Gruffy 10 Posted June 18, 2009 Report Posted June 18, 2009 Hallo, Ein kniffliges Problem. Habe mal als TEST in unsere Produktiv Umgebung GPO mit eingeschränkten Gruppen erstellt (Es war im März)... Nach dem ich mein positiven Ergebnis bekommen habe wurde die GPO gelöscht. Was aber danach passiert und immer noch auftaucht ist dass bei einigen Systemen vor allem Windows 2000 die Gruppen der Administratoren die damals per GPO ausgebracht wurden immer noch existiert und auch nach dem gpupdate /force. :eek: Erst nach dem Neustart war es wieder ok.:suspect: Jetzt nach dem Server 2008 Update auf SP2 kam es wieder mal.. diesmal auf dem Server selbst.:eek: Die Gesamtstrukturfunktionsebene ist Windows 2000. Ich weiß.. Die Gesamtstrukturfunktionsebene Windows 2000 führt die Änderung einer Gruppenmidgliedschaft zur Replikation des gesamten member-Mehrwertattributs der Gruppe. Es erhöht den Replikationsdaten Verkehr im Netzwerk was zur potenziellen Verlust von Mitgliedschaftsaktualisierungen führen kann wenn eine Gruppe auf mehreren DC´s gleichzeitig geändert wird.. Kann es sein ? Nach so viel Zeit ? :confused: Quote
Daim 12 Posted June 18, 2009 Report Posted June 18, 2009 Bonjour, Die Gesamtstrukturfunktionsebene ist Windows 2000. Ich weiß.. dann ändere das doch wenn du es "weißt". Die Gesamtstrukturfunktionsebene Windows 2000 führt die Änderung einer Gruppenmidgliedschaft zur Replikation des gesamten member-Mehrwertattributs der Gruppe. Genau. Denn die Linked Value Replication (LVR) funktioniert erst ab der Gesamtstrukturebene "Windows Server 2003". LDAP://Yusufs.Directory.Blog/ - Die Linked Value Replikation (LVR) Es erhöht den Replikationsdaten Verkehr im Netzwerk Ja, im Gegensatz zur LVR stimmt das sehr wohl. was zur potenziellen Verlust von Mitgliedschaftsaktualisierungen führen kann wenn eine Gruppe auf mehreren DC´s gleichzeitig geändert wird.. Das stimmt so nicht. Wenn ein Attribut auf zwei DCs gleichzeitig verändert wird, entsteht ein Replikationskonflikt und das AD löst diesen Konflikt folgendermaßen: LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt Kann es sein ? Nach so viel Zeit ? :confused: Deine Wahrnehmung trügt. Kontrolliere die AD-Replikation, nicht dass es dabei Probleme gibt. Wirf auch einen Blick in das Eventlog des DCs und führe DCDIAG aus. Quote
Gruffy 10 Posted June 22, 2009 Author Report Posted June 22, 2009 Habe mich darüber mit meinen Vorgesetzten unterhaltet Quote
Gruffy 10 Posted June 22, 2009 Author Report Posted June 22, 2009 Stimmt das: Wenn ich eine GPO erstelle setze ich einen Eintrag in die Registry, wenn ich die GPO wieder einfach entferne bzw. lösche dann wird keine Änderung In die Registry gesetzt ? Verstehe ich das Richtig ? Muss ich erst die GPO Einstellungen auf nicht konfiguriert setzten und erst dann kann ich es entfernen ? Quote
chirho 10 Posted June 22, 2009 Report Posted June 22, 2009 Hallo. Das war mal so. Siehe hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/automatische-updates-ausgegraut-79809.html#post479704 Quote
Gruffy 10 Posted June 22, 2009 Author Report Posted June 22, 2009 Danke :) Habe noch was .. wo ich Hilfe brauche :) DCDIAG sagt: Starting test: NCSecDesc Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=ForestDnsZones,DC= … ,DC=… Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=DomainDnsZones,DC=… ,DC=… ......................... DC02 hat den Test NCSecDesc nicht bestanden. Es sollte irgendwas mit DNS repl. Sein laut faq-o-matic.net Domänencontroller mit DCDIAG prüfen Wie kann ich das wieder in Ordnung bringen ? Quote
Daim 12 Posted June 22, 2009 Report Posted June 22, 2009 Starting test: NCSecDesc Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=ForestDnsZones,DC= … ,DC=… Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=DomainDnsZones,DC=… ,DC=… ......................... DC02 hat den Test NCSecDesc nicht bestanden Das DCDIAG ab Windows Server 2008 bringt bei dem NCSecDesc-Test den Fehler, wenn der Befehl ADPREP /RODCPREP noch nicht ausgeführt wurde. Dieser Test prüft, ob der Security Descriptor der genannten Verzeichnispartitionen, in dem Fall die beiden Anwendungsverzeichnispartitionen "DomainDNSZones" sowie "ForestDNSZones", über die entsprechenden Berechtigungen für die Replikation verfügen. Der Fehler zeigt an, dass die Gruppe "NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION" keine Zugriffsberechtigung auf die Replikation der Verzeichnisänderungen für die genannten Verzeichnispartitionen besitzt. Wenn du also *nicht* planst einen RODC in der Gesamtstruktur zu installieren, kannst du diesen "Fehler" getrost ignorieren. Aber wenn du doch einen RODC in der Gesamtstruktur installieren möchtest, führe das ADPREP /RODCPREP von der "Windows Server 2008 DVD" aus, denn damit verschwindet dann auch dieser Fehler. Quote
Gruffy 10 Posted June 22, 2009 Author Report Posted June 22, 2009 Das nennt man Community Support :) Danke Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.