DerDodger 10 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Hallo zusammen, ich möchte auf einem neuen neu installiertem DC (in bestehende Domäne eingehängt) eine Gruppe oder einen User anlegen... Leider kommt jedes mal nur folgende Meldung: Das Objekt xyz konnte aufgrund folgenden Problems nicht erstellt werden: "Der Verzeichnisdienst kann keinen relativen Bezeichner zuweisen" Kann mir jemand helfen wie ich den DC wieder zum richtigen laufen bekomme.. Danke schon mal Gruß Daniel Zitieren Link zu diesem Kommentar
nschlueter 10 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Hi, schau mal hier: Ereigniskennung 16650: Die Kontenkennungszuweisung wurde unter Windows 2000 und Windows Server 2003 nicht initialisiert Gruß Nils Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 31. März 2008 Autor Melden Teilen Geschrieben 31. März 2008 Hallo Nils, der Text stimmt mit meinem Problem überein... Aber die IDs bei mir sind eher 2091 und 2088... Trotzdem Danke für die schnelle Antwort! Gruß Daniel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Servus, ich möchte auf einem neuen neu installiertem DC (in bestehende Domäne eingehängt) eine Gruppe oder einen User anlegen... hat denn bereits die AD-Replikation stattgefunden? Befindet sich die Forward Lookup Zone in AD und sind die DNS-Informationen ebenfalls auf den neuen DC repliziert worden? Hat der neue DC in seinen TCP/IP-Einstellungen den bereits bestehenden DNS-Server eingetragen? Ist der Träger der FSMO-Rollen online und von dem neuen DC aus erreichbar? Wer der Träger der FSMO-Rollen ist, bekommst du z.B. mit NETDOM aus den Windows Support Tools, dass du in dem Ordner "Support/Tools" auf der Windows Server 2003 findest, heraus. Der Befehl lautet: Netdom query fsmo. Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 Moin moin, - ich denke schon (weiss es aber nicht genau) das die Replikation stattgefunden hat - DNS hat er repliziert (selben Einstellungen wie auf anderen Servern) - beim Ausführen von "Netdom query fsmo" kommt folgende Meldung: Schema owner Server123.domäne.lan Domain role owner Server123.domäne.lan PDC role Server123.domäne.lan Das System kann die angegebene Datei nicht finden. The command failed to complete successfully. Wobei Server123 auch wirklich der andere DC ist. Was für eine Datei er jedoch sucht und was die folgende Meldung mir sagen soll -KEINE AHNUNG... Gruß Daniel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 - ich denke schon (weiss es aber nicht genau) das die Replikation stattgefunden hat Dann überprüfe es doch... Dabei sollte ein Blick in die MMC "Active Directory-Benutzer und -Computer" reichen. - DNS hat er repliziert (selben Einstellungen wie auf anderen Servern) OK, wenn du also auf beiden DCs in die DNS-MMC schaust, enthalten beide die gleichen Einträge. - beim Ausführen von "Netdom query fsmo" kommt folgende Meldung: Na wer sagts denn... genau das ist dein Problem. Es fehlen der RID-Master und der Infrastrukturmaster. Installiere dir die Windows Support Tools und führe ein DCDIAG sowie NetDIAG aus und kontrolliere was dir noch an Fehler angezeigt werden. Überprüfe auch über die GUI, was bei den beiden fehlenden Rollen angezeigt wird. Ansonsten verschiebe diese beiden explizit mit "transfer" über NTDSUTIL erneut auf den anderen DC. Siehe auch: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 ... hmmm das mit dem RID-Master hatte ich befürchtet (hab in der zwischenzeit dcdiag /v ausgeführt welcher mir folgende Testa als failed anzeigt: -KnowOfRoleHolder -RIDManager -kccevent ist der Infrastrukturmaster = der KnowOfRoleHolder oder hab ich noch andere Probs in der Domäne -von denen ich noch nichts ahne :-(( Bzw was soll mir die erste und letzte Position sagen? Erstmal vielen vielen Dank für Deine Hilfe!!! Gruß Daniel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 -KnowOfRoleHolder Bei diesem Test wird geprüft, ob sich der Domänencontroller zu allen fünf FSMO-Rollen im Active Directory, verbinden konnte, die sich entweder auf ihm selbst oder auf einem anderen Domänencontroller befinden. Es leuchtet unmittelbar ein, dass dieser Test selbstverständlich mit einem "passed" beendet werden muss. -kccevent Dieser Test stellt sicher, dass der Knowledge Consistency Checker auf dem Domänencontroller auf dem er läuft, alle weiteren Domänencontroller finden kann, um Replikationsverbindungen aufzubauen. ist der Infrastrukturmaster = der KnowOfRoleHolder oder hab ich noch andere Probs in der Domäne -von denen ich noch nichts ahne :-(( Nein, die KnowOfRoleHolder sind alle fünf FSMO-Rollen, nicht nur einer. Stelle erst einmal sicher, dass die beiden fehlenden Rollen ordnungsgemäß angezeigt werden. Führe dazu das durch, was ich in meiner vorherigen Antwort geschrieben hatte und lies dir auch den Artikel durch, den ich gepostet habe. Erstmal vielen vielen Dank für Deine Hilfe!!! Das du behebbare Probleme hast, die beide zusammenhängen. ;) Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 sooooo hab jetzt gem. der Doku durchgeführt: mit ntdsutil.exe den Befehl seize rid master abgesetzt. folgend Meldungen kommen: -Eine sichere Übertragung von RID FSMO vor der Übernahme der Funktion wird versucht -ldap_modify_sW-Fehler 0x34(52 (nicht verfügbar) -ldap-Fehlermeldung: 000020AF: SvrErr: DSID-033208E5, problem 5002 (unavailable), data 8 -Win32-fehle: 0x21af (Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar.) ... Im Anschluss wird noch gesagt was die Übertragung fehlgeschlagen ist. Bei der Überprüfung der Funktionen wir der RID jetzt aber dem richtigen Server zugeordnet. Sehe ich richtig das das RID-Problem jetzt behoben ist? Beim erneuten Ausführen es dcdiag /v schlagen jetzt nur noch kccevent und systemlog fehl der rest geht mit passed durch.. Gruß Daniel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 mit ntdsutil.exe den Befehl seize rid master abgesetzt. Eieieii... warum den mit Gewalt, also "seize"? Ich hatte doch extra geschrieben: Ansonsten verschiebe diese beiden explizit mit "transfer" über NTDSUTIL erneut auf den anderen DC. Statt "seize" hättest du "transfer" verwenden sollen. Natürlich funktioniet TRANSFER nur, wenn der Ursprungsträger noch online ist. Denn gerade der RID-Master darf nie und nimmer zweimal in der Domäne existieren. Oder existiert der Ursprungsträger der FSMO-Rollen garnicht mehr in der Domäne? Dann wäre das ok. Falls er doch existiert, überprüfe auf dem anderen DC, wer nun in der GUI als RID-Master angezeigt wird. folgend Meldungen kommen: Ahh ok, anhand dieser Info wird bestätigt, dass der Ursprungsträger nicht mehr zu erreichen ist. Dann geht das mit "seize" in Ordnung. Sehe ich richtig das das RID-Problem jetzt behoben ist? Exakto Mundo. Denn trotz der Angabe von "seize" wird trotzdem versucht die Rolle online zu verschieben, was eben fehlschlägt wenn der Ursprungsträger nicht mehr zu erreichen ist. Daher kommt das die irritierende Fehlermeldung wobai dann aber am Ende die Rolle trotzdem verschoben wird. Das hätte Microsoft besser geschickter lösen sollen, denn die Meldung irrtiert viele, gerade wenn man das nicht jeden Tag ausführt. Beim erneuten Ausführen es dcdiag /v schlagen jetzt nur noch kccevent und systemlog fehl der rest geht mit passed durch.. Der Test beim Systemlog prüft, ob es Fehlermeldungen in den letzten 60 Minuten im Ereignisprotokoll gab. Was den KCCEVENT Test betrifft, ist auch alles im Snap-In "Standorte und Dienste" alles sauber konfiguriert (jeder DC steht an seinem Standort, Subnetze sind erstellt und mit den entsprechenden Standorten verknüpft, richtige Zuordnung der Standorte in den Standortverknüpfungen) Aber nun nochmals zum mitschreiben: Wurde der Ursprungsträger der FSMO-Rollen sauber mit DCPROMO aus der Domäne entfernt oder ist dieser gecrasht? Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 der alte Server ist gecrasht und wurde wohl nicht richtig aus der AD im Nachhinein rausgekratzt. Nochmals vielen Dank für Deine Hilfe! Gruß Daniel Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 der alte Server ist gecrasht und wurde wohl nicht richtig aus der AD im Nachhinein rausgekratzt. Dann denke daran, die Leiche noch mit NTDSUTIL oder ADSIEdit aus dem AD zu entfernen. Befolge dabei diesen Artikel: How to remove data in Active Directory after an unsuccessful domain controller demotion Zitieren Link zu diesem Kommentar
DerDodger 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 Jep werde ich tun! das dsdiag /v ist gerade fehlerfrei durchgelaufen. Damit sollte meine AD wieder perfekt laufen :-)))). Werde jetzt die Reste (wie gerade von Dir beschrieben) noch raus kratzen und dann glücklich sein und mich freuen!! Gruß Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.