RCIT 0 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Guten Morgen zusammen, habe mich soeben hier im Board registriert, da ich nun seit über einer Woche an einem Projekt in unserer Firma sitze. Projekt ist für die meisten hier wahrscheinlich simpel. Da ich leider das letzte Mal vor ca. 10 Jahren mit Servern zu tun hatte, fällt mir der aktuelle Vorgang ein wenig schwer. Meine aktuelle Aufgabe umfasst folgendes: Firmennetzwerk in einem kleinen Handwerksunternehmen (aktuell Server 2003, SP2, 16 Clients mit XP, SP3) und ein AD das in den letzten Jahren von zwei verschiedenen Admins gepflegt wurde, die beide nicht mehr da sind, auf einen neuen Server mit Windows Server 2008R2 umzustellen, wobei die AD Einträge wie Gruppen, Berechtigungen usw. NICHT vom 2003er übernommen sondern neu angelegt werden sollen. Der 2008R2 soll übergangsweise als sekundärer DC eingerichtet werden, da auf dem alten Server (2003) Firmendaten aus über 20 Jahren Existenz liegen. Diese sollen in "nächster Zeit" übernommen werden, ein neues Warenwirtschaftsprogramm wird eingeführt (soll auch auf dem 2008er laufen). Das neue Warenwirtschaftsprogramm benötigt halt ein voll funktionsfähiges AD um entsprechend zu funktionieren. Wenn das geschehen ist, soll der 2008er hochgestuft werden und als alleiniger DC fungieren. Ich habe als also den neuen Server normal ins Netz als Client aufgenommen und erstmal die Windows Installation und diverse andere Installationen vorgenommen (SQL2012, Email Programm, etc ..) vorgenommen. Die Einrichtung als sekundären DC habe ich heute morgen begonnen, da gestern abend noch eine komplette Serversicherung durchgelaufen ist, falls ich etwas "zerstören" sollte. Dieser Fall ist bisher nicht eingetreten. Folgende Vorgänge habe ich vor DCPROMO durchgeführt: Auf dem Server 2003: - adprep32 /forestprep (erfolgreich) - adprep32 /domainprep (erfolgreich) - adprep32 /gpprep (nicht erfolgreich, da anscheinend auf Grund der Tatsache, dass mein Server2003 alleiniger DC ist der Infrastrukturmaster nur da liegen kann und dadurch kein /gprep möglich ist. Ich gebe zu, dass ich an dieser Stelle das erste Mal Bauchschmerzen hatte und auch den Windows TechNet Artikel nicht zu 100% verstanden habe). - adprep32 /rodcprep (um den DC schreibgeschützt zu erstellen; Hierbei ist mir dann im späteren Verlauf im Assistenten auf dem 2008er aufgefallen, das er einen NICHT schreibgeschützten DC erstellen will?! siehe auch Bild DC beitritt) Auf dem Server 2008R2: - Assistenten zum Installieren von Domänendiensten ausgeführt - Im Assistenten: Vorhanden Gesamtstruktur, DC vorhandener Struktur hinzufügen gewählt -entsprechend die im Assistenten nötigen Einträge gemacht. Lief soweit auch gut durch. Bis zu dem Zeitpunkt wo der Assistent fertig gestellt werden sollte. Ich füge hier einmal das ExportLog ein: ------------------------------------------------------------------------------------- ; DCPROMO unattend file (automatically generated by dcpromo); Usage:; dcpromo.exe /unattend:C:\Users\Administrator\Documents\Konfig_DC_Assistent.txt;; You may need to fill in password fields prior to using the unattend file.; If you leave the values for "Password" and/or "DNSDelegationPassword"; as "*", then you will be asked for credentials at runtime.;[DCInstall]; Replica DC promotionReplicaOrNewDomain=ReplicaReplicaDomainDNSName=xxxxxxxxxxxxSiteName=Standardname-des-ersten-StandortsInstallDNS=YesConfirmGc=YesCreateDNSDelegation=NoUserDomain=ruhrcomputer.localUserName=ruhrcomputer.local\AdministratorPassword=*DatabasePath="C:\Windows\NTDS"LogPath="C:\Windows\NTDS"SYSVOLPath="C:\Windows\SYSVOL"; Set SafeModeAdminPassword to the correct value prior to using the unattend fileSafeModeAdminPassword=; Run-time flags (optional); CriticalReplicationOnly=Yes; RebootOnCompletion=Yes ------------------------------------------------------------------------------------------ Der Assistent fängt an zu arbeiten und schmeißt mir nach kurzer Zeit einen Fehler aus: siehe Bild im Anhang (DC beitritt) Die Meldung an und für sich erscheint mir an der Stelle logisch, da natürlich durch die Aufnahme des Servers ins Netzwerk vorab ein Eintrag im AD auf dem Server2003 existiert. Nun dachte ich ich könnte ihn aus dem 2003er AD "einfach" löschen, aber so "einfach" scheint mir der Vorgang an dieser Stelle nicht mehr zu sein. siehe Bild 2003 AD An diesem Punkt stehe ich mit ziemlichen Kopfschmerzen hier und weiß ehrlich gesagt nicht, was ich als nächstes tun soll. Ich hoffe das jemand hier einen hilfreichen Tipp für mich hat. In diesem Sinne vielen Dank fürs Lesen und etwaige Antworten. (Sorry, sollte ich das falsche Forum gewählt haben oder aber einen Doppelpost gemacht haben, aber per SuFu habe ich in der Eile die ich grade habe keinen passenden Thread gefunden.) Gruß RCIT Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Der neue Server hat aber schon einen anderen Namen als der schon vorhandene, oder? Wie sieht das ipconfig /all vom alten und vom neuen Server aus? Hast Du DNS auch mit ausgewählt bei der Rolleninstallation? Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 13. März 2013 Autor Melden Teilen Geschrieben 13. März 2013 (bearbeitet) Hallo Sunny61, ja der neue Server hat einen anderen Namen wie der Alte. Die DNS Rolle ist auf dem 2008er wohl installiert, verweist aber auf die IP des 2003, da wir den DNS Service bei uns über dyndns.org laufen haben, auf Grund von VPN der Mitarbeiter von außerhalb. Der DNS auf dem 2003er ist entsprechend die 127.0.0.1 (localhost) und die auf dem 2008 ist ensprechend die IPv4 Adresse des 2003ers. Alle relevanten Rechner befinden sich auch im selben Netz. Edit: Habe soeben noch 2 Screens angehängt, die die aktuellen ipconfigs wiedergeben. (Hierbei lässt sich dann auch ersehen, dass die Namensgebung der beiden Server unterschiedlich ist) Der Adapter "Netzwerk_1" ist der, der auf dem 2008er aktiv ist. Als einziger. Habe kein Teaming o.ä. gemacht, sondern nutze nur einen Anschluss. Kurz ein neuer Gedanke, daher noch ein Edit. MUSS ich mit einem "sauberen" Server in den DCPROMO starten? Sprich Server nur mit OS versehen, entsprechend nötige Updates fürs OS fahren, Rollen und Features aber erstmal leer lassen? Ich habe im vorliegenden Fall den Start mit einem "vollen" Server gewagt. Sprich es waren schon diverse Rollen (DHCP, DNS, Hyper-V, AD, Drucker, etc ..) und Features "vorinstalliert" bevor ich DCPROMO ausgeführt habe. Ich habe zwar weder DNS noch DHCP aktiv geschaltet auf dem 2008er, aber vielleicht liegt der Hase da im Pfeffer? Wäre natürlich nun mehr als übel, müsste ich den ganzen Server wieder platt machen :( bearbeitet 13. März 2013 von RCIT Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Die DNS Rolle ist auf dem 2008er wohl installiert, verweist aber auf die IP des 2003, da wir den DNS Service bei uns über dyndns.org laufen haben, auf Grund von VPN der Mitarbeiter von außerhalb. Der DNS auf dem 2003er ist entsprechend die 127.0.0.1 (localhost) und die auf dem 2008 ist ensprechend die IPv4 Adresse des 2003ers. Ändere das auf die richtige IP ab. Ist der 2008er eine VM? Wieviele LAN-Karten sind aktiv? Für einen DC solltest Du nur eine aktiv haben, die anderen am besten im Gerätemanager deaktivieren. BTW: So ein ipconfig /all kann man auch als Text hier einstellen, ist für die Leser angenehmer und einfacher als ein Screenshot. MUSS ich mit einem "sauberen" Server in den DCPROMO starten? Sprich Server nur mit OS versehen, entsprechend nötige Updates fürs OS fahren, Rollen und Features aber erstmal leer lassen? Ich habe im vorliegenden Fall den Start mit einem "vollen" Server gewagt. Sprich es waren schon diverse Rollen (DHCP, DNS, Hyper-V, AD, Drucker, etc ..) und Features "vorinstalliert" bevor ich DCPROMO ausgeführt habe. Oje, ein DC sollte DC sein, nicht auch noch Hyper-V. Und ein Hyper-V sollte nur Hyper-V sein. Ich habe zwar weder DNS noch DHCP aktiv geschaltet auf dem 2008er, aber vielleicht liegt der Hase da im Pfeffer? Wäre natürlich nun mehr als übel, müsste ich den ganzen Server wieder platt machen :( Wichtig ist die DNS-Rolle, wie genau ist das konfiguriert? habe mich soeben hier im Board registriert, da ich nun seit über einer Woche an einem Projekt in unserer Firma sitze. Projekt ist für die meisten hier wahrscheinlich simpel. Da ich leider das letzte Mal vor ca. 10 Jahren mit Servern zu tun hatte, fällt mir der aktuelle Vorgang ein wenig schwer. Aber mal ehrlich, weshalb wagst Du dich dann an so ein Projekt, wenn Du schon so lange raus bist? Das ist IMHO unverantwortlich dem Kunden gegenüber. Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 13. März 2013 Autor Melden Teilen Geschrieben 13. März 2013 (bearbeitet) Die "Unverantwortlichkeit " ist nicht weiter wild. Habe da den Segen meines Chefs. Es handelt sich hiebei um unser eigenes Firmennetz. Sprich in der Firma in der ich arbeite, mache ich auch den Serverumstieg. Ansonsten hätte ich das nicht angenommen, insofern gehe ich da voll und ganz mit dir konform. Ich bin aktuell dabei ALLE Features bis auf Remotedesktop und alle Rollen bis auf AD zu entfernen. Die DNS Rolle habe ich versucht auf den Domänenstandard des 2003ers zu konfigurieren. Problem dabei ist, das er mir dann sagt, das er keine Verbindung aufbauen kann. Der DNS den wir nutzen liegt wie gesagt bei dyndns.org. Der Server 2003 horcht über localhost IP nur über den Router dahin. Dort ist der Rest hinterlegt. Nachdem ich mal die "alt eigesessenen" Mitarbeiter befragt habe wo die Daten für dyndns.org sind .. gabs große Augen aber mehr nicht. Dummerweise ist im Router auch nur "dyndns.org" eingetragen. Keine reale IP. Danke für den Tipp mit dem Hyper-V und sorry für die Screenshots. Werde dann in Zukunft davon Abstand nehmen. Der 2008er ist keine VM. Der ist real. Genau wie der 2003er. Insgesamt habe ich 2 Netzwerkkarten mit je 2 Ports. Habe nun entsprechend deines hinweises 3 Ports deaktiviert. An der Stelle auf jeden Fall ein ehrliches und dickes Dankeschön, dass du dich trotz meines "Noobigen" Know-Hows mit mir beschäftigst. Hmpf.. habe die DNS Config vergessen. Sorry. Also: Server 2003 hat im DNS stehen: 127.0.0.1 DNS funktioniert. Im Router Draytek Vigor 2500 (wird in Kürze durch FritzBox 7390 ersetzt) steht im DNS drin: dyndns.org Wie gesagt, mit dem DNS gibt es Null Probleme bei uns. Server 2008R2 hat im DNS stehen: 192.168.1.11 Das ist die IPv4 des Server 2003. Der wiederrum hat ja die 127.0.0.1 eingetragen. (Was auch in den Eigenschaften der Lookupzone im Servermanager des 2003er auftaucht) So grade mal ein /display dns gezogen: C:\>ipconfig /displaydnsWindows-IP-Konfiguration 1.0.0.127.in-addr.arpa ---------------------------------------- Eintragsname . . . . . : 1.0.0.127.in-addr.arpa. Eintragstyp . . . . . : 12 Gültigkeitsdauer . . . : 516907 Datenlänge . . . . . . : 4 Abschnitt . . . . . . : Antwort PTR-Eintrag . . . . . : localhost _ldap._tcp.xxxxxxxxxxxxxxx.local ---------------------------------------- Name existiert nicht. _ldap._tcp.standardname-des-ersten-standorts._sites.xxxxxxxxxxx.local ---------------------------------------- Name existiert nicht. localhost ---------------------------------------- Eintragsname . . . . . : localhost Eintragstyp . . . . . : 1 Gültigkeitsdauer . . . : 516907 Datenlänge . . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag . . . : 127.0.0.1 Hilft das? bearbeitet 13. März 2013 von RCIT Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Zum Thema DNS nochmal, das mit dem DynDNS gefällt mir gar nicht. Ihr habt doch im DNS auf dem 2003er eine eigene lokale DNS-Zone, oder nicht? Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 13. März 2013 Autor Melden Teilen Geschrieben 13. März 2013 (bearbeitet) Der Eintrag im DNS den ich nur habe ist die lokale Domäne. Mehr sehe ich da nicht. Die taucht wieder im SOA auf. Hoffe ich bin noch auf dem richtigen Dampfer. Bemühe mich grade um Zugang zu diesem mysteriösen DYN Konto. Dann werde ich hoffentlich schlauer sein, was die Angaben angeht, Edit: So.. entweder liegts am wenigen Schlaf oder an den 10 Hochzeiten auf denen ich grad tanze. Die von dir erfragte lokale DNS Zone ist natürlich die lokale Domäne. Der DNS läuft entsprechend auf dem Server 2003 und ist ok. Die Weiterleitungen für Anfragen, die NICHT im eigenen DNS gefunden werden ist der Router mit seiner IP eingetragen und der wiederrum hat die Angabe gespeichert bei DynDNS.org nachzuhorchen. Somit sind wir da wieder bei dem Punkt, dass das soweit ich das bis jetzt nachvollziehen kann damals so geregelt wurde, weil diverse MA´s von zu Hause per VPN arbeiten. Sprich im Reiter "Schnittstellen" im DNS Snap IN ist die Server IP drin und im Reiter "Weiterleitungen" unter DNS Domäne "alle anderen DNS Domänen" mit der IP unseres Routers. Im Router ist dann der Rest drin. Siehe Screenshot. bearbeitet 13. März 2013 von RCIT Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Die von dir erfragte lokale DNS Zone ist natürlich die lokale Domäne. Der DNS läuft entsprechend auf dem Server 2003 und ist ok. Die Weiterleitungen für Anfragen, die NICHT im eigenen DNS gefunden werden ist der Router mit seiner IP eingetragen und der wiederrum hat die Angabe gespeichert bei DynDNS.org nachzuhorchen. Somit sind wir da wieder bei dem Punkt, dass das soweit ich das bis jetzt nachvollziehen kann damals so geregelt wurde, weil diverse MA´s von zu Hause per VPN arbeiten. Das mit dem DynDNS ist IMHO ein Schmarrn. Trag doch als Weiterleitung auf dem DNS-Server den DNS von Google ein: 8.8.8.8 DNS-Dienst am Server neu starten und den Cache löschen. Jetzt mal surfen, funktioniert das noch? Auch wenn Leute von zu Hause aus arbeiten, hat das mit dieser Sache erstmal nichts zu tun. Die DynDNS-Adresse brauchen die Mitarbeiter nur, wenn ihr keine feste IP-Adresse habt, das weißt Du nur du oder dein Chef. Sprich im Reiter "Schnittstellen" im DNS Snap IN ist die Server IP drin und im Reiter "Weiterleitungen" unter DNS Domäne "alle anderen DNS Domänen" mit der IP unseres Routers. OK, trag bei Weiterleitungen die IP von Google ein und lösch die von eurem Router. Wenn möglich den Server neu starten. Hast Du schon in den Eigenschaften der NIC die richtige IP-Adresse vom DNS eingetragen? 127.0.0.1 ist nicht OK. Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 13. März 2013 Autor Melden Teilen Geschrieben 13. März 2013 atm kann ich leider nix neu starten, da das Tagesgeschäft noch läuft. Das Problem ist genau das mit der dynamischen IP über den ISP. Wir haben keine statische. Daher den Dyn-Dienst. Fraglich ist nur ob ich den noch brauche oder ob ich das in Zukunft über die Fritzbox 7390 besser regeln kann bzgl. VPN (den Draytek muss ich auch rausschmeißen). Die "richtige" IP des DNS ist aktuell das größte Sorgenkind, dass du mir vorgesetzt hast. Ich kann leider nur mit den Angaben werkreln, die aktuell im 2003er drin sind und die habe ich ja bereits genannt. Was halt beständige Tatsache ist, ist folgendes: Der komplette Betrieb läuft ohne Probleme. Sprich DNS funktioniert, so wie es aktuell konfiguriert ist. Langsam bekomm ich böse "P" ´s in den Augen :/ Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Die Aktualisierung des DynDNS macht im Router, dazu braucht man keine DNS-Weiterleitung vom DNS-Server zum Router zu haben. Wenn alles funktioniert, mach den neuen Server nochmal platt, lösch ihn aus dem AD, funktioniert das nicht einfach, nimm ADSIEdit und entferne den DC manuell: http://support.microsoft.com/kb/216498/de Anschließend den neuen Server neu installieren, in die Domain aufnehmen, alle Updates installieren und DCPROMO via Start > Ausführen starten. DNS mitinstallieren, das ist eigentlich nur ein durch ENTERn, anschließend neu starten. Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 13. März 2013 Autor Melden Teilen Geschrieben 13. März 2013 So habe ich auch schon angefangen. Gelöscht habe ich ihn einfach per Kontextmenü mit der Option "DC ist permanent offline und nicht mehr für Assistenten verfügbar". Hoffe das reicht dem aktuellen AD. Falls nicht werde ich nicht umhin kommen das Tool zu nutzen *grausel* Aber da habe ich dann schon nen dicken Elefantenfuss in meinem bisherigen To-Do entdeckt. Ich *** hätte den 2008er in die Domäne aufnhemen sollen. Habe ich natürlich nicht im geringesten dran gedacht ..... Verflucht. Aber ich werd das heute nacht mal so machen wie du es eben beschrieben hast und bete, dass ich nichts vergesse .. Vielen lieben Dank für die bisherige Geduld und die guten Tipps. Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 14. März 2013 Melden Teilen Geschrieben 14. März 2013 (bearbeitet) So habe ich auch schon angefangen. Gelöscht habe ich ihn einfach per Kontextmenü mit der Option "DC ist permanent offline und nicht mehr für Assistenten verfügbar". Hoffe das reicht dem aktuellen AD. Falls nicht werde ich nicht umhin kommen das Tool zu nutzen *grausel* Aber da habe ich dann schon nen dicken Elefantenfuss in meinem bisherigen To-Do entdeckt. Ich *** hätte den 2008er in die Domäne aufnhemen sollen. Habe ich natürlich nicht im geringesten dran gedacht ..... Verflucht. Man muss den Server vorher nicht aufnehmen, aber DNS-Probleme werden schon bei der Aufnahme sichtbar. ;) Die bereinigen und schon kann es weitergehen. Aber ich werd das heute nacht mal so machen wie du es eben beschrieben hast und bete, dass ich nichts vergesse .. Vielen lieben Dank für die bisherige Geduld und die guten Tipps. Die Nacht ist vorrüber, wie ist es dir ergangen? bearbeitet 14. März 2013 von Sunny61 Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 14. März 2013 Autor Melden Teilen Geschrieben 14. März 2013 (bearbeitet) Guten Morgen mal wieder, so Installation lief soweit gut. DNS Problematik hat sich auch erledigt. Da hat jemand in der Vergangenheit so ein "paar" Angaben in Richtung alternative DNS Serveradressen vergessen .... Eagl. Soweit läuft es nun. Dachte ich. Habe so wie du geschrieben hast nach den wichtigen Windows Updates (UND dem DEAKTIVIEREN von IPv6.. was furchtbar WICHTIG! ist, wie ich heut nacht feststellen durfte) den dcpromo über Ausführen angeschmissen. Alles gut, bis auf die Tatsache, dass der Replikationsvorgang vom AD nicht gestartet wird, da ihm die berechtigung fehlt auf das 2003er AD zuzugreifen. Soweit ich weiß liegt das daran, das bei Server2003 nen Schalter existiert, der das Remote-Einloggen verbietet. Das kann man abschalten .. lt. MS Technet. Den Eintrag such ich grade. Habe schon den ADSIEdit offen, weiß aber nicht wo ich den Eintrag finde. Falls dir da was bekannt ist.. bitte sags mir um Gottes Willen ... Hab mal noch den Screen vom "Fehler" angehängt. Er repliziert halt nix, sondern fährt immer wieder in den verdammten Schirm mit dem Passwort rein. Habs nen paar Dutzend Mal eingegeben und parallel die Plattenkapazität auf dem neuen Server beobachtet und der bringt Null Bytes rüber ..... Edit: Boardsuche gut :) http://www.mcseboard.de/topic/54836-konvertieren-in-ein-dom%C3%A4nencontrollerkonto-zugriff-verweigert/ Lösung wird erarbeitet.. Mal schauen. bearbeitet 14. März 2013 von RCIT Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 14. März 2013 Melden Teilen Geschrieben 14. März 2013 Habe so wie du geschrieben hast nach den wichtigen Windows Updates (UND dem DEAKTIVIEREN von IPv6.. was furchtbar WICHTIG! ist, wie ich heut nacht feststellen durfte) den dcpromo über Ausführen angeschmissen. Weshalb sollte IPV6 etwas schlechtes sein? Das habe ich noch nie deaktiviert und hatte auch noch nie damit Probleme. Alles gut, bis auf die Tatsache, dass der Replikationsvorgang vom AD nicht gestartet wird, da ihm die berechtigung fehlt auf das 2003er AD zuzugreifen. Bist Du mit dem Domain-Admin angemeldet? Wenn ja, kontrolliere im AD nach, in welchen Gruppen der Administrator enthalten ist. Soweit ich weiß liegt das daran, das bei Server2003 nen Schalter existiert, der das Remote-Einloggen verbietet. Das kann man abschalten .. lt. MS Technet. Den Eintrag such ich grade. Das glaube ich nicht, dass es daran liegt. Hab mal noch den Screen vom "Fehler" angehängt. Er repliziert halt nix, sondern fährt immer wieder in den verdammten Schirm mit dem Passwort rein. Habs nen paar Dutzend Mal eingegeben und parallel die Plattenkapazität auf dem neuen Server beobachtet und der bringt Null Bytes rüber ..... Edit: Boardsuche gut :) http://www.mcseboard.de/topic/54836-konvertieren-in-ein-dom%C3%A4nencontrollerkonto-zugriff-verweigert/ Lösung wird erarbeitet.. Mal schauen. Schon etwas gefunden? Zitieren Link zu diesem Kommentar
RCIT 0 Geschrieben 14. März 2013 Autor Melden Teilen Geschrieben 14. März 2013 (bearbeitet) Angemeldet bin ich mit dem "Oberadmin". Der ist Mitglied von: Administratoren Domänen Admins Domänen Benutzer grp_AdministratorenOrganisationsadmins Schemaadmins Richtlinien Ersteller Besitzer So, also wenn das an berechtigung nicht reicht?! (Das hab ich nicht so gemacht.. das wahr schon so .. nur als Anmerkung) Die Anleitung .... sagt mir atm gar nix. Sie hilft mir kein Stück.. es gibt meiner Meinung nach gar kein AD Benutzer und Gruppen ?!?! SnapIN. Es sind Benutzer und Computer. Entsprechend ab da verläuft sich grad alles im Sand. Ich glaub ich beiß gleich in den Bildschirm ... P.S: Fast vergessen: Der Domain Admin ist btw auch Mitglied der Administratoren. Also so wie ich das sehe, sollte es doch kein grundsätzliches Berechtigungsproblem sein? Hab da nochwas: Dank an Onkel MS: Folgender Wortlaut: Da ein Domänencontroller ein Mitglied der Gruppe "Domänencontroller der Organisation" ist, ist er autorisiert, jede beliebige Funktion auf einem anderen Domänencontroller aufzurufen. Wenn Aufrufe zwischen Domänencontrollern zu "Zugriff verweigert"-Fehlern führen, hängt dies nicht damit zusammen, dass die korrekten Anmeldeinformationen fehlen, sondern dass einer der Domänencontroller nicht korrekt konfiguriert ist. Wenn der Fehler "ERROR_ACCESS_DENIED" lautet, suchen Sie nach einem Kerberos-Problem. Wenn der Fehler "ERROR_DRA_ACCESS_DENIED" lautet, überprüfen Sie, ob die Computerkonten bei beiden beteiligten Computern auf beiden Verzeichnissen korrekt sind. Stellen Sie sicher, dass das Feld userAccountControl für einen Domänencontroller korrekt ist. Also so wie ich das sehe suche ich ein Kerberos Problem... (siehe mein Screenshot weiter oben) Was sagst du? Hm und ein neues Edit: .. Ich muss mal schlafen. Habs hinbekommen und hab in den Group Policys den Admin Stamm jetzt in die Regel eingetragen das der Zugriff aufs AD beim Replizieren erlaubt ist.. Werde dann mal so in ner Stunde oder so wenn der Kopf wieder frei ist mal nen neuen Vorgang starten. Update folgt. bearbeitet 14. März 2013 von RCIT Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.