FSMO-Rollenverteilung

[angel_77 10]

Hallo zusammen,

 

weiß jemand zufällig, ob man eine bestimmte FSMO-Rolle nicht öfters hin und her übertragen darf? Gibt es da Probleme?

 

Und die andere Frage wäre in wie weit man die Rollen in einem bestehenden System ohne Probleme übertragen kann!

 

Die Situation ist folgende:

DC1= Schema, RID, Infra

DC2= Domänenmaster, PDC

 

Das das keinen Sinn macht, ist mir schon bewußt, die Domäne bestand schon so. Allerdings wäre es jetzt sinnvoll da was zu ändern. Es gibt hier in der Domäne Probleme mit den Kennwortänderungen (...Kennwort wird gesperrt nach Kennwortneueingabe).

Das könnte doch evtl. am PDC liegen oder?

 

Mein Vorschlag wäre:

DC1= Schema, Domänenmaster

DC2= PDC, RID Infrastruktur

 

Ok, würde mich über zahlreiche antworten freuen.

[grizzly999 11]

Eine "Limitierung" ist mir nicht bekannt. Da Übertragen ist kein Problem. manche Rollen sind gerne auf dem selben Rechner oder nahe beieinander, ist aber kein technisches Muss!

FSMO placement and optimization on Active Directory domain controllers

 

Das mit dem gesperrten Kennwort dürfte nicht unbedingt mit em PDC-Emulator zusammenhängen, und du meinst da wohl, "onto wirde gesperrt", nicht "KEnnwort wird gesperrt".

 

Kannst du das Problem genauer schildern? Ist das Logging für fehlgschlagene Anmeldeversuche auf den DCs an, dann sollte im Log ersichtlich sein, von wo die fehlgeschlagenen Versuche kommen

 

 

grizzly999

[woiza 10]

Habt ihr ne Singledomain? Das Verschieben der Rollen ist kein Problem, wenn der Server, von dem verschoben wird noch aktiv ist und mitbekommt, dass er die Rolle abgeben muss.

 

Schwierig wird es nur, wenn z.B. der RID aus ist, die Rolle mit "seize" von einem anderen übernommen wird und dann der alte RID wieder online geht.

 

Gruß

 

woiza

[angel_77 10]

Also, ich habe mir das Ereignisprotokoll nun nochmal genau angeschaut! Bin erst seit kurzer Zeit hier und habe bisher zwar das Problem schon öfters geschildert bekommen, aber so richtig nachvollziehen konnte ich es nicht. Und wie es der Zufall will, heute morgen passiert es mir selber, ich also sofort in das Ereignisprotokoll rein.

Der Vorgang ist folgender:

Der User meldet sich morgens an und es kommt der Hinweis: Das Kennwort läuft in ... Tagen ab, wollen Sie es ändern? Man bestätigt dies mit ja und kann auch ohne Probleme das Kennwort ändern. Der Eintrag im Ereignisprotokoll ist auch als Erfolgreich eingetragen. Ca 45 Minuten später, mal will z.B. ins Internet, will er ein Kennwort! Das bedeutet Konto gesperrt. Bin auch sofort ins Benutzerkonto und so war es auch: Konto gesperrt!

Wieder rein ins Ereignisprotokoll: Ereignis-ID 675 Benutzer: NT-Autorität\System , Dienstname: krbtgt ID: "Die ID des PCs auf dem der User versucht hat sich anzumelden".

2. Eintrag: Fehlgeschlagene Anfrage auf Dienstticket.

Die Anmeldung findet ja auf dem 1.DC statt, der PDC liegt auf dem 2.DC! Die Replikation ist i.o.

 

Achja, noch als Hinweis: Wenn man das Kennwort ändert und dann gleich einen Neustart durchführt, umgeht man das Problem wohl ?!?!

 

Das ganze Problem besteht, seit dem ein Domaincontroller sich verabschiedet hat. Es gab wohl große Probleme bei wieder einbinden des Neuen.

 

Gruß

[lextor 10]

>>>>Das ganze Problem besteht, seit dem ein Domaincontroller sich verabschiedet hat. Es gab wohl große Probleme bei wieder einbinden des Neuen.<<<<

 

Wenn sich ein DC verabschiedet (d.h. du hast nicht die Möglichkeit die Rollen rückzuübertragen sowie den DC runterzustufen) müssen die metadaten aus dem AD gelöscht werden!

Das kannst du mit "ntdsutil: metadata cleanup" machen. Einfaches Löschen des Objekts

bringt Ärger. Das anschließende Übertragen mit seize ist unproblematisch.