Betriebsmaster in einer Domäne ändern

[chris_davidi 10]

Hallo Zusammen,

 

ich bereite mich momentan auf die Prüfungen zum MCSE vor.

 

Wie kann ich allerdings den Betriebsmaster bzw. den Domänencontroller ändern, wenn der Domänencontroller, der den PDC imitiert nicht mehr verfügbar ist?

 

Habe mir in der VMware folgendens Szenario aufgebaut:

 

- Windows Server 2003 mit dem Namen DC01

- Windows Server 2003 mit dem Namen DC02

 

DC01 imitiert nun den PDC. Nun fällt aber DC01 aus. Wie kann ich den Betriebsmaster auf den DC02 übertragen, wenn DC01 nicht mehr verfügbar ist? DC02 verlangt eine Verbindung zu DC01 beim Ändern bzw. Übertragen des Betriebsmasters?

 

Habt Ihr eine Ahnung? Kann ja meine Domäne nicht mehr erweitern, wenn der Pseude-PDC fehlt, oder?

 

Danke und Grüße,

chris_davidi

[gysinma1 13]

Hallo

 

Grundsaetzlich kann jede Betriebsmasterrolle mit ntdsutil mit "seize" verschoben respektive forced neu angelegt werden auch wenn diese vorher infolge Ausfall nicht mehr verfugbar ist.

 

Suche mal nach ntdsutil respektive schaue Dir mal die Hilfe an (ntdsutil /?)

 

Gruss

Matthias

[IThome 10]

Zum Beispiel so (Seize) ...

http://support.microsoft.com/kb/255504/en-us

[jinroh 10]

oder hier: klick

[Daim 12]

Bonjour,

 

Wie kann ich allerdings den Betriebsmaster bzw. den Domänencontroller ändern, wenn der Domänencontroller, der den PDC imitiert nicht mehr verfügbar ist?

 

dann verschiebst du zum einen Die Rolle "mit Gewalt" und zum anderen, entfernst du den gecrashten DC mit NTDSUTIL oder ADSIEdit aus dem AD.

 

 

Wie kann ich den Betriebsmaster auf den DC02 übertragen, wenn DC01 nicht mehr verfügbar ist? DC02 verlangt eine Verbindung zu DC01 beim Ändern bzw. Übertragen des Betriebsmasters?

 

Ausser dem RID-Master können alle weiteren Rollen auch über die GUI gewaltsam verschoben werden.

Wenn du es über NTDSUTIL machen möchtest, dann geht das mit "seize".

 

Siehe:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

 

Habt Ihr eine Ahnung?

 

Ich denke schon ;) .

 

 

Kann ja meine Domäne nicht mehr erweitern, wenn der Pseude-PDC fehlt, oder?

 

Wenn der PDC-Emulator fehlt, dann funktioniert z.B. dieses nicht mehr:

 

- Zeitabgleich

- Kein Zugriff bzw. bearbeiten der GPOs

- Kennwort-Änderung der Benutzer wird zum Problem

- Externe Trusts

[chris_davidi 10]

Vielen Dank für die schnellen, zahlreichen und auch zugleich informativen Antworten. Den Blog habe ich mir nun durchgelesen, ist sehr informativ. Werde nun noch weitere Informationen in Erfahrung bringen und es praktisch in der VMware durchspielen. Die Snapshot-Funktion ist schon Gold wert. :D

 

Vielen Dank Euch und nen guten Rutsch ins neue Jahr. :)

[chris_davidi 10]

Hi Leute,

 

nun habe ich noch eine Frage, ... Bei dem Probieren in der VMware ist mir aufgefallen, dass wenn ich den PDC abschalte, mich mit den Clients nicht mehr an der Domäne anmelden kann bzw. an meinem zweiten Domänencontroller.

 

Wie gesagt habe ich den PDC, also DC01 und den zweiten DC02. Die Namensauflösung funktioniert einwandfrei. Doch beim Client, Windows XP, erhalte ich nur die Meldung ich solle des Kennwort und die ausgewählte Domäne überprüfen. Sobald ich DC01 einschalte funktioniert der Login wieder.

 

Leider weiß ich nun nicht mehr weiter. Die Domänencontroller sind komplett frisch eingerichtet, das DNS funktioniert wunderbar. Verstehe nicht, warum das nicht klappt, ...

 

Danke,

chris_davidi

[BrainStorm 10]

Dein Client frägt seine bekannten DNS Server nach GC- und DC Einträgen um dann eine Anmeldung durchzuführen.

 

Schau mal im DNS ob auch wirlich alle SRV Records vorhanden sind, bzw. ob in den IP Einstellungen deines Clienten beide DNS-Server eingetragen sind.

 

Ist der 2. DC auch Global Catalog Server?

 

Grüsse von Karlsruhe nach Karlsruhe ;)

[chris_davidi 10]

Hi BrainStorm,

 

vielen Dank für Deine Antwort. Habe nun die folgende Punkte geprüft und mir ist aufgefallen, dass ich den Haken für "Globaler Katalog" auf meinem DC02 nicht gesetzt habe.

 

Habe nun folgendes getan:

 

DC01 und DC02 laufen lassen und den Haken für Global Katalog bei DC02 gesetzt. Jedoch wurde trotzt langer Wartezeit der SRV-Eintrag im DNS für den Global Katalog nicht gesetzt. Habe den Eintrag für DC02 nun händisch erstellt. Dieser wurde auch erfolgreich auf beiden Servern repliziert. Allerdings habe ich immer noch das selbe Problem, dass sich mein User nicht anmelden kann, in der Domäne, sobald DC01 nicht verfügbar ist. Komisch ist aber, dass ich mich mit dem Domänenadministratorkonto vom dem Client aus an der Domäne anmelden kann. Nur mit diesem User nicht - habe auch ein neues Konto im AD erstellt, selbes Problem.

 

Meine Fragen nun konkret:

 

1. Warum erstellt sich der SRV Eintrag für den Globalen Katalog im DNS nicht selbst, wenn ich diese Funktion aktiviere?

2. Warum kann ich mich mit dem Domänenadministrator von dem Client aus an der Domäne anmelden, aber mit meinem User nicht? Das Ereignisprotokoll bei DC02 zeigt einen erfolgreichen Anmeldeversuch an, wenn ich mich einlogge. Aber warum klappt das ganze dann mit dem normalen User aus dem AD nur, wenn DC01 verfügbar ist?

 

DC01 -> 192.168.43.1 -> dc01.test-solution.de -> imitiert den PDC

DC02 -> 192.168.43.2 -> dc02.test-solution.de

 

DNS funktioniert einwandfrei, nslookup habe ich zum Testen benutzt.

 

Auch Grüße aus dem leider regnerischen Karlsruhe,

chris_davidi :)

[blub 115]

mach mal auf beiden DCs ein "repadmin -showreps"

erscheint am Anfang der Ausgabe

"DCOptions:ISGC"

 

und ist ansonsten in den folgenden Zeilen alles "successfull" ?

 

cu

blub

[chris_davidi 10]

Habe mir nun die Support Tools heruntergeladen und auf beiden DCs installiert. Erhalte als erstes wie Du sagst "DCOptions:IS_GC" und der Rest alles "was successful".

 

Im Grunde ist alles jut, der DNS und das AD replizieren sich untereinander, habe ich nun mit dem Monitor beobachten können. Allerdings möchte ich eben auch weiterarbeiten können mit meinem Client, wenn ein DC ausfällt, woran ja der Sinn liegt. Bin echt am verzweifeln, ... :(

[chris_davidi 10]

Nachtrag:

 

Ist doch echt zum Reiern, ... Nun habe ich nochmal probiert meinen Client neu einzuloggen und nun funktioniert es plötzlich einwandfrei, ... Gibts ja echt nicht, dass frisst mir alle Haare vom Kopf. Sitze nun ewig an dem Problem und nun funktioniert es??????

 

Aber nun nochmal zum Verständnis, dass ich den Group Catalog bzw. Globalen Katalog auch auf DC02 einstellen muss weiß ich, muss ich aber wirklich den SRV Eintrag manuell setzen?

[Daim 12]

Aber nun nochmal zum Verständnis, dass ich den Group Catalog bzw. Globalen Katalog auch auf DC02 einstellen muss weiß ich

 

Dieses ist --> technisch <-- in einem Single-Domänen Forest nicht zwingend notwendig.

Der Benutzer kann sich auch ohne einen GC anmelden. Erst wenn es mehrere Domänen im Forest gäbe, ist es zwingend notwendig das GCs existieren.

 

Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

 

 

muss ich aber wirklich den SRV Eintrag manuell setzen?

 

Nein, natürlich nicht. Das macht der DC von alleine.

[IThome 10]

Off-Topic:
Ich habe auch was zum Thema Globaler Catalog (nicht ernst gemeint)
Was ist ein Global Katalog im Active Directory?
Unheimlich gute Übersetzung, wie ich finde :D

Aber hier ist noch was Ordentliches ... ;)
Global Catalog Server Requirement for User and Computer Logon

[chris_davidi 10]

Perfekt, vielen Dank für die Links und die großartige Hilfstellung - habt mir sehr geholfen. :)

 

Feiert schön. :)