Ntdsutil - Seizen der Rollen

[jmewald 10]

Hallo zusammen,

 

ich habe leider ein absolut dringendes Problem.

Leider ist mir letzte Woche durch Gewitter ein Server ausgefallen, der als DC fungierte und die Rollen Domain Namen Master und Schema Master hatte.

 

Habe nun versucht auf einem anderen DC diese Rollen zu übernehmen mittels NTDSUTIL und seiz Rolle.

Mit dem Domain namen Master klappt das, dies war successfull.

 

Den Schema Master kann ich allerdings nicht seizen.

 

Folgende Fehlermeldung schmeisst er aus:

 

fsmo maintenance: seize schema master

Eine sichere Übertragung von schema FSMO vor der Übernahme der Funktionen wird versucht.

ldap_modify_sW-Fehler 0x32(50 (Keine ausreichenden Rechte).

LDAP-Fehlermeldung: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

 

Win32-Fehler: 0x2098(Die Zugriffsrechte reichen für diesen Vorgang nicht aus.)

)

Abhängig vom Fehlercode kann dies auf

einen Verbindungs-, LDAP- oder Funktionsübertragungsfehler hinweisen.

Die Übertragung von schema FSMO ist fehlgeschlagen. Die Übernahme der Funktionen wird fortgesetzt...

ldap_modify von fsmoRoleOwner mit 0x32(50 (Keine ausreichenden Rechte).

LDAP-Fehlermeldung: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

 

Win32-Fehler: 0x2098(Die Zugriffsrechte reichen für diesen Vorgang nicht aus.)

) fehlgeschlagenServer "hrdapp" kennt 5 Funktionen.

Schema - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local

Domäne - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local

PDC - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local

RID - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local

Infrastruktur - CN=NTDS Settings,CN=HRDAPP,CN=Servers,CN=Deutschland,CN=Sites,CN=Configuration,DC=HRain,DC=local

fsmo maintenance:

 

 

Der Administrator ist aber in der Gruppe der Domain Admins, Schema Admins und Organisations Admins.

 

Was mache ich falsch dass das nicht geht ? Wäre leider super dringend, vielleicht hat jemand einen Tip für mcih.

 

Danke Euch allen.

 

markus

[phoenixcp 10]

Hm, wenn ich hier schaue, dann sollte dein Account zusätzlich noch Enterprise Admin sein.

[Daim 12]

Hm, wenn ich hier schaue, dann sollte dein Account zusätzlich noch Enterprise Admin sein.

 

Enterprise Admin heißt im deutschen...? Richtig, Organisations-Admins, worin der Admin bereits Mitglied ist laut OP. ;)

 

 

@OP

 

Unabhängig von deinem Problem mit dem Schema-Master. Du schreibst etwas von "super dringend".

Möchtest du etwa eine Schemaerweiterung durchführen? Denn ansonsten läuft die Domäne ja ganz normal weiter.

 

Aber die Fehlermeldung deutet wehement auf ein Rechteproblem hin.

 

JSI Tip 3209. Error when you seize or transfer the Schema Master operations master role?

 

Kontrolliere es erneut bzw. entferne den Admin aus den Gruppen und füge ihn erneut hinzu.

Kontrolliere auch das Eventlog.

[phoenixcp 10]

Enterprise Admin heißt im deutschen...? Richtig, Organisations-Admins, worin der Admin bereits Mitglied ist laut OP. ;)

 

Off-Topic:

Narf..... alle meine AD'sen sind Englisch... Ich hasse deutschsprachige Serverinstallationen....

 

 

Sorry...

[Daim 12]

Sorry...

 

Bitte, doch nicht dafür.

 

 

@OP

 

Vergiss aber nicht den gecrashten DC noch mit NTDSUTIL oder ADSIEdit aus dem AD zu entfernen.

 

Siehe:

How to remove data in Active Directory after an unsuccessful domain controller demotion

[jmewald 10]

Super dringend deswegen, weil ich letzte Woche in Asien war um unsere Nebenstelle anzubinden und genau in der Woche hier in Deutschland unser Schemamaster sich verabschiedet hat.

 

Werde mir mal die Links ansehen.

Ich verstehe nicht warum er überhaupt ein Rechteproblem hat.

Was will er denn noch mehr als die Zugehörigkeit zu den entsprechenden Gruppen ?

 

Danke Euch allen.

[Daim 12]

Super dringend deswegen, weil ich letzte Woche in Asien war um unsere Nebenstelle anzubinden und genau in der Woche hier in Deutschland unser Schemamaster sich verabschiedet hat.

 

Dabei spielt der Schema-Master "erstmal" weiterhin keine Rolle.

Denn wenn eben KEINE Schemaerweiterung notwendig ist (es existiert z.B. eine Windows Server 2003 Umgebung und es soll der erste Windows Server 2003 --> R2 <--- DC eingebunden werden, denn dazu müsste das Schema erweitert werden), kannst du den Standort zur bestehenden Domäne hinzufügen, ohne das der Schema-Master zur Verfügung steht.

[jmewald 10]

OK, super.

Das ist schon mal gut zu hören.

Das betrifft aber nur wenn ich untergeordnete Domänen erstellen will oder ?

Was ist wenn ich in der Gesamtstruktur eine 2 Domäne (keine Untergeordnete Domäne) haben möchte ?

 

Wie ist das wenn ich in der Nebenstelle ebenso einen Exchange 2003 Server installieren will ?

 

Danke Euch

 

Markus

[Daim 12]

Das betrifft aber nur wenn ich untergeordnete Domänen erstellen will oder ?

 

Nein, nur wenn eine Schemaaktualisierung notwendig ist.

Wenn z.B. die Root-Domäne auf Windows Server 2003 DCs läuft und die untergeordnete Domäne auf Windows Server 2003 --> R2 <-- laufen soll. Dann ist eine Schemaerweiterung notwendig und dazu benötigst du natürlich den Schema-Master.

 

 

Was ist wenn ich in der Gesamtstruktur eine 2 Domäne (keine Untergeordnete Domäne) haben möchte ?

 

Du meinst eine neue Domänenstruktur in der bestehenden Gesamtstruktur.

Dabei gilt das gleiche, wie oben bei der untergeordneten Domäne.

Entscheidend ist ob eine Schemaerweiterung durchgeführt werden muss oder nicht.

 

 

Wie ist das wenn ich in der Nebenstelle ebenso einen Exchange 2003 Server installieren will ?

 

Dazu ist keine Schemaerweiterung notwendig und das würde funktionieren.

[jmewald 10]

Ok, danke für deine Hilfe.

 

Versteh ich richtig das nur eine Schemaerweiterung notwendig ist wenn die zusätzliche Domain 2003 R2 ist ?

 

Wenn die Root Domain schon Windows 2003 R2 ist erübrigt sich das dann ?

 

Natürlich wäre es mir sowieso lieber ich würde den Schemamaster übernommen bekommen auf den jetzigen DC.

 

Sollte ich den offline DC aus der Domain entfernen ? Kann das noch das Problem sein ? Hängt das irgendwie mit der DNS Auflösung evtl. zusammen ?

 

Danke dir

 

Markus

[Daim 12]

Versteh ich richtig das nur eine Schemaerweiterung notwendig ist wenn die zusätzliche Domain 2003 R2 ist ?

 

Es kommt darauf an welche Ausgangsbasis, sprich, welche Domäne existiert.

Wenn die Domäne lediglich auf Windows Server 2003 DCs läuft und du den ersten R2-DC hinzufügen möchtest, musst du eben das Schema erweitern.

 

Siehe auch:

Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

 

 

Wenn die Root Domain schon Windows 2003 R2 ist erübrigt sich das dann ?

 

Ja, sofern du nicht auf die Idee kommen solltest und einen Windows Server 2008 DC hinzufügen möchtest. Dann musst du auch das Schema erweitern.

 

 

Natürlich wäre es mir sowieso lieber ich würde den Schemamaster übernommen bekommen auf den jetzigen DC.

 

Das musst du auf jedenfall noch korrigieren. Ich wollte mit meinen Ausführungen bezgl. des fehlenden Schema-Masters ledgilich dieses "super dringend" entkräften. Selbstverständlich solltest zu zusehen, den Schema-Master wieder verfügbar zu stellen.

 

 

Sollte ich den offline DC aus der Domain entfernen ?

 

Klaro, denn eine "Leiche" im AD, also einen DC der sowieso nicht mehr existiert, benötigt keiner im AD. Abgesehen davon protokollieren die Replikationspartner danach auch nicht mehr im Verzeichnisdienstprotokoll, dass sie ihren Replikationspartner nicht erreichen konnten.

 

 

Kann das noch das Problem sein ?

 

Nein, denn diese Meldung ist eindeutig:

 

ldap_modify_sW-Fehler 0x32(50 (Keine ausreichenden Rechte).

LDAP-Fehlermeldung: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS),

 

 

Hängt das irgendwie mit der DNS Auflösung evtl. zusammen ?

 

Negativ.