Garant 3 Geschrieben 10. April Melden Teilen Geschrieben 10. April (bearbeitet) Hallo zusammen, ich wollte einen neuen Server zu einem Domänen-Controller heraufstufen. Leider erhalte ich bei der Vorabüberprüfung durch den Assistenten folgende Fehlermeldung: Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Ich habe jetzt etwas recherchiert und festgestellt, dass in der Default Domain Controller Policy folgendes (nicht) konfiguriert ist. Ich vermute hier die Wurzel allen Übels, kann mir aber nicht erklären, warum da nichts hinterlegt ist. Was für eine Gruppe müsste hier korrekterweise konfiguriert sein? Es gibt bei uns keine "besonderen" Konfigurationen. Administratoren? bearbeitet 10. April von Garant Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 10. April Melden Teilen Geschrieben 10. April Welchen Stand / welches OS haben die vorhandenen DC, welchen Forest und Domain Level hat das ganze? Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April Moin, ich habe noch einen Server 2012 R2, den ich gerne jetzt ersetzen möchte bzw. auch muss. :) Die restlichen DCs sind alle Server 2016. DomainMode : Windows2012R2Domain ForestMode : Windows2012R2Forest Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 10. April Melden Teilen Geschrieben 10. April Ist der neue Server (VM) schon Member der Domain? Muss nicht zwingend so sein, habe ich aber schon gehabt IPv4 ist statisch und korrekt, IPv6 nicht disabled und die Uhrezit stimmt? Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 10. April Melden Teilen Geschrieben 10. April Wurde die Default Domain Controllers Policy verändert? Die muss in der Domin Controller-OU verknüpft sein und deren Einstellungen unterscheiden sich teilweise von normalen Servern und und Clients/Usern. Wenn man dort was ändert, muss man genau wissen, was man macht. Siehe: https://www.vkernel.ro/blog/enable-computer-and-user-accounts-to-be-trusted-for-delegation und https://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default-richtlinien Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 10. April Melden Teilen Geschrieben 10. April vor 2 Stunden schrieb Garant: Ich vermute hier die Wurzel allen Übels, kann mir aber nicht erklären, warum da nichts hinterlegt ist. Was für eine Gruppe müsste hier korrekterweise konfiguriert sein? In der Default Domain Controllers Policy steht da per Default die Gruppe "Administratoren" drin. 1 Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April vor 27 Minuten schrieb Nobbyaushb: Ist der neue Server (VM) schon Member der Domain? Muss nicht zwingend so sein, habe ich aber schon gehabt IPv4 ist statisch und korrekt, IPv6 nicht disabled und die Uhrezit stimmt? Hi, er war erst kein Member, da trat der Fehler auf. Dann habe ich diesen testweise als Member hinzugefügt, selber Fehler. IPv4 und Co sowie Uhrzeit passt. vor 17 Minuten schrieb NorbertFe: In der Default Domain Controllers Policy steht da per Default die Gruppe "Administratoren" drin. Das heißt ich sollte in der DDCP mal die Gruppe Administratoren hinzufügen? Schiefgehen sollte dabei ja nichts, oder? Zitieren Link zu diesem Kommentar
Beste Lösung Nobbyaushb 1.362 Geschrieben 10. April Beste Lösung Melden Teilen Geschrieben 10. April vor 16 Minuten schrieb Garant: Das heißt ich sollte in der DDCP mal die Gruppe Administratoren hinzufügen? Schiefgehen sollte dabei ja nichts, oder? Eigentlich nicht - wie viele DC gibt es denn insgesamt? Habe jetzt drei Stück rausgelesen, 1* 2012R2 und 2* 2016 Replikation abwarten oder erzwingen repadmin /syncall /force (denke ich..) Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April 8 Stück Ich füge das mal hinzu und gebe Rückmeldung. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 10. April Melden Teilen Geschrieben 10. April vor 1 Minute schrieb Garant: 8 Stück Ich füge das mal hinzu und gebe Rückmeldung. ? Wie groß ist denn die Umgebung? 1 Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April ca. 700 User, aber auf vers. Standorte aufgeteilt. An einem Standort steht noch der 2012 R2, der soll ersetzt werden und dann wollte ich DFL anheben. Warum? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 10. April Melden Teilen Geschrieben 10. April Also hast du an jedem Standort einen DC - und am Hauptstandort 2 nehme ich an Macht sieben Standorte Nur für mich und aus Interesse - habe schon Umgebungen von 1500 Usern mit nur 2 DC gesehen... Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April Ich habe im HQ zwei DCs, korrekt und an 'größeren' Standorten einen eigenen DC. Manche Standorte haben keinen Domain-Controller. Habe die GPO angepasst und konnte jetzt erfolgreich den neuen DC promoten. Vielen Dank dafür und allen einen schönen Feierabend! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.362 Geschrieben 10. April Melden Teilen Geschrieben 10. April Danke für Rückmeldung! Und NorbertFe müsste ein Sternchen bekommen, er konnte nachsehen... Weiterhin viel Erfolg, Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.