Daim

Dann poste doch mal ein IPCONFIG /ALL vom SBS und von dem Windows Server 2003 Mitgliedsserver. Danach sehen wir weiter.

Servus, kannst du dich an dem Windows Server 2003 Mitgliedsserver LOKAL anmelden und die Gruppe "Domänen-Admins" in die lokale Gruppe "Administratoren" hinzufügen? Das passiert eigentlich automatisch, wenn ein Client oder ein Server zur Domäne hinzugefügt wird.

Servus, ich hoffe das du nicht diese Richtlinie meinst: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\ Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) - 10 Anmeldungen (max. 50 Anmeldungen) Die Zahl 10 steht für die zu zwischenspeichernden Benutzerkonten. Das bedeutet, es werden standardmäßig 10 Benutzerkonten lokal gecachet. Wenn sich die ersten 10 Benutzer EINMAL erfolgreich an der Domäne authentifiziert haben, können sie sich das nächste Mal lokal, mit ihren zwischengespeicherten Benutzerinformationen (also ohne eine Verbindung zum DC/Netzwerk) anmelden. Mit den zwischengespeicherten Benutzerinformationen kann sich dann der Benutzer auf ewig anmelden.

Servus, hier gibt es noch weitere "on Bord" Möglichkeiten, einen Large Integer Wert umzurechnen: LDAP://Yusufs.Directory.Blog/ - Einen Large Integer Wert umrechnen

Hilft dir das? LDAP://Yusufs.Directory.Blog/ - Wo ist der Benutzer angemeldet?

Servus, genau so und nicht anders! Viele verwechseln das mit dem RODC. Das Attribut "managedBy" in den Eigenschaften eines Computerobjekts dient einzig und allein zur Info. Wenn die Benutzer sich selten oder nie an anderen Rechnern anmelden...

Ja, die sind von ihrer Körpergröße her nicht zu übersehen. :D <Tief Luft hol> Soll ich jetzt... ah nee, ich verkneife mir meinen Kommentar an dieser Stelle lieber ;).</auspusten> :cool:

Salve weder noch, aber diese Frage solltest du eher dem Hersteller stellen. Das ist zielführender.

Du hast das Foto nicht wie im Blog beschrieben ins AD hochgeladen, aber ich kann mich an einen Chat mit dir vor einigen Jahren erinnern, wo wir uns darüber unterhielten. Wenn ich mich nicht total täusche, hattest du den Frosch schon manuell ins AD geladen. Du hattest mir damals sogar einen MSDN(?) Link zugeschickt, nach dem du das durchgeführt hattest. Nö, kann man nicht. Bilder gehören einfach nicht ins AD, so einfach ist das! :D Das wäre wirklich zuviel des Guten.

Die Frage hat dir doch schon Norbert beantwortet. Ja, es funktioniert. Du kannst Fotos ins AD laden. Aber nochmals der Hinweis: Das AD ist in erster Linie zur Netzwerkverwaltung gedacht und sollte nicht mit einer HRM-Datenbank verwechselt bzw. als solches missbraucht werden! Dann eher die Fotos ins Sharepoint packen und im AD lediglich darauf verlinken.

... und nein, es gibt keine Probleme. Nur das man dann hinterher eben keine "älteren" DCs mehr betreiben kann.

Salve, ...und warum der erste DC kein GC ist. Das er der Rolleninhaber ist stellt kein Problem dar. Da auf allen anderen DCs auch der GC aktiviert ist, kann auch auf dem Rolleninhaber der GC aktiviert werden. Abgesehen davon hat der Infrastrukturmaster und GC faktisch ohnehin keine Funktion, wenn es sich um einen Single-Domain Forest handelt. Jeder DC kennt alle Objekte aus seiner Domäne. Es gibt ja dann keine Objekte in anderen Domäne die verglichen werden müssten. LDAP://Yusufs.Directory.Blog/ - Phantome im Active Directory

Schnell an die Tastatur gehen... Hui... was für ein stressiger morgen. Servus, na du weißt doch, manchmal meint man was zu ahnen, wo in wirklich nichts ist. Das sind doch "diese" alten Weisheiten (wie z.B. Never touch...). ;) Richtig gewartet. :cool: Genau so heißt es aber seit Windows Server 2008 --> AD DS. :p @ Roland Schau dir in dem folgenden Artikel ganz unten die Linksammlung an (Probleme die nach dem Hinzufügen des ersten...). Dort sind bekannte Probleme aufgeführt, die nach dem Hinzufügen eines 2008er DCs entstehen können. Das trifft auch für 2008 R2 zu: LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Servus, nein, es ist kein Neustart notwendig.

Und was war nun das Ursprungsproblem?

Servus, dann müsste ja im Eventlog "Karneval in Rio" sein. Welche EventIDs werden denn protokolliert? Welche Tests beim ausführen von DCDIAG werden auf dem Windows Server 2008 DC mit einem FAILED abgeschlossen? Kontrolliere auch das DNS, denn das ist gerade für die AD-Replikation elementar. Stimmen die DNS-Informationen auf dem Windows 2008 DC mit dem der Windows Server 2003 DCs überein? Steht in den TCP/IP-Einstellungen des 2008er DCs einer der 2003er DCs drin (falls nicht, konfiguriere als primären DNS-Server einen von den 2003er DCs)? Funktioniert die Namensauflösung von und zu dem Windows Server 2008 DC?

Das hast du zwar "so" bisher noch nicht geschrieben, aber ich widerspreche dir ja nicht. Aber auch hierbei gilt, in jeder Domäne sollten mindestens zwei RWDCs existieren. Denn RODCs können nicht zu RWDCs "hochgestuft" werden. Wenn der einzigste RWDC crashen sollte und es sonst nur RODCs in der Domäne gibt, kann man nur hoffen das ein aktuelles und funktionierendes Backup des RWDCs gibt. Ansonsten muss die Domäne neu aufgesetzt werden! Oder wie ein Fliesenleger. :cool:

Natürlich. Risikominimierung ist auch gut. RODCs als VMs zu betreiben ist nicht verkehrt. Aber wo RODCs in VMs betrieben werden, sind ebenfalls RWDCs in VMs (und wenn auch nur vereinzelt) auch nicht weit.

Das bestimmt jedes Unternehmen für sich und ich habe gehört, dass es Admins geben soll die wissen was sie tun. ;)

So soo... ;) Na das ist natürlich ideal. Wenn Geld.. ähmm.. ich meine Server keine Rolle spielen. :) Dafür werden dich viele Admins beneiden. Büdde schön und ich werde mich daran halten. ;)

Salve, warum? In den meisten Umgebungen ist es eher empfehlenswert, alle FSMO-Rollen auf einem DC zu belassen. Und da in deiner Umgebung "lediglich" zwei RWDCs (Re-Writable DCs) existieren, halte ich es für sinnvoll alle Rollen auf einem DC zu belassen. Aber wenn du dennoch die Rollen trennen möchtest, beachte folgenden Artikel was die Aufteilung betrifft: LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Das ist korrekt, was die Domäneninformationen anbetrifft (AD, DNS, SYSVOL etc.). Aber der RODC kann ja auch Dateiserver sein oder es könnten Netzwerkapplikation darauf installiert sein, dann müssen diese Daten doch gesichert werden. Darauf kannst du wetten, dass du dann andere Sorgen hast. ;)

Servus, hast du auch die CMD mit erhöhten Rechten gestartet (Stichwort: UAC)? Denn "sc create" ist doch genau das was du suchst.

Servus, der Prozess der dafür zuständig ist, nennt sich AdminSDHolder! Dann entferne diesen Benutzer aus allen administrativen Gruppen. Diese wären: - Organisations-Administratoren - Schema - Administratoren - Domänen - Administratoren - Administratoren - Server - Operatoren - Sicherungs - Operatoren - Konten - Operatoren - Druck - Operatoren - Zertifikatherausgeber Entferne den Benutzer aus den administrativen Gruppen.

Aloha, zusätzlich könntest du dann noch das Logging in der Registry der DCs erhöhen: LDAP://Yusufs.Directory.Blog/ - Die Protokollierung des Active Directory`s konfigurieren Korrekt. Standardmäßig findet standortübergreifend alle 180 Minuten (also alle drei Stunden) die AD-Replikation statt. Höchstens auf alle 15 Minuten. Eine Faustregel wie oft die AD-Replikation stattfinden soll gibt es nicht. Das bestimmt jedes Unternehmen für sich. Denn davon hängen mehrere Faktoren ab: 1. Welche Bandbreite existiert zwischen den Standorten? 2. Was geht noch alles über die Leitung (Internet, Mail, Dateizugriff, CRM etc.)? 3. Wie oft finden welche Änderungen im AD statt? 4. Wechseln die Mitarbeiter wie oft den AD-Standort? 5. Wie schnell sollen Änderungen im AD an die AD-Standorte repliziert werden? usw. Wie gesagt, dass müsst ihr entscheiden. Prinzipiell könnte man standortübergreifend die gleiche Replikationslatenz wie standortintern konfigurieren [1]. Das bedeutet aber auch, dass standortübergreifend viel mehr repliziert wird. Wenn dann keine Flat-Leitungen zwischen den AD-Standorten existieren, könnte das kostspielig werden. [1] LDAP://Yusufs.Directory.Blog/ - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren

Servus, du suchst ADModify!