Hallo

ich habe 5 DC.

1. DC hat alle FSMO Rollen und ist in Hardware aber nicht redundant ausgelegt.

Wäre es sinnvoll alle FSMO von dem 1. DC auf einen virtuellen DC zu transferieren oder die FSMO zu verteilen auf andere DC die Global Catalog sind?

Hallo,

aufgrund eines Hardwarefehlers, der mittlerweile behoben ist, hatte ich einen korrupten Betriebsmaster in der Domäne, der sich leider nicht mehr reparieren lässt. Die komplette Infrastruktur läuft auf Windows Server 2012.

Vor ca 1 Monat habe ich einen 2. DC installiert. Beide DC's also GC.

Nun wollte ich gestern den Betriebsmaster wechseln und habe drei FSMO Rollen über die Active Directory auf den 2. DC übertragen. Rechte Maustaste auf Domäne, Betriebsmaster, PDC,RID,Infrastruktur geändert.

Anschließend habe ich noch dmit ntdsutil den Namens Master und Schema Master mit Erfolg auf den 2. DC übertragen.

Nun, so dachte ich zumindestens, wäre es Zeit den korrupten DC herabzustufen und auszuschalten. Gesagt getan...

Anschließend ging gar nichts mehr. NSLOOKUP lieferte eine korekte Antwort genau wie ein Ping auf die Domäne. Die Domäne selbst war nicht mehr verwaltbar über den 2.DC. So konnte ich Active Directory Benutzer und Computer nicht mehr öffnen, da mir eine Fehlermeldung ausgegeben wurde, die besagte, dass die Domäne nich verfügbar wäre.

Ich habe dann den 1. DC wiederhergestellt und vorher natürlich den 2. wieder herabgestuft damit es keine Konflikte gibt. Nach der ganzen Aktion habe ich wieder die FSMO's wie oben beschrieben übertragen.

Beim Herabstufen wurde das AD und GC entfernt. Der DC war wie beschrieben noch online! Hätte ich vor dem Herabstufen das Netzwerk kappen sollen? Das wäre meine einzige Vermutung. Freue mich auf ein paar Ratschläge.

Hallo,

seit geraumer Zeit versuche ich Berechtigungen für eine bestimmte Anwendergruppe auf den Container 'Computers' im ActiveDirectory zu delegieren, leider nur mit mäßigem Erfolg.

Die o.g. Gruppe soll die Möglichkeit erhalten, Computerobjekte in dem Container 'Computers' aufzunehmen, was auch bis jetzt ohne Probleme funktioniert. Mein Problem an dieser Stelle ist allerdings, dass der Anwender, der das Objekt erstellt hat, auch Besitzer dieses Objektes wird und dadurch in meinem Fall zu viele Berechtigungen für dieses Objekt erhält!

Ich habe die Delegierung nach Anpassung der Datei 'delegwiz.inf' (C:\Windows\system32\) mit Hilfe des Assistenten nur auf den Container 'Computers' angewendet. Es handelt sich in meinem Fall um eine Domänenfunktionsebene 'Windows Server 2008'

Evlt. kann mir Jemand auf die Sprünge helfen das Problem zu beheben, danke!

Hallo,

habe das Problem, das unter Windows Server 2008 R2 ein freigegebener Ordner nach Benutzer-Zugriffen die Berechtigungen verlieren. Damit können die Benutzer nicht mehr zugreifen, bis dies wieder geändert wurde.

Gibt es jemanden der das selbe Problem bereits hatte.

Versucht wurde schon die Berechtigungen per Hand einzutragen, pro Ordner.

Die Freigabeberechtigungen wurden auch überprüft und gehen dabei auch verloren.

Bei der Überprüfung der Cluster Konfiguration kommt eine Warnung:

Der Dienstprinzipalname wurde nicht in Active Directory gefunden.

Der Cluster besteht aus drei Windows 2012 R2 Hosts, die Hauptresource "Servername" ist gesetzt und hat eine eigenständige IP-Adresse. Ich kann den Namen auch anpingen, er gibt sowohl auf die IP-Adresse als auch auf den Namen antwort. Im DNS ist er eingetragen.

Warnung:

Fehler für die Cluster-Netzwerknamensressource "Clustername" bei dem Versuch, den Netzwerknamen auf diesem Knoten zu aktivieren. Fehlerursache:
 "Unable to obtain a logon token".
 Fehlercode: "-1073741717".
 Für einen erneuten Versuch sollten Sie die Netzwerknamensressource offline und dann wieder online schalten.

Offline und wieder online schalten habe ich gemacht, aber ohne Erfolg.

Danke für Ihre Hilfe

Grüsse, Viktor

Hallo Zusammen,

hoffe hier wieder einmal Hilfe zu finden?

Umfeld:

AD-Domain Gesamt/Domain Level Windows 2008 R2,
DFS-N auf Server 2012 R2

+ DFS-RootNameSpace \\<DomainFQDN>\NameSpaceName mit ABE und 1x DFS-N in Standort A und 2x Standort B
+ unterhalb des NameSpaceNamen ein Ordner und dann mehrere OrdnerLinks
z.B. \\domain.local\Share\Folder\FolderLink1,  \\domain.local\Share\Folder\FolderLink2 etc.

+ ABE zuerst auf DFS-N Server im Standort A wie folgt aktiviert und gesetzt:
- auf den OrdnerLinks auf "Explizierte Anzeigeberechtigungen für den DFS-Ordner festgelegt"
- ACLs im DFS-Roots Ordner mit "List-Folder" AD-Gruppen angepasst

+ Clients hauptsächlich am Standort A
+ DFS-N in Standort B zur Redundanz
+ Sortiermethode "Zufällige Reihenfolge" ohne Option "Clientfailback zu bevorzugten Zielen" 

Problembeschreibung:

+ Nach dem hinzufügen von weiteren DFS-Namespace Servern welche sich am Standort B befinden, halten diese zwar die ACLs des FolderLinks (DFS-System Kontrolle), jedoch nicht die angepasste ACLs des Filesystem wie Server im Standort A. Kann natürlich angepasst werden (Get-ACL/Set-ACL), ist aber nicht schön gemacht!?
+ Clients aus Standort A sehen nur die berechtigten Ordner (ABE Funktion) wenn an den entsprechenden Standort A verwiesen wird, was aber nicht immer der Fall ist.

Hinweise:

+ Diagnose mittels nltest /DSGETSITE oder  dfsdiag /TestSites /Machine:<hostname>,  sehen in Ordnung aus, also Standortzuordnung passt.
+ nslookup _ldap._tcp.SiteA._sites.<domain name> wird aufgelöst
+ dfsdiag /testreferral , dfsdiag /testsites /DFSPath:\\domain.local\Share oder dfsutil/insite laufen ohne Fehler durch.
+Auch das setzen der "Verweisreihenfolge außer Kraft setzen" beim DFS-N Standort A brachte keinen Erfolg!
Was mir auffällt ist, dass alle Standorte-Verknüpfungen  die gleichen Kosten besitzen!?

Frage:

1. Eigentlich müssten die Clients mit der Einstellung den Standort A DFS-N auflösen, da nur ein Server im Standort und die Standort Zuordnung funktioniert?
   https://technet.microsoft.com/de-de/library/cc782417(v=ws.10).aspx
2. Kann ich die Kosten evtl. auf die DFS Reihenfolge selbst setzen oder ziehen hier immer die Standort und Dienste Kosten?
3. Reicht evtl. eine Anpassung der Kosten bei "Standort und Dienste"?
   
4. Wie sind die Empfehlungen für Standort-Verknüpfungen und Kosten bei einem MPLS Netzwerk?
5. Ist die Umsetzung mit dem ABE so eigentlich empfehlenswert / möglich? 
   Ziel ist, das die Anwender auch den \\domain.local\Share\FOLDER nicht sehen sollen wenn Sie keinen Zugriff haben und der liegt ja blöderweise im Filesystem!

Vielen Dank im Voraus und LG, sowie ein schönes WE

Hallo

Ich habe vor 1-2 Jahren mal auf einer Microsoft-Seite gelesen, dass es nicht empfohlen ist, einen Domain Controller hinter eine eigene Firewall zu packen. Ich finde die Aussage nicht wieder, dafür eine riesen Portliste die man freigeben muss.

Wie lautet Microsofts aktuelle Meinung zu Domain Controller hinter einer eigenen Firewall? Gute Idee oder schlechte Idee?

Bitte mit Beleg. Danke!

Hallo

wir haben in einer Domain ca. 160 Domain Controller. Alle Domain Controller sind W2K8R2 der Domain Functional Level ist 2003. In der Zentrale stehen 3 Domain Controller der Rest (jeweils einer) in Fillialen. Über Site Konfiguration wird eine Hub/Spoke Replikation vorgegeben

In Vorbereitung auf die Migration auf DFSR (nach Hochstufung des DFL) wurde Ultrasound ausgerollt und mit Hilfe des Tools auch schon einiges bereinigt.

Was mich nur ein bisschen stutzig macht ist die Verteilung der FRS-Replikationsbeziehungen auf die 3 Domain Controller in der Zentrale. Diese ist wie folgt:

DC - #inbound - #outbound
DC1 - 55 - 105
DC2 - 55 - 19
DC3 - 56 - 42

Kann mir jmd. erklären, wie es zu dieser Verteilung kommen kann? Und warum sich die Verteilung auch seit Wochen nicht ändert?

Gruß Markus Trapp

Hallo zusammen,

in einer AD Gesamtstruktur haben wir folgendes Szenario:

- DHCP Server mit konfigurierten Bereichen für jedes Subnet
- DHCP-Failover für das betreffende Subnet mit DHCP-Server am HQ
- betreffendes Subnet bildet einen AD-Standort
- Aktivierung der Bereichseigenschaft "DNS/Dynamische DNS Aktualisierung immer verwenden (A- und PTR-Einträge)"
- Namensschutz in den Optionen des DHCP-Bereichs ist deaktiviert
- zusätzlich standardmäßige Aktivierung der clientseitig lokalen erweiterten TCP/IP Einstellung "Adressen dieser Verbindung im DNS registrieren" (setzen des Hakens erfolgt über Tasksequenz im SCCM-Deployment)
- Pro AD-Standort einen DNS Server auf Basis Windows Server 2012/2012 R2
- replizierte Active-Directory integrierte Zone für die AD mit der Zulassung von sicheren dynamischen Updates
- OS-Deployment mit AD-Integration und Remotesteuerung über SCCM 2012 R2 (Client ist nach Deployment gleich in der AD)

Nun haben wir folgendes Problem:

- Der Client wird deployed und erhält am Standort des Deployments (Standort1=HQ) vom dortigen DHCP Server eine IP Adresse!
- diese IP-Adresse trägt sich automatisch im DNS ein
soweit so gut
- nun kommt der Client an den Ort, wo er betrieben werden soll (Standiort2)
- der Client bekommt an neuen Standort2 brav seine IP-Adresse für das Subnat
- der DHCP-Failover repliziert brav die Lease, so dass ich die vergebene IP-Adresse sowohl im DHCP-Bereich am Standort2 und Standort1 ablesen kann

Was aber dann nicht passiert, ist eine Aktualisierung der IP Adresse im DNS, was wiederum zur Folge hat, dass die Namensauflösung zu dem Client fehlschlägt und Funktionen wie Remotesteuerung über den SCCM nicht laufen!

Was kann getan werden, damit der Client nach Erhalt einer IP-Adresse vom neuen Subnet bzw. dann, wenn er das Subnat wechselt (z. B. Mobile Clients) sich auch im DNS neu registriert bzw. die vorhendene IP-Adresse aktualisiert?

Ich danke euch für jeden hilfreichen Tipp oder gar für die Lösung...

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo zusammen,

ich möchte gerne unseren AD-Server von einer Maschine, die abgeschaltet werden soll (DC1), auf eine andere (DC2) umziehen. Beide haben Windows 2012 (einer R2) installiert. Ich habe auf dem neuen die AD-Rolle installiert und die Replikation muss wohl auch mal funktioniert haben, allerdings werden mir bei näherem Hinsehen mehrere Fehler angezeigt:

• In AD Benutzer/Computer, rechtsklick auf die Domain, "DC ändern" steht, dass der Status des DC2 "Nicht verfügbar" sei. DC1 ist online
• In der GPMC muss ich auf dem DC2 immer erst eine Gesamtstruktur hinzufügen (oder ist das normal?)
• Ebenfalls in der GPMC, wenn ich auf die Domain klicke, steht bei Status: "DC1 ist der Basisdomänencontroller. [...] Für diese Domäne sind keine Infrastrukturstatusinformationen vorhanden." - Ein Klick auf "Jetzt ermitteln" -> 1 Domänencontroller mit Replikation, die momentan ausgeführt wird". Wenn ich den Abschnitt erweitere, steht da "Name: DC1; Active Directory: Zugriff nicht möglich; SYSVOL: [leer]". Beim Klick auf "Zugriff nicht möglich" steht "Fehler beim Zugriff auf AD oder "SysVol" auf diesem DC, oder ein Objekt fehlt."
• Wenn ich im selben Fenster auf "Ändern" klicke, steht nur der DC1 zur Auswahl.

Ich habe mich dann einige Zeit mit Internet-Recherche beschäftigt und folgendes herausgefunden/ausprobiert:

dcdiag /v ausprobiert:

Starting test: Advertising
Achtung: Bei dem Versuch, DC2 zu erreichen, wurden von DsGetDcName Informationen für \\DC1.new.york.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET. Der Test Advertising für DC2 ist fehlgeschlagen.

Dazu habe ich gelesen, dass SYSVOL und NETLOGON freigegeben sein müssen. Das war vorher nicht der Fall, also habe ich das mit der Windows-Freigabe geregelt. Merkwürdigerweise wurde nach einigen Minuten die Freigabe wieder entfernt und nach einem Neustart war sie auch wieder weg. NET SHARE zeigt mir das Verzeichnis auch nicht mehr an. Irre!

Als es noch freigegeben war, hatte ich einige weitere Sachen getestet. In einem guten Beitrag im englischen Forum waren einige hilfreich-aussehende Tipps. Ich habe das non-authorative sync/restore ausprobiert, indem ich diesem Artikel bei serverfault.com gefolgt bin, der auf die MS KB weiterleitet. Dort steht, wie man im ADSI-Editor unter Windows 2012 die non-authorative sync bei DFSR einschaltet. Das hab ich auch alles hübsch befolgt, aber am Ende stand im Log nur das 4614 Event ("Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt  im ersten Synchronisierungsstatus, bis er mit seinem Partner DC1.new.york.local repliziert wurde.") und das 4604 tauchte nicht auf (vllt wegen der Freigabe?).

Ich habe keine speziellen Firewall-Einschränkungen, darum bin ich mal nicht der Anleitung wegen Port-Freischalten gefolgt, die ich hier gefunden habe. Hätte ich das genauer kontrollieren sollen? Ich denke, das mit der Freigabe ist einer der springenden Punkte.

Habt ihr eine Idee, woran es liegen könnte? Ich finde das mit der Freigabe ja super-seltsam, aber vielleicht liegt es ja noch an etwas anderem :-/

Bin auf alle Vorschläge gespannt und bedanke mich im Voraus!

Beste Grüße,

Achim

Hallo, guten Morgen.

Umgebung zwei DC's 2008 R2. Alle FSMO-Rollen auf einem. Den DC ohne Rollen entfernt. Das AD auf Level 69 für 2012 R2 angehoben. Neuen Server 2012 R2 eingerichtet, der Domäne hinzugefügt. Rolle für Active-Directory Domänendienste hinzugefügt. Assistent durch geklickt ohne etwas zu verändern. Kurz vor Ende bricht es ab. Fehlermeldung:

----

Das Computerkonto "Name" konnte vom Assistenten zum Installieren von Active Directory-Domänendienste ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.

Überprüfen Sie, ob dem Benutzer, der "DCpromo.exe" ausführt, in der Standdarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde. ...

Fehler: Zugriff verweigert

----

Habe ich natürlich kontrolliert. Ist gegeben. Mehr findet man im Internet leider auch nicht.

Jemand eine Idee? Schon mal gehabt.

Gruss Ingo

Hallo.

Nachdem dem der neu jetzt als DC heraufgestuft wurde, soll der alte natürlich weg. Über dcpromo ging es nicht. Die Meldung habe ich mir jetzt leider nicht gemerkt. Rollen trug er keine mehr, als mit ntdsutil ran. Beim Befehl remove selected Server kam dann folgende Meldung:

DsRemoveDsServerW-Fehler 0x5(Zugriff verweigert)

Dc befindet sich noch im AD, lässt sich aber auch in AD Benutzer und Computer sowie in Standorte und Dienste nicht löschen. Auch hier kommt Zugriff verweigert.

Die FSMO-Rollen wurden vor dem Herunterstufen übertragen und auch geprüft.

Gerade läuft es hier im Netz gar nicht gut. Vor allen Exchange macht Probleme und wenn ein Rechner/Server neu gestartet wird das Netzwerk nicht als Domain-Netzwerk erkannt.

Danke. Gruss Ingo

Hallo.

Ist das supported wenn die DNS-Server keine DC's sind?

Danke.

Gruss Ingo

Hi zusammen, ein User ist mit "vorname.nachname" in der der AD 2008 von anderer Stelle angelegt worden. Da an dem Standort an dem der User eingesetzt wird alle User nur mit "Nachname" angelegt sind, habe ich den den anmeldenamen eben auf "Nachname" geändert. jetzt wird der falsche Anmeldename an Outlook übergeben, so das der User nochmals sein PW in Outlook eingeben muss. Wie kann man das am einfachsten lösen? Grüße A.  

Hallo
ich bräuchte eure Meinung für meine Vorgehensweise.

Wir haben 7 virtuelle DC's und 1 DC als HW, OS sind alle 2008R2. Alle sind Mitglied im Global Catalog. Domain Name Level ist 2003.

Der DC in HW ist aus der Wartung. Hier würde ich einen neue VM mit Server 2012 R2 installieren und den Hostnamen und die IP
von den DC in HW übernehmen. DC in HW wird dann entfernt.

Die FSMO Rollen Halter welcher der DC in HW ist würde ich temporär zu einem anderen DC transferieren anschließend wieder zurück zum
neuen erstellten virtuellen DC.

Domain Level würde ich dann anschliessend auf 2008 anheben.

Ist das eine bevorzugte Vorgehensweise?

Hallo zusammen,

wir haben für eine Gruppe von Benutzern im ADAC ein zusätzliches PSO erstellt.

Der unterschied zum PSO der Gesamtstruktur liegt in der minimalen Kennwortlänge (Gesamtstruktur=8; neues PSO=10) und im maximalen Kennwortalter (Gesamtstruktur=90; neues PSO=45).

Die Rangfolge des PSO's liegt bei 1; Im Namen des PSO sind keine Sonderzeichen oder Leerzeichen...

Melde ich mich nun mit einem Benutzer an, für den das neue PSO gelten soll, greift die minimalen Kennwortlänge (gebe ich weniger als 10 ein, bekomme ich den bekannten Fehler...) aber scheinbar greift das maximalen Kennwortalter nicht, dann wenn ich ein net user "username" /Domain |more abrufe, so wird mir in der Zeile "Kennwort läuft ab" ein wert angegeben, der den 90 Tagen aus dem Haupt-PSO entspricht.

Wie bekomme ich es hin, dass das gesamte PSO übernommen wird?

Vielen Dank für eure Beiträge...

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo liebe Community Mitglieder, 

ich habe ein sehr schwerwiegenden Fehler gemacht. 

Nach der 3 monatigen Frist (Passwortänderung) habe ich das Admin Passwort von Active Directory geändert. 

Leider habe ich es so konpliziert gemacht, das ich es mir nicht gemerkt habe. 

Nun kann ich mich nicht mehr als Admin anmelden und nichts mehr verwalten. 

Ich kann mich nur noch LOKAL als Admin anmelden.

Dazu eine kleine Beschreibung zu den Aufbau meines Servers. 

Ich habe Windows Server 2012R2 ohne Oberfläche installiert. Darin habe ich HyperV installiert und in HyperV dann mehrere virtuelle Rechner (Windows Server2012R2 mit Oberfläche, Exchange Server 2013, Active Directory und Backup Server)

Ich kann mich als Admin bis zu HyperV Manager verbinden. Wenn ich dann virtuell PC Active Directory anklicke (doppelt) kommt Passworteingabe für Administrator. Da stehe ich an

Hallo Gemeinde,

ich bin für einen Kunden auf der Suche nach einem Tool, nach Tools mit deren Hilfe ich analysieren kann worauf ein bestimmter Benutzer Zugriff im Dateisystem hat. Ebenfalls benötigt wird ein Tool, Tools zur Analyse der Berechtigungen von Gruppen.

Das Ergebnis sollte relativ einfach übersichtlich darstellbar sein.

Zum Hintergrund:

Das AD des Kunden ist ein Wust von Gruppen und Accounts. Um diese zu bereinigen benötige ich zunächst die Zugriffsrechte. Das AD gehörte früher zu einem Hauptunternehmen welches sich dann in zwei getrennt agierende Divisions aufgeteilt hat. nun muss der Müll raus aus dem ad.

Bin für jeden Hinweis dankbar, meine Recherche zu diesem Thema ging bisher leider in's Leere.

Grüße,

Erik Mühlfarth

Hallo!

Hat jemand Probleme mit einem Windows 2003 AD Netzwerk seit dem heutigen Patchday (März 2015)?

U.a haben wir Probleme beim Zugriff per Remote Desktop auf die IT Lösungen: Kennwort wird in einer endlosschleife bei der Anmeldung abgefragt.

Ähnliche Problematik beim Zugriff per Outlook auf die Exchange Lösung.

Logs und Diagnose (dcdiag, …) der AD zeigen keine Ungewöhnlichkeiten...

Computer- und Benutzerkonten sind ebenfalls erreichbar bzw. in der AD sauber (netdom verify…).

Viele Grüße

PS: Windows 2003…jupp ist alt. Wir stecken in der Migration zu DC2012, haben diese aber noch nicht ausgerollt.

Hallo zusammen
Hat jemand Erfahrungen mit der UNIX Integration ins AD? Ziel ist es, dass AD User sich mittels Kerberos an UNIX (Solaris) authentifizieren können.

Wie läuft eine solche Integration ab, welche Erfahrungen habt Ihr damit gemacht?

Danke fürs Feedback, Dani