Jump to content

Domain Controller neu installieren Wie bleibt er Master?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

In unserre Firma Befindet sich:

 

1. Domain-Server (Activ Directory und DNS ist installiert)

2. File-Server

3. Domain-Server (als Backup)

 

Betriebsystem ist Windows 2000 Server

 

Es müssen 60 User währenddessen weiterarbeiten können.

 

Jetzt muss ich den 1-ten Domain-Controller neu installieren da die GPO total verbogen ist und nur noch macken macht.Außerdem kann ich auf ihm weder das SP4 noch Sicherheitspatches einspielen.

 

Wie gehe ich am besten vor .

Kann ich den 1-ten Domain-Controller einfach herunterstufen neu instalieren und wieder in die Domäne hängen?

Danach möchte ich den 2-ten Domain-Controller neu installieren.

Damit die alten GPos beim replizieren nicht wieder übernommen werden.

 

Ist das so möglich?

Mir geht es eigentlich nur darum das die User weiter arbeiten können, und das der neu installierte Server später wieder die Master-Funktion übernimmt.Die GPO's möchte ich sowieso neu erstellen da Sie von vornherrein nicht richtig funktionierten.

(Die lieben möchte-gern-Admins)

 

Im voraus schon mal danke

Link zu diesem Kommentar

Hallo erstmal,

 

Nein, leider muss ich dich entaeuschen, deine beschriebene Vorgehensweise fuehrt nicht zum gewuenschten Ergebnis. :(

 

1. dein DC ist der wichtigste Rechner im Ring!!!

2. wenn Du den runterstufst ohne einen zweiten DC zu haben ist Deine Domäne weg (für immer!!) und Deine 60 User werden Dich nerven.

 

meine vorgehensweise wäre folgende:

 

1. den 2. Rechner mit allen Sp's unf HF's versehen zum DC hochstufen, FSMO's vom 1. DC übernehmen. ADS replizieren (Deine GPO's werden dabei natürlich übernommen - geht nicht anderst)

2. den ersten DC runterstufen, aus der Domäne nehmen und neu aufsetzen - analog zu 1

3. den neuen (1.DC) Rechner hochstufen und somit deine Domäne absichern.

3. GPO's in Ordnung bringen oder neu erstellen und die alten löschen

 

dabei koennten Deine User weiterarbeiten. Ansonsten sehe ich schwarz.

 

mfg

Link zu diesem Kommentar

Danke erst mal,

dann werde ich das wohl an einem Wochenende machen.

Kann ich denn dann den 1-ten Domain-Controller herabstufen ,ihn neu installieren, Active Directory und DNS aufspielen die User neu anlegen etc.

Oder muss ich dann mit Problemen rechnen.

Er soll ja den gleichen Domänen-Namen wieder haben und er soll die Master-Funktion beibehalten.

Also so wie zur Zeit nur eben komplett neu angelegt

 

 

Wär echt toll wenn mir Jemand helfen kann da ich schon sämtliche Foren durchsucht habe aber über diese Art von Problem nichts gefunden habe

(Vielleicht Denke ich auch nur zu kompliziert)

 

 

MfG

Link zu diesem Kommentar

Hallo

 

du mußt auf jedem Fall zuerst einen 2. DC ins Rennen bringen!!

Wenn dieser Rechner mit allen SP's und HF's läuft, dann mit dcpromo hochstufen.

Guckst Du hier....

http://support.microsoft.com/default.aspx?scid=kb;EN-US;238369

 

Dieser zweite (neue) DC muss dann alle!! Betriebsmasterrollen haben (--> ntdsutil) inkl. GC

 

Guckst Du hier....

http://support.microsoft.com/default.aspx?scid=kb;EN-US;255504

 

Wenn das der Fall ist dann steht Deine Domäne immernoch mit allen Usern, Computern,... dann NTBACKUP mit Systemstatus ausführen

Erst danach kannst Du den alten DC runterstufen (dcpromo) und komplett neu aufsetzen. Wenn er wieder läuft dann mit dcpromo hochstufen und die Betriebsmasterrolen wieder aufteilen.

z.B.

1. DC = Schemamaster, Domänenmaster und GC

2. DC = Infrastrukturmaster, PDC-Emulator, Rid-Master

(Wichtig bei 2 DC's muss GC und IM getrennt sein!)

 

 

Es ändert sich nichts an Deinen Benutzerkonten, an Deinem Domänennamen somit dürften sich keine Probleme ergeben.

 

good look

Link zu diesem Kommentar

Servus zusammen,

 

ich will ja nicht recht haben aber:

 

wenn Du wie freak04 rät den "alten DC" wieder frisch in die Domäne aufnimmst und via dcpromo zum DC hochstufst wird das Active Directory doch vom "zweiten DC" rüber repliziert, und damit natürlich auch die kaputten GPO's.

 

D.h. nach meiner Meinung (ich kann mich ja auch irren) bringt dieses Vorgehen nicht fiel, da das Resultat wieder der Ausgangszustand ist.

 

Sorry, aber du musst die GPO's irgendwie reparieren sonst sehe ich da keinen anderen Weg.

Außer evtl. ein Backup vom Systemstatus zurückspielen. D.h. eine "authorisierte Wiederherstellung", aber damit verlierst Du die zwischenzeitlichen Änderungen im AD und man sollte keinen Systemstatus nehmen der älter als max. 60 Tage ist (Tomb Stone).

 

Good luck

 

motzel

Link zu diesem Kommentar

Hallo Zusammen

 

Ich hatte ein ähnliches Problem, zwar von der Architektur her völlig anders aber letztendlich dieselbe Lösung.

 

Die Default Domain Policy war verknorxt d.h. die PC's konnten sich alle einloggen (auch keine Wartezeiten) aber bei jedem Rechner immer beim GPO Refresh ein sceclient-Fehler. Ursache ein verwaister Account. Leider war dieser nicht mehr zu rekonstruieren.

 

Mein Glück war, dass die DefaultDomain Policy GPO leer war und die Einstellungen wurden in einer zweiten GPO, welche hierarchisch direkt unter der DefaultDomainPolicy war definiert. Mit dem GPMC (Danke Grizzly99) habe ich dann die alte korrupte GPO entfernt.

 

Wenn Du keine (2.te) GPO hast für die Organisation, würde ich ne neue machen, diese parametrieren und die alte rausbüxen.

 

Die Lösung mit dem "hin-und herinstallieren" der DC's bringt nix wie dies Motzel auch erlärt. Die Fehler sind schon auf diesem Server repliziert

 

Ich würde der Ursache nach gehen und mit dem GPMC versuchen die GPO zu reparieren oder neu zu machen.

 

 

Gruss

 

 

Matthias

Link zu diesem Kommentar

Super, erst mal vielen Dank für die Hilfe.

Nur wie mache ich die GPO neu.

Kann man die neu anlegen und die alte löschen?

Wenn ja - wie?

Gibts da irgendwas auf der MS-Knowledge-Base?

 

 

MFG

 

(ich weiß, das sind viele fragen und einge werden die Hände über dem Kopf zusammenschlagen.Aber wenn man schon mal kompetente Ansprechpartner hat..........)

Link zu diesem Kommentar

Hallo

 

Das Tool sollte gemäss MS laufen ab:

Supported Operating Systems: Windows Server 2003, Windows XP

 

GPMC runs on Windows XP Professional SP1 and Windows Server 2003 computers and can manage Group Policy in either Windows 2000 or Windows Server 2003 domains.

For Windows XP Professional users, you must have the following installed prior to installing the GPMC:

Windows XP Service Pack 1

.NET Framework

Your domain controllers must be running Windows 2000 with Service Pack 2 or later. Windows 2000 Service Pack 3 is recommended. Domain controller(s) located in an external forest must have Windows 2000 Service Pack 3 or later installed if you will be accessing those domain controllers from a computer running GPMC, because GPMC requires signing and encryption of all LDAP communications. If do not have Service Pack 3 or later installed on the Windows 2000 domain controller(s) in an external forest, you can temporarily relax LDAP signing and encryption requirements by modifying the registry of the computer running GPMC, as described in Knowledge Base Article 325465.

When installing the GPMC on Windows XP Professional with SP1, GPMC Setup prompts you to install Windows XP QFE Q326469 if it is not already present. This QFE updates your version of gpedit.dll to version 5.1.2600.1186, which is required by GPMC. This QFE will be made available in Windows XP Service Pack 2.

If the language version of the GPMC doesn't match the language of your operating system, GPMC will not install the QFE. You will need to separately obtain and install this QFE. To obtain this QFE, please see Knowledge Base Article 326469.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...