DC - Windows 2000 / Windows 2003

[orko 10]

habe hier ein großes Problem und zwar wenn ich auf dem Windows 2003 Server einen Benutzer im AD erstelle und gleichzeitig dazu das Postfach im Exchange erstellen mache, dann kann ich mich mit dem User nicht anmelden. Auch wird kein Postfach erstellt. Des weiteren sehe ich den User auch nicht auf dem Windows 2000 Server.

 

Kann da wer helfen ? Ist dringend =(

 

 

danke

[il_principe 11]

hi,

 

dringende Hilfe benötigt noch mehr infos als normale *gg*

 

Beschreib mal etwas deine Serverlandschaft. Welcher macht was

und ist wie mit dem anderen verbunden (replikation usw...).

 

lg

il_principe

[orko 10]

okay dokay:

 

also wir haben 2 DC. Ich nenn die mal einfach DC2000 und DC2003. Auf dem DC2003 läuft auch ein Exchange 2003. Das Problem ist jetzt:

 

Wenn ich einen Benutzer auf dem DC2003 erstelle (mit Postfach), kann ich mich an keiner Workstation anmelden. Lege ich den Benutzer aber auf DC2000 an, kann ich mich mit dem Benutzer überall anmelden, doch habe ich kein Postfach.

 

=( Das ist die Situation.

 

Es sieht wohl so aus als wäre der dc2000 der PDC.

[lefg 276]

Hallo,

 

und die beiden DCs sind Bestandteil einer Domäne? Wirklich?

Das geschilderte Verhalten deutet auf zwei verschiedene Domänen hin.

 

Oder wurde nach der Installation das 2k3 und dem Promoten etwas vergessen? adprep und was war das noch? Schemaerweiterung?

 

Gruß

 

Edgar

[orko 10]

Also das komische ist, dass unter Active Directory -Domänen und Vertrauensstellung nur unsere eine Domäne steht. Drücke ich da auf Eigenschaften und unter Vertrauensstellung steht nur der pcname.

 

Wenn ich unter dem Dc2000 gucke, steht da auch nur der pcname. Wo kann man denn gucken, ob man 2 verschiedene Domänen nutzt?

 

 

unter DNS-DC2000-ForwardLookupzonen-domainname-msdcs-domains-skgrrjjirigrw-tcp da sind dann beide Server gelistet mit ihrem jeweiligen Namen.

 

Kann man den DC2003 irgendwie zum PDC machen ? Oh sehe gerade, dass es sowas nicht mehr gibt unter AD. Gibt jetzt wohl Betriebsmaster.

[lefg 276]

Es gibt also zwei Domänen ?

 

Oder wird versucht, Vertrauensstellungen zwischen DCs einer Domäne einzurichten?

 

Ich kann mich an die Schilderung solcher Versuche erinnern.

[dippas 10]

Wo kann man denn gucken, ob man 2 verschiedene Domänen nutzt?

 

Der Einfachheit halber kontrolliere doch bitte mal im "AD-Benutzer und Computer" ob unter der OU "Domain Controllers" beide drin stehen. Ist dem so, so handelt es sich um eine einzige Domäne, weshalb Vertrauensstellungen uninteressant würden, denn die beziehen sich ja auf unterschiedliche Domänen.

 

Dann würden sich fehlenden Benutzerkonten auf dem einen Rechner mit noch nicht erfolgter Replikation begründen lassen. Diese kann man unter "AD-Standorte und Dienste" auch manuell anstoßen. Hier kannst Du auch einsehen, wie die replikation der Server untereinander gestaltet ist.

 

Steht nur ein Server drin (beisp. am DC2000 nur der DC2000 und umgekehrt), dann hast Du 2 Domänen. Sollten diese auch noch gleich heißen, hast Du ein Problem. Dann wirst Du (vermutlich) bei der Ausführung von dcpromo auf dem zweiten DC nicht angeklickt haben, dass das ein weiterer DC ist, sondern ein neuer. Dann würde es notwendig sein, auf einem DC das AD wieder runter zu schmeißen und neu zu installieren.

 

Allerdings Vorsicht: mach das NACHDEM Du dich vergewissert hast, dass Du das NICHT beim Schemamaster etc. machst. In Deinem Fall würde ich dcpromo auf dem W2K ausführen und vorher alle Rollen auf den W2k3 übertragen. Dass spart Dir eine Schemaerweiterung auf dem W2k, denn der W2k3 hat ja bereits das durch den E2k3 erweiterte Schema.

 

<Editiert>

Vergiss ersten Satz des oberen Absatz, ist ein Gedankenfehler, da das voraussetzt, das Du nur eine Domäne hast. Allerdings würden beim Runterschmeißen vom AD am DC2000 die Benutzer logischweise auch weg sein und auf dem W2k3 übertragen werden müssen.

<Editiert Ende>

 

grüße

 

dippas

[orko 10]

Also unter AD-Standorte und Dienste - Site Name- Server stehen beide Server drin. Doch wenn ich beim DC2003-NTDS Settings in die Eigenschaften gehen und da auf Verbindungen klicke. Steht da nur Replizieren von DC2000 | Replizieren nach DC2000. Das kann doch nicht stimmen oder ?

Bei dem DC2000 unter Eigenschaften steht allerdings DC2003 nach DC2003.

[dippas 10]

Also unter AD-Standorte und Dienste - Site Name- Server stehen beide Server drin. Doch wenn ich beim DC2003-NTDS Settings in die Eigenschaften gehen und da auf Verbindungen klicke. Steht da nur Replizieren von DC2000 | Replizieren nach DC2000. Das kann doch nicht stimmen oder ?

Bei dem DC2000 unter Eigenschaften steht allerdings DC2003 nach DC2003.

 

Na, damit ist ja zumindest geklärt, dass es tatsächlich nur eine Domäne ist. Das ist schonmal gut.

 

Das in den Eigenschaften des NTDS am Dc2000 der DC2003 (und umgekehrt) drin steht ist richtig so, denn die DCs replizieren ja jeweils vom anderen.

 

Wenn Du unterhalb der NTDS-Settings schaust, sollte darin dann "<automatisch generiert> vom Server xyz ..." drin stehen. Damit ist gewährleistet, dass die Server auch tatsächlich miteinander "verbunden" sind.

 

Auf einen solchen Eintrag "Rechtsklick" und Du kannst beispielsweise die manuelle Replikation anstoßen. Auch findest Du hier Einstellmöglichkeiten bezüglich der replikation, also Zeitplan, Transport (sollte auf RPC stehen) etc.

 

Mach mal ne manuelle replikation und schaue mal im Ereignisprotokoll (Verzeichnis) nach, was passiert.

 

grüße

 

dippas

[orko 10]

also, wenn ich beim dc2003 manuelle replication anklicke klappt alles wunderbar. doch bei dem anderen nicht.

Beim Versuch den Namenskontext "xxx.xxx.de" vom Domänencontroller "dc2003" 
nach Domänencontroller "dc2000" zu synchronisieren, 
ist der folgende Fehler aufgetreten:
Zugriff verweigert
[/Code]

[dippas 10]

Sorry, aber im Moment kann ich mit dieser Fehlermeldung deshalb nicht viel anfangen, weil mir spontan nicht einfällt, unter welcher Rubik ist die sortieren soll. Hatte den Fehler selbst noch nicht.

 

Kannst Du mir da nähere Infos geben? Also, wenn aus dem Ereignisprotokoll kommend, welche Rubrik (System, Anwendung etc.) und vielleicht auch etwas mehr an Infos aus dem Ereignisprotokoll.

 

Zugriff verweigert klingt ja nach fehlenden Berechtigungen. Die Frage ist halt nur, welche Berechtigungen fehlt ;)

 

grüße

 

dippas

[Moschtä 10]

hmm *grübel*

 

hast du adprep auf dem win2000 server ausgeführt!?

vielleicht liegt es daran!?

 

mfg

Martin

[orko 10]

nein habe ich nicht. einfach nur adprep eingeben ?

[Christoph35 10]

Hmm, ich geh mal davon aus, du hast eine W2K Domain aufgebaut (also den win 2003 einer 2000er domain hinzugefügt)?

 

Dann mußt du adprep /forestprep und anschließend adprep /domainprep ausführen.

Das hätte eigentlich auch BEVOR du den 2003er DC hinzugefügt hast, geschehen sollen.

 

Christoph

[orko 10]

nachträglich geht das nicht mehr ?