Daim

OK. Ja, dass Verhalten wurde geändert. Genau so ist es. Jahaa... mach das. ;) Ja. Überlasse wenn möglich, das Erstellen der Verbindungsobjekte bzw. die Verwaltung der AD-Replikation komplett dem AD. Dadurch versucht das AD bei etwaigen Netzwerkveränderungen/-problemen die dem Admin nicht gleich auffallen, selbstständig zu lösen. Dann lass die Finger davon. ;)

Servus, hä? Wo hast du was durchgeführt? Das bedeutet nichts anderes, als das in "jedem Fall" der DC einmal in der Stunde eine Änderungsbenachrichtigung an die Replikationspartner verschickt. Nein, kein "KomplettSync". Die AD-Replikation basiert auf Änderungsbenachrichtigungen. Wenn mal eine Änderungsbenachrichtigung (standortintern nach 15 Sekunden nach einer Änderung) durch einen DC nicht empfangen/verarbeitet werden sollte (z.B. wegen Überlastung), fragt jeder DC im konfigurierten Intervall (1x Std. Standard - ist änderbar) seine Replikationspartner ob es Änderungen gab. Falls ja, holt er sie sich, so als wenn er eine Änderungsbenachrichtigung erhalten hätte. P.S. Habe die nächste Zeit ein Auge auf meinen Blog, da bearbeite ich die AD-Replikation die nächste Zeit. ;)

Servus, ich habe das hier in einer Windows Server 2003 Umgebung am laufen. Funktioniert perfekt und ohne Probleme (ihr habt doch nichts anderes erwartet ;). Man muss nur darauf achten, dass man auch wirklich alle notwendigen Updates vorher installiert: LDAP://Yusufs.Directory.Blog/ - Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008

Servus, ja klar stimmt das. Du hast doch mit dem Ausführen von ADPREP lediglich das AD-Schema erweitert und nicht den Domänen- oder Gesamtstrukturfunktionsmodus hochgestuft. Siehe: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus Klar, dass ist die Schemaversion und hat nicht im geringsten etwas mit den Modis zu tun. Ja, alles in Ordnung. Lies dir meinen Link durch. Danach weißt du, wann du die Modis hochstufen kannst.

Nein, diese Möglichkeit besteht weiterhin. Hast du auch in der MMC "Benutzer und Computer" unter Ansicht die "erweiterten Funktionen" aktiviert? Ansonsten gibt es noch folgende Möglichkeiten, den LDAP-Pfad eines Objekts herauszufinden: LDAP://Yusufs.Directory.Blog/ - Wie finde ich heraus wo sich ein Objekt befindet?

Servus, LDAP://Yusufs.Directory.Blog/ - Die letzte Benutzeranmeldung herausfinden

Genau. Ihr habt online die gelöschten Objekte und somit lediglich die Tombstones wiederhergestellt. Im Tombstone befindet sich jedoch nicht das Computerkontokennwort! Das ist zwar schön, das das Tools diverse Vorteile hat, hilft dir aber in diesem Szenario nicht weiter. Du stellst doch nicht die ganze Domäne wieder her, sondern lediglich autoritativ deine gelöschten Computerobjekte. Dadurch hättest du jetzt nicht diese Probleme, wenn es sich um ein aktuelles Backup handeln würde. Jahaa... das Restore muss geübt sein. Aber dann hätte man sich auch kurzfristig externe Hilfe holen können. Ja, deine Vermutung stimmt. Es liegt am Tombstone. Standardmäßig wird das Computerkontokennwort ab Windows 2000 alle 30 Tage geändert (unter NT sind es 7 Tage). Das kann man zwar abstellen, das das Computerkontokennwort nie geändert wird, das ist jedoch auch Sicherheitsaspekten nicht zu empfehlen! Und dem Computerkontokennwort einfach ein bestimmtes Kennwort vergeben wie bei einem Benutzer, ist nicht möglich. Jetzt ist deine einzige Möglichkeit eine autoritative Wiederherstellung durchzuführen. Ansonsten fügst du jedes wiederhergestellte Tombstone (Computerobjekt) erneut zur Domäne hinzu. Du irrst. Machine Account Password Process - Ask the Directory Services Team - Site Home - TechNet Blogs Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! - Aktives Verzeichnis Blog - Site Home - TechNet Blogs

Servus, erkläre doch mal genauer, wie du beim Restore vorgegangen bist. Was für eine Sicherung hast du mit welcher Sicherungssoftware auf welche Art wiederhergestellt. Wie alt ist das Backup das du verwendet hast?

Off-Topic: Und ich habe es auch schon immer gewußt! Ihr seit doch nicht ganz sauber und solltet euch mal wieder waschen. :D

Dann wähle wie empfohlen die Überkreuzeinstellung. Genau. Bitte Vorsicht walten lassen! Die VM darf im keinster Weise Verbindung zum produktiven Netz haben. Jetzt im Nachhinein bekommt man das ohnehin nicht mehr heraus, woran es lag. Aber sicherlich lag es am DNS. Nein, nicht "grundsätzlich". Fein gemacht. Dadurch existiert dann auch keine Leiche im AD.

Boah... das sagst ausgerechnet DU!? ;) Klar, dass würde dann so nicht funktionieren. Deshalb kann man nur an jeden appellieren, seine Anforderung "klar, deutlich und verständlich" zu beschreiben. Ich bin drastischer und sage (ohne jemandem auf die Füße treten zu wollen!): Ein wenig kundiger Admin sollte besser gleich die Finger von einem Server lassen. ;)

Hola, naja, ausführen kann er es schon, er kommt dann nur zu diesem Zeitpunkt nicht sehr weit bis der DCPROMO-Assistent den Fehler anzeigt, das das AD-Schema noch nicht erweitert ist. Technisch gesehen können es zu diesem Zeitpunkt nur die Binaries sein. Der Server muss doch nicht vor dem Ausführen von DCPROMO zur Domäne hinzugefügt werden.

Salve, es ist empfohlen die Überkreuzeinstellung zu wählen. Jeweils der andere DC sollte als primärer DNS- und der DC selbst als zweiter DNS-Server konfiguriert werden. http://blog.dikmenoglu.de/Welcher+DNSServer+Sollte+Eingetragen+Werden.aspx Ja, es funktioniert auch wenn der DC selbst als primärer DNS-Server steht. Dadurch dauert aber der Startvorgang des DCs etwas länger und im Eventlog erscheinen hässliche Fehlermeldung, die dann aber auch automatisch wieder verschwinden. Trotzdem sollte man die Überkreuzeinstellung beibehalten! Ja, beides funktioniert ebenfalls. Es ist aber empfehlenswert die echte IP-Adresse zu konfigurieren. Würdest du die Loopback-Adresse eintragen, hättest du den Vorteil das wenn sich "mal" die IP-Adresse des DCs ändert, du die DNS-Server IP nicht ändern müsstest. In dem Eventlogeintrag steht doch auch in der Beschreibung was man unternehmen könnte, um dem Problem auf die Schliche zu kommen. Event ID 2087: DNS lookup failure caused replication to fail: Active Directory Event ID 2087 ? Discovery of replication partners Es ist zwar vieles möglich, aber das ist sehr unwahrscheinlich. Ich tippe ebenfalls auf Probleme im DNS wenn keine Netzwerkkonnektivitätsprobleme vorliegen. Du hast den Server wieder mit DCPROMO heruntergestuft?

Du weißt aber auch selbst, dass man sich vor jeder Aufgabe gut vorbereiten sollte um am Ende nicht vor einem Haufen Scherben zu stehen. Du kannst den Server zwar zuerst als Mitgliedsserver zur Domäne hinzufügen, musst du aber nicht. Du kannst auch, wenn vorher das Schema aktualisiert wurde den Server direkt mit DCPROMO zum DC stufen. Dadurch ersparst du dir einen Schritt und somit einen Neustart. ;) Die Rolle AD DS musst du ebenfalls nicht vorher installlieren. Denn das DCPROMO muss man ohnehin ausführen und damit wird automatisch die AD DS Rolle mit installiert. Nein, dabei wird noch garnichts auf den neuen Server übertragen. Wie denn auch, wenn der Server noch gar kein DC ist und somit kein AD hat. Damit wird lediglich das bestehende AD (auf dem alten DC) auf Windows Server 2008 aktualisiert, in dem bestehende und neue Attribute sowie Klassen im Schema geändert bzw. hinzugefügt werden. Die Rolle alleine hinzufügen reicht nicht und muss auch nicht sein. DCPROMO lautet das Stichwort. Ja, so in etwa. ;)

Servus, du könntest auch den bestehenden SBS als zusätzlichen DC zur bestehenden Domäne hinzufügen. Der SBS muss dann aber der FSMO-Rollenhalter sein und der GC muss zwingend aktiviert werden. Danach übbernimmst du alle Daten sowie weiteren Dienste auf dem SBS. LDAP://Yusufs.Directory.Blog/ - Die Besonderheiten eines Small Business Server`s (SBS)

Servus, warum möchtest du unbedingt eine Migration durchführen? Abgesehen davon kann man dann mit ADMT ohnehin keine Migration durchführen, wenn beide Domänennamen gleich lauten. Es wäre für dich einfacher, wenn du den 2008er Server als zusätzlichen DC zur bestehenden Domäne hinzufügst. Dazu musst du vorher das AD-Schema aktualisieren. Die einzelnen Schritte sind hier beschrieben: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Salve, danke für die Rückmeldung. Aber in deinem OP hattest du geschrieben: :suspect:

Ja, das ist in Ordnung. Wobei ich weiterhin empfehle, die echte IP-Adresse einzutragen und nicht die Loopback.

Hola, das ist *ein* Grund: RAS Clients Receive 127.0.0.1 for DNS Server Address

Leider ist die Fehlermeldung wenig aufschlussreich. Kontrolliere welche Meldung im ADPREP-Log steht und überprüfe dann auf der folgenden Seite, ob du die Fehlermdung ausfindig machen kannst: Troubleshooting ADPREP Errors - Ask the Directory Services Team - Site Home - TechNet Blogs

Servus, in dem du in der Windows Server 2003 Gesamtstruktur eine neue (wenn es denn unbedingt eine weitere Subdomäne sein muss) Windows Server 2008 R2 Subdomäne erstellst. Denn in dem Gesamtstrukturfunktionsmodus "Windows Server 2003" können Domänen im Domänenfunktionsmodus Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 existieren. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus Du meinst "...einer bestehenden 2003 Gesamtstruktur"? Denn zu einer bestehenden Domäne kann man höchstens migrieren. Ja, ist möglich.

Servus, das kann ja auch nicht funktionieren, denn die Fehlermeldung ist "erstmal" eindeutig: Überprüfe was in dieser Datei steht. Werfe aber auch noch einen Blick in das Log:

Servus, ich stimme voll und ganz "Norbi from the Turntable" zu und empfehle das hier: LDAP://Yusufs.Directory.Blog/ - Ist DHCP ein Sicherheitsfeature?

Du suchst FSMT: Download details: File Server Migration Toolkit

OK, dann geht es also doch um Standortverknüpfungen. Aber auch dazu, wurde dir ja schon einiges genannt. Wenn das Eventlog keine Fehler meldet, kannst du davon ausgehen. Na solange sich alle DCs in der gleichen Domäne befinden, hast du doch schon zumindest eine Ausfallsicherheit.