angel_77 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 Hallo zusammen, weiß jemand zufällig, ob man eine bestimmte FSMO-Rolle nicht öfters hin und her übertragen darf? Gibt es da Probleme? Und die andere Frage wäre in wie weit man die Rollen in einem bestehenden System ohne Probleme übertragen kann! Die Situation ist folgende: DC1= Schema, RID, Infra DC2= Domänenmaster, PDC Das das keinen Sinn macht, ist mir schon bewußt, die Domäne bestand schon so. Allerdings wäre es jetzt sinnvoll da was zu ändern. Es gibt hier in der Domäne Probleme mit den Kennwortänderungen (...Kennwort wird gesperrt nach Kennwortneueingabe). Das könnte doch evtl. am PDC liegen oder? Mein Vorschlag wäre: DC1= Schema, Domänenmaster DC2= PDC, RID Infrastruktur Ok, würde mich über zahlreiche antworten freuen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 Eine "Limitierung" ist mir nicht bekannt. Da Übertragen ist kein Problem. manche Rollen sind gerne auf dem selben Rechner oder nahe beieinander, ist aber kein technisches Muss! FSMO placement and optimization on Active Directory domain controllers Das mit dem gesperrten Kennwort dürfte nicht unbedingt mit em PDC-Emulator zusammenhängen, und du meinst da wohl, "onto wirde gesperrt", nicht "KEnnwort wird gesperrt". Kannst du das Problem genauer schildern? Ist das Logging für fehlgschlagene Anmeldeversuche auf den DCs an, dann sollte im Log ersichtlich sein, von wo die fehlgeschlagenen Versuche kommen grizzly999 Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 Habt ihr ne Singledomain? Das Verschieben der Rollen ist kein Problem, wenn der Server, von dem verschoben wird noch aktiv ist und mitbekommt, dass er die Rolle abgeben muss. Schwierig wird es nur, wenn z.B. der RID aus ist, die Rolle mit "seize" von einem anderen übernommen wird und dann der alte RID wieder online geht. Gruß woiza Zitieren Link zu diesem Kommentar
angel_77 10 Geschrieben 8. September 2006 Autor Melden Teilen Geschrieben 8. September 2006 Also, ich habe mir das Ereignisprotokoll nun nochmal genau angeschaut! Bin erst seit kurzer Zeit hier und habe bisher zwar das Problem schon öfters geschildert bekommen, aber so richtig nachvollziehen konnte ich es nicht. Und wie es der Zufall will, heute morgen passiert es mir selber, ich also sofort in das Ereignisprotokoll rein. Der Vorgang ist folgender: Der User meldet sich morgens an und es kommt der Hinweis: Das Kennwort läuft in ... Tagen ab, wollen Sie es ändern? Man bestätigt dies mit ja und kann auch ohne Probleme das Kennwort ändern. Der Eintrag im Ereignisprotokoll ist auch als Erfolgreich eingetragen. Ca 45 Minuten später, mal will z.B. ins Internet, will er ein Kennwort! Das bedeutet Konto gesperrt. Bin auch sofort ins Benutzerkonto und so war es auch: Konto gesperrt! Wieder rein ins Ereignisprotokoll: Ereignis-ID 675 Benutzer: NT-Autorität\System , Dienstname: krbtgt ID: "Die ID des PCs auf dem der User versucht hat sich anzumelden". 2. Eintrag: Fehlgeschlagene Anfrage auf Dienstticket. Die Anmeldung findet ja auf dem 1.DC statt, der PDC liegt auf dem 2.DC! Die Replikation ist i.o. Achja, noch als Hinweis: Wenn man das Kennwort ändert und dann gleich einen Neustart durchführt, umgeht man das Problem wohl ?!?! Das ganze Problem besteht, seit dem ein Domaincontroller sich verabschiedet hat. Es gab wohl große Probleme bei wieder einbinden des Neuen. Gruß Zitieren Link zu diesem Kommentar
lextor 10 Geschrieben 8. September 2006 Melden Teilen Geschrieben 8. September 2006 >>>>Das ganze Problem besteht, seit dem ein Domaincontroller sich verabschiedet hat. Es gab wohl große Probleme bei wieder einbinden des Neuen.<<<< Wenn sich ein DC verabschiedet (d.h. du hast nicht die Möglichkeit die Rollen rückzuübertragen sowie den DC runterzustufen) müssen die metadaten aus dem AD gelöscht werden! Das kannst du mit "ntdsutil: metadata cleanup" machen. Einfaches Löschen des Objekts bringt Ärger. Das anschließende Übertragen mit seize ist unproblematisch. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.