smichaelis 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 In unserre Firma Befindet sich: 1. Domain-Server (Activ Directory und DNS ist installiert) 2. File-Server 3. Domain-Server (als Backup) Betriebsystem ist Windows 2000 Server Es müssen 60 User währenddessen weiterarbeiten können. Jetzt muss ich den 1-ten Domain-Controller neu installieren da die GPO total verbogen ist und nur noch macken macht.Außerdem kann ich auf ihm weder das SP4 noch Sicherheitspatches einspielen. Wie gehe ich am besten vor . Kann ich den 1-ten Domain-Controller einfach herunterstufen neu instalieren und wieder in die Domäne hängen? Danach möchte ich den 2-ten Domain-Controller neu installieren. Damit die alten GPos beim replizieren nicht wieder übernommen werden. Ist das so möglich? Mir geht es eigentlich nur darum das die User weiter arbeiten können, und das der neu installierte Server später wieder die Master-Funktion übernimmt.Die GPO's möchte ich sowieso neu erstellen da Sie von vornherrein nicht richtig funktionierten. (Die lieben möchte-gern-Admins) Im voraus schon mal danke Zitieren Link zu diesem Kommentar
freak04 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Hallo erstmal, Nein, leider muss ich dich entaeuschen, deine beschriebene Vorgehensweise fuehrt nicht zum gewuenschten Ergebnis. :( 1. dein DC ist der wichtigste Rechner im Ring!!! 2. wenn Du den runterstufst ohne einen zweiten DC zu haben ist Deine Domäne weg (für immer!!) und Deine 60 User werden Dich nerven. meine vorgehensweise wäre folgende: 1. den 2. Rechner mit allen Sp's unf HF's versehen zum DC hochstufen, FSMO's vom 1. DC übernehmen. ADS replizieren (Deine GPO's werden dabei natürlich übernommen - geht nicht anderst) 2. den ersten DC runterstufen, aus der Domäne nehmen und neu aufsetzen - analog zu 1 3. den neuen (1.DC) Rechner hochstufen und somit deine Domäne absichern. 3. GPO's in Ordnung bringen oder neu erstellen und die alten löschen dabei koennten Deine User weiterarbeiten. Ansonsten sehe ich schwarz. mfg Zitieren Link zu diesem Kommentar
smichaelis 10 Geschrieben 16. Juni 2004 Autor Melden Teilen Geschrieben 16. Juni 2004 Danke erst mal, dann werde ich das wohl an einem Wochenende machen. Kann ich denn dann den 1-ten Domain-Controller herabstufen ,ihn neu installieren, Active Directory und DNS aufspielen die User neu anlegen etc. Oder muss ich dann mit Problemen rechnen. Er soll ja den gleichen Domänen-Namen wieder haben und er soll die Master-Funktion beibehalten. Also so wie zur Zeit nur eben komplett neu angelegt Wär echt toll wenn mir Jemand helfen kann da ich schon sämtliche Foren durchsucht habe aber über diese Art von Problem nichts gefunden habe (Vielleicht Denke ich auch nur zu kompliziert) MfG Zitieren Link zu diesem Kommentar
freak04 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Hallo du mußt auf jedem Fall zuerst einen 2. DC ins Rennen bringen!! Wenn dieser Rechner mit allen SP's und HF's läuft, dann mit dcpromo hochstufen. Guckst Du hier.... http://support.microsoft.com/default.aspx?scid=kb;EN-US;238369 Dieser zweite (neue) DC muss dann alle!! Betriebsmasterrollen haben (--> ntdsutil) inkl. GC Guckst Du hier.... http://support.microsoft.com/default.aspx?scid=kb;EN-US;255504 Wenn das der Fall ist dann steht Deine Domäne immernoch mit allen Usern, Computern,... dann NTBACKUP mit Systemstatus ausführen Erst danach kannst Du den alten DC runterstufen (dcpromo) und komplett neu aufsetzen. Wenn er wieder läuft dann mit dcpromo hochstufen und die Betriebsmasterrolen wieder aufteilen. z.B. 1. DC = Schemamaster, Domänenmaster und GC 2. DC = Infrastrukturmaster, PDC-Emulator, Rid-Master (Wichtig bei 2 DC's muss GC und IM getrennt sein!) Es ändert sich nichts an Deinen Benutzerkonten, an Deinem Domänennamen somit dürften sich keine Probleme ergeben. good look Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Servus zusammen, ich will ja nicht recht haben aber: wenn Du wie freak04 rät den "alten DC" wieder frisch in die Domäne aufnimmst und via dcpromo zum DC hochstufst wird das Active Directory doch vom "zweiten DC" rüber repliziert, und damit natürlich auch die kaputten GPO's. D.h. nach meiner Meinung (ich kann mich ja auch irren) bringt dieses Vorgehen nicht fiel, da das Resultat wieder der Ausgangszustand ist. Sorry, aber du musst die GPO's irgendwie reparieren sonst sehe ich da keinen anderen Weg. Außer evtl. ein Backup vom Systemstatus zurückspielen. D.h. eine "authorisierte Wiederherstellung", aber damit verlierst Du die zwischenzeitlichen Änderungen im AD und man sollte keinen Systemstatus nehmen der älter als max. 60 Tage ist (Tomb Stone). Good luck motzel Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Sorry, aber du musst die GPO's irgendwie reparieren sonst sehe ich da keinen anderen Weg Wie wäre es denn mit dem Vorschlag des einfachen Löschens der GPOs?! grizzly999 Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hallo, ja klar, die GPO löschen :) aber nicht wenn es die Default GPO ist/wäre ;) , oder ? Ich habs nie probiert, aber mein Teacher sagte zu uns, dass das Löschen der Default-GPO die letzte Aktion ist, die man für die Policies ausführt :D mfg motzel Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hallo Zusammen Ich hatte ein ähnliches Problem, zwar von der Architektur her völlig anders aber letztendlich dieselbe Lösung. Die Default Domain Policy war verknorxt d.h. die PC's konnten sich alle einloggen (auch keine Wartezeiten) aber bei jedem Rechner immer beim GPO Refresh ein sceclient-Fehler. Ursache ein verwaister Account. Leider war dieser nicht mehr zu rekonstruieren. Mein Glück war, dass die DefaultDomain Policy GPO leer war und die Einstellungen wurden in einer zweiten GPO, welche hierarchisch direkt unter der DefaultDomainPolicy war definiert. Mit dem GPMC (Danke Grizzly99) habe ich dann die alte korrupte GPO entfernt. Wenn Du keine (2.te) GPO hast für die Organisation, würde ich ne neue machen, diese parametrieren und die alte rausbüxen. Die Lösung mit dem "hin-und herinstallieren" der DC's bringt nix wie dies Motzel auch erlärt. Die Fehler sind schon auf diesem Server repliziert Ich würde der Ursache nach gehen und mit dem GPMC versuchen die GPO zu reparieren oder neu zu machen. Gruss Matthias Zitieren Link zu diesem Kommentar
smichaelis 10 Geschrieben 17. Juni 2004 Autor Melden Teilen Geschrieben 17. Juni 2004 Super, erst mal vielen Dank für die Hilfe. Nur wie mache ich die GPO neu. Kann man die neu anlegen und die alte löschen? Wenn ja - wie? Gibts da irgendwas auf der MS-Knowledge-Base? MFG (ich weiß, das sind viele fragen und einge werden die Hände über dem Kopf zusammenschlagen.Aber wenn man schon mal kompetente Ansprechpartner hat..........) Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hallo Am einfachsten machst Du n'Download vom GPMC. Damit kannst Du eine neue GPO erstellen (die enthält ab dem Template auch dieselben Parameters. Allerdings sind diese nicht parametriert, gesetzt). Allerdings Du hastwas von S2000 gesagt. Ich meinte das SP3 drauf installiert sein muss. Gruss, Matthias Zitieren Link zu diesem Kommentar
smichaelis 10 Geschrieben 17. Juni 2004 Autor Melden Teilen Geschrieben 17. Juni 2004 Das Tool GPMC habe ich mir runtergeladen. Es läuft aber nur auf einem XP-Rechner oder auf Windows 2003 Server. Gibts das Tool auch für Win2k? Oder welche möglichkeit habe ich sonst die GPO neu zu erstellen? MfG Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hallo Das Tool sollte gemäss MS laufen ab: Supported Operating Systems: Windows Server 2003, Windows XP GPMC runs on Windows XP Professional SP1 and Windows Server 2003 computers and can manage Group Policy in either Windows 2000 or Windows Server 2003 domains. For Windows XP Professional users, you must have the following installed prior to installing the GPMC: Windows XP Service Pack 1 .NET Framework Your domain controllers must be running Windows 2000 with Service Pack 2 or later. Windows 2000 Service Pack 3 is recommended. Domain controller(s) located in an external forest must have Windows 2000 Service Pack 3 or later installed if you will be accessing those domain controllers from a computer running GPMC, because GPMC requires signing and encryption of all LDAP communications. If do not have Service Pack 3 or later installed on the Windows 2000 domain controller(s) in an external forest, you can temporarily relax LDAP signing and encryption requirements by modifying the registry of the computer running GPMC, as described in Knowledge Base Article 325465. When installing the GPMC on Windows XP Professional with SP1, GPMC Setup prompts you to install Windows XP QFE Q326469 if it is not already present. This QFE updates your version of gpedit.dll to version 5.1.2600.1186, which is required by GPMC. This QFE will be made available in Windows XP Service Pack 2. If the language version of the GPMC doesn't match the language of your operating system, GPMC will not install the QFE. You will need to separately obtain and install this QFE. To obtain this QFE, please see Knowledge Base Article 326469. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.