Jump to content

AD-Replikation

Juhdas

Von Juhdas
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben

hallo,

 

also ich möchte den gc von einer domäne zu einer anderen replizieren. die vertrauenstellungen sind eingerichtet etc.

 

ich verzichte komplett auf die built-in gruppen - das warum spielt dabei keine rolle! kann mir nun also jemand sagen welche benutzerrechte ich erteilen muss damit die replikation auch über die domaingrenzen hinweg funktioniert?

 

danke

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.795

Geschrieben
Geschrieben

Moin,

 

wenn die Domänen zum selben Forest gehören, replizieren sie den GC sowieso.

 

Also solltest du jetzt mal damit rausrücken, was du vorhast, wie deine Umgebung aussieht und auf welche konkreten Probleme du bislang gestoßen bist. Und doch, wenn es um die Replikation geht, kann es erheblichen Einfluss haben, mit welchen Berechtigungen du arbeitest, daher fragen wir nach sowas.

 

Gruß, Nils

PS. Im Übrigen wäre es nett, wenn du die Shift-Taste verwendest. Deine Tastatur hat extra zwei davon.

Link zu diesem Kommentar
Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

also ich habe zwei Domänen. Sie befinden sich nicht im gleichen Forrest. DIe Intra-Site-Replikation funktioniert bei beiden problemlos. Mein Problem ist die Inter-Site-Replikation. ICh bekomme die Fehlermeldung, dass meine Benutzerrechte nicht ausreichen (den genauen Wortlaut kann ich momentan leider nicht wiedergeben). Ich habe mit der Gruppenrichtlinienmodellierung auch schon so gut wie alles ausprobiert, scheine aber etwas falsch zu machen. Da ich, wie bereits beschrieben ohne die Built-In Gruppen arbeite habe ich nun Probleme nachzuvollziehen welche Rechte mir gegenbenenfalls noch fehlen, damit die Replikation auch zwischen den beiden Domänen läuft.

 

Danke :)

 

 

J.

 

PS: Diesmal sogar mit Shift-Taste ;) (ist nur mit dem Handy so schwer....)

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
Sie befinden sich nicht im gleichen Forrest.

 

Aha.. also zwei Gesamtstrukturen.

 

Mein Problem ist die Inter-Site-Replikation.

 

Nein, dein Problem ist nicht die Inter-Site AD-Replikation (zu deutsch: standortübergreifende AD-Replikation) die ausschließlich innerhalb einer Gesamtstruktur stattfindet und nicht zwischen zwei Gesamtstrukturen.

 

ICh bekomme die Fehlermeldung, dass meine Benutzerrechte nicht ausreichen (den genauen Wortlaut kann ich momentan leider nicht wiedergeben).

 

So so... dann erläutere doch mal was genau du konfiguriert hast und wie die Fehlermeldung exakt lautet.

 

... scheine aber etwas falsch zu machen.

 

... oder etwas nicht richtig verstanden zu haben. ;)

 

Da ich, wie bereits beschrieben ohne die Built-In Gruppen arbeite habe ich nun Probleme nachzuvollziehen welche Rechte mir gegenbenenfalls noch fehlen, damit die Replikation auch zwischen den beiden Domänen läuft.

 

Das funktioniert nicht. Eine AD-Replikation zwischen Gesamtstrukturen ist nicht möglich.

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
ich habe zwei Domains. Beide gehören zu einer Gesamtstruktur. Ich möchte nun die Replikation ohne die Built-In Gruppen durchführen.

 

Also deine Beschreibung passt immer noch nicht. Wenn zwei Domänen innerhalb einer Gsamtstrukturen existieren, sorgt das AD von ganz alleine für die AD-Replikation. Du musst also nichts im Idealfall (was der Regel entspricht) händisch zusätzlich konfigurieren, damit die AD-Replikation durchgeführt werden kann. Das AD repliziert "per Design" automatisch ohne das zutun des Admins.

 

Meine Frage also: welche Benutzerrechte benötige ich dafür?

 

Du musst das nochmals genauer erläutern. WAS wird nicht zwischen den Domänen repliziert und wie lautet exakt die Fehlermeldung (samt EventID)?

Link zu diesem Kommentar
Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben

Hallo, da ich anscheinend schon wieder etwas nich begriffen habe, möchte ich meine Frage nocheinmal anders formulieren.

 

Ein Benutzer, der nicht Mitglied der Standardgruppen „Administratoren, Domänen-Admins, Organisations-Admins“ ist, soll replizieren können, sowohl innerhalb der Domäne, aber auch zwischen 2 Domänen der gleichen Gesamtstruktur. Welche Rechte müssen wo gesetzt sein, damit dies möglich ist?

 

 

Gibt es nicht so etwas wie ne Übersicht über alle benötigten Benutzerrechte?

 

Danke

 

J.

 

 

PS: Ich hoffe ich habe diesmal nicht wieder alles durcheinander gebracht...

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
Hallo, da ich anscheinend schon wieder etwas nich begriffen habe, möchte ich meine Frage nocheinmal anders formulieren.

 

Sorry, aber man merkt dir schon an, dass bei dir noch eine Wissenslücke diesbezüglich existiert.

 

Ein Benutzer, der nicht Mitglied der Standardgruppen „Administratoren, Domänen-Admins, Organisations-Admins“ ist, soll replizieren können, sowohl innerhalb der Domäne, aber auch zwischen 2 Domänen der gleichen Gesamtstruktur. Welche Rechte müssen wo gesetzt sein, damit dies möglich ist?

 

1. Was soll denn der Benutzer genau ausführen können und welche Daten sollen repliziert werden? Denn wie ich bereits in meiner vorherigen Antwort geschrieben hatte, die AD-Replikation findet automatisch "by Design" von ganz alleine statt.

2. Warum soll überhaupt ein Benutzer Hand an die AD-Replikation legen? Denn wenn man nicht weiß was man tut, kann man sich die AD-Replikation auch schnell lahm legen und damit sich viel mehr Probleme ins Haus holen.

 

Gibt es nicht so etwas wie ne Übersicht über alle benötigten Benutzerrechte?

 

Doch, die gibt es. Man kann einem Benutzer das Recht delegieren eine Replikation anzustoßen. Aber wozu das ganze Geweih? Die AD-Replikation ist ein robuster Vorgang und repliziert von ganz alleine und macht das sehr gut. Wenn es also ein Problem mit der AD-Replikation gibt, dann sollte man die lösen und nicht versuchen drumherum zu basteln.

 

PS: Ich hoffe ich habe diesmal nicht wieder alles durcheinander gebracht...

 

Leider immer noch...

Link zu diesem Kommentar
Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben

also anscheinend verstehe ich so einiges noch nicht zu 100%, aber ich habe auch das Gefühl, dass Ihr mich nicht recht versteht.

 

ich habe beim Anlegen meines AD auf die Built-In Gruppen verzichtet und eigene erstellt. Diesen habe ich dann die entsprechenden Rollen zugewiesen, die ich als angebracht erachtet habe, z.B. Print-Ops, Domain-Admin etc...!

 

"Ein Benutzer, der nicht Mitglied der Standardgruppen „Administratoren, Domänen-Admins, Organisations-Admins“ ist, soll replizieren können, sowohl innerhalb der Domäne, aber auch zwischen 2 Domänen der gleichen Gesamtstruktur. Welche Rechte müssen wo gesetzt sein, damit dies möglich ist?"

 

Ich kann es momentan leider nicht genauer wiedergeben, ich werde aber versuchen da mein Verständnis zu verbessern.

 

Könntet Ihr dennoch so freundlich sein, und mir zeigen wo und was ich ggf. anklicken muss, damit ich einem user die entsprechenden Rechte zuweisen kann?

 

danke

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
also anscheinend verstehe ich so einiges noch nicht zu 100%

 

Da könnte etwas dran sein. ;)

 

aber ich habe auch das Gefühl, dass Ihr mich nicht recht versteht.

 

Das stimmt auch. Aber das liegt zum einen daran das du uns bisher nur schwer vermittelst was der Sinn des ganzen ist und zum anderen, du uns immer noch nicht erklärt hast warum du einem Benutzer das Recht geben möchtest eine AD-Replikation durchzuführen.

 

ich habe beim Anlegen meines AD auf die Built-In Gruppen verzichtet und eigene erstellt.Diesen habe ich dann die entsprechenden Rollen zugewiesen, die ich als angebracht erachtet habe, z.B. Print-Ops, Domain-Admin etc...!

 

Du bist dir hoffentlich auch sicher bei dem was du tust.

 

Könntet Ihr dennoch so freundlich sein, und mir zeigen wo und was ich ggf. anklicken muss, damit ich einem user die entsprechenden Rechte zuweisen kann?

 

Dann installiere dir die Windows Support Tools und rufe das ADSIEdit auf. Danach verbindest du dich mit allen Verzeichnispartitionen, inklusive der beiden DNS-Partitionen (DomainDNSZones und ForestDNSZones). In den Eigenschaften der jeweiligen Verzeichnispartition fügst du deinen Benutzer im Reiter Sicherheit hinzu und erteilst ihm in den Berechtigung die entsprechenden Rechte.

 

Uns was das Lesen anbetrifft, lies dich durch diese beiden Whitepapaer durch:

 

https://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739-cb1fb22a0642&DisplayLang=en

 

 

Aber nochmals: Man sollte nur Hand anlegen, wenn man weiß was man tut.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...