NetHawk 10 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Hallo zusammen, stehe vor einem äußerst delikaten Problem. Eine Windows Domäne, ursprünglich unter Windows 2000 aufgesetzt wurde migriert nach Windows 2003 R2. Es sind 3 Domaincontroller vorhanden. 2 Davon wurden bereits vor längerer Zeit "neu" installiert und als Domaincontroller eingestuft. Nun sollte der letzte Windows 2000 (SP4) Domaincontroller (ursprünglich der erste) aktualisiert werden. Alle FSMO-Rollen wurden inzwischen an andere DC´s übertragen. Global Catalog ist noch aktiv. Der Domaincontroller funktioniert auch so weit ganz gut. DCDIAG und andere Tests sind Problemlos durchgelaufen. Das Problem welches ich nun habe, ich bin als Domain-Admin an diesem DC angemeldet und kann den DC nicht neu starten. Mir bleibt nur das Abmelden zur Auswahl. Versuche remote oder per Commandline den Server runterzufahren sind ebenfalls fehlgeschlagen. Es heist immer das mir ein Recht fehlt. Somit kann ich auch keine aktualisierung auf 2003 R2 machen da immer die meldung kommt das ich zu wenig rechte habe. Und das als Domain-Admin? Auf allen anderen DC´s (2003 R2) keine Probleme. Nur eben dieser Windows 2000 SP4 DC. Policies sind zur zeit keine aktiv. Hat jemand ne Idee? Zitieren
viper990 10 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Hi, wenn du den Server doch eh rausnehmen möchtest, dann schalte ihn doch kurzerhand ab und entferne die Metadaten per NTDSUTIL aus dem AD. Vorher mit netdom /query fsmo nochmal sicherstellen das die Rollen wirklich alle auf den/m anderen Server sind. Mag etwas drastisch klingen, war aber das erste was mir dazu einfiel. Gruß ViPeR Zitieren
nerd 28 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Hmm sehr komsich. Es gibt nur eine Domäne in der Gesamtstruktur? Zitieren
Velius 10 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Domain-Admin Gruppe aus der Built-in Gruppe der Administratoren entfernt? Zitieren
nerd 28 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Domain-Admin Gruppe aus der Built-in Gruppe der Administratoren entfernt? Stimmt, dass wäre noch ein guter Ansatz! Zitieren
NetHawk 10 Geschrieben 21. November 2007 Autor Melden Geschrieben 21. November 2007 Stimmt, dass wäre noch ein guter Ansatz! Dann würde es aber auf allen DC´s wohl gleich sein mit dem Phänomen. Und das mit dem rausnehmen... ist nicht so ganz einfach... Das ganze ist in einem Klinikum und somit etwas sensibel :-) Es ist nicht die einzige Domain. Es gibt eine Domain mit einem one-way-trust. Soll heisen, eine andere Domain (von Siemens gestrickt) zieht sich von meiner Domain Gruppenrechte für Röntgensysteme... Aber das sollte keine Probleme machen. Ich könnte den DC auch einfach rausnehmen, einen neuen rein. Das sind dann aber 3-4 Stunden Arbeit. So ein großes Zeitfenster wird mir leider nicht gegönnt, da eine Webapplikation sich dort am DC das Domainzertifikat zieht. (Noch ein Grund warum nicht einfach rauszunehmen) Maximal eine Stunde... :-( Aber was mir echt den Nerv raubt das ich dort an diesem DC als Domain-Admin nur eingeschränkte Rechte habe.... Zitieren
nerd 28 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Hi, nur um sicher zu gehen. Veluis meinte nicht, dass du die built in Admin Gruppe raus nehmen sollst sondern, dass wenn dein Admin Konto da nicht Mitglied ist dass ein Grund sein könnte warum du den Server nicht neu starten kannst. Sprich das war eine Frage - kein Lösungsweg ;) Du meldest dich an dem DC aber mit dem Admin aus der Domäne an für die der DC da ist, oder? Gruß Zitieren
IThome 10 Geschrieben 21. November 2007 Melden Geschrieben 21. November 2007 Du kannst auch die Sicherheitskonfiguration- und Analyse benutzen, um zu sehen, was soll und was ist (Benutzerrechte zum Beispiel). Importieren solltest Du die SETUP SECURITY.INF und die DC SECURITY.INF , um dann den Computer zu analysieren (nicht anwenden) ... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.