlegen...

 

hat denn bereits die AD-Replikation stattgefunden?

Befindet sich die Forward Lookup Zone in AD und sind die DNS-Informationen ebenfalls auf den neuen DC repliziert worden?

Hat der neue DC in seinen TCP/IP-Einstellungen den bereits bestehenden DNS-Server eingetragen?

Ist der Träger der FSMO-Rollen online und von dem neuen DC aus erreichbar?

Wer der Träger der FSMO-Rollen ist, bekommst du z.B. mit NETDOM aus den Windows Support Tools,

dass du in dem Ordner "Support/Tools" auf der Windows Server 2003 findest, heraus.

Der Befehl lautet: Netdom query fsmo.

Link zu diesem Kommentar

Moin moin,

 

- ich denke schon (weiss es aber nicht genau) das die Replikation stattgefunden hat

- DNS hat er repliziert (selben Einstellungen wie auf anderen Servern)

- beim Ausführen von "Netdom query fsmo" kommt folgende Meldung:

 

Schema owner Server123.domäne.lan

Domain role owner Server123.domäne.lan

PDC role Server123.domäne.lan

Das System kann die angegebene Datei nicht finden.

The command failed to complete successfully.

 

Wobei Server123 auch wirklich der andere DC ist. Was für eine Datei er jedoch sucht und was die folgende Meldung mir sagen soll -KEINE AHNUNG...

 

Gruß

Daniel

Link zu diesem Kommentar
- ich denke schon (weiss es aber nicht genau) das die Replikation stattgefunden hat

 

Dann überprüfe es doch...

Dabei sollte ein Blick in die MMC "Active Directory-Benutzer und -Computer" reichen.

 

- DNS hat er repliziert (selben Einstellungen wie auf anderen Servern)

 

OK, wenn du also auf beiden DCs in die DNS-MMC schaust, enthalten beide die gleichen Einträge.

 

- beim Ausführen von "Netdom query fsmo" kommt folgende Meldung:

 

Na wer sagts denn... genau das ist dein Problem.

Es fehlen der RID-Master und der Infrastrukturmaster.

Installiere dir die Windows Support Tools und führe ein DCDIAG sowie NetDIAG aus und kontrolliere was dir noch an Fehler angezeigt werden.

Überprüfe auch über die GUI, was bei den beiden fehlenden Rollen angezeigt wird. Ansonsten verschiebe diese beiden explizit mit "transfer" über NTDSUTIL erneut auf den anderen DC.

 

Siehe auch:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Link zu diesem Kommentar

... hmmm das mit dem RID-Master hatte ich befürchtet (hab in der zwischenzeit dcdiag /v ausgeführt welcher mir folgende Testa als failed anzeigt:

 

-KnowOfRoleHolder

-RIDManager

-kccevent

 

ist der Infrastrukturmaster = der KnowOfRoleHolder oder hab ich noch andere Probs in der Domäne -von denen ich noch nichts ahne :-((

 

Bzw was soll mir die erste und letzte Position sagen?

 

Erstmal vielen vielen Dank für Deine Hilfe!!!

 

Gruß

Daniel

Link zu diesem Kommentar
-KnowOfRoleHolder

 

Bei diesem Test wird geprüft, ob sich der Domänencontroller zu allen fünf FSMO-Rollen im Active Directory, verbinden konnte, die sich entweder auf ihm selbst oder auf einem anderen Domänencontroller befinden. Es leuchtet unmittelbar ein, dass dieser Test selbstverständlich mit einem "passed" beendet werden muss.

 

 

-kccevent

 

Dieser Test stellt sicher, dass der Knowledge Consistency Checker auf dem Domänencontroller auf dem er läuft, alle weiteren Domänencontroller finden kann, um Replikationsverbindungen aufzubauen.

 

ist der Infrastrukturmaster = der KnowOfRoleHolder oder hab ich noch andere Probs in der Domäne -von denen ich noch nichts ahne :-((

 

Nein, die KnowOfRoleHolder sind alle fünf FSMO-Rollen, nicht nur einer.

Stelle erst einmal sicher, dass die beiden fehlenden Rollen ordnungsgemäß angezeigt werden. Führe dazu das durch, was ich in meiner vorherigen Antwort geschrieben hatte und lies dir auch den Artikel durch, den ich gepostet habe.

 

Erstmal vielen vielen Dank für Deine Hilfe!!!

 

Das du behebbare Probleme hast, die beide zusammenhängen. ;)

Link zu diesem Kommentar

sooooo

 

hab jetzt gem. der Doku durchgeführt:

mit ntdsutil.exe den Befehl seize rid master abgesetzt.

 

folgend Meldungen kommen:

-Eine sichere Übertragung von RID FSMO vor der Übernahme der Funktion wird versucht

-ldap_modify_sW-Fehler 0x34(52 (nicht verfügbar)

-ldap-Fehlermeldung: 000020AF: SvrErr: DSID-033208E5, problem 5002 (unavailable), data 8

-Win32-fehle: 0x21af (Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar.)

 

... Im Anschluss wird noch gesagt was die Übertragung fehlgeschlagen ist. Bei der Überprüfung der Funktionen wir der RID jetzt aber dem richtigen Server zugeordnet.

 

Sehe ich richtig das das RID-Problem jetzt behoben ist?

 

Beim erneuten Ausführen es dcdiag /v schlagen jetzt nur noch kccevent und systemlog fehl der rest geht mit passed durch..

 

Gruß

Daniel

Link zu diesem Kommentar
mit ntdsutil.exe den Befehl seize rid master abgesetzt.

 

Eieieii... warum den mit Gewalt, also "seize"?

Ich hatte doch extra geschrieben:

 

Ansonsten verschiebe diese beiden explizit mit "transfer" über NTDSUTIL erneut auf den anderen DC.

 

Statt "seize" hättest du "transfer" verwenden sollen. Natürlich funktioniet TRANSFER nur, wenn der Ursprungsträger noch online ist.

Denn gerade der RID-Master darf nie und nimmer zweimal in der Domäne existieren. Oder existiert der Ursprungsträger der FSMO-Rollen garnicht mehr in der Domäne? Dann wäre das ok. Falls er doch existiert, überprüfe auf dem anderen DC, wer nun in der GUI als RID-Master angezeigt wird.

 

 

folgend Meldungen kommen:

 

Ahh ok, anhand dieser Info wird bestätigt, dass der Ursprungsträger nicht mehr zu erreichen ist. Dann geht das mit "seize" in Ordnung.

 

 

Sehe ich richtig das das RID-Problem jetzt behoben ist?

 

Exakto Mundo. Denn trotz der Angabe von "seize" wird trotzdem versucht die Rolle online zu verschieben, was eben fehlschlägt wenn der Ursprungsträger nicht mehr zu erreichen ist. Daher kommt das die irritierende Fehlermeldung wobai dann aber am Ende die Rolle trotzdem verschoben wird. Das hätte Microsoft besser geschickter lösen sollen, denn die Meldung irrtiert viele, gerade wenn man das nicht jeden Tag ausführt.

 

 

Beim erneuten Ausführen es dcdiag /v schlagen jetzt nur noch kccevent und systemlog fehl der rest geht mit passed durch..

 

Der Test beim Systemlog prüft, ob es Fehlermeldungen in den letzten 60 Minuten im Ereignisprotokoll gab. Was den KCCEVENT Test betrifft, ist auch alles im Snap-In "Standorte und Dienste" alles sauber konfiguriert (jeder DC steht an seinem Standort, Subnetze sind erstellt und mit den entsprechenden Standorten verknüpft, richtige Zuordnung der Standorte in den Standortverknüpfungen)

 

Aber nun nochmals zum mitschreiben:

Wurde der Ursprungsträger der FSMO-Rollen sauber mit DCPROMO aus der Domäne entfernt oder ist dieser gecrasht?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...