Aehrfoordt 11 Geschrieben 23. Juli 2009 Melden Teilen Geschrieben 23. Juli 2009 (bearbeitet) Hallo, Ich habe eine Windows Server 2003 Std Domain. 1. DC ist ein W2k Server. Der Win 2k3 Server wurde mit dcpromo zum DC gemacht, Schema wurde erweitert. Soweit scheint alles zu funktionieren. DHCP und DNS Server wurden auf dem alten Server deaktiviert und auf dem neuen manuell neu eingerichtet (sind nur 15 Clients) Nun habe ich einige Fragen. Ich habe in Active Directory Standorte und Dienste am neuen Server die Betriebsmaster Einstellungen bereits auf den neuen gesetzt. 1.)Muss noch etwas übertragen werden, bevor ich den Server mit DCPROMO aus der Domain nehme? 2.)Was ist noch zu tun wenn ich den Win 2000 Server abschalten will? 3.) Derzeit kann ich am neuen Server keine Domainsicherheitsrichtlinien bearbeiten. Ich bekomme eine Fehlermeldung beim Aufruf von dompol.msc Dass die Domäne nicht gefunden wird oder die Verbindung nicht Aufgebaut werden kann. (Der obere Bereich der Meldung besagt dass möglicherweise die Rechte nicht ausreichen) Das Konto unter dem ich es versuche ist eine Kopie des Domainadministrators und hat die gleichen Rechte. Man hat nur ein extra Konto gewählt damit man auseinanderhalten kann wer was gemacht hat. 4.) Der Grund warum ich in die Domainpolicy will: Ein Kopierer kann nicht per SMB Scan auf eine Freigabe Scannen, auch nicht wenn man das Domain Administrator Konto angibt. Meldung besagt was von Anmeldefehler. Ich habe inzwischen ergoogelt, dass ich in der Domain Policy etwas aktivieren Muss. Gibt es weitere Gründe warum ein Kopierer nicht auf einen DC scannen kann? Windows Firewall ist aus. Am alten Server kann ich die domainpolicy bearbeiten. mfg Aehrfoordt bearbeitet 23. Juli 2009 von Aehrfoordt aktualisiert, Verwechslung dompol & dcpol berichtigt Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. Juli 2009 Melden Teilen Geschrieben 23. Juli 2009 Bonjour, Ich habe in Active Directory Standorte und Dienste am neuen Server die Betriebsmaster Einstellungen bereits auf den neuen gesetzt. du meinst wohl, dass du in "Standorte und -Dienste" auf dem 2003er DC den globalen Katalog aktiviert hast. LDAP://Yusufs.Directory.Blog/ - Globaler Katalog (Global Catalog - GC) Du solltest noch die FSMO-Rollen auf den neuen DC verschieben: LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben 1.)Muss noch etwas übertragen werden, bevor ich den Server mit DCPROMO aus der Domain nehme? Alle Dienste (evtl. Netzwerkapplikationen) die sonst noch auf dem DC laufen, müssen auf den neuen DC verschoben werden. Weiterhin verschiebe die Daten sowie Drucker auf den neuen DC und konfiguriere ggf. das LoginSkript dementsprechend. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen 2.)Was ist noch zu tun wenn ich den Win 2000 Server abschalten will? Na alles von dem 2000er DC zu übernehmen, damit der Betrieb weiterhin gewährleistet ist. Wenn du der Meinung bist das alles übernommen wurde, kannst du ja den "alten" DC für eine Woche ausschalten und wenn keiner der Benutzer schreit, schaltest du den DC wieder an und stuft diesen mit DCPROMO zum Mitgliedsserver herunter. Man hat nur ein extra Konto gewählt damit man auseinanderhalten kann wer was gemacht hat. Dann versuche es doch einmal mit dem "echten" Domänen-Administrator und kontrolliere ob es erneut auftritt. Ansonsten kontrolliere das DNS und werfe einen Blick ins Eventlog. 4.) Gibt es weitere Gründe warum ein Kopierer nicht auf einen DC scannen kann? Je nachdem wie intelligent diese Geräte sind, kann es hierbei zu Problemen bei der Authentifizierung am AD kommen (wie es bei dir der Fall ist). Für solche Fälle kann man das "abgespeckte" AD Namens ADAM bzw. AD LDS verwenden. Siehe auch: faq-o-matic.net Adam und Eva Zitieren Link zu diesem Kommentar
Aehrfoordt 11 Geschrieben 12. Oktober 2009 Autor Melden Teilen Geschrieben 12. Oktober 2009 Hallo, Aktueller Stand: FSMO Rollen konnten erfolgreich übertragen werden, dies konnte ich auch mit einem cmd Tool hinterher abfragen. Heruntergefahren war der alte Server schon öfter, kein Benutzer hat etwas vermisst. DNS und DHCP hatte ich auf dem neuen Server händisch neu eingerichtet und am alten bereits deaktiviert. Jetzt kann ich das EFS Zertifikat nur ohne privaten Schlüssel exportieren. Woran kann das liegen? Der 2000er Server meint, der private Schlüssel wurde nicht gefunden. Auch als der jenige welche unvergleichliche Domainadministrator ändert sich daran nichts. EFS wird nicht genutzt, ich habe aber gelesen, dass der Schlüssel und das Zertifikat trotzdem exportiert werden sollen. Es gibt am alten Server jetzt Event Einträge: Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 12.10.2009 Zeit: 16:39:50 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SRV-XXX-01 Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. ist das schlimm? Der neue meldet dieses: Ereignistyp: Fehler Ereignisquelle: DNS Ereigniskategorie: Keine Ereigniskennung: 4004 Datum: 09.09.2009 Zeit: 07:08:23 Benutzer: Nicht zutreffend Computer: xxx-SERVER Beschreibung: Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "xxx-nd.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Daten: 0000: 2a 23 00 00 *#.. mfg Aehrfoordt Zitieren Link zu diesem Kommentar
Aehrfoordt 11 Geschrieben 12. Oktober 2009 Autor Melden Teilen Geschrieben 12. Oktober 2009 Noch was zu Adam: Ich habe mich ja sehr bemüht und alles laut Anleitung für meine Verhältnisse angepasst. Nun habe ich Fehlermeldung bei der Verarbeitung der XML Konfigurationsdatei. Wie müsste diese Aussehen wenn ich dem Kopierer einfach nur ermöglichen will die Scandaten auf die Platte zu schreiben? mfg Aehrfoordt Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Bzgl. des Kopierers: Viele Kopierer können nicht mit bestimmten SMB-Signing-Einstellungen umgehen. Bemühe hierzu bitte die Boardsuche. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.