Jump to content

Fehler am anlegen von Usern im AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Posted

Tag!

 

Hätte bei einem Kunden ein seltsames Phänomen:

 

- Kunde hat neue Domäne bekommen

- alte Domäne hatte zwei DCs, einer mit Exchange (doof, ist aber so), W2k3

- der DC ohne Exchange machte mucken, wurde mit DCPromo entfernt

- Ergo: noch ein DC mit Exchange drauf

- DCdiag und Netdiag sagen alles OK, DNS ist sauber, alte Hosteinträge auf von DC sind entfernt.

 

****erweise will der Kunde jetzt noch ein paar Benutzer auf der alten Domäne anlegen:

 

Ich kann Gruppen und OUs erzeugen, wenn ich aber Benutzer anlegen will, kommt nach dem Fensterchen mit dem Passwort lapidar die Meldung:

 

"Es ist ein Fehler aufgetreten"

 

Wenn ich den ehemaligen DC wieder anschalte, geht das anlegen von Benutzern plötzlich wieder.

 

Der kann sich doch als normaler Memberserver nicht Reste vom AD behalten haben, oder?

 

Habe ich mit ADSIedit gewühlt, finde dort keine Verweise mehr, daß der alte Server irgendwo noch aktiv wäre.

 

Habt Ihr noch eine Idee? :shock:

 

Danke!

Posted

Moin,

 

vermutlich habt ihr vergessen, den verbleibenden DC zum Global Catalog zu machen. Die FSMO-Rollen hattet ihr vorher übertragen? DNS läuft auf dem verbleibenden DC, und die Clients wissen das?

 

Gruß, Nils

Posted

- Verbleibender DC ist GC

- FSMOs sind sauber übertragen, hänge DCdiag-Ausgabe an

- DNS ist auf dem verbliebenen DC aktiv, Clients gibt es in dem Sinn keine mehr (sollte ja aber beim anlegen von Usern nicht stören?)

- EDit: Einträge im Log werden keine erzeugt...

 

  * Verifying that the local machine dserver, is a DC. 
  * Connecting to directory service on server dserver.
  * Collecting site info.
  * Identifying all servers.
  * Identifying all NC cross-refs.
  * Found 1 DC(s). Testing 1 of them.

  Testing server: Standardname-des-ersten-Standorts\DSERVER
     Starting test: Connectivity
        * Active Directory LDAP Services Check
        * Active Directory RPC Services Check
        ......................... DSERVER passed test Connectivity

  Testing server: Standardname-des-ersten-Standorts\DSERVER
     Starting test: Replications
        * Replications Check
        * Replication Latency Check
           DC=ForestDnsZones,DC=xxx,DC=local

        * Replication Site Latency Check 
        ......................... DSERVER passed test Replications
     Test omitted by user request: Topology
     Test omitted by user request: CutoffServers
           Starting test: NetLogons
        * Network Logons Privileges Check
        Verified share \\DSERVER\netlogon
        Verified share \\DSERVER\sysvol
        ......................... DSERVER passed test NetLogons
     Starting test: Advertising
        The DC DSERVER is advertising itself as a DC and having a DS.
        The DC DSERVER is advertising as an LDAP server
        The DC DSERVER is advertising as having a writeable directory
        The DC DSERVER is advertising as a Key Distribution Center
        The DC DSERVER is advertising as a time server
        The DS DSERVER is advertising as a GC.
        ......................... DSERVER passed test Advertising
     Starting test: KnowsOfRoleHolders
        Role Schema Owner = CN=NTDS Settings,CN=DSERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xxx,DC=local
        Role Domain Owner = CN=NTDS Settings,CN=DSERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xxx,DC=local
        Role PDC Owner = CN=NTDS Settings,CN=DSERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xxx,DC=local
        Role Rid Owner = CN=NTDS Settings,CN=DSERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xxx,DC=local
        Role Infrastructure Update Owner = CN=NTDS Settings,CN=DSERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xxx,DC=local
        ......................... DSERVER passed test KnowsOfRoleHolders
     Starting test: RidManager
        * Available RID Pool for the Domain is 3607 to 1073741823
        * dserver.xxx.local is the RID Master
        * DsBind with RID Master was successful
        * rIDAllocationPool is 3107 to 3606
        * rIDPreviousAllocationPool is 1607 to 2106
        * rIDNextRID: 1883
        ......................... DSERVER passed test RidManager
     Starting test: MachineAccount
        Checking machine account for DC DSERVER on DC DSERVER.
        * SPN found :LDAP/dserver.xxx.local/xxx.local
        * SPN found :LDAP/dserver.xxx.local
        * SPN found :LDAP/DSERVER
        * SPN found :LDAP/dserver.xxx.local/xxx
        * SPN found :LDAP/d7a941e9-ab07-46dc-a394-3a02686a6dfd._msdcs.xxx.local
        * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/d7a941e9-ab07-46dc-a394-3a02686a6dfd/xxx.local
        * SPN found :HOST/dserver.xxx.local/xxx.local
        * SPN found :HOST/dserver.xxx.local
        * SPN found :HOST/DSERVER
        * SPN found :HOST/dserver.xxx.local/xxx
        * SPN found :GC/dserver.xxx.local/xxx.local
        ......................... DSERVER passed test MachineAccount
     (gekürzt)

 

Danke Dir!

Posted

So, und wenn ich den ehemaligen DC ganz aus der Domäne nehme, ist auch nichts mehr mit User anlegen.

 

So ein Käse, ich will den doch einfach so aus Vergnügen mitrödeln lassen... :(

Posted

Huhuu,

 

vermutlich habt ihr vergessen, den verbleibenden DC zum Global Catalog zu machen.

 

auch wenn ein GC fehlen sollte, kann man trotzdem Benutzer erstellen. Lästig ist dabei nur, dass man in der GUI an entsprechender Stelle eine Warnmeldung bzgl. des fehlenden GCs erhält. Ein Benutzer kann aber trotzdem erstellt werden.

 

 

@ RanCyyD

 

Der Ausschnitt der DCDIAG-Ausgabe ist fehlerfrei. Kontrolliere aber selbst die komplette Ausgabe und halte nach den Einträgen mit "failed" ausschau.

 

Kannst du denn einen Benutzer mit dsadd erstellen? Verwende dabei diesen Befehl, den du nur noch an die Umgebung anpassen musst:

 

Alles in einer Zeile:

dsadd user "CN=Dikmenoglu\,Yusuf,CN=Users,DC=blog,DC=dikmenoglu,DC=de" -samid Yusuf -upn Yusuf@plog.dicmenoklu.de -pwd Pa$$w0rd! -disabled no

Posted

@Daim:

 

Hab "leider" keine failed Einträge! :D

 

Ich probiere es morgen mal dsadd, danke Dir!

 

(Da die eh weg kommen, könnte ich es ja laufen lassen, aber

a.) interessiert es mich warum

b.) ist es Stromverschwendung

Posted
Hab "leider" keine failed Einträge! :D

 

Das ist aber auch wirklich jammer schade. ;)

 

(Da die eh weg kommen, könnte ich es ja laufen lassen, aber

a.) interessiert es mich warum

b.) ist es Stromverschwendung

 

Beide Punkte sind auch völlig berechtigt.

Posted

So sehr witzig:

 

Alter Server an, Benutzer mit Dsadd anlegen - kein Problem

 

Alter Server aus, Benutzer mit Dsadd anlegen, gleiche Syntax, neuer Benutzer - falscher Parameter.. :???

Posted

Moin,

 

wenn es eine Produktionsumgebung wäre, würde ich zur Neuinstallation des fehlerhaften DC raten. Da es aber offenbar nur ein Relikt ist, halte ich weiteren Support für unnötig.

 

Gruß, Nils

Posted

Aber ist schon ein interessanter Fehler, oder? Sieht halt so aus, als ob doch noch Teile das AD auf dem alten Server rumspuken.

 

Naja, ich lasse ihn einfach aus und wenn ich doch noch was mit Usern basteln muß wird er halt nochmal eingeschaltet.

 

Danke! :)

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...