Christoph35

Hallo zusammen! So, nachdem MS sich immer noch Zeit lässt, eine Lösung zu präsentieren, habe ich das ganze jetzt selbst mal nachgebaut, so wie wir es in der Prod.Domain gemacht haben. 3 NT Domains, davon 2 auf 2003 AD upgegraded mit temp. DCs, die ich auf 2003 aktualisiert habe. Die 3. Domain werde ich auch bald upgraden. In dieser Testumgebung habe ich das gleiche Problem :schreck: Zugriff eines Users aus B über universelle Gruppen in A auf eine Ressource in A: access denied. Zugriff eines Users aus B über domain local Gruppen in A auf eine Ressource in A: access granted. Zugriff eines Users aus A über eine universelle Gruppe in B auf eine Ressource in B: access granted Zugriff eines Users aus A über DL Gruppen in B auf eine Ressource in B: access granted Scheint tatsächlich irgendwie an der Migration zu liegen.... Ich werde mal in meiner Test Domain weiter probieren, und entsprechend weiter berichten. Christoph

Hi, wenn schon mehrere eigenständige Forests vorhanden sind, wirst Du um eine Migration nicht herumkommen. Am besten fängst Du mit einer jungfräulichen Forest Root an und migrierst alle anderen Strukturen in SubDomains des neuen Forests (mit ADMT). Das dürfte die sauberste Lösung sein. Christoph

Hmm, vielleicht solltest Du mal checken, ob im DNS noch alles korrekt konfiguriert ist, alle SRV Records vorhanden sind, oder ob da veraltete, nicht mehr korrekte SRV-, A- oder NS- Einträge für DCs vorhanden sind etc. Christoph

Schon oft hier im Board angefragt worden. Such auch mal nach DoubleTake oder NeverFail. Christoph

Hi, MCSA+M bist Du erst, wenn Du auch die 70-270 bestanden hast. Und den MCSE+M (spricht die 285) würde ich auch noch mitnehmen, wenn Du schon den MCSA+M machst. Die 285 ist dann nicht mehr so schwer. Christoph

Wenn der Forest Level W2K3 native ist, kann man Domains umbenennen und ggf. an eine andere Stelle im Forest verschieben. Was nicht geht, ist die ForestRoot Domain zu verschieben. Einmal Forest Root, immer Forest Root. Das ist aber nichts was man mal so zwischen Tür und Angel macht :wink2: . Ich musste das zum Glück noch nicht machen. Aber testen könnte man sowas ja mal in einer virtuellen Umgebung. Kannst ja mal hier schauen. Christoph

Das hoffe ich auch ;), aber wg. des von mir verlinkten Threads dachte ich halt, ich weise rein vorsichtshalber mal darauf hin. Und nun kann hier von mir aus dicht gemacht werden :D Christoph

Auf diesen Thread: http://www.mcseboard.de/showthread.php?t=84285 Hat also m.E. nach schon, wenn auch nur indirekt, etwas mit der Frage zu tun. Christoph

Hi, also, das mit dem "installieren und herunterfahren" geht nur für XP und W2003 Server. "RescheduleWaitTimeEnabled" heißt, dass der Client, wenn er zum konfigurierten Zeitpunkt nicht online ist, nach dem Einschalten die unter "RescheduleWaitTime" konfigurierte Anzahl von Minuten wartet, bevor Updates installiert werden. (0000000a heißt in der Tat 10 Minuten). Das andere gucke ich noch mal nach. Christoph

Von der Lizenzfrage mal abgesehen: Domain Controller sollten nicht geclustered werden. Siehe auch diesen Beitrag im board: http://www.mcseboard.de/showthread.php?t=83813&page=1&pp=10 Christoph

Dann poste bitte mal, wie du die Website konfiguriert hast. Christoph

SSL auch? Dann ist s ja prima... :) Christoph

Off-Topic: Was ist das denn?! :D Und schon so früh... Christoph

Hi, erstelle mal eine normale Web Publishing Regel für den Webserver und deaktiviere SSL auf der Website, falls möglich. Du solltest dann auch einen Listener erstellen, der nur auf Port 80 lauscht. Greift diese Regel? Christoph

Vielleicht hilft es, die beiden Dienste neu zu starten (netlogon, w32time). Wenn nicht, wäre ein Reboot der nächste Versuch. Wenn das auch nicht hilft, liegt es nicht an den Dienstabhängigkeiten und wir müssen uns nach anderen Lösungen umsehen. Christoph

Ist dein Admin-Account auch Mitglied der Schema-Admins? Gab es vorher schon mal einen anderen DC in der Domain? Wenn ja, musst Du prüfen, wer Schemamaster ist: netdom query fsmo Christoph

Hi, ich hatte das, glaub ich, schon mal erwähnt: beim SSL to SSL Bridging braucht der ISA ein Userzertifikat um sich gegenüber dem Webserver zu authentifizieren. Und dieses User-Zertifikat ist dann auf dem Bridging Tab auszuwählen. Leider hab ich das Buch heute nicht zur Hand und kann das genau erst heute nachmittag nachsehen. Christoph

Hehe, sorry, ja er hat das Bild ausgetauscht, und ich hab die Seite 2 immer noch im cache gehabt... Christoph

Na hoffentlich bist Du nicht blind :D Beitrag #17, untere Grafik, letzte Zeile: Key W32 Time, Wert: DependOnService Christoph

Den Eintrag W32Time mit dem Wert DependOnService unter NetLogon kannst Du wieder löschen. Der Eintrag unter W32Time ist korrekt. Christoph

Nein, W32Time muss im Baum unter Services zu sehen sein. Den Dienst anklicken. In der Statuszeile muss dann etwa folgendes stehen: <Servername>\HKey_Local_Machine\System\CurrentControlSet\Services\W32Time Jetzt im rechten Fenster einen neuen MULTI_SZ Eintrag (Deutsch: Wert der mehrteiligen Zeichenfolgen (was für ne Bezeichnung...:suspect: ) erstellen und da die gleichen Einträge wie unter NetLogon eingeben. Christoph

Hier ist natürlich noch ein kleiner Tippfehler drin: Direkt nach http:// sollten natürlich keine Anführungszeichen kommen Christoph

Jo, so ist das zu verstehen. Berichte mal, ob das bei Dir dann auch geholfen hat. Christoph

Ja, hast recht mit dem Schrägstrich, ich hab das grad mal geguckt, ob wir auch solche Warnings haben. Zum Glück nur 3 im ganzen Systemlog... Was genau verstehst Du an der Lösung nicht? Christoph

Ach so, sorry :o mein Artikel war ja nur für den Fall, dass der Fehler nach DC Reboots auftritt. Bei dir ist es wohl was anderes. Muss noch mal forschen ... Es gibt ja auch noch diesen Artikel: http://support.microsoft.com/?id=824217 "Es stehen momentan keine Authentifizierungsserver zur Verfügung." Könnte ein Problem mit DNS sein. Habt ihr wirklich einen Server "dns/yuka.ugw.de" im Einsatz? Mit dem Schrägstrich? Christoph