Gruffy 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Hallo, Ein kniffliges Problem. Habe mal als TEST in unsere Produktiv Umgebung GPO mit eingeschränkten Gruppen erstellt (Es war im März)... Nach dem ich mein positiven Ergebnis bekommen habe wurde die GPO gelöscht. Was aber danach passiert und immer noch auftaucht ist dass bei einigen Systemen vor allem Windows 2000 die Gruppen der Administratoren die damals per GPO ausgebracht wurden immer noch existiert und auch nach dem gpupdate /force. :eek: Erst nach dem Neustart war es wieder ok.:suspect: Jetzt nach dem Server 2008 Update auf SP2 kam es wieder mal.. diesmal auf dem Server selbst.:eek: Die Gesamtstrukturfunktionsebene ist Windows 2000. Ich weiß.. Die Gesamtstrukturfunktionsebene Windows 2000 führt die Änderung einer Gruppenmidgliedschaft zur Replikation des gesamten member-Mehrwertattributs der Gruppe. Es erhöht den Replikationsdaten Verkehr im Netzwerk was zur potenziellen Verlust von Mitgliedschaftsaktualisierungen führen kann wenn eine Gruppe auf mehreren DC´s gleichzeitig geändert wird.. Kann es sein ? Nach so viel Zeit ? :confused: Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Bonjour, Die Gesamtstrukturfunktionsebene ist Windows 2000. Ich weiß.. dann ändere das doch wenn du es "weißt". Die Gesamtstrukturfunktionsebene Windows 2000 führt die Änderung einer Gruppenmidgliedschaft zur Replikation des gesamten member-Mehrwertattributs der Gruppe. Genau. Denn die Linked Value Replication (LVR) funktioniert erst ab der Gesamtstrukturebene "Windows Server 2003". LDAP://Yusufs.Directory.Blog/ - Die Linked Value Replikation (LVR) Es erhöht den Replikationsdaten Verkehr im Netzwerk Ja, im Gegensatz zur LVR stimmt das sehr wohl. was zur potenziellen Verlust von Mitgliedschaftsaktualisierungen führen kann wenn eine Gruppe auf mehreren DC´s gleichzeitig geändert wird.. Das stimmt so nicht. Wenn ein Attribut auf zwei DCs gleichzeitig verändert wird, entsteht ein Replikationskonflikt und das AD löst diesen Konflikt folgendermaßen: LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt Kann es sein ? Nach so viel Zeit ? :confused: Deine Wahrnehmung trügt. Kontrolliere die AD-Replikation, nicht dass es dabei Probleme gibt. Wirf auch einen Blick in das Eventlog des DCs und führe DCDIAG aus. Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Habe mich darüber mit meinen Vorgesetzten unterhaltet Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Stimmt das: Wenn ich eine GPO erstelle setze ich einen Eintrag in die Registry, wenn ich die GPO wieder einfach entferne bzw. lösche dann wird keine Änderung In die Registry gesetzt ? Verstehe ich das Richtig ? Muss ich erst die GPO Einstellungen auf nicht konfiguriert setzten und erst dann kann ich es entfernen ? Zitieren Link zu diesem Kommentar
chirho 10 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Hallo. Das war mal so. Siehe hier: http://www.mcseboard.de/windows-forum-ms-backoffice-31/automatische-updates-ausgegraut-79809.html#post479704 Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Danke :) Habe noch was .. wo ich Hilfe brauche :) DCDIAG sagt: Starting test: NCSecDesc Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=ForestDnsZones,DC= … ,DC=… Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=DomainDnsZones,DC=… ,DC=… ......................... DC02 hat den Test NCSecDesc nicht bestanden. Es sollte irgendwas mit DNS repl. Sein laut faq-o-matic.net Domänencontroller mit DCDIAG prüfen Wie kann ich das wieder in Ordnung bringen ? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Starting test: NCSecDesc Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=ForestDnsZones,DC= … ,DC=… Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=DomainDnsZones,DC=… ,DC=… ......................... DC02 hat den Test NCSecDesc nicht bestanden Das DCDIAG ab Windows Server 2008 bringt bei dem NCSecDesc-Test den Fehler, wenn der Befehl ADPREP /RODCPREP noch nicht ausgeführt wurde. Dieser Test prüft, ob der Security Descriptor der genannten Verzeichnispartitionen, in dem Fall die beiden Anwendungsverzeichnispartitionen "DomainDNSZones" sowie "ForestDNSZones", über die entsprechenden Berechtigungen für die Replikation verfügen. Der Fehler zeigt an, dass die Gruppe "NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION" keine Zugriffsberechtigung auf die Replikation der Verzeichnisänderungen für die genannten Verzeichnispartitionen besitzt. Wenn du also *nicht* planst einen RODC in der Gesamtstruktur zu installieren, kannst du diesen "Fehler" getrost ignorieren. Aber wenn du doch einen RODC in der Gesamtstruktur installieren möchtest, führe das ADPREP /RODCPREP von der "Windows Server 2008 DVD" aus, denn damit verschwindet dann auch dieser Fehler. Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Das nennt man Community Support :) Danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.