Daim

Servus, weil bei dir die Standortverknüpfungsbrücke aktiviert ist, kommt das Zustande. Lies dir dazu hier meine Antwort durch: http://www.mcseboard.de/windows-server-forum-78/wozu-standortverknuepfungsbruecken-140875.html#post864955 Das deaktivieren dieser Option hat Einfluss auf DFS-N. Das lässt sich lösen, man muss beim deaktivieren nur daran denken. Übrigens hätte das Bemühen der Bordsuche dir diese Frage erspart. ;)

Das Attribut MS-DS-Machine-Account-Quota ist aber nur von Bedeutung, wenn man das Hinzufügen von Clients zur Domäne über die GPO regeln möchte. Das sollte man aber, wie bereits erwähnt, über eine Delegierung steuern.

Aber zu Zeiten von NT gabs noch kein AD, also zählt das nicht. ;) :p

Servus, du musst das in der Default Domain Controllers Richtlinie überprüfen. Was du genau überprüfen musst, steht hier: LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen Du kannst uns das auch "einfach" glauben, dass das schon seit Windows 2000 Standard ist. ;)

Hey Wini, na das hat doch Edgar geschrieben: ;)

Hola, nein, dass bezieht sich auf das Zurücksetzen von Benutzerkennwörter. Du musst dich an den Abschnitt "Users cannot join a computer to a domain" halten und das Recht "Reset Password" delegieren. Wenn du die delegwiz.inf Datei wie im folgenden Artikel anpasst, kannst du auch den Delegierungsassistenten dafür verwenden. LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

Aloha, das hört sich so an, als ob es sich um einen DC und nicht um einen Mitgliedsserver handelt. Ein DC wird ordnungsgemäß mit DCPROMO aus der Domäne entfernt. Nicht wenn es sich, so wie ich vermute, um einen DC handelt. Einen Mitgliedsserver kannst du wie eine Workstation, aus der Domäne zu einer Arbeitsgruppe hinzufügen, so wie bei einem Client. Ist es ein DC, muss dieser mit DCPROMO entfernt werden. Denn das manuelle Entfernen eines DCs möchtest du nicht wirklich. Diese Vorgehensweise musst du nur dann ausführen, wenn der DC gecrasht wäre oder nicht mehr zur Verfügung stehen würde. Da dies bei dir nicht der Fall ist, kannst du den einfacheren Weg wählen und DCPROMO ausführen. Wenn du einen DC mit DCPROMO heruntergestuft (oder auch händisch aus dem AD entfernt) und anschließend aus der Domäne entfernt hast, kann der neue DC den gleichen Computernamen und die gleiche IP-Adresse erhalten, wie sie der alte DC hatte.

Servus, die FSMO-Rollen werden für die Benutzerauthentisierung garnicht benötigt. Genauso wenig wird der GC für die Benutzerauthentisierung benötigt, wenn es sich um einen Single-Domain Forest handelt!

Das passt dann aber mit der folgenden Aussage in deinem OP nicht überein: Also was ist jetzt Fakt? Ist der Server nun noch ein DC? Existiert der DC noch im AD oder nicht? Wenn der DC aus dem AD entfernt wurde aber sich die AD-Informationen noch lokal auf dem Server befinden, kannst du diese mit DCPROMO /FORCEREMOVAL "mit Gewalt" entfernen. Danach ist der Server Mitglied in einer Arbeitsgruppe. LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen Anschließend kannst du diesen Server mit DCPROMO zum DC stufen.

Servus, warum stufst du den Server nicht mit DCPROMO erneut zum zusätzlichen DC? Ansonsten beschreibe genau, warum du was erreichen möchtest.

Naja, aber zumindest solltest du in der Default Domain Policy in jedem Fall die Kennwort- sowie Kontosperrungsrichtlinie definieren, um eine Mindestanforderung für alle Benutzer zu stellen, denen kein PSO zugeordnet wurde.

Servus, du scheinst das Verfahren mit PSOs nicht ganz verstanden zu haben. Lies dir in aller Ruhe und vor allem komplett, das hier durch: LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten

Oko doki. Aber da könntest trotzdem einen Windows Server 2008 R2 als zusätzlichen DC hinzufügen, unabhängig vom Design.

Dann musst du nun die Leiche händisch aus den Metadaten des AD entfernen. Dabei kannst du dich an folgende Anleitung halten: LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Entferne zuerst die Leiche und kontrolliere dann noch einmal. Kontrolliere mal ob im DNS eine Zone mit einem Punkt existiert. Falls ja, solltest du diese löschen. Denn dadurch meint der DNS-Server das er ein Root-Server ist und alles "weiß". Überprüfe mit welchem DC es Replikationsprobleme gibt. Das sollte ebenfalls in dem Eventlogeintrag stehen. Wenn hier der gecrashte DC gemeint ist, kann man diesen Eintrag vernachlässigen. Der ist dann ohnehin obsolet, spätestens wenn die Leiche im AD entfernt wurde.

Bonjour, na dann leg mal los. Doch bevor du "richtig loslegst", wirf sicherheitshalber hier noch einen Blick rein: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Ob du das "kannst" weiß ich nicht. ;) Wenn sonst keine weiteren Dienste (oder Daten) sich auf dem DC befinden (z.B. DHCP etc.), der DC also lediglich die DC-Funktion zur Verfügung stellt, kannst du diesen zum Mitgliedsserver herunterstufen. Schau aber auch hier nochmals rein: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen Natürlich! Das du an alles denkst und richtig durchfürst. ;) Schau dir in jedem Fall meine Links an. Diese Frage kann bzw. muss man sich in deinem Szenario in der Tat stellen. Werden denn tatsächlich die "vielen" Subdomänen benötigt? Denn in den meisten Umgebungen (sogar in weltweiten) ist ein Single-Domain Forest das bessere Design. Aber um das beurteilen zu können, muss man die Anforderung genauestens kennen.

Salut, das ist keine kompetente Fehlerbeschreibung so wie es sich für einen IT-Pro gehört. Mit dem "2. Server" meinst du den neuen DC? Was meinst du mit "Registry Einträge" genau? Und was bedeutet "wenig zäh"? Welches Problem?

Servus, das ist ja eines der Vorteile des AD. Man kann einer Gruppe gezielt die entsprechenden Rechte im AD die sie für ihre tag tägliche Arbeit benötigen delegieren. Man sollte eine Delegierung immer auf eine Gruppe einrichten und nicht auf einen einzelnen Benutzer. Somit erleichtert man sich für die Zukunft die Arbeit. Durchforste dich durch diese Seite, womit ich Norberts Ruf nach komme ;) : LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

Servus, kannst du uns ein paar mehr Informationen geben. Warum soll man sich lokal und vor allem wo lokal anmelden?

Tue das. You are welcome.

Boah... Ricola. ;) Ahh... dann sach das doch gleich. Neben deutsch, hättest du es auch in englisch und sogar in türkisch schreiben können. :p Ja, verschieben musst du sie, aber nicht die FSMO-->Regeln<--, sondern die FSMO-Rollen. Aber jetzt willst du mir wahrscheinlich erneut verkaufen, dass das in der Schweiz.... :-Þ Du kannst diesen erstmal für ein paar Tage ausschalten und kontrollieren, ob alle Daten da sind und ob alles reibungslos funktioniert. Wenn dem so ist, starte den SBS und stufe diesen mit DCPROMO herunter.

Gezügelt? :suspect: Was hindert dich daran, diese auf den neuen DC oder zumindest auf eine USB-HDD zu verschieben? Nein. Warum schreibst du andauernd "zügeln"? Du --> verschiebst <-- die --> fünf <-- FSMO-Rollen und zügelst diese nicht! Du solltest schon die Links die man dir postet genau lesen. Dort steht alles beschrieben. Auch, wie man die Rollen über die GUI verschieben kann. Ja, kannst du machen. Entweder über die Kommandozeile oder über die GUI. Einfach sorgfältiger lesen. Nein, die haben damit nichts zu tun. Erst gibt diverse Meldungen im Eventlog die nur dann erscheinen, wenn der DC neu gestartet wird. Das ist durchaus "normal". Erst wenn im laufenden tagtäglichen Betrieb Fehler protokolliert werden, solltest du diesen nachgehen.

Verschiebe die FSMO-Rollen ganz zum Schluss, ansonsten wandelt sich der SBS in ein paar Tagen zum "Fahrstuhl-SBS". Verschiebe erst einmal alle Daten, Applikationen sowie Dienste auf den neuen DC und erst wenn nichts mehr übrig ist, verschiebst du die FSMO-Rollen. Siehe dazu: http://blog.dikmenoglu.de/Den+Einzigen+Dom%c3%a4nencontroller+Austauschen.aspx

Nein, dass ist mehr als ausreichend Zeit. Nein, dass liegt nicht daran. Im Gegenteil, dass muss sogar so sein, dass ein bestehender DNS-Server als primärer eingetragen ist, denn von wem soll sich denn der neue DC sonst seine Daten replizieren. Man konfiguriert den DC selbst als sekundären DNS-Server in den TCP/IP-Einstellungen. Führe doch mal einen Neustart durch.

Salve, ja, evtl. die Geduld. ;) Wenn du den DC erst vor lurzem hochgestuft hast, warte noch etwas und führe später einen Neustart durch.

Servus, ja, die Leiche im AD solltest du aus den Metadaten des AD entfernen. Sonst entsteht in den Eventlogs der DCs "Karneval in Rio", da sie ihren Replikationspartner nicht erreichen. Wie du die Metadaten des AD bereinigst, steht hier: LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Wozu soll das gut sein? Du entfernst den DC aus dem AD und stufst den neuen, wenn du magst mit gleichem Computernamen und gleicher IP-Adresse zum zusätzlichen DC. LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen