Daim

Servus, dann führe mit NTDSUTIL eine SEMANTIC DATABASE ANALYSIS durch: Yusuf`s Directory - Blog - Die Active Directory-Datenbank reparieren Das kommt eben darauf an, aber führe mal die oben genannte Analyse durch.

Morsche, versuche es doch mal auf folgende Variante bzw. vergleiche Dein Vorgehen mit dieser Anleitung: Yusuf`s Directory - Blog - Profile (lokal/servergespeichert)

Servus, wenn ich Dich richtig verstanden habe, dann musst Du Dich noch etwas gedulden. Denn erst mit dem Longhorn Server, kommt eine neue Installations-Art. Die Rede ist vom Longhorn Server CORE. Damit steht dem Administrator nach start nur eine DOS-Box zur Verfügung mit dem er den Server administrieren kann. Weiterhin kann man aber von einer anderen Maschine z.B. die Snap-Ins starten, sich mit dem CORE verbinden und somit auch diesen über die GUI administrieren. Aber auf der Maschine selbst, befindet sich eben nur die Kommandozeile.

Es gibt noch eine weitere nicht supportete Variante, wie man das AD entfernen kann. Yusuf`s Directory - Blog - Das Active Directory gewaltsam vom DC entfernen

Moin, so wäre wünschenswert. Damit wäre bei einer IP-Adress Änderung des DCs der Inseleffekt schonmal vom Tisch. Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ? Wenn, dann bite mit der echten IP-Adresse und nicht der Localhost. Und die Adresse wäre: 127.0.0.1 Dann aktiviere auf dem weiteren Domänencontroller den GC. Dazu kannst Du im Snap-In "Standorte- und Dienste" aufrufen, dann den Standort in dem sich der Domänencontroller befindet auswählen, den Server erweitern damit dann in den NTDS-Eigenschaften der Haken für den globalen Katalog gesetzt werden kann. Man kann auch auf einem Domänencontroller den GC, entweder über die Kommandozeile aktivieren: REPADMIN /OPTIONS <DC> +IS_GC (dazu müssen die Windows Support Tools installiert sein) oder über dieses Skript: Microsoft Corporation Es können beliebig viele GCs in der Gesamtstruktur existieren (es gibt keine physikalische Grenze). Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

Moin, ich weiß jetzt nicht, ob es nur an den Begrifflichkeiten liegt, aber mir würde noch der Potentialausgleich (Erdung) fehlen. Daran sollte unbedingt gedacht werden.

Ich dachte das würde drin stehen ... :rolleyes: Danke für den Hinweis.

Sosoo... nur leider stimmt das nicht ganz. In der Intra-Site Replikation sind es standardmäßig 6 Stunden. Das bedeutet, auch wenn keine Änderung im AD gemacht werden würde, repliziert sich das AD alle 6 Std. automatisch, um sicherzustellen, dass alle DCs den gleichen Stand an Daten haben. Die Inter-Site Replikation regelt man ohnehin über die SITE-Links unter "Standorte- und Dienste". P.S. Was bitte heißt "VD" ?

Das stimmt nicht. Unter Windows Server 2003 ist es standardmäßig so, wie ich es beschrieben habe. Alles andere "ist verändert". _msdcs.intra.contoso.com intra.contoso.com |--_msdcs So sieht es standardmäßig unter Windows Server 2003 aus.

Servus, wenn es wirklich darum geht/ging, dass kein Zugriff auf die GPOs mehr möglich wäre, dann ist das Stichwort: SMB-Signing Yusuf`s Directory - Blog - Zugriff auf die GPOs verweigert

Das stimmt nicht, IT-Home hat recht. Zu 2000 Zeiten war das noch anders. Unter 2003 existiert quasi eine Sub-Domäne Namens "_msdcs.<DeineDomäne>.<TLD>". Unter Deiner Forward Lookup Zone <DeineDomäne>.<TLD> existiert ein silbriger Ordner Namens _msdcs. Dieser ist die Delegierung für die Sub-Domäne "_msdcs.<DeineDomäne>.<TLD>".

Servus, kannst Du einem Laien das bitte genauer erklären ? Was beträgt warum 12 Stunden ?

Servus, zusätzlich ist es aber noch nötig, in den Eigenschaften des DNS-Servers das Abhören des Dienstes an der einen IP-Adresse zu deaktivieren. Denn ein DNS-Server registriert auch automatisch einen Host-Eintrag für alle IP-Adressen, an denen er abhört.

Wenn Du jetzt noch die Lösung postest, haben andere auch etwas davon und dadurch bekommt dieses Forum gleich einen Mehrwert ;) Na das dauert noch etwas. Powershell steht ebenfalls bei mir auf den langen Liste, mir das anzueignen. Ich weiß allerdings nicht, ob dieses Leben dazu ausreicht ;)

Servus, hilft Dir das hier weiter ? JanssenJones.com: Powershell and ActiveDirectory - Modify-Group-Membership

Servus, Du kannst Benutzer mit den beiden in Windows Server 2003 Betriebssystem integrierten Tools "CSVDE" und/oder "LDIFDE" exportieren und importieren. Mit LDIFDE hast Du sogar die Möglichkeit, bestehende Benutzer zu bearbeiten. Für LDIFDE schau mal hier: Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange Aber das Kennwort wird aus Sicherheitsgründen von beiden Tools, nicht exportiert. Weiterhin wird beim importieren der Benutzer das Konto deaktiviert. Du kannst mit LDIFDE z.B. auf folgende Art, ein Kennwort vergeben: How to set a user's password with Ldifde Aber schaumal hier, evtl. ist das eine weitere Variante für eine Testumgebung: Active-Directory-Double als Testumgebung - faq-o-matic.net

Servus, das Laptop gehört in die Domäne. Denn stanardmäßig kann sich der Benutzer, der sich einmal in der Domäne erfolgreich angemeldet hat, für die Zukunft mit seinen "zwischengespeicherten Benutzerinformationen" anmelden.

Servus, entweder durch diesen Artikel, der hier bereits erwähnt wurde: Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung Das ist ein weiterer Artikel: Delete Failed DCs from Active Directory Hier kannst Du Dir über NTDSUTIL einen Webcast anschauen: 7WTT TechNet Webcast: Active Directory - Wartung Ihres Verzeichnisdiensts mit NTDSUTIL (Level 200) Das klappt aber nicht immer, dann kannst Du den DC auch auf folgende Variante entfernen: - Öffne ADSIEdit und verbinde Dich mit der Domain-Partition - Navigiere zum Contaier "OU=Domain Controllers" und lösche dort die Einträge des nicht mehr existierenden DCs - Ebenfalls in der Domain-Partition, löscht Du alle Einträge des DCs auf folgendem Pfad "CN=Domain System Volume,CN=File Replication Service,CN=System,DC=<DeineDomäne>,DC=<TLD> - Dann verbindest Du Dich mit der Configuration-Partition im ADSIEdit und entfernst alle Einträge des nicht mehr existierenden DCs (z.B. CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=<DeineDomäne>,DC=<TLD>) - Entferne alle Einträge vom DC, die im DNS und WINS existieren

In dem Du den Benutzer explizit in die NTFS-Berechtigungen des Ordners hinzufügst. Oder übersehe ich gerade etwas ?

Servus, der Schemamaster sowie Domänennamenmaster sollten zusammen auf einem DC liegen (und dieser sollte auch ein GC sein). Aber in 99% der Fälle, sollten die FSMO-Rollen auf einem DC liegen. Falls Du die Rollen trennen möchtest, dann beachte folgendes: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

Salve, bekommt der Client keine Fehlermeldung angezeigt ? Wird auf dem Domino, in der Konsole keine Fehlermeldung angezeigt bzw. wird nichts in der Log.nsf protokolliert ? Welche Domino-Version setzt Du ein ? Und wie immer wenn ich soviele Fragezeichen sehe, wer hat Kennedy ermordet ?

Servus, das kann man machen, ob es Deine Aufgabe löst wird sich dann weißen. Zumal ein Startup-Skript mit SYSTEM-Rechten ausgeführt wird.

Servus, Du kannst das ADMINPACK.msi von einem DC, aus dem Verzeichnis %windir%\system32\Adminpack.msi auf Deinem Client/Server installieren. Möchtest Du aber nur die AD-Snap-Ins (und nicht den Rest der Snap-Ins) installiert haben, so kannst Du es auf olgende Art installieren: msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb

Servus, hast Du diese Leiche aus dem AD mit NTDSUTIL - METADATA CLEANUP bereits entfernt? Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung Existiert im DNS eine Forward Lookup Zone (FLZ) mit einem Punkt "." ? Falls ja, ist das gewollt oder ungewollt?

Mit den AD-Informationen bekommst Du zumindest Deine Domäne, samt Benutzer- sowie Computerkonten wieder, dass stimmt. Dann hast Du aber natürlich nicht die applikationen wieder, aber genau dafür ist doch ein Backup-Konzept bzw. Recovery-Plan gedacht. Um das wiederherstellen genauestens zu beschreiben in der geringsten Zeit. Jetzt erstellen wir so langsam ein Backup bzw. Recovery Plan... ;) Die Dateifreigaben kannst Du Dir aus der Registry exportieren usw. Wie man Exchange sichert, gibt es auch jede Menge im Internet. Den Bridgehead-Server brauchst Du bei nur einem SBS nicht ändern ;) Acchhhh.. Du hast einen weiteren DC, dann sieht die Welt anders aus :D Wie das System samt Programmen wiederhergestellt wird, darin liegt die Kunst. Das gilt es zu erarbeiten. Ganz genau, dass AD hat damit nichts zu tun. Achh... da schau an ;) So geht es aber nicht nur Dir, sondern jedem Admin (und somit jedem Unternehmen) auf dieser Welt, egal welche Server er betreut. Ich erwähne es immer wieder, Backup ist ein harter Job der Tag täglich betreut werden will/muss. Das ist kein Job für eine Sekretärin und ja ich weiß, in einem 5 Mann Laden wird das so gelebt. Das ändert nichts an der Tatsache, dass das Backup ein harter Job ist ;) Es muss geprüft werden ob gesichert wurde und zwarnicht nur an der Software sondern ob auch tatsächlich das Band beschrieben wurde. Kann man das gesicherte auch zurücksichern etc. pp. Wenn Du ein Systemhaus wärst, dann ist das nicht Dein Problem, sondern die des Kunden. Der Kunde muss sich um das Backup Gedanken machen und nicht Du. Du kannst Ihn darauf aufmerksam machen, aber er ist dafür zuständig - ganz einfach. Yepp, dass sehe ich auch so :cool: