NetHawk 10 Geschrieben 24. Juli 2007 Melden Teilen Geschrieben 24. Juli 2007 Hallo zusammen, folgendes Szenario: Vor langer Zeit wurde eine Domäne (Windows 2000 SP4 DNS/DHCP) aufgesetzt - DC1 Domäne1. Dann wurden nach und nach Domaincontroller der Domäne1 hinzugefügt, einer mit windows 2003 ohne SP (DC2) und einer mit Windows 2003 SP1 (DC3). Eine 2te Domäne wurde dann von Siemens eingerichtet und ein Trust hergestellt (Domäne2). Nun wurde mir aufgetragen, alle DC´s der Domäne1 auf den gleichen Stand mit OS zu bringen. Neuer Stand soll sein Windows 2003 R2 SP2. Ich habe zu allererst auf dem W2K server von der R2-CD 2 den ADPREP aufgerufen. Das erste mal mit /forestprep das zweite mal mit /domainprep. Beides ohne Fehler gelaufen. Dann habe ich einen neuen Server aufgesetzt W2K R2 SP2 als mitglied der Domäne. DNS zeigt auf den W2K Server (DC1). Dann DCPROMO ausgeführt. Anschließend die FSMO Rollen (alle 5) auf den neuen Server übertragen. Anschließend Global Catalog aktiviert. Anschließend DNS installiert und konfiguriert. DNS einstellungen umgestellt auf sich selbst. Im DNS des W2K servers (DC1) habe ich dann einen Forwarder eingerichtet auf den neu installierten Server. Alles bestens. die Windows 2003 Server DC2 und DC3 habe ich erst demotet damm migriert auf Windows 2003 R2 SP2. Habe beide wieder zum DC promotet. Alles bestens DHCP habe ich auch schon erfolgreich migriert auf den neuen Server Alles bestens Also stoppe ich DNS und DHCP auf dem DC1 um zu testen ob alles funktioniert. Alles bestens. Ein Authentifizierter Client von Domäne 2 kann auch auf Ressourcen zugreifen. Sobald ich nun den DC1 komplett ausschalte (herunterfahren :-) ) bekomme ich auf den Clients der Domäne2 die Meldung das sie nicht authentifizieren können. Trust habe ich überprüft und sollte arbeiten laut Meldung. Starte ich den DC1 wieder lüuft wieder alles auf den Clients der Domäne2. Nun meine Frage: muß ich erst den Trust aufheben, DC1 demoten und dann den Trust neu einrichten? Mit was hängt das zu sammen... Ich komme leider nicht mehr weiter... Gruß NH Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 24. Juli 2007 Melden Teilen Geschrieben 24. Juli 2007 Hallo, welchen DNS server bekommen denn die clients? Was sagte denn dcdiag /test:dns /s:dc1 /e /v ? Wenn Du den DNS server nur stoppst, dann haben die clients eventuell noch infos im cache. der Trust zu der anderen Domain -ist diese 2. Domain eine domain im gleichen forest? wenn nicht, dann ist es klar, daß die authentifizierung nicht mehr klappt. Für externe Trusts sind die PDCE's zuständig und wenn der nicht verfügbar ist.... lg amichel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 24. Juli 2007 Melden Teilen Geschrieben 24. Juli 2007 Salut, Wenn Du den DNS server nur stoppst, dann haben die clients eventuell noch infos im cache. der Cache spielt dabei keine Rolle. Es kommt natürlich darauf an, welche IP-Informationen dem Client eingetragen bzw. ihm zugewiesen wurden. Das entscheidende ist, ob der DNS-Server per Ping erreichbar ist und beim lediglichen stoppen des DNS-Dienstes auf dem Server ist er nämlch erreichbar. Der Client versucht also erst garnicht seinen zweiten eingetragenen DNS-Server anzufragen. Erst wenn der erste DNS-Server per Ping nicht erreicht werden kann, dann wird der zweite DNS-Server angefragt. Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 24. Juli 2007 Melden Teilen Geschrieben 24. Juli 2007 Salut, der Cache spielt dabei keine Rolle. Es kommt natürlich darauf an, welche IP-Informationen dem Client eingetragen bzw. ihm zugewiesen wurden. Das entscheidende ist, ob der DNS-Server per Ping erreichbar ist und beim lediglichen stoppen des DNS-Dienstes auf dem Server ist er nämlch erreichbar. Der Client versucht also erst garnicht seinen zweiten eingetragenen DNS-Server anzufragen. Erst wenn der erste DNS-Server per Ping nicht erreicht werden kann, dann wird der zweite DNS-Server angefragt. Yep stimmt - danke fürs nachbessern :D Zitieren Link zu diesem Kommentar
NetHawk 10 Geschrieben 25. Juli 2007 Autor Melden Teilen Geschrieben 25. Juli 2007 der Trust zu der anderen Domain -ist diese 2. Domain eine domain im gleichen forest? wenn nicht, dann ist es klar, daß die authentifizierung nicht mehr klappt. Für externe Trusts sind die PDCE's zuständig und wenn der nicht verfügbar ist....lg amichel Das ist ein externer Trust. Also nicht im gleichen Forest. Wie kann ich dann erreichen das die PDCE´s auf den neuen Server verschoben werden? Clientseitig ist alles umgestellt auf den neuen DNS-Server Was mich allerdings wundert, wenn ich den ehemaligen DC (DC1) also abschalte, habe ich versucht an dern anderen Domäne im Usermanager mal auf die andere Domäne zuzugreifen, das klappt alles prima... :-( lg NH Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Hallo, FSMO rollen kannst Du am besten mit ntdsutil verschieben. cmd aufmachen 1.) ntdsutil 2.) roles 3.) connections 4.) con to server DC2 (auf den du die rolle schieben willst) 5.) quit 6.) transfer pdce 7.) mit yes bestätigen 8.)qit 9.) erledigt details hierzu Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller oder für die GUI fans: How to view and transfer FSMO roles in the graphical user interface Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.