Daim

Das ist klar. Wer möchte schon das mitten in einer Schemaaktualisierung der Vorgang abbricht. Dabei ist niemandem wohl dabei, denn der Teufel steckt wie immer im Detail. Dann wenn es darauf ankommt, funktioniert es plötzlich dann doch nicht. Aber man kann dem ADPREP zumindest zusprechen, dass es "intelligent" genug ist um eben von dort weiterzumachen wo es aufgehört hat. Ob es dann im Fall der Fälle auch so ist, sieht man natürlich erst im Ernstfall. Aber auch wenn nicht, führt man halt die Schemaaktualisierung "von Hand" durch, in dem man die LDF Dateien mit LDIFDE ins AD imprtiert. Also auch für diese hartnäckigen Fälle hat Microsoft (vermutlich Dmitri ;) ) daran gedacht und einen Ausweg geschaffen. Das in jedemfall. Na klar, dagegen spricht keineswegs etwas und ich stimme dir ja zu.

Servus, du kannst die Vetrauensstellung nicht löschen, sondern zerstören. Aber 1. willst du das nicht und 2. widerspricht das dem Konzept einer AD-Umgebung. Das lässt sich mit deiner Vorstellung aber ohne einen "Schaden" zu bekommen, nicht realisieren. Wenn es sich um eine überschaubare Umgebung handelt, könntest du in den Benutzereigenschaften die Clients festlegen, an denen sich die Benutzer anmelden dürfen.

Nur weil unter 2010 nun auch die genannten Browser voll unterstützt werden? Nein, DAS ist kein Grund. Ein Grund ist es, von den neuen technischen Funktionen zu profitieren (WepApp, DAG etc.) aber doch nicht um die volle Unterstützung "bloß" für irgendwelche anderen Browser zu bekommen. ;)

Servus, ist Bing oder Google defekt? Gruppenrichtlinien - Übersicht, FAQ und Tutorials Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Huhuu, doch, es wird funktionieren. Ich erinnere daran, in diesem Thread geht es um ADPREP und das Tool ist intelligent genug um von dort weiterzumachen wo es aufgehört hat. Das halte ich im Zusammenhang mit ADPREP für nicht notwendig. Aber prinzipiell ist das nicht verkehrt. Absolut. :)

Salve, Exakto Mundo. ADPREP macht an der Stelle weiter, wo es aufgehört hat.

Salve, es wird auch seitens Microsoft empfohlen, trotz Virtualisierung einen DC auf Blech zu haben! Die entscheidende Frage ist: Warum wurde die AD-Replikation deaktiviert? Wenn es ein Admin war, dann ok. Aber wenn das AD selbstständig die Replikation deaktiviert hat, dann hat das seinen Grund dem man auf den Grund gehen muss! Ein "blindes" aktivieren der Replikation ist nicht professionell. Dieser Eintrag deutet daraufhin, dass das SYSVOL-Verzeichnis mit DFS-R repliziert wird. Jedoch kann das SYSVOL erst ab dem Domänenfunktionsmodus "Windows Server 2008" und demzufolge nur mit Windows Server 2008/2008R2 DCs durchgeführt werden. Du hast aber erwähnt, dass der eine DC ein 2003er DC sei? Das ist nicht schlimm. Siehe: LDAP://Yusufs.Directory.Blog/ - DCDIAG: NCSecDesc Fehler Kontrolliere in der Dienstesteuerung, welche Dienste die auf automatisch stehen nicht gestartet sind. Dieser fehlgeschlagene Test ist ebenfalls ein Indiz dafür, dass z.B. der NETLOGON Dienst "hängt" oder nicht gestartet werden konnte. Mit diesem Test überprüft das DCDIAG, ob die Anmeldung am Active Directory möglich war und ob der Domänencontroller in der Lage ist, sich im Active Directory bekannt zu geben. Kontrolliere auch das Eventlog und gehe den Fehlermeldungen auf der Seite Troubleshooting Microsoft Windows Event Logs nach.

Servus, ich habe gerade solch ein Projekt hinter mir. Migriert wurden 600 7.0.2 Notes User, verteilt auf 23 Notes Servern zu Exchange 2007 und Outlook 2003. Als Werkzeug hatte ich das kommerzielle Quest Werkzeug verwendet. Das Tool kostet pro zu migrierender User ca. 13EUR. Ich kann das Werkzeug nur empfehlen. Man sollte aber auch gerade für die Installation und um später nachfragen "zu dürfen", einen Tag Consulting für die Installation des Werkzeugs mit einkaufen. Der Tag Consulting liegt bei 1.600EUR.

Siehe die Linksammlung unten in dem folgenden Artikel an (Probleme die nach...): LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Salut, LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen Wenn alles andere soweit von den "alten" DCs dann übernommen wurde, ja. Was "alles andere" bedeutet, erfährst du von hier: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

Salve, wie es morro bereits erwähnt hat, haben standardmäßig die Domänen-Benutzer das Leserecht im AD. Du musst allerdings prüfen ob das Konto mit dem du dein Tool ausführst, die Rechte zum ausführen (oder was auch immer)des Agenten auf den Clients besitzt. Deine Formulierung ist sehr schwammig und daraus lässt sich nichts empfehlen. Wenn dir die bisherigen Antworten nicht weiterhelfen, formuliere dein Vorhaben "klar und deutlich".

Salve, nein musst du nicht. Das wäre ja noch schöner. Was ich mir vorstellen könnte, ist evtl. eine Regel definiert? Entweder im Outlook oder auf dem Exchange, dass die Mails deshalb noch weitergeleitet werden?

Off-Topic:Boahh... Pfui... Wie kannst du nur? Wie kontest du so etwas nur schreiben? Wo haben wir dich an welcher Stelle verloren? Bist du zufällig in der Schwarzwaldklinik? Oder in der Nähe? Dann kann man dir das verzeihen. ;)

Off-Topic:Pff... eyy Bruder, produzier mich net. PoSh rockt. :D

Nein, du zerschießt dir dabei nichts, wenn du dich an unsere Antworten hälst und nicht selbst irgendetwas durchführst. ;)

Also das würde ich nun wirklich nicht mehr berücksichtigen. Da der Support für Windows 2000 ohnehin am 13.07.2010 endet, lohnt es sich imho nicht mehr darin noch Zeit und Arbeit zu investieren.

OK, da noch nicht einmal die Prüfung durchgeführt werden kann, hat die AD-DB in jedemfall einen Schaden. Du solltest nicht lange zögern und solltest den DC mit DCPROMO /FORCEREMOVAL herunterstufen und anschließend das AD, DNS und WINS bereinigen. Danach kannst du den Server erneut mit gleicher IP und gleichem Computernamen zum DC stufen.

Der Fehler sagt nichts weiteres aus, als das eben mit der AD-DB auf dem DC etwas nicht stimmt. Deshalb führe eine semantische Prüfung durch und konrolliere ob Fehler gemeldet werden.

Bonjour, wenn du im Modus "Vezeichnisdienste wiederherstellen" startest, befindet sich das AD auf diesem DC im Offlinemodus. Dabei kannst du dann natürlich auch keine AD-Replikation durchführen, sondern Wartungen an der AD-Datenbank die lokal auf dem DC gespeichert ist durchführen. Prüfe mal die AD-Datenbank und kontrolliere ob Fehler in der DIT (NTDS.dit) festgestellt werden [1]. Wenn dem so ist, kannst du ein Fixup durchführen. Da du noch weitere DCs hast, ist das auch nicht tragisch das wenn nach dem Fixup dann garnichts mehr geht. Wenn dieser DC dir wichtig ist, dann führe in jedemfall vorher eine Sicherung durch! Wenn evtl. bestehende Defekte in der DB nicht beseitigt werden können, stufe den DC mit Gewalt herunter, bereinige die Metadaten des AD und stufe anschließend der Serer erneut zum DC [2]. Da weitere DCs bestehen, ist auch eine Rücksicherung des System Statas nicht notwendig. [1] LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Datenbank reparieren [2] LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen

Salve, um das für neue Objekte umzustellen und dafür das State of the Art Werkzeug, nämlich die AD-PowerShell zu verwenden, lautet der Befehl dazu: Set-ADObject "CN=user-Display,CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=Domäne,DC=de" -Partition „CN=Configuration,DC=Domäne,DC=de“ -Replace @{CreateDialog="%<sn>, %<givenName>"}

Huhuu Nils, also ich hatte die GUI sowie das Kommandozeilentool bereits vor ca. 2 Wochen bei uns in der Firma ca. 20 Minuten getestet. Alles was ich ausgewählt hatte und wissen wollte, hat funktioniert. Ich habe zwar nicht alles ausgeführt was du in der Textdatei angeben hattest, aber das meiste davon. Es kam zu keinen Fehlern. Getestet hatte ich das von einem XP- und Windows 7 Client in einem Windows Server 2003 SP2 Single-Domain Forest mit 600 Benutzern/Clients.

Nein, nicht auf dem Windows Server 2008. Der hat doch noch kein AD. Du musst ADPREP natürlich auf dem SBS ausführen.

Salve, dann konfiguriere es doch so: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Bonjour, ja, beim herunterstufen des Rolleninhabers werden die Rollen auch automatisch auf einen anderen DC verschoben. Wenn in der Domäne nur zwei DCs bestehen, dann kann man die Rollen auch automatisch vom DCPROMO Prozess automatisch verschieben lassen. Doch wenn mehr als zwei DCs in der Domäne existieren, sollten die Rollen händisch verschoben werden. Auch um sich dessen bewußt zu sein, dass das Verschieben der FSMO-Rollen ein Teil der Aufgaben bei einem DC-Tausch ist. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen mit DCPROMO verschieben

Bist du zufällig derjenige, der daran arbeitet? Das ist für eine Migration auch nicht unbedingt notwendig. Für deine Umgebung mit weniger als 50 Benutzer reichen 2 DCs völlig aus. Zwei DCs deshalb, wegen der Ausfallsicherheit. Diese zwei DCs können beide in der Zentrale stehen. Die Clients authentifizieren sich dann über das VPN. Des Weiteren könntest du die Benutzer zu den Diensten bringen die sie benötigen und nicht die Dienste zu den Benutzern. Sprich, Terminal Server wären hier das Stichwort. Umso besser. Bei einer Migration wird doch nichts lahm gelegt. Wenn es richtig durchgeführt wird, merken die Benutzer noch nicht einmal etwas davon. Deine Situation ist mir durchaus bekannt und ich kann das nachvollziehen. Aber damit deine Umgebung wieder ordnungsgemäß wieder funktioniert, ist ein Forum nicht der richtige Ort dafür. Wir können auf konkrete Fragen Antworten liefern. Wenn du keine Migration durchführen möchtest, kontrolliere die Eventlogs der DCs und gehe den Fehlermeldungen auf der Seite Troubleshooting Microsoft Windows Event Logs nach. Wenn sich die DCs länger als die Tombstone Lifetime nicht repliziert haben, wird die ganze Situation noch be...scheidener. Führe auch auf jedem DC DCDIAG aus und kontrolliere welche Tests fehlschlagen. Siehe dich ausgiebig auf dieser Seite um: LDAP://Yusufs.Directory.Blog/ Elementar für das AD ist das DNS! DNS muss ordnungsgemäß funktionieren. DNS sollte auf jedem DC installiert werden und die Forward Lookup Zone sollte AD-integriert gespeichert sein. Das erleichtert dir einiges an Arbeit. In den TCP/IP-Einstellungen der DCs sollte jeweils ein anderer DC als primärer DNS-Server eingetragen sein und der DC selbst als zweiter. DHCP darf natürlich nicht der Router sein, sondern ein Windows Server! Den Clients verteilst du dann die bestehenden DCs als DNS-Server. Auch der globale Katalog sollte auf jedem DC aktiviert werden.