Sarek 11 Geschrieben 23. Juli 2010 Melden Teilen Geschrieben 23. Juli 2010 Hallo zusammen, erst mal sorry, wenn ich mein Anliegen hier noch einmal neu poste. So hoffe ich, daß eventuell auch Rückmeldungen von Leuten kommen, die den alten Thread nicht verfolgt haben. Ausgangspunkt war die Situation, daß ich einen Win2000-DomainController durch einen Win2008R2x64-DC austauschen mußte. Da der neue DC den gleichen Namen und die gleiche IP-Adresse haben muß wie der alte, habe ich auf anraten dieses Boards den Umweg über einen temporären DomainController unter Win2003 gewählt. Der Übergang von Server 2000 auf Server 2003 funktionierte problemlos. Was dann leider nicht mehr klappte war der Umzug von dem Server 2003 auf den Server 2008 R2 x64. Sobald ich den neuen Server zum DC hochgestuft habe und der Server neu gestartet ist, kann ich mich nicht mehr lokal anmelden. Ich bekomme vom Server die Meldung "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung". Ich vermute, daß es etwas damit zu tun hat, daß es unter dem Computernamen schon mal einen DomainController gegeben hat (nämlich den alten, mittlerweile abgeschalteten Server 2000). Den habe ich vorher zwar aus dem AD gelöscht, aber während des DCPROMO-Durchlaufes bekam ich den Hinweis, daß es einen DomainController unter dem Namen schon gibt und daß dessen Einstellungen nun überschrieben werden. Das habe ich bestätigt, denn es ist ja ok, wenn eventuell noch vorhandene Reste des alten DC im AD überschrieben werden. Nun meine Frage: Was bedeutet diese verflixte Fehlermeldung? Von welcher Sicherheitsdatenbank ist die Rede, und was ist eine Arbeitsstationsvertrauensstellung? Davon habe ich vor Server 2008 nie gehört. Naja, und vor allem natürlich, wie bekomme ich wieder Zugriff auf meinen Server 2008. Ich habe den Server bereits einmal platt gemacht und erneut aufgesetzt. Nach dem DCPROMO-Durchlauf wurde ich aber wieder mit dieser Meldung ausgesperrt. Im AD (angeschaut auf dem Server2003-DC) taucht der neue Server übrigens ordnungsgemäß in der OU "Domänencontroller" auf und hat wird dort auch als Server 2008 angezeigt. Und ich kann auch auf die administrativen Freigaben des Server 2008 zugreifen. Nur lokal anmelden bleibt mir verwehrt, und da wir keine Windows7-Rechner haben, kann ich auch nirgend das AdminPak (bzw. RSAT) für den 2008er-Server installieren und diesen von außen verwalten. Kann bitte jemand helfen??? DANKE!!!!!!!!! Zitieren Link zu diesem Kommentar
Gulp 252 Geschrieben 23. Juli 2010 Melden Teilen Geschrieben 23. Juli 2010 Ein Domaincontroller hat keine lokale Anmeldung mehr, die lokale Sicherheitskontendatenbank wird mit dem Durchlauf von dcpromo deaktiviert. Versuchst Du Dich mit einem Domain-Admin Konto anzumelden, wenn nein, dann ist genau das der Grund, da sich auf DC's standardmässig nur Mitglieder der Gruppe Domain-Admins anmelden können. Grüsse Gulp Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 23. Juli 2010 Autor Melden Teilen Geschrieben 23. Juli 2010 Versuchst Du Dich mit einem Domain-Admin Konto anzumelden, wenn nein, dann ist genau das der Grund, da sich auf DC's standardmässig nur Mitglieder der Gruppe Domain-Admins anmelden können. Ja, ich habe es sowohl mit dem Hauptadministrator (Domäne\Administrator) als auch mit unserem zweiten DomainAdmin-Account (Domäne\Benutzername) probiert. Beim Versuch, mit mit dem ehemaligen lokalen Administratoraccount des Servers anzumelden, habe ich auch eine andere Fehlermeldung bekommen (Benutzername oder Kennwort falsch). Zitieren Link zu diesem Kommentar
Gulp 252 Geschrieben 23. Juli 2010 Melden Teilen Geschrieben 23. Juli 2010 DNS in Ordnung? Wird der neue DC korrekt aufgelöst? Wird auf dem neuen DC auch der DNS betrieben? Was sagt die Ereignisanzeige? Schon mal dcdiag in einer CMD ausgeführt? Was gibt es dort für Meldungen? Grüsse Gulp Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 23. Juli 2010 Autor Melden Teilen Geschrieben 23. Juli 2010 DNS in Ordnung? Wird der neue DC korrekt aufgelöst? Wie kann ich das testen? Wird auf dem neuen DC auch der DNS betrieben? Natürlich, der wird ja von DCPROMO gleich mit installiert Was sagt die Ereignisanzeige? Hm, das hatte ich bisher gar nicht probiert, da ich gelesen hatte, die 2003-MMC kann sich mit dem x64-Server 2008 nicht verbinden. Geht aber offenbar doch, und prompt finde ich auch zwei möglicherweise relevante Fehler: Der erste tauchte auf, als ich versucht hatte, mich am 2008er-DC anzumelden: Eine Kerberos-Fehlermeldung wurde auf Anmeldesitzung empfangen: Clientzeit: Serverzeit: 13:0:2.0000 7/22/2010 Z Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Erweiterter Fehler: 0xc0000035 KLIN(0) Clientbereich: Clientname: Serverbereich: Domänenname .DE Servername: host/ DC-Name . Domänenname .de Zielname: host/ DC-Name . Domänenname @ Domänenname .DE Fehlertext: Datei: 9 Zeile: efb Die Fehlerdaten stehen in den Berichtdaten. Und der zweite taucht einmal pro Stunde auf: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen cifs/ DC-Name . Domänenname .de vorhanden. Das kommt mir aber seltsam vor, denn eine Suche im AD hat kein zweites Computerkonto mit diesem Namen gefunden. Ich habe den alten DC nach dessen Herabstufung zum Mitgliedsserver auch umbenannt. Schon mal dcdiag in einer CMD ausgeführt? DCDIAG findet er auf meinem 2003er-Server nicht. Und am 2008er kann ich mich ja leider nicht lokal anmelden. Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 23. Juli 2010 Melden Teilen Geschrieben 23. Juli 2010 Hallo Sarek, Wie kann ich das testen? nslookup auf dem 2003 Server, DCDIAG findet er auf meinem 2003er-Server nicht mußt du nachinstallieren, befindet sich in den Support Tools. Gruß Thomas Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 23. Juli 2010 Autor Melden Teilen Geschrieben 23. Juli 2010 (bearbeitet) nslookup auf dem 2003 Server Einfach ein NSLOOKUP auf den Namen des 2008er-Servers? Da wird die richtige IP-Adresse zurückgegeben. DCDIAG: mußt du nachinstallieren, befindet sich in den Support Tools Auf dem 2003er DC taucht folgende Meldung auf: Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. Beim 2008er DC gab es hier keine Probleme. Alle anderen Tests sind bei beiden DomainControllern glatt mit "passed" durchgegangen. Daraufhin habe ich noch mal in die Ereignisanzeige des 2003er DC geschaut. Im Bereich "Dateireplikation" gibt es folgende Meldung: Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Domänencontrollers " Name des 2003er-DC . Domänenname .de" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden. Das nTFRSMember-Objekt cn= Name des 2008er-DC ,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc= Domänenname ,dc=de hat einen ungültigen Wert für das Attribut frsComputerReference. Und ein weiterer: Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Domänencontrollers " Name des 2003er-DC . Domänenname .de" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden. Das Computerobjekt wurde für diesen Computer nicht gefunden. Der Vorgang wird beim nächsten Abrufzyklus wiederholt. Und dann noch dieser: Der Dateireplikationsdienst konnte die Replikation von Name des 2008er-DC nach Name des 2003er-DC für c:\windows\sysvol\domain mit DNS-Namen Name des 2008er-DC . Domänenname .de nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name Name des 2008er-DC . Domänenname .de von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf Name des 2008er-DC . Domänenname .de nicht ausgeführt. bearbeitet 23. Juli 2010 von Sarek Mehrere Ereignisanzeige-Meldungen hinzugefügt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.