Jump to content

W2k3 Domain entfernen eines W2k DCs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Ich habe eine Windows Server 2003 Std Domain.

1. DC ist ein W2k Server. Der Win 2k3 Server wurde mit dcpromo zum DC gemacht, Schema wurde erweitert. Soweit scheint alles zu funktionieren.

DHCP und DNS Server wurden auf dem alten Server deaktiviert und auf dem neuen manuell neu eingerichtet (sind nur 15 Clients)

 

Nun habe ich einige Fragen.

 

Ich habe in Active Directory Standorte und Dienste am neuen Server die Betriebsmaster Einstellungen bereits auf den neuen gesetzt.

 

1.)Muss noch etwas übertragen werden, bevor ich den Server mit DCPROMO aus der Domain nehme?

 

2.)Was ist noch zu tun wenn ich den Win 2000 Server abschalten will?

 

3.) Derzeit kann ich am neuen Server keine Domainsicherheitsrichtlinien bearbeiten. Ich bekomme eine Fehlermeldung beim Aufruf von dompol.msc

Dass die Domäne nicht gefunden wird oder die Verbindung nicht Aufgebaut werden kann. (Der obere Bereich der Meldung besagt dass möglicherweise die Rechte nicht ausreichen) Das Konto unter dem ich es versuche ist eine Kopie des Domainadministrators und hat die gleichen Rechte.

Man hat nur ein extra Konto gewählt damit man auseinanderhalten kann wer was gemacht hat.

 

4.) Der Grund warum ich in die Domainpolicy will:

Ein Kopierer kann nicht per SMB Scan auf eine Freigabe Scannen, auch nicht wenn man das Domain Administrator Konto angibt. Meldung besagt was von Anmeldefehler. Ich habe inzwischen ergoogelt, dass ich in der Domain Policy etwas aktivieren Muss.

 

Gibt es weitere Gründe warum ein Kopierer nicht auf einen DC scannen kann?

Windows Firewall ist aus.

 

Am alten Server kann ich die domainpolicy bearbeiten.

 

mfg

 

Aehrfoordt

bearbeitet von Aehrfoordt
aktualisiert, Verwechslung dompol & dcpol berichtigt
Link zu diesem Kommentar

Bonjour,

 

Ich habe in Active Directory Standorte und Dienste am neuen Server die Betriebsmaster Einstellungen bereits auf den neuen gesetzt.

 

du meinst wohl, dass du in "Standorte und -Dienste" auf dem 2003er DC den globalen Katalog aktiviert hast.

 

LDAP://Yusufs.Directory.Blog/ - Globaler Katalog (Global Catalog - GC)

 

 

Du solltest noch die FSMO-Rollen auf den neuen DC verschieben:

 

LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

 

1.)Muss noch etwas übertragen werden, bevor ich den Server mit DCPROMO aus der Domain nehme?

 

Alle Dienste (evtl. Netzwerkapplikationen) die sonst noch auf dem DC laufen, müssen auf den neuen DC verschoben werden. Weiterhin verschiebe die Daten sowie Drucker auf den neuen DC und konfiguriere ggf. das LoginSkript dementsprechend.

 

Siehe auch:

LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

 

2.)Was ist noch zu tun wenn ich den Win 2000 Server abschalten will?

 

Na alles von dem 2000er DC zu übernehmen, damit der Betrieb weiterhin gewährleistet ist. Wenn du der Meinung bist das alles übernommen wurde, kannst du ja den "alten" DC für eine Woche ausschalten und wenn keiner der Benutzer schreit, schaltest du den DC wieder an und stuft diesen mit DCPROMO zum Mitgliedsserver herunter.

 

Man hat nur ein extra Konto gewählt damit man auseinanderhalten kann wer was gemacht hat.

 

Dann versuche es doch einmal mit dem "echten" Domänen-Administrator und kontrolliere ob es erneut auftritt. Ansonsten kontrolliere das DNS und werfe einen Blick ins Eventlog.

 

4.) Gibt es weitere Gründe warum ein Kopierer nicht auf einen DC scannen kann?

 

Je nachdem wie intelligent diese Geräte sind, kann es hierbei zu Problemen bei der Authentifizierung am AD kommen (wie es bei dir der Fall ist). Für solche Fälle kann man das "abgespeckte" AD Namens ADAM bzw. AD LDS verwenden.

 

Siehe auch:

 

faq-o-matic.net Adam und Eva

Link zu diesem Kommentar
  • 2 Monate später...

Hallo,

 

Aktueller Stand:

 

FSMO Rollen konnten erfolgreich übertragen werden, dies konnte ich auch mit einem cmd Tool hinterher abfragen.

 

Heruntergefahren war der alte Server schon öfter, kein Benutzer hat etwas vermisst. DNS und DHCP hatte ich auf dem neuen Server händisch neu eingerichtet und am alten bereits deaktiviert.

 

Jetzt kann ich das EFS Zertifikat nur ohne privaten Schlüssel exportieren.

Woran kann das liegen? Der 2000er Server meint, der private Schlüssel wurde nicht gefunden. Auch als der jenige welche unvergleichliche Domainadministrator ändert sich daran nichts.

 

EFS wird nicht genutzt, ich habe aber gelesen, dass der Schlüssel und das Zertifikat trotzdem exportiert werden sollen.

 

Es gibt am alten Server jetzt Event Einträge:

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 12.10.2009

Zeit: 16:39:50

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: SRV-XXX-01

Beschreibung:

Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

 

 

ist das schlimm?

 

Der neue meldet dieses:

 

Ereignistyp: Fehler

Ereignisquelle: DNS

Ereigniskategorie: Keine

Ereigniskennung: 4004

Datum: 09.09.2009

Zeit: 07:08:23

Benutzer: Nicht zutreffend

Computer: xxx-SERVER

Beschreibung:

Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "xxx-nd.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

Daten:

0000: 2a 23 00 00 *#..

 

 

mfg

 

Aehrfoordt

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...