Zweiter Domänencontroller

[Damian 765]

Hallo

 

Ich habe ein Server-Prob, mit dem ich mich jetzt schon über 2 Wochen herumschlage. Allmählich gehen mir die Ideen aus!

 

Ein bestehender W2k-DC soll ersetzt werden. Geplant war ein zweiter DC in der Domäne, ADS-Replikation, Datenübernahme, Betriebsmasterfunktionen übergeben usw.

 

Das Problem: der zweite Memberserver läßt sich nicht zum DC hochstufen.

Meldung: Computerkonto kann nicht geändert werden, "Zugriff verweigert", das GÜLTIGE Admin-Konto für die Domäne wird NICHT akzeptiert!

 

Ich hab inzwischen alle möglichen Einstellungen überprüft; DNS, Gruppenmitgliedschaft des Admins (Schema-Admin, Richtlinien-Ersteller usw), Zugriffsrechte - nix funktioniert.

 

Beim Versuch, ein anderes Konto mit dem Status "für Delegierungszwecke vertrauen" in der Domänencontroller-Richtlinie einzurichten, bekomme ich mit dem Admin-Account keinen Zugriff.

Meldung: Der Netzwerknamen des Servers wurde nicht gefunden

 

Dabei funktioniert die Kiste im Netzwerk einwandfrei. Der Server wird erkannt und alle Datenzugriffe arbeiten.

 

Ich kapier das einfach nicht. Ist die ADS-Datenbank beschädigt oder bin ich einfach nur zu dusselig?

 

Wer hat schon einmal ähnliche Probleme gehabt oder kann mir irgendeinen Tip geben. Ich probier alles aus!

Für die Cracks: ich habe Kopien von DCPROMO.LOG und DCPROMOUI.LOG beigelegt.

 

Hilfeeeee!

 

Damian

logs.zip

[networker31 10]

Mla probiert, dem zukünftigen DC einen anderen netbios namen zu geben ?

 

Dann alle alten Sachen bez. dem Server aus AD löschen:

Computerkonto, DNS-Einträge, DHCP-Leases,usw.

 

Dann nochmal an die Domäne bringen, als dom-admin anmelden und dcpromo ausführen.

 

Vorher aber natürlich die einträge bez. dns usw. nicht vergessen !!!!

[Damian 765]

Hab ich auch schon probiert - es funzt nicht. :mad:

 

Gibt es ein Tool, dass Fehler in der Systemkonfiguration (ADS, Default Policy) erkennt und eventuell reparieren kann?

 

Was ist mit diesem NTDSUTIL in den Support-Tools? Ich habs noch nie ausprobiert.

 

Damian

[real_tarantoga 11]

Du meinst während des ausführens von dcpromo?

Dort wird ja NICHT das Adminpasswort abgefragt, sondern das Passwort, mit welchem das ADS auf dem Master installiert wurde!? Aber ich vermute, das weisst DU ;).

Ich wollte es nur erwähnt haben, weil ich einen ähnlichen fall kenne und immer versucht habe, mich mit mit dem administratorkonto im dcpromo zu authorisieren :rolleyes:

 

Aber: Ich Greenhorn - Ihr Profis :D

[marka 579]

Ich hatte auch schon daran gedacht, dass es das Passwort sein muß, und zwar das, was mein beim DC-Promo bei der Erstinstallation der Dom. angegeben hat (Passwort für die Verzeichnisdienstwiederherstellung, oder so).

Da wir hier aber in der Schule immer einheitliche Passwörter verwenden (Ist halt 'ne Art Dauertest- und -fummelumgebung), kann man das ja nicht mehr trennen, so im Nachhinein. Mache mich aber noch mal schlau!

[Damian 765]

Moment mal..das Original-Passwort?

 

Da habt ihr mich jetzt aber kalt erwischt, diese Möglichkeit habe ich noch garnicht berücksichtigt. :eek:

 

Das nächste Problem: wo treibe ich den Typen auf, der das Teil installiert hat? Ist natürlich nicht dokumentiert. :(

 

Na ja, immerhin ein weiterer Hoffnungsschimmer. Mal schauen, was sich da machen läßt.

 

Erst mal vielen Dank für eure Hilfe.

 

Damian

[marka 579]

Original geschrieben von Damian

...Das nächste Problem: wo treibe ich den Typen auf, der das Teil installiert hat? Ist natürlich nicht dokumentiert. :(

...

 

Das nächste Problem: Wenn Du den AD-Erstinstaller auftreiben kannst, muß er sich an's Passwort erinnern!

 

Es lebe der Admin, der eine gute Doku erstellt hat!

[Damian 765]

Original geschrieben von marka

 

 

Es lebe der Admin, der eine gute Doku erstellt hat! [/b]

 

Und das ist nichts als die reine Wahrheit! :D

 

Damian

[marka 579]

HaHa, wohl Bohlen gelesen, oder? :D

[real_tarantoga 11]

Probier mal Kubi! Hast Du sicher irgendwo :rolleyes:

Lass es über Nacht laufen. vielleicht kann es auch das ad-pwd auslesen!

 

All You need is Hope! ;)

[Damian 765]

@ marka

Nee, den Bohlen hab ich nicht gelesen. Immer wenn ich den Typ reden höre, möchte ich am liebsten die Hälfte meines Hirns wegschmeißen und in die Showbranche wechseln.

 

@ real_tarantoga

Diese Tool kenne ich noch nicht. Mal sehen, was es kann.

 

Ich hoffe, ab nächsten Montag läuft alles ein bißchen runder. Das MCSEBOARD gefällt mir immer besser. Gibt es schon Überlegungen, aus den ganzen Tips und Ratschlägen eine FAQ-Sammlung zu machen?

 

Have a nice weekend!

 

Damian

[real_tarantoga 11]

get it here:

 

http://www.kubi.net

 

Danke, gleichfalls gutes Wo.ende!

[tha_sun 10]

Bereits

 

- dcdiag /fix

 

und

 

- netdiag /fix

 

aus den MS Support Tools gecheckt? Triviale DC- und LAN-Probleme können durch simples Starten der beiden tools gelöst werden.

 

trivial..... natürlich nur im Sinne von M$ ;)

[networker31 10]

Original geschrieben von real_tarantoga

get it here:

 

http://www.kubi.net

 

 

 

Vorsicht mit solchen links zu Hacker oder Passwort-Crackern !!!

 

Ich frag mich, wie die Domäne administriert wird, wenn kein Passwort vom Admin bekannt ist ???

[real_tarantoga 11]

@networker31

 

Dieser link ist ganz legal, das unternehmen sehr seriös - und in jedes gute revision- & ip security-training gehört das dazu. sorry, das konnte ich hier nicht so stehen lassen! dies ist 'ne ernste anschuldigung! aber ich denke mal, das war nur gut gemeint. ;)

 

schau dir die seite an und lies bei heise darüber. da ist rein garnichts anrüchiges an dem programm! du musst erst mal admin gewesen sein, um es überhaupt installieren zu können.

 

Die hacker-gruppe l0pht hat - gerade für den bereich sicherheit bei ms produkten - viel bewegt! und das tool Kubi wird seid einigen jahren von @stake vertrieben.