Thomas Säuberli 11 Posted June 12, 2009 Report Posted June 12, 2009 Hallo zusammen Ich habe bei einem Kunden einen neuen Domänenkontroller eingerichtet. Der Server soll ausschliesslich DC; DNS;Wins und DHCP sein. Die 5 Rollen habe ich auch sauber übertragen. Ebenso ist der neue DC auch Globalerkatalogserver. Der Alte ist ebenfalls noch Domänenserver (Backup) und hat einen globalen Katalog. Allerdings möchte ich den alten Domänenkontroller in Rente schicken. Nun habe ich gesehen, dass auf dem Exchange unter System-Manager -> Verzeichniszugriff immer noch der alte Domänenkontroller eingetragen ist! Möchte ich dies manuell ändern, so warnt mich das System, dass man das automatisch belassen sollte! Das wäre mir auch lieber... Deaktiviere ich aber den globalen Katralog auf dem alten DC, so findet der Exchange den Neuen nicht und ein Zugriff via Outlook ist nicht mehr möglich :-( Die GC sind in der DNS sauber eingetragen. Warte ich einfach zuwenig lange? Braucht diese Umstellung etwas Zeit? Würde der Exchange automatisch den neuen DC finden, wenn ich den alten DC herunterstufe? Kann ich das "anschubsen"? Danke für Eure Tipps! Quote
BrainStorm 10 Posted June 12, 2009 Report Posted June 12, 2009 Hallo Thomas, der Exchange Server sollte nach einiger Zeit auch den neuen DC gefunden haben, ausser der neue DC ist noch nicht sauber da. Gibts dort die Sysvol Freigabe? Irgendwelche Hinweise im Eventlog? Der alte DC und der Exchange sind aber schon zwei getrennte Maschinen, oder? Quote
Thomas Säuberli 11 Posted June 12, 2009 Author Report Posted June 12, 2009 Hallo Brainstorm Die Sysvol-Freigabe ist da. Im Eventlog habe ich keine Fehler. DCs und Exchange sind getrennt. Was mir aber auch aufgefallen ist, dass unter Active.Directory-Standorte bei den NTDS Settings das alte DC automatische Verbindungen zu allen 3 anderen DCs aufgebaut hat. Der neue DC hat aber nur eine automatische Verbindung zum alten DC (welchen ich abschiessen möchte) aufgebaut. Der alte DC scheint irgendwie noch "beliebter" zu sein?! Ach ja, der LogOnServer ist aber schon bei allen /ausser dem Exchange) der neue DC! Gruss Thomas Quote
Thomas Säuberli 11 Posted June 18, 2009 Author Report Posted June 18, 2009 Hallo zusammen Ich sitze immer noch auf meinem Problem. Die Empfängeraktualisierungsdienste (RUS) waren noch auf dem alten DC (welcher noch in Betrieb ist). Die DNS habe ich auf dem alten DC auch bereits auscheschaltet. Es läuft alles sauber! Nur eben: Im Exchange System-Manager beim Exchange-Server ist beim Verzeichniszugriff noch immer der alte DC eingetragen :-( Ich könnte den neuen DC manuel eintragen. Deaktiviere ich auf dem alten DC aber den Globalen Katalog (welcher natürlich auch auf dem neuen DC läuft), besteht kein Zugriff mehr auf den Exchange via Outlook :-( Warum findet der Exchange den neuen DC nicht??? Danke für Eure wertvollen Tipps! Gruss Thomas Quote
Thomas Säuberli 11 Posted June 30, 2009 Author Report Posted June 30, 2009 Hallo zusammen Das scheint doch etwas Ungewöhnliches zu sein :-O Warum erscheinen bei meinem Exchangeserver unter Eigenschaften->Verzeichniszugriff nicht alle Domänencontroller ?! Wo könnte der Hund begraben sein? Stelle ich den neuen DC (auch Rolleninhaber und GC) manuell rein und lösche den alten... zack-> geht das Outlook nicht mehr!! Er meint keinen GC zu finden. Stimmt aber nicht! Es sind auf allen DCs auch GC aktiviert (DNS-Einträge sind auch vorhanden).... Weiss wirklich niemand eine Lösung? Danke für Eure Hilfe Gruss Thomas Quote
Thomas Säuberli 11 Posted June 30, 2009 Author Report Posted June 30, 2009 Wer sucht der findet :-) Die Protokollierung ergab (Servername | Rollen | Erreichbarkeit | Synchronisiert | GK-fähig | PDC | SACL-Recht | Benötigte Daten | Netlogon | Betriebsystemversion) In Standort: DC1.domäne.local CDG 7 7 1 0 1 1 7 1 DC2.domäne.local CDG 7 7 1 0 0 1 7 1 Außerhalb von Standort: DC3.domäne.local CDG 7 7 1 0 0 1 7 1 DC4.domäne.local CDG 7 7 1 0 0 1 7 1 Es fehlt also allen drei neueren DCs das SACL-Recht. Bei einem Exchange 2007 hilft der Befehl: setup.com /PrepareAD /DomainController:<FQDN-des-fehlerhaften-DCs> Nun habe ich aber alles 2003 (Server und Exchange)! Wie setze ich bei den anderen DCs das SACL-Recht? Ich eröffne mit dieser Frage noch einen weiteren Beitrag... sondt wird es ev. etwas unübersichtlich :-) Gruss Thomas Quote
Thomas Säuberli 11 Posted June 30, 2009 Author Report Posted June 30, 2009 Problem gelöst!!! Ich musste einfach nocheinmal das Setup des Exchange mit /domainprep ausführen... bingo!!! Gruss Thomas Quote
sguru 10 Posted July 20, 2009 Report Posted July 20, 2009 Hallo Thomas Säuberli! In meiner Umgebung besteht die gleiche Problemstellung wie bei dir. Vor 3 Tagen habe ich die Exchange Installation mit /domainprep ausgeführt. Während des ausführens erhielt ich die Meldung: ...unsichere Domäne für E-Mail-aktivierte Gruppen... (komplete Meldung siehe Anhang) MS Artikle dazu= A description of the message "The domain 'Example.com' has been identified as an insecure domain for mail-enabled groups with hidden DL membership" Darin wird beschrieben das es keine auswirkungen auf Domainprep hat. Leider hat sich am SACL-Recht bei den neuen DCs nicht geändert. Hast du einen Idee? Quote
sguru 10 Posted July 22, 2009 Report Posted July 22, 2009 :cool: Anscheinend sind alle schon auf Urlaub :cool: Bloß ich nicht :mad: :cry: :cry: Quote
Thomas Säuberli 11 Posted July 28, 2009 Author Report Posted July 28, 2009 Jetzt bin ich wieder zurück aus den Ferien :-) Falls Du keine alten Exchange 5.x im Netz hast, kannst Du die Exchangedomäne in den einheitlichen Win 2xxx-Modus umstellen. Dann müsste die Meldung verschwinden. Vielleicht danach noch einmal domainprep ausführen?! Gruss und viel Glück. Thomas Quote
sguru 10 Posted August 3, 2009 Report Posted August 3, 2009 Danke für deine Antwort! Ich war vorherigige Woche nun selbst in den Ferien :D Ich habe nur Exchange 2003 Srv, der Betriebsmodus = Einheitlicher Modus (kein Exchange-Server vor Version 2000) Quote
sguru 10 Posted August 7, 2009 Report Posted August 7, 2009 Das Problem wurde durch die Default Domain Controllers Policy hervorgerufen. Ich mußte das GPO editieren. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Verwalten von Überwachungs- und Sicherheitsprotokollen, hier setzte ich die zwei Gruppen ein: Domain\Exchange Enterprise Servers und Domain \Administratoren Somit war das SACL-Recht für die Exchange Server auf den DCs lesbar. Mit diesen Post hat meine Fehler suche begonnen: http://www.mcseboard.de/windows-forum-ms-backoffice-31/verzeichniszugriff-exchange-listet-alle-dc-145341.html :cool: Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.