Quantcast
Channel: Active Directory Forum
Viewing all 1144 articles
Browse latest View live

Vertrauensstellung

April 21, 2016, 2:10 am
$
0
0

Hallo,
habe gerade einen "Knoten im Hirn" und steh auf dem Schlauch... ;-).

Folgender Zustand:
2 getrennte Domänen A und B (jeweils W2K12R2), die zunächst nichts miteinander zu tun haben.
Jetzt sollen Benutzer der Domäne B auf Ressourcen der Domäne A berechtigt werden, aber nicht umgekehrt.

Ich habe gedacht, dass dies mit einer unidirektionalen Vertrauensstellung zu realisieren ist. Nur, wie gehe ich genau vor, soll heißen, auf welchem DC ist was und in welcher Reihenfolge einzurichten?

DNS ist funktionsfähig.

Danke schon mal für eure Unterstützung!

Gruß

Search

Plazierung der FSMO Rollen.

April 26, 2016, 6:14 am
$
0
0
Hallo,
Wenn man mehrere Standorte mit mehreren Domain Kontrollern hat, oft findet man im Internet nur Infos über  AD oder SYSVOL/DFSR Replikation, selten aber über die FSMO Erreichbarkeit zwischen den DCs.
Müssen alle FSMO Rollen von jedem DC erreichbar sein?

NTP "Problem"?

April 26, 2016, 2:52 am
$
0
0

Hallo zusammen,

ich habe bisher mit NTP noch nicht am Hut gehabt, daher bin ich mir gerade auch nicht sicher wo das Problem liegt bzw. ob es überhaupt eines ist:

Einer unserer User aus einem Standort in London hat einen Termin einer Firma in Moskau bekommen, dieser Termin ist in seinem Kalender allerdings falsch eingetragen (eine Stunde bevor der Termin wirklich stattfindet).

Beim Prüfen unserer Domainen Controller (2x am Standort in Deutschland, 1x am Standort in London, weitere an anderen Standorten) sind mir zwei Dinge aufgefallen:

1. Die Zeit die in den Servereinstellungen angezeigt wird:

  • UTC (u.a. London)
  • UTC+1 (Deutschland)
  • UTC+3 Moskau

Wenn ich mir jetzt aber die "tatsächlichen" Uhrzeiten an den jeweiligen Standorten per Google Suche ansehe ist das folgendes

  • London
  • Deutschland + 1 Stunde
  • Moskau + 2 Stunden

Es gibt bei Moskau also eine Abweichung um eine Stunde - gibt es dafür eine Erklärung?

2. Auf unseren DCs ist mir aufgefallen, das dort unterschiedliche Zeiten in den Zeiteinstellungen angezeigt werden

  • Server1 Moskau Zeit UTC+3 (System in Deutschland - WinSrv 2008R2 Enterprise)
  • Server2 Moskau Zeit UTC+4 (System in Deutschland - WinSrv 2008R2 Std)
  • Server3 Moskau Zeit UTC+4 (System in London - WinSrv 2008R2 Std)
  • Server3 Moskau Zeit UTC+4 (System in Moskau - WinSrv 2008R2 Std)

Auf einem unsere Systeme in Deutschland ist die Moskau Zeit also UTC+3 bei allen anderen UTC+4 - Wie kann das sein?

Danke für eure Unterstützung.

Umzug des Profilordners schrittweise

April 26, 2016, 9:54 am
$
0
0

Hallo,

zur Zeit befindet sich der Profilordner auf einem 2008er DC.

Abgelöst soll er durch einen 2012R2 werden, wobei der 2008er noch bis zum Schluss DC bleiben soll.

Nun ist die Überlegung im Zuge der W10 Migration die Userprofile auf dem neuen 2012R2 anzulegen und nicht den gesamten Profilordner vom 2008 umzuziehen.

Frage hierzu: Ist dieses Vorgehen supportet oder ist es besser den neuen DC mit den alten Profilordnern umzuziehen und anschließend die Migration auf W10 hier durch zu führen.

Gruß Andreas

Andreas Sturma

Zeitsynchronisation Domänencontroller nach Verschieben der FSMO Rollen

April 28, 2016, 2:09 am
$
0
0

Hallo,

wir haben in unserer Domäne gemäß folgender Anleitung die Zeitsynchronisation konfiguriert.

http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

Nach dem Verschiben der FSMO Rollen auf einen neuen Server haben wir nun das Problem, dass die Domänencontroller ihre Zeit weiterhin vom alten Zeitserver beziehen und der alte Zeitserver keinen Zeitserver mehr hat.

Der neu hinzugekommene Domänencontroller, der die FSMO Rollen inne hat,hat die Einstellungen richtig übernommen und holt sich seine Zeit ordnungsgemäß von einem externen Zeitserver.

Was müssen wir tun, damit die Domänencontroller die richtigen Einstellungen übernehmen und die Zeit vom neuen Domänencontroller synchronisieren?

Hilfe dringend! Nach AD system restore alle Computerkonten nicht mehr gültig, da Image älter als 60 Tage war

April 29, 2016, 6:35 pm
$
0
0

Ich bräuchte dringend und zeitnah Hilfe, da am Montag sich die User wieder anmelden können müssen.

Durch ein AD restore mit einem image vom 22.2. sind die Clients nicht mehr willens sich an der Domäne anzumelden.

Es steht auch durch einen "Gau" kein zweiter DC zur Verfügung.

Gibt es irgendeine Möglichkeit, dass ich nicht jeden Client manuell zur Domäne hinzufügen muß?

Die sicherheitsdatenbank enthält kein computerkonto für diese arbeitsstationsvertrauensstellung Server 2012

May 10, 2016, 3:35 am
$
0
0

Hallo liebes Forum,

ich habe folgendes gemacht.

Da alter Windows SERVER 2012 nicht richtig gearbeitet hat (hatte Domäne Clients) und auch die Einrichtung eines redundanze Servers 2012 (um das AD zu sichern / retten) nicht funktioniert hat (habe auch div. Tools genutzt), habe ich diesen Server neu aufgespielt. Nicht direkt am ersten Tag aber nach ca. 1 Monat haben die ersten Clients verweigert sich an den neuen Server anzumelden. Der alte wie neue Server hatten / haben den selben Domainenamen (meinefirma.local). Alle Clients sind noch in der alten Domänenwelt (sehr viele Tools und Programme müssten neu konfiguriert werden wenn ich die Domäne verlassen und in die neue gleichnamige eintretten würde). Ich weiss hinter den Domänennamen steckt auch eine "Prüfzahl" und ich den Clients nichts "vormachen" kann das sie noch in der alten Domänenwelt existieren. Ich helfe mir akt. das ich bei der Windows-Anmeldung das Netzwerkkabel entferne. Das Passwort eingebe, Login erfolgreich, dann Kabel einstecke und die User können alle arbeiten. Diesen Umstand möchte ich langsam aus der Welt schaffen. Aber ich finde dazu keine Lösung (I-Net und Co.). Daher bitte ich euch mir in der Sache zu helfen.

Lieben Dank im Vorraus für Ideen und Ansätze

DNS Ereignis-ID 4010

May 12, 2016, 11:01 pm
$
0
0

Hallo,

ich bekomme immer wieder den Fehler im DNS

Ereignis-ID: 4010

Der DNS-Server konnte den Ressourceneintrag für ._msdcs.domäne in Zone nicht erstellen. Die Active Directory-Definition dieses Ressourceneintrags ist beschädigt oder enthält einen ungültigen DNS-Namen. Die Ereignisdaten enthalten den Fehlercode.

Ich habe schon einiges durchgeführt 

wie z.b. http://www.how-to-compute.de/2015/02/11/_msdcs-dns-zone-verschwundengeloeschtdefekt/

aber leider ohne Erfolg.

Für weitere Tipps bzw. Lösungsvorschläge wäre ich sehr dankbar.

Danke schon mal.

Gruß

Search

Windows Server 2012 R2 neu Aufsetzen und mit bestehenden Office 365 verbinden

May 19, 2016, 7:31 am
$
0
0

Hallo,

ich fange direkt mal an... Ich habe momentan einen Server 2008 R2, auf diesen laufen lokal sämtliche Dienste (AD, DNS, DHCP,…). Diesen Server möchte ich nun gerne ablösen und einen neuen 2012 R2 installieren. Die bestehenden Daten vom Server will ich nicht mit Umziehen, da es noch "Altlasten" sind von 2003 und älter (wurde von meinem Vorgänger aufgesetzt).

Zusätzlich besteht momentan schon ein Office 365 AD mit Domain (ca. 30 User mit Exchange Online Plan1). 

Nun meine eigentliche Frage, wie kann ich diese User(Cloud Office365) mit der neuen auf den Server2012 R2 angelegten AD synchronisieren? Im Anschluss soll auch SSO möglich sein und natürlich der Genuss des Cloudings ;) .

Gibt es hierfür ein Tutorial oder ein Workaround? 

Danke für die Hilfe.


Passwort-Änderung auf diversen Rechnern nicht mehr möglich ...

May 23, 2016, 2:35 am
$
0
0

Hallo zusammen,

leider habe ich nach ca. 3 Stunden schauen, googlen und ausprobieren noch keine Lösung gefunden, die mich weitergebracht hat.

Wir haben etliche Rechner im Netz, welche es den Usern seit Freitag nicht erlauben, ihr Passwort zu ändern:

"Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung"

Die betroffenen Rechner sind Windows 7 & 1. MSKB 2845626/2883201 habe ich überprüft. Sind nirgendwo installiert.

Die User haben problemlos Zugriff auf alle Ressourcen, nur das Ändern des PW ist mit der obigen Meldung versehen.

Passwort-Änderung über OWA ist problemlos. AD-Replikation ist sauber.

Die DCs sind 2008 R2 und 2012 R2. Funktionsebene 2008R2

Hat jemand eine Idee wo ich noch suchen oder nachschauen kann ??

Besten Dank im Voraus !


Active Directory - Azure AD mit lokalem AD koppeln und syncen

May 27, 2016, 5:51 am
$
0
0

Hallo zusammen,

wir nutzen der Derzeit die AD Lösung Azure. Das heißt natürlich, dass alle unsere Nutzer in der Cloud liegen.

Da wir lokale Dienste haben (wie z.B. einen Filer) möchten wir diese Dienste gegen das AD Authentifizieren. So dass sich die Nutzer mit ihren bekannten Zugang verbinden können.

Hierzu gibt es ja das Tool "Azure Connect". Dies soll ja ermöglichen, dass die Nutzer aus der Cloud in ein lokales AD Synchronisiert werden. 

Wir haben hierzu ein lokales AD (Win 2012) aufgesetzt, mit der gleichen Domain wie auch das Azure AD (also beides z.B. test.de)

Azure Connect haben wir bereits installiert und auch konfiguriert (soweit es uns möglich war). Bisher ist es uns möglich interne Benutzer in Azure AD (also die Cloud) zu importieren. Wir wollen es aber eigentlich genau anders herum. Die Azure AD Benutzer sollen in das lokale AD synchronisiert werden. 

Leider finden wir hier keine brauchbaren Anleitungen. Da wir schon seit einigen Tagen an diesem Problem festhängen wollte wir fragen ob jemand einen Tipp hat. Beim Azure AD nutzen wir die Premium Lizenz.

Wenn jemand einen Tipp hat sind wir sehr dankbar.

Viele Grüße

Daniel




DFS-N - Der Namespace kann nicht abgefragt werden. Die angegebene Domäne ist nicht vorhanden...

June 15, 2015, 2:32 am
$
0
0

Hallo zusammen,

vermutlich nach der Heraufstufung der Gesamtstrukturfunktionsebene auf Windows Server 2012 habe ich keinen Zugriff mehr auf die verwalteten Namespaces der Domäne/Gesamtstruktur.

Von den 6 Namespaces, wurden 5 im Modus Windows Server 2008 und einer noch unter 2000 erstellt.

Ob die Heraufstufung der Gesamtstrukturfunktionsebene auf Windows Server 2012 damit überhaupt etwas zu tun hat, kann ich derzeit gar nicht sagen aber es passt zeitlich in etwa...

Die Domänen- und Gesamtstrukturfunktionsebene ist Windows Server 2012

Wenn ich nun die DFS-Verwaltung öffne, erscheint bei einem Klick auf einen Namespace folgende Meldung im Anzeigebereich:

\\FQDN der Domäne\Namespace: Der Namespace kann nicht abgefragt werden. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Der Zugriff über DFS-N auf die freigegebenen Ordner scheint noch fehlerfrei zu funktionieren, denn kundenseitig hörte ich noch keine Beschwerden.

Entferne ich einen Namespace aus der Anzeige der DFS-Verwaltung und möchte ihn wieder hinzufügen, bekomme ich folgende Meldung:

Die Namespaces auf "unsere Domäne (FQDN)" können nicht aufgezählt werden. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Neue Namespaces hingegen scheine ich hinzufügen zu können...

Maßnahmen aus dem Beitrag https://social.technet.microsoft.com/Forums/de-DE/bd6df519-5311-4f49-80ff-6d5553c18e5a/dsf-namespace-nicht-zugreifbar?forum=windows_Serverde, welcher ähnliches beschreibt, waren bisher erfolglos.

In den Ereignisprotokollen von den DFS-Namespaceservern sind keine Fehler bezügl. DFS ersichtlich.

kennt jemand die Ursache des Fehlers und vor allem eine Lösung?

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


Zeitsynchronisation

May 31, 2016, 1:30 pm
$
0
0

Nach dem ich meinen Windows 7 Professionel Client aus meiner Domäne herausgelöst, auf windows 10 upgedatet habe und in meine Domäne unter Windows 2012 eingebunden habe, funktionierte zu nächst alles tadelos. Auch die zeitsynchronisation.

"W32tm /monitor" ergabe zum pdc1 eine zeitabweichung von 0,0s.

Am nächsten morgen jedoch, der Cleint lief durch, war die Uhr vom 30.05.2016 auf den 25.05.2016 geändert. Ein erneute Ausführung

von W32TM /monitor ergab eine Abweichung von 0,0s. "W32TM /resync" ergiebt "Es wurde nicht synchronisiert, da die abweichung zu groß war" Windows also funktioniert also immer noch, jedoch Programme funktionieren nicht mehr da die Zeitabweichung zu groß ist.

Configuration:

1 PDC Hardware Windows 2012 als Domänencontroler (sonst keine weiteren Rollen)

2 HyperV Clusterserver Windows 2012 mit Datecore Sansymphony mit Hyperv Rolle und VM-Cluster Rolle

3 Mehrere Virtuelle Maschinen mit Win2012 als Mitgliedsserver (2. PDC, Wonderware Intouch, Acron 8.2, etc.)

4 Windows 10 Client mit zugriff auf Wonderware Intouch und Acron 8.3

bersue

Windows AD und MAC, viele Probleme vorhanden

June 2, 2016, 4:36 am
$
0
0

Hallo,

wir haben ca. 40 Rechner und 3000 Benutzer, welche sich von einem MAC Rechner über ein Windows AD sich anmelden können. Das "home" Verzeichnis liegt auf einem anderen Windows 2012 R2 Server. Die Anmeldung klappt ohne Probleme, allerdings tauchen danach massive Probleme auf. Der MAC startet nach einer Zeit neu, oder Programme lassen sich von einem Benutzer starten von einem anderen nicht (gleicher MAC), oder es werden Dateien angelegt, welche sich dann nicht mehr löschen lassen. Wenn ich dann auf dem Windows Server diesen Ordner mal anschaue, ist ein Benutzer "jeder" drin, dieser blockiert das löschen. Vorher dieser kommt, weiß ich nicht. Vielleicht gibt es ja jemanden, der sich mit MAC - AD auskennt und mir ein paar Tips geben kann. Danke. 

zwei unterschiedliche anzeigen bei den FSMO Rollen

June 2, 2016, 7:57 am
$
0
0

Hallo, 

ich habe ein wirklich merkwürdiges Problem.

Ich bin gerade dabei ein Samba DC (DC01) zu einem Windows 2008R2 DC (DC02) die Masterrollen zu verschieben.

mit NETDOM QUERY FSMO habe ich mi die Rollen dann anzeigen lassen und das ist merkwürdig:

Ich habe momentan den RID PDC und Infra nach DC02 verschoben was die Masterrollen betrifft aber angezeigt wird mir:

Schemamaster               DC01.domain.de
Domänennamen-Master        DC02.domain.de
PDC                        DC02.domain.de
RID-Pool-Manager           DC01.domain.de
Infrastrukturmaster        DC02.domain.de

In den RSAT tools wird mir es aber richtig angezeigt, nur nicht im command promt! 

Wie kommt das zustande und wie kann ich das fixen?

 Vielen Dank im vorraus

Search

Wird Namesuffixrouting in einer AD wirklich benötigt?

June 2, 2016, 11:48 pm
$
0
0

Hallo zusammen,

ich habe ein ähnliches Problem wie dieser Kollege hier: https://www.administrator.de/content/detail.php?id=169192&token=838#comment-1100265

Nur haben wir nicht von einem Windows 2003 auf 2008 migriert, sondern von einer Linux Domäne auf eine Windows 2008 R2 Domäne und bei mir sind es nicht alle User, sondern nur vereinzelte User, die Probleme bei der Synchronisation ihrer Profile haben:

"Userenf ID 1521

Die Serverkopie des servergespeicherte Profils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.

Details - Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können. "

Dazu kommt folgende Fehlermeldung bei manchen Benutzern, die sich per UMTS und OpenVPN zum Server verbinden:

Auf V:\ kann nicht zugegriffen werden.

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Bzw. Wenn sie sich aus einem anderen lokalen Netz versuchen zum Server zu verbinden.

Das Kuriose ist, dass das nur Auftritt, wenn die UMTS-Verbindung über Windows Board-Mittel (Netzwerkcenter) aufgebaut wird. Nimmt man z.B. das Tool von Fujitsu um sich mit dem UMTS-Netz zu verbinden, kommt die gezeigte Fehlermeldung nicht mehr und alles funktioniert.

Jetzt habe ich den Beitrag von Lenny (s.o.) gefunden und seine Lösung war das Namesuffixrouting in den Vertrauenseinstellungen zu deaktivieren. Meine Frage dazu: was macht das Namesuffixrouting überhaubt und benötige ich das zwingend in einer AD? Ich habe mir die Beschreibung von MS angeguckt, aber schlauer bin ich daraus auch nicht geworden.

Vielleicht kann mir jemand von euch helfen.

Gruß
D1Ck3n


Fehlermeldung beim Promoten von einem DC

June 6, 2016, 2:33 am
$
0
0

Guten Morgen,

ich wollte ein DC Promoten und da ist folgender Fehler aufgetreten:

The operation failed because:

Failed to identify the requested replica partner (\\DC-02) as a valid domain controller 
with a machine account for (DC-02$). This is likely due to either the machine account not being replicated to this 
domain controller because of replication latency or the 
domain controller not advertising the Active Directory Domain Services.  
Please consider retrying the operation with \\DC-01 as the replica partner."The server is unwilling to process the request."

Momentan sieht mein Plan so aus:

Momentan ist es wie folgt:

DC-02 (2k8r2) repl. mit DC-01 (samba)

DC-02 ist nun Master geworden.

Mein Plan:

DC-01 soll sehr schnell aus der Domäne raus.

DC-03 (2k12r2) soll mit DC-02 replizieren weil es mit DC-01 aus techn. nicht repl. kann.

DC-03 soll später Master werden.

DC-02 soll bei Einrichtung aller DCs (DC-04; DC-05) raus aus der Domäne.

Mein Vorgehen:

1. DC-03 soll mit DC-02 replizieren (was nicht funktioniert hat siehe Fehler) 

anschließend Demote DC-01

2. Wenn 1. nicht funktioniert muss die Hammervariante her

          demote DC-01 und anschließen beten das alles reibungslos läuft (aber ich bin nicht gut in beten)

                    anschließend rep. mit DC-02 und anschließend wieder beten (bin aber, wie schon erwähnt nicht gut darin)

Hostname der angemeldeten User herausfinden | AD User

June 6, 2016, 12:58 am
$
0
0

Hallo,

ich muss zu Supportzwecken herausfinden wie der Hostname der aktuell angemeldeten Nutzer ist.

Der Kunde hat mir die Anmeldenamen der Nutzer gegeben bei denen ein Problem auftritt. Leider benötige ich zur Problemlösung die Hostnamen der PCs an denen eben diese User angemeldet sind.

Daher meine Frage: Gibt es eine Möglichkeit die aktuell angemeldeten Benutzer einer AD einzusehen MIT den Hostnamen der PCs an denen diese Personen sitzen?

Vielen Dank im Voraus!

LG Grüße,
Tim

Windows Server 2008 Standard - 2 Domänen 1 Server

June 6, 2016, 1:09 am
$
0
0
Guten Tag (Montag.....) werte Community,

Ich bräuchte eure Hilfe bei folgendem Problem:

Wir wollten einen weitere (zweite) Domäne aufziehen, über welche nur Mails laufen sollen.
Momentan haben wir eine Domäne (123456.local) über welche die Mitarbeiter sich an ihrem PC anmelden können, sowie auch Mails abrufen können.

Die zweite Domäne die aufgezogen werden soll, dient jedoch nur dazu, Mails zu verschicken, d.h. die Benutzer welche angelegt werden, müssten sich nicht an einem PC anmelden.
Momentan wird die Domain bei einem externen Anbieter gehostet, bei welchem es jedoch Probleme mit den Servern und der Zuverlässigkeit gibt.

Unsere Idee: Den Mailverkehr über unsere Exchange-Server leiten und somit eine bessere Zuverlässigkeit garantieren. Desweitern wollten wir sie als eigenständige Domäne aufziehen, damit unsere momentane Domäne (123456.local) und die neue Domäne (abcdef.local) ordentlich getrennt sind. In erster Linie geht es uns darum, dass wir die Mail-Benutzer der neuen Domäne nicht in unserer (123456.local) unterbringen müssen.



Da wir bereits einen Domänencontroller im Netz haben, wollte ich mich erkunden, wie man dieses Problem lösen kann. Man müsste höchstwahrscheinlich einen neuen parallelen Forest aufziehen?

Jedoch liefert Google hier nur stichpunkthaltige Informationen, welche mir nicht direkt weiterhelfen und meine Kenntnisse dazu auch nicht ausreichen.



Mit freundlichen Grüßen und noch einen schönen Tag gewünscht, auch wenn es Montag ist.

VLAN AD bekannt machen

June 6, 2016, 8:32 am
$
0
0

Hallo,

kurzer Überblick: DC Windows 2012 R2, Clients Windows7, Netz 192.168.90.0/24, neu VLAN 172.16.0.0/24

Bisher hatte ich in unserem Netz nur einen IP-Adressbereich, den ich seit Einrichtung unseres ADs nicht verändert habe.

Jetzt sind in einem neuen Subnetz VLANs dazu gekommen, die ich gerne auch mit unserem AD verbinden möchte. An welcher Stelle muss ich das tun? Ich habe bereits einmal in AD Sites und Dienste, einfach das Subnetz hinzugefügt, aber ohne Erfolg.

Problem: Ich kann aus dem neuen Subnetz heraus meinen Windows7-Client nicht der Domäne hinzufügen. Innerhalb des bereits vorhandenen Netzes klappt das.

Stehe auf dem Schlauch und freue mich über einen weiterführenden Tipp

Gruß Sabine

Viewing all 1144 articles
Browse latest View live
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>