Einen wunderschönen guten Morgen,

Wir haben derzeit einen Serverumzug am laufen wo wir von zwei Server auf einen Server umziehen wollen. Nun wollen wir die Features und Rollen von beiden Servern auf einen Server übernehmen und zusätzlich am neuen Server einen Exchange dazu installieren. Der Exchange läuft auf dem neuen Server bereits und ist eingebunden in der Domain. Nun steht mir bevor, dass ich auf dem neuen Server die Rollen übernehme und ich denke der wichtigste Punkt ist hier das AD.

1. Server (Windows Server Enterprise):

Rollen: 

• Active Directory-Domänendienste
• Dateidienste
• DNS-Server
• Druckdienste
• Webserver (IIS)

Features:

• .NET Framework 3.0-Features
• Gruppenrichtlinienverwaltung
• Remoteserver-Verwaltungstools
• Windows Powershell
• Windows Server-Sicherungsfeatures
• Windows-Prozessaktivierungsdienst

2. Server (Windows Server Standard)

Rollen:

• Dateidienste
• DHCP-Server
• Windows-Bereitstellungsdienste

Features:

• .NET Framework 3.0-Features
• Remoteserver-Verwaltungstools
• Windows Powershell
• Windows Server-Sicherungsfeatures

Auf dem neuen Server ist derzeit folgendes installiert (Windows Server 2008 R2 Standard):

• Microsoft Exchange

Rollen:

• Active Directory-Domänendienste
• Dateidienste
• Webserver (IIS)

Features:

• .NET Framework 3.5.1-Features
• Desktopdarstellung
• Freihand- und Handschriftdienste
• Remoteserver-Verwaltungstools
• RPC-über-HTTP-Proxy
• SMTP-Server
• Telnet-Client
• Windows PowerShell
• Windows-Prozessaktivierungsdienst

Nun sind meine Fragen wie folgt:

1. Ich kann auf dem neuen Server das Active Directory aufrufen jedoch denke ich, dass dieser vom alten Server abgerufen wird. Kann ich das irgendwie überprüfen?
2. Kann ich DCPromo im laufenden Betrieb durchlaufen lassen?
3. Könnt Ihr eine Backupsoftware empfehlen? Bislang haben wir alles via xcopy Sonntags auf eine Festplatte kopieren lassen. 

Ich bin für jede weitere Hilfe dankbar.

Freundliche Grüße,

Michael

Hi Leute,

wir haben die Domäne über den Jahreswechsel auf W2012R2 umgestellt. Sie besteht aus 3DCs (die auch GCs und DNS sind), 2 am Hauptstandort, eine an der über VPN angeschlossenen Remoteniederlassung.

Von Zeit zu Zeit können sich immer 1-2 Benutzer nicht anmelden, meinst Montags oder Dienstags:

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         03.02.14 07:56:29
Ereignis-ID:   4771
Aufgabenkategorie:Kerberos-Authentifizierungsdienst
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      DC01.XXXX.de
Beschreibung:
Fehler bei der Kerberos-Vorauthentifizierung.

Kontoinformationen:
 Sicherheits-ID:   XXXX\yyyy
 Kontoname:    Karch

Dienstinformationen:
 Dienstname:    krbtgt/XXXX

Netzwerkinformationen:
 Clientadresse:    ::ffff:192.168.1.131
 Clientport:    59620

Weitere Informationen:
 Ticketoptionen:   0x40810010
 Fehlercode:    0x18
 Typ vor der Authentifizierung: 2

Zertifikatsinformationen:
 Zertifikatausstellername:  
 Seriennummer des Zertifikats:  
 Zertifikatfingerabdruck:  

Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.

Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.

Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4771</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>14339</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2014-02-03T06:56:29.590517300Z" />
    <EventRecordID>2138835</EventRecordID>
    <Correlation />
    <Execution ProcessID="528" ThreadID="4660" />
    <Channel>Security</Channel>
    <Computer>DC01.XXXX.de</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserName">xxxx</Data>
    <Data Name="TargetSid">S-1-5-21-883177862-1370633589-618671499-1088</Data>
    <Data Name="ServiceName">krbtgt/YYYY</Data>
    <Data Name="TicketOptions">0x40810010</Data>
    <Data Name="Status">0x18</Data>
    <Data Name="PreAuthType">2</Data>
    <Data Name="IpAddress">::ffff:192.168.1.131</Data>
    <Data Name="IpPort">59620</Data>
    <Data Name="CertIssuerName">
    </Data>
    <Data Name="CertSerialNumber">
    </Data>
    <Data Name="CertThumbprint">
    </Data>
  </EventData>
</Event>

Auf den Servern ist IPv6 aktiv, auf den Clients auch. Es ist jedoch nicht entsprechend konfiguriert, d.h. Standardeinstellung. Besteht da evt. ein Zusammenhang?

Desweiteren sehe ich auf diesem DC noch:

Protokollname: Application
Quelle:        Group Policy Environment
Datum:         03.02.14 09:16:16
Ereignis-ID:   8194
Aufgabenkategorie:(2)
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      SYSTEM
Computer:      DC01.XXXX.de
Beschreibung:
Die clientseitige Erweiterung konnte die Benutzer-Richtlinieneinstellungen für Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5} nicht übernehmen. Fehlercode: 0x80090006 Ungültige Signatur Weitere Details finden Sie in der Ablaufverfolgungsdatei.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Group Policy Environment" />
    <EventID Qualifiers="34305">8194</EventID>
    <Level>2</Level>
    <Task>2</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-02-03T08:16:16.000000000Z" />
    <EventRecordID>29447</EventRecordID>
    <Channel>Application</Channel>
    <Computer>DC01.XXXX.de</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data>übernehmen</Data>
    <Data>Benutzer</Data>
    <Data>Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5}</Data>
    <Data>0x80090006 Ungültige Signatur</Data>
  </EventData>
</Event>

Meist löst sich das Problem nach einem Reboot der DCs. DCDiag ist komplett ohne Fehler, DNS zeigt auch keine Fehler an.

Der erste DC mit den Fehlens ist zu. DHCP und es ist eine Zertifikatsstelle drauf. Der 2. DC zeigt keinen Fehler im Eventlog. Alle AD-Eventlogs (AD, DFS, DS, FRS) sind ohne Fehler.

Hat jemand eine Idee und einen Tipp für mich?

Viele Grüße Dirk

Hallo,

die AD-Gruppe  „DOMÄNENCONTROLLER DER ORGANSIATION“ (Enterprise Domain Controller)  ist, seitdem sie in der CN (Configuration Naming)-Partition abgelegt ist, nicht mehr unter Active Directory Benutzer und Computer gelistet und somit bei Berechtigungseinstellungen auch nicht mehr wählbar.

Aber selbst der Best Pratice Analyzer in Windows Server 2012R2 weist mich darauf hin, dass eben jener Gruppe in einer Richtlinie die Berechtigung fehlt (Auf diesen Computer vom Netzwerk aus zugreifen in der Default Domain Controller Policy).

Auch in den Berechtigungseinstellungen des DNS-Servers sowie dessen Zonen weißt Microsoft auf einigen Technets-Seiten daraufhin, dass die Gruppe Zugriff haben muss (Unternehmensdomänencontroller):

http://technet.microsoft.com/de-de/library/cc755193.aspx

Kann mir jemand sagen, inwieweit die Informationen des BPA sowie der Microsoft Seiten noch zutreffen oder ob man diese Gruppe nicht mehr beachten muss?

Hallo zusammen,

ich versuche gerade auf zwei Windows 2008R2 Servern ein DFS mit Replikation zu konfigurieren.

Wenn ich die Replikation zwischen zwei Ordnern auf dem lokalen Dateisystem herstelle, dann funktioniert dies wunderbar. Sobald ich aber versuche eine Replikation zwischen zwei unterschiedlichen iSCSI Devices herzustellen, bekomme ich im primären DFS-R Knoten folgende Fehlermeldung (Eventlog):

Event 4004: Der DFS-Replikationsdienst hat die Replikation für den replizierten Ordner unter dem lokalen Pfad: "e:\..." beendet. Fehler 9451: Der Volume-Manager wurde heruntergefahren, wird heruntergefahren oder das Herunterfahren steht bevor.

Leider kann ich mir da keinen wirklich Reim drauf machen. Hat jemand eine Idee, wie hier vorzugehen ist?

Gruß

Fabian

Hallo zusammen,

derzeit habe ich ein DC 2012R2 + zwei 2012R2 HyperV im Cluster (deutlich größer werden). Das Problem

besteht darin das ich keinen Exchange Server in dieser Konstellation installieren kann.

Die Frage lautet daher - kann ich mir einen virtuellen DC 2012 installieren, den jetzigen Hardware DC 2012R2 aus der Domäne nehmen und neu auf Basis des Server 2012 installieren?

Grüße

Hallo zusammen,

in einem Standort der per Site to Site VPN verbunden ist erhalten wir auf nltest /dsgetsite die folgende Fehlermeldung:

Fehler beim Abrufen des Domänencontrollernamens: Status = 1919 0x77f ERROR_NO_SITENAME

Mit dem Aufruf set wird ein vorhandener Logonserver angezeigt.

Wie muss ich die Rückmeldung von dsgetsite nun bewerten?
Ich kann bisher keine Probleme feststellen.

Wie kann die Ursache ermittelt werden?
Ist dies ein Fehler der irgendwann größere Probleme bereiten kann?

Grüße
Mike

Hallo zusammen,

ich habe einen Server in einer neuen Domäne (Windows Server 2008 R2 - englisch) der als DC, FileServer, etc. dient.
Ja ich weiß, das ist nicht optimal, aber es geht nicht anders.

Ich möchte mit dem Befehl "dsmod" nun einen Benutzer der Gruppe "Domain Admins" hinzufügen.

Ich nutze den selben Befehl mit dem ich den selben Nutzer schon erfolgreich in eine andere (von mir erstellte) Gruppe hinzugefügt habe.

dsmod group "cn=Domain Admins,ou=Users,dc=abc,dc=domäne,dc=net" -addmbr cn=User,ou=OU_des_Users,dc=abc,dc=domäne,dc=net

Seltsamerweise erhalte ich jedesmal einen Fehler wenn ich den User zu den Domain Admins (in der vom AD erstellten OU) "Users" oder "Builtin" hinzufügen möchte.
Es ist immer der selbe Fehler, welcher sagt:

"dsmod failed:cn=Domain Admins,ou=Users,dc=abc,dc=domäne,dc=net:Directory object not found."

Also kann er ja das Objekt "Domain Admins" nicht finden... Was komisch ist, da ich den User von Hand hinzufügen kann.

Hat jemand eine Idee oder einen Konstruktiven Vorschlag wie ich das automatisieren kann?

Danke und schönen Abend

Haben neuen hauptserver erhalten und angeblich kann Passwort bei Windows 7 jetzt nicht geändert werden

ohne dass Fehler auftreten. Wollten Passwort ändern über Taskmanager, geht nicht nimmt er nicht an.

Bei Activ Directory habe ich es nicht gefunden, weil blutiger Anfänger und wirklich ahnungslos.

Danke für Hilfe.

Hallo Experten,

ich habe das Gefühl, ein wesentliches Detail des AD Security-Konzepts noch nicht verstanden zu haben. Vielleicht kann mir da jemand einen Tip geben:

In unserem AD gibt es eine OU mit ca. 3000 User-Accounts, für die ich einstellen möchte, dass die User das Recht haben, ein Attribut ihres eigenen Accounts zu schreiben, das ich dem Schema selber hinzugefügt habe. Es soll also eine "Allow"-ACE für  das Principal "SELF" hinzugefügt werden. Versuche ich nun über die "advanced security settings" (DC ist w2k12) einen Eintrag zur ACL der OU hinzuzufügen, in dem nur das Schreibrecht für dieses eine Attribut angehakt ist, und klicke dann "Apply" erhalte ich den Hinweis:

"The change you are about to make will result in 38 permissions beeing added to the access control list." - und die Frage, ob ich das wirklich möchte...

Ich möchte eigentlich nicht, nur ist mir unklar, wie ich diese Masse an zusätzlichen ACEs vermeiden kann und vor allem: was überhaupt der Grund dafür ist. Warum wird hier nicht einfach einfach eine zusätzliche ACE erzeugt und fertig?

Danke!

Gruß
Christoph

Hallo an die Experten

Was kann ich tun um dieses Problem zu lösen. Nachdem Neustart vom Server ist mein Drucker offline.

Wie bekomme ich ihn wieder online!

Protokollname: Microsoft-Windows-PrintService/Admin
Quelle:        Microsoft-Windows-PrintService
Datum:         11.02.2014 23:07:53
Ereignis-ID:   322
Aufgabenkategorie:Ein Drucker wird in Active Directory veröffentlicht
Ebene:         Fehler
Schlüsselwörter:Active Directory,Klassisches Spoolerereignis
Benutzer:      SYSTEM
Computer:      meinserver.at
Beschreibung:
Beim Versuch, den Drucker im Active Directory-Verzeichnisdienst zu veröffentlichen, ist ein Fehler beim Veröffentlichen der Eigenschaft "printBinNames" auf LDAP://meinserver.at/CN=meinserver-Xerox WorkCentre 7545 PS Farbe,CN=ELBRUS,OU=Domain Controllers,DC=alp-s,DC=at aufgetreten. Fehler: 8007200d

Danke LG

Hallo Zusammen,

ich hoffe, ihr könnt mir noch ein paar denkanstösse geben...

ich habe hier eine Domain aus 2 DC´s (2003R2 und 2008R2). Beide Systeme laufen zur Zeit und replizieren sich auch ohne Probleme. Am 2008er muss die Hardware getauscht werden. Beide Systeme werden mit ShadowProtect Server VSS-basierend gesichert.

Nun habe ich ein Restore auf der neuen Hardware gemacht und in den DSRM mode gebootet. Dort habe ich alle nötigen Treiber für Chipsatz und Netzwerkkarten eingerichtete. Die alten und nichtmehr vorhandenen Netzwerkkarten habe ich via "show_nonpresent_devices" angezeigt und deinstalliert.

Anschliessend habe ich Netzwerksettings (IP/Subnetz/Gateway/DNS) korrigiert und das System heruntergefahren.

Um es nicht direkt im Produktivnetz ausuprobieren, habe ich den server nur an einen switch angeschlossen und gebotet. Klar hat er kein internet und kann nun auch keine externe DNS namensauflösung. 

Erfindet natürlich auch nicht den 2003er als DC, trotzdem sollte er mir doch beim netzwerkicon unten rechts anzeigen : Domäne.local - kein internetzugriff

Was er aber anzeigt ist : unbekanntes Netzwerk - kein Netzwerkzugriff

Ziehe ich einmal am netzwerkstecker und stecke ihn wieder rein erscheint Domäne.local - kein internetzugriff 

Ist dieses Verhalten so OK? oder ist das nur so, weil er nicht den 2. DC erreicht?

Vielen Dank für eure Anregungen...

Jürgen Ladrik

Hallo zusammen,

ich stehe gerade vor folgendem Problem bzw. Herausforderung.
Kunde hat eine Active Directory mit 2x 2008R2 Servern.
Domänenfunktionsebene: Windows Server 2003
Gesamtstrukturfunktionsebene: Windows 2000

Der DNS Name der Domain lautet firma.com  / Der Prä-Windows 2000 Domänenname lautet "Domäne"
In der Domain ist ebenfalls ein Exchange 2010 Server installiert.

Anforderung:

Der Prä-Windows 2000 Domänenname muss von "Domäne" auf "ABCD" geändert werden.
Domänenfunktionsebene und Gesamtstrukturfunktionsebene auf 2008 R2 anheben

Einziges HowTo was ich bis dato gefunden habe: http://cms.maboh.com/?p=50
Jemand eine Idee? Vorgehensweise ohne das mir alles um de Ohren fliegt ?

vielen Dank.

Ich möchte ein Batch für die Abfrage in welchen Gruppen ein User ist erstellen. Das klappt auch so weit aber ich möchte nur die Gruppen erhalten die im Namen die Werte KWP und FS enthalten. Irgendwie kriege ich das nicht hin. Mein Script lautet bis jetzt:

@echo off
set /p EINGABE=Username Eingeben:
:Abfrage
dsquery user -samid %eingabe% | dsget user -memberof -expand | dsget group -samid -desc -expand > %userprofile%\%eingabe%.xls"
pause

Leider zeigt es mir so alle Gruppen an. Was muss ich mache damit ich nach Gruppennamen filtern kann?

Hallo Leute,

ich stelle hier nun das erste Mal eine Frage. Bis jetzt habe ich es immer geschafft alles aus bereits vorhanden Themen herauszulesen. Nur hier komme ich nicht weiter.

Ich habe folgendes Problem:

Ich habe einen Forest namens hammerlm.com und zwei Domänen, die darin enthalten sind:

hammerlm.com und knappt.com

Logischerweise ist hammerlm.com die Rootdomäne und es besteht ein Transitive, two way, trust zwischen diesen beiden Domänen. (die eigentlich eigenständige Domänenbäume sind)

Jetzt kommt das Erstaunliche: 

Ich will mich mit dem Administratoraccount von Domäne hammerlm.com auf dem Domänencontroller von Domäne knappt.com anmelden. -> Resultat: Es geht

ABER: Wenn ich mich mit dem Administratoraccount von Domäne knappt.com auf dem Domänencontroller von Domäne hammerlm.com anmelden will (Domänencontroller der Rootdomäne), dann kommt eine Meldung, dass dies eine unzulässige Anmeldemethode ist.

Aber eines vorweg: Ihr seid eine super Community!!

Hallo,
sind gezwungen ein inplace upgrade auf derselben Box zu fahren von 2008 Enterprise R2 nach 2012 R2 (wir wissen das dies nicht empfohlen wird). Laut upgrade path ist das möglich. Sicherungen sind gemacht. adprep forestprep und adprep domainprep sind erledigt. Fehlermeldung in der Kompatibilitätsprüfung ist:

'Es wurde ermittelt, dass Active Directory-Rechteverwaltungsdienste (AD RMS) auf diesem Computer mithilfe der internen Windows-Datenbank (WID) konfiguriert werden. Damit Sie den Upgradeprozess abschließen können, müssen Sie zunächst die AD RMS-Serverrolle deinstallieren und die vorhandene WID-Instanz zu einer SQL Server-Instanz migrieren. Weitere Informationen finden Sie unter 'http://go.microsoft.com/fwlink/?LinkID=229299'

Leider gibt es diesen Link nicht und weitere Informationen konnten wir nicht finden, gibt es Hinweise zur Migration der WID-Instanz zu einer SQL Server-Instanz? Inwieweit lässt sich das AD komplett migrieren?

Danke

Moin,

Solangsam verzweifel ich an dem Active Directory 2003. Ich hab hier eine Testumgebung, in der 2 User sind, einmal John Doe und Jane Doe. Beide User werden einfach über das Hinzufügen Verfahren erstellt, bedeutet alles Standart einstellungen.

Folgendes Scenario, ich möchte das John Doe, Domäne-Administrator rechte bekommt sobald er in die OU "Admin" geschoben wird.

Für Jane sollen einfach nur die normalen Benutzer Rechte gelten, wenn sie in der OU "aUser" ist. Nur bekomme ich einfach nicht den Durchblick mit den ganzen Kram.

Hab die OU's erstellt, jeweils die GPOs verlinkt und trotzdem ändert sich einfach garnicht. Die User bleiben dumm und haben keine berechtigung. 

Kann mir vielleicht irgendjemand helfen?

Gruß

Hallo,

ich habe hier ein ziemlich schwerwiegendes Problem in unserer Server-2012-Domain, der sich folgendermaßen äußert:

Wird ein Nutzer z.B. bei Installation eines Druckers oder beim Java-Update nach dem Admin-Passwort gefragt, setze ich mich manchmal kurz dazu, gebe meinen Account und mein Passwort ein, und dann sollte es ja eigentlich sofort weitergehen.

Das ist aber leider nicht der Fall. Sobald ich Account und Passwort eingegeben habe, verschwindet das Fenster, aber der Hintergrund bleibt abgedunkelt. Daraufhin musste ich feststellen, dass das Netzwerk unter der Last einer/der Synchronisation zu diesem PC hin zusammenbricht. Ich vermute stark, dass also nicht einfach das Passwort vom DC abgefragt wird, ob's stimmt, sondern das komplette Profil synchronisiert wird, bevor die Passwortabfrage stattfindet.

Das wirft zwei Fragen auf:

1. Kann ich das irgendwie ausschalten, dass diese Synchronisation bei Passwortabfrage stattfindet?
2. Kann ich die Netzwerklast zu einem PC hin beschränken, sodass z.B. max. 50mbit/s pro Computer zur Verfügung steht?

Ich freue mich auf eure Antworten und bedanke mich wie immer im Voraus :-)

Beste Grüße,

Momro

Hallo,

habe mehrere
Domaincontroller Win2008R2 (Forest und Domainlevel Win2008R2).

Nach der
Installation des Windows-Updates KB2883201 können Benutzer auf sämtlichen
Windows 8 PC's das Domänenkennwort nicht mehr ändern. es kommt folgende
Meldung: "The security database on the server does not have a computer
account for this workstation trust relationship".

Das Ändern des
Kennworts auf Windows 7 PC's oder über OWA funktioniert.

Wird das Update
KB2883201 deinstalliert, funktioniert die Änderung des Kennworts wirder
einwandfrei.

Derselbe Fehler
tretet auch auf PC's mit Windows 8.1 auf.

Wird auf Windwos 7
das Hotfix KB2845626 installiert, tretet derselbe Fehler dort auch auf.

In einer
bereitgestellten Testumgebung mit neu installiertem Windows 2008 R2
Domaincontroller kann dieses Phänomen nicht nachgestellt werden.

Andreas

Hallo zusammen,

Ich habe 2 Probleme:

1. Ich habe Windows 8 Notebooks im Einsatz und die User melden, dass Nur ein Administrator dás Aktivieren / Konfigurieren des Wlans vornehmen darf.

2. User melden unter Windows 8, dass Sie keine Verknüpfungen löschen können die durch eine Installation als Admin hinzugefügt worden sind.

Ich würde es gerne so einrichten, dass User Wlan Aktivieren / deaktivieren dürfen und auch die Einstellungen fürs Wlan selber vornehmen dürfen. Zudem soll jeder User auf seinem Desktop löschen dürfen was er will.

Es handelt sich um ein Windows 2012 AD

Schonmal vielen Dank für die Hilfe