Hi Leute,

ich will einen W2003R2 per dcpromo als Domänencontroller herunterstufen. Weitere DCs sind vorhanden (1x W2003 und 2x W2012R2 am selben Standort, 1x W2008R2 am Remotestandort). Er war FSMO-Inhaben, die Rollen wurden erfolgreich transferiert.

dcpromo meint nach einer Weile beim Beenden von netlogon: Der Dienst "netlogon" konnte nicht wie gewünscht konfiguriert werden. Der Wartevorgang wurde abgebrochen".

So wie es aussieht beendet sich der Dienst nicht in der erwarteten Zeit. Des Weiteren finde ich einen Ereigniseintrag:

Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5775
Datum:  18.11.13
Zeit:  14:10:37
Benutzer:  Nicht zutreffend
Computer: XXX
Beschreibung:
Die dynamische Löschung für den DNS-Eintrag '_ldap._tcp.c2ccd755-b170-4228-aad2-be6d08ba4d4d.domains._msdcs.YYYY.de. 600 IN SRV 0 100 389 XXX.YYYY.de.' ist auf dem folgenden DNS-Server fehlgeschlagen: 

DNS-Server IP-Adresse: 192.168.1.2
Verbindungsantwortcode (RCODE): 5
Zurückgegebener Statuscode: 9016 

BENUTZERAKTION 
Löschen Sie den Eintrag manuell, oder beheben Sie den Fehler, so dass der Eintrag dynamisch gelöscht wird, damit Remotecomputer nicht unnötigerweise eine Verbindung mit dem Domänencontroller herstellen. Weitere Informationen über das Debuggen von DNS erhalten Sie durch die Hilfe- und Supportdienste. 

ZUSÄTZLICHE DATEN
Fehlerwert: Die DNS-Signatur konnte nicht überprüft werden.

und

Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5808
Datum:  18.11.13
Zeit:  14:10:06
Benutzer:  Nicht zutreffend
Computer: XXX
Beschreibung:
Die Aufhebung der Registrierung aus einigen DNS-Domänencontroller- Locatoreinträgen wurde zu der Zeit abgebrochen, als dieser Domänencontroller herabgestuft wurde, weil die Aufhebungen der DNS-Registrierungen das Zeitlimit überschritten haben. 

BENUTZERAKTION 
Löschen Sie die DNS-Einträge, die in der Datei "%SystemRoot%\System32\Config\Netlogon.dns" aufgelistet sind, manuell aus der Datenbank.

Welches Vorgehen ist empfehlenswert? Alle auf diesen Server verweisenden Einträge im DNS manuell löschen?

Viele Grüße Dirk

Guten Tag,

ich hoffe ich bin hier richtig. Ich habe den Auftrag bekommen unsere IT-Verwaltung ein wenig zu entlasten wenn es um das Thema geht neue User im Acctive Directory anzulegen.

Ich hab dazu ein Powershell Script erstellt welches diese Aufnahme übernehmen soll und gleichzeitig noch ein paar mehr User Informationen, sowie ein Passwort, eine OU und die Aufforderung nach dem ersten Anmelden das Passwort zu ändern realisiert.

Nun ist mir aufgefallen das unser AD einer Namenskonvention folgt und das Feld Name immer mit Nachname, Vorname befüllt wird.

Genau da ist mein Fehler, hier der Befehl (vereinfacht ohne Variablen)

New-ADUser -Name "Testuser, AD" -GivenName AD -SureName Testuser -Path $OU

Als Fehler kommer dann die Meldung:

New-ADUser : Der angegebene Name hat ein falsches Format für einen Kontennamen

Ich denke mal es liegt am Komma oder am Leerzeichen?

Vielen Dank schon im voraus.

Mfg

Monster0815

Hallo zusammen,

leider macht man das nur alle 5 Jahre daher fehlt mir hier die Erfahrung.

Wir fangen mit Windows 10 an. Ich habe am Client von MAk auf KMS umgestellt.

slmgr -upk
slmgr.vbs /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX   (win10 prof standard key vom internet)
slmgr.vbs -ato (geht nicht - Fehler siehe unten)

0xC004F074

---------------------------
Windows Script Host
---------------------------
Windows(R), Enterprise edition (73111121-5638-40f6-bc11-f1d7b0d64300) wird aktiviert...

Fehler: 0xC004F074 Vom Softwarelizenzierungsdienst wurde gemeldet, dass der Computer nicht aktiviert werden konnte. Es konnte kein Schlüsselverwaltungsdienst (Key Management Service, KMS) erreicht werden. Weitere Informationen finden Sie im Anwendungsereignisprotokoll.

---------------------------
OK  
---------------------------

KMS ist im DNS richtig und am Client wird er richtig aufgelöst siehe.

C:\WINDOWS\system32>nslookup -type=all _vlmcs._tcp
Server:  ad.firma.de
Address:  1.1.1.3

_vlmcs._tcp.firma.de SRV service location:
          priority       = 0
          weight         = 0
          port           = 1688
          svr hostname   = server.firma.de
server.firma.de internet address = 10.1.1.1

Chris

Hallo zusammen

Wir haben einige Extranet User in unserer AD welche nur Zugriff auf SharePoint Daten haben und sich über Internet darauf einloggen. Nun möchte ich verhindern dass sich diese User intern anmelden können.

Kann ich die User einfach auf einen Computer Beschränken der nicht existiert oder vergesse ich da was?

set-aduser Extranet_user -LogonWorkstations dummycomputer123

Kann/sollte man die Gruppe "Domain Users" allenfalls noch entfernen da diese wohl teilweise standardmässig irgendwelche Rechte haben?

Gruss
Florian

Guten morgen,

ich suche ein Script was mir die Berechtigungen neu setzt.

Ich habe über 120 Ordner mit die mit Usernamen bezeichnet sind ( Ordener User1, User2, User3, ect.).

nun soll so wie der User heißt auch die Berechtigung gesetzt werden, rekrusiv. das heißt Ordner User1 soll der user:User1 auch

Zugriff schreib- ausführ und leserechte haben. 

Zzgl. soll der Dom-Admin und der Lokale Admin-Gruppe vollen Zugriff auf alle Ordner haben.

Hat da jemand eine idee?

- in den Raum geworfen würde ich es mit icacls versuchen.

Guten Tag liebe Community,

leider habe ich hier und in diversen anderen Foren noch keine Lösung gefunden.

Wir haben zwei W2K8R2 DCs im selben Netz die sich gegenseitig replizieren. Soweit passt alles. Auf beiden Servern ist die DFS-Rolle installiert und es wurde automatisch eine Replikationsgruppe "Domain System Volume" (SYSVOL) erstellt.

Beide Server starten Täglich um 23:00 ein Backup (Windows Server Sicherung).

Um genau 23:00 bekomme ich allerdings jeden Tag einen Errorlog-Eintrag unter Dateidienste.

Der DFS-Replikationsdienst beendet die Kommunikation mit Partner SRV2 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen.
 
Weitere Informationen:
Fehler: 9036 (Zum Sichern oder Wiederherstellen angehalten)
Verbindungs-ID: C7C482A0-021D-46CA-8F5A-C467C6AF9D53
Replikationsgruppen-ID: 41FF54F5-C72D-4DCE-B553-A3075C928383

-----

Ich hoffe mir kann jemand helfen.

Vielen Dank im Vorraus!

lg

Tom

Zusatzinfo:

SRV1 = Primärer DC

SRV2 = Sekundärer DC

Hallo zusammen,

ich habe in einem Server 2008 R2 Netzwerk folgendes Problem:

Struktur:
Server 2008 R2 – Active Directory
Terminalserver 2008 R2
In diesem Beispiel ein File-Server (ebenfalls 2008-R2)

Alles läuft in einer virtuellen Umgebung.

Problem:

Alle neue angelegten Benutzer bekamen bei der Anmeldung an einigen Terminalserver von jetzt auf gleich die Meldung:

„Die Anmeldung des Dienstes „Benutzerprofildienst“ ist fehlgeschlagen.
Das Benutzerprofil kann nicht geladen werden.“

Die Erstanmeldung war schon nicht möglich.

Mein erster Verdacht war die Ordnerumleitung, die per GPOs ausgeteilt wird.
Dann habe ich Schreibrechte im Verdacht gehabt.
Der Profilordner (C:\users) wurde von mir auf  den „Default“-Ordner geprüft.
In der Registry sind keine Profilreste vorhanden und ebenso auch nicht im Users-Ordner.
Die Profile können ja auch nicht exitieren, da die Anmeldung gar nicht durchgeführt wird.

Um die Sache weiter einzugrenzen habe ich Folgendes getan.
1.)    einen neuen Benutzer angelegt und diesen zum Domänen-Admin (!!!) gemacht.
2.)    einen der Server (allerdings keinen Terminalserver (!!!)) in eine andere OU verschoben auf die keine GPO wirkt. (außer die Default-GPO, die bei uns unverändert ist)
3.)    den neuen Benutzer in eine OU verschoben, die keiner GPO unterliegt (außer Default)

Der neue Benutzer kann sich an diesem Server weder per RDP noch lokal anmelden.
Die Fehlermeldung von oben bleibt.

Man sollte meinen, dass er als Dom-Admin zumindest nicht über Schreibrechte stolpert. Diese sind von uns auch nicht irgendwie angefasst worden.

In der Ereignisanzeige tauchen beim Anmeldeversuch folgende Fehler auf:

Zunächst:
Protokollname: Application
Quelle:        Microsoft-Windows-Winlogon
Datum:         03.06.2013 12:21:39
Ereignis-ID:   6004
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      ***FQDN der Servers***
Beschreibung:
Der Winlogon-Benachrichtigungsabonnent <Profiles> ist bei einem kritischen Benachrichtigungsereignis fehlgeschlagen.


Dann:
Protokollname: Application
Quelle:        Microsoft-Windows-User Profiles Service
Datum:         03.06.2013 12:21:39
Ereignis-ID:   1521
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      ***Domäne/Anmeldename***
Computer:      ***FQDN der Servers***
Beschreibung:
Die Serverkopie des servergespeicherten Profils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.

 Details - Der Netzwerkname wurde nicht gefunden.


Danach:
Protokollname: Application
Quelle:        Microsoft-Windows-User Profiles Service
Datum:         03.06.2013 12:21:39
Ereignis-ID:   1500
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      ***Domäne/Anmeldename***
Computer:      ***FQDN der Servers***
Beschreibung:
Sie konnten nicht angemeldet werden, da das lokal gespeicherte Profil nicht geladen werden konnte. Überprüfen Sie, ob eine Netzwerkverbindung besteht und das Netzwerk ordnungsgemäß funktioniert.

 Details - Unbekannter Fehler


Zum Schluß:
Protokollname: Application
Quelle:        Microsoft-Windows-Winlogon
Datum:         03.06.2013 12:22:13
Ereignis-ID:   6001
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      ***FQDN der Servers***
Beschreibung:
Der Winlogon-Benachrichtigungsabonnent <Sens> ist bei einem Benachrichtigungsereignis fehlgeschlagen.


So langsam geht mir beim Fehlersuchen echt die Puste aus und ich bin für jeden Hinweis wirklich dankbar.
Ich hoffe, dass es nur ein dummer Konfigurationsfehler meinerseits ist. Vermutlich habe ich mal wieder das Brett der Bretter vor dem Kopf.

Grüße an alle und danke schon mal für die Unterstützung!

Picco

Hallo,

folgendes Problem besteht bei welchem ich leider nicht weiterkomme.

Wir haben einen neuen Windows Server 2012R2 DC zu der Domäne hinzugefügt, es besteht ein weiterer DC mit Windows Server 2003. Alles an einem Standort, nicht standortübergreifend.

Problem ist nun, dass sich Windows XP Clients nur an dem Windows Server 2003 DC anmelden und die Windows 7 Clients nur an dem Windows Server 2012R2 DC. Sobald einer der DCs ausgeschaltet oder nicht erreichbar ist, gehen logischerweise auch die Anmeldungen der entsprechenden Clients nicht mehr.

Kennt jemand das Problem und kann hier Abhilfe bzw. eine Lösung geben?

Besten Dank

Hallo und guten Tag.

Folgendes Szenario, Domäne 2012R2 und MemberServer 2012R2. Auf dem MemberServer läuft SQLEXPRESS 2008 SP1. Alle OS und SQL sind in deutsch.

Jetzt habe ich von : https://connect.microsoft.com/site1164 das aktuelle ADMT Tool geladen.Einmal auf deutsch und einmal auf Englisch.

Die Englische Version bekomme ich problemlos installiert. Bei der deutsch Version kommt sofort folgender Fehler: siehe Screenhot.

Komischerweise ist die Englische Version ca. 4,2 MB und die deutsch "nur" 455 KB, siehe Screenshot.

Hätte gerne die deutsch Version, vielleicht hat jemand eine Idee ???

Zu diesem Fehler finde ich bei Google leider garnix oder ich bin zu blöd zum Suchen ;-)

Die Erreignisanzeige sagt folgendes:

Marek Augsten

Vielen Dank

Marek Augsten

Hallo,

ich habe bei einem Kunden eine Altinstallation übernommen mit folgender Struktur:

Es gab mal eine dom1.local als W2k-Domäne (DC nicht mehr vorhanden) unter der dann 4 weitere Domänen (auch W2k) für einzelne Standorte hingen. 3 der alten Child-Domänen wurden zurückgebaut, sodaß jetzt alle in der letzten verbliebenen Childdomäne arbeiten. Diese ist vom Funktionslevel aber immer noch W2k, da zur Hochstufung die übergeordnete Domäne mit hochgestuft werden müsste. Dieses ist aber aufgrund des fehlenden DCs nicht mehr möglich (es gab wohl damals nur einen DC, welcher mal kaputt gegangen ist...).Derzeit wird dort mit einem W2k3-DC (wird in Kürze abgebaut) und 4 W2k12-DCs gearbeitet. Aber ich bekomme halt den Funktionslevel nicht hoch.

Nun die Frage: Gibt es eine Möglichkeit, die Childdomäne vom Forest zu "lösen" und als alleinige Domäne weiterzubetreiben? Sprich, alle Verbindung zum übergeordneten Forest zurückzubauen, obwohl die Forest-Domäne nicht mehr vorhanden ist? Ich weiß, das eine komplette Neuinstallation sicher das Sauberste wäre, aber bei 20 Servern und 100 Clients auch nicht ganz ohne Aufwand. Habt ihr irgendwelche Tips, wie man das am klügsten lösen könnte?

Vielen Dank

Micha Boschke

Hallo,

Unter Zuhilfenahme welcher Methoden kann ich in einem Server 2008 r2 basierten Netz den Zustand der AD-Datenbanken der Domaincontroller prüfen?

Zunächst: Ich habe keine greifbaren Anhaltspunkte für Fehler. dcdiag und repadmin zeigen keine Fehler (zumindest keine nicht ignorierbaren - FRS <-> DFSR)

Es handelt sich um ein gewachsenes Netz mit mehreren Domaincontrollern. Ich würde gern sicherstellen, dass in der Vergangenheit keine AD-Fehler durch Snapshots von virtuellen DCs erzeugt worden sind.

Reicht dazu vielleicht schon aus mit dem Sysinternals ADExplorer je DC die Struktur zu exportieren und diese Exporte irgendwie miteinander zu vergleichen?

Hallo zusammen,

auf Domain Controllern werden teilweise innerhalb von einem Tag mehrere tausend Authentication Failures (Event 4771, Kerberos pre-authentication failed) für einen User gelogt. Ein Beispiel Event dafür ist:

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/><EventID>4771</EventID><Version>0</Version><Level>Information</Level><Task>Kerberos Authentication Service</Task><Opcode>Info</Opcode><Keywords>Audit Failure</Keywords><TimeCreated SystemTime='2016-01-13T16:27:05.107307600Z'/><EventRecordID>247779999</EventRecordID><Correlation/><Execution ProcessID='544' ThreadID='1188'/><Channel>Security</Channel><Computer>domain controller </Computer><Security/></System><EventData>Kerberos pre-authentication failed.

Account Information:
	Security ID:		domain\user
	Account Name:		user

Service Information:
	Service Name:		krbtgt/domain

Network Information:
	Client Address:		::ffff:1.1.1.1
	Client Port:		61116

Additional Information:
	Ticket Options:		0x40810010
	Failure Code:		0x18
	Pre-Authentication Type:	2

Certificate Information:
	Certificate Issuer Name:
	Certificate Serial Number:
	Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.</EventData></Event>

Das passiert zum Beispiel wenn ein Passwort abgelaufen ist, der User jedoch noch eine RDP Sitzung offen hat. Dennoch wird der User nicht gesperrt, obwohl dies per GPO so konfiguriert ist und prinzipiell auch funktioniert (n mal falsch interaktiv einloggen und der User wird gesperrt). 

Kann mir jemand erklären, was bei dem Pre-Auth anders ist, dass der User nicht gesperrt wird?

Besten Dank,
Michael

Hallo zusammen,

ich möchte gerne eine externe Vertrauensstellung zwischen zwei Domänen unterschiedlicher Gesamtstrukturen erstellen; das ist soweit auch kein Problem.

Allerdings möchte ich nicht, dass sich alle Domänenbenutzer der vertrauten Domäne in der vertrauenden Domäne authentifizieren können. Ich möchte die Benutzer der vertrauten Domäne flexibel durch die Mitgliedschaft in einer globalen Gruppe einschränken.

Ist so etwas möglich? Dadurch soll erreicht werden, dass sich nur bestimmte Benutzer der vertrauten Domäne an allen Computern der vertrauenden Domäne anmelden können.

Guten Tag

Seit 2 Monate kann ich mein Windows 10 nicht alktivieren.

Fehlercode 0xC004F012. Was soll ich Tun.

L.Falcini

Hallo,

wir haben in unserer Testumgebung den Domänen-Administrator umbenannt.
Soweit alles gut, aber der Benutzeranmeldename Prä Windows 2000 stellt sich ständig wieder auf "Administrator" zurück.
Beispiel:
Wir haben den Domänen-Admin auf James_Bond_007xx   (nicht wirklich ;) aber 16 Zeichen und Unterstrichen.
Der Prä-Windows 2000-Name lautet genauso. Ich kann das so eintragen und mit dem 2. DC synchronisieren.
Aber nach ein paar Stunden steht plötzlich in dem Prä Windows 2000- Feld wieder "Administrator".

Inkl. der Domäne (Feld links von Prä Windows 2000 ist der Anmeldename insg.21 Zeichen lang.
Aber ich dachte der Anmeldename (ohne Domäne) darf 20 Zeichen lang sein.
Beim speichern wird ja auch nicht gemeckert.

Was stimmt hier nicht?

Danke für eure Hilfe,

Coyo

Hallo,

Folgendes Szenario liegt zu Grunde:

Es existieren 2 Domänen im bidirektionalem Trust Verhältnis. Dom1 und Dom2.
In Dom1 gibt es diverse Terminal-Server, in Dom2 nicht.

Die User aus Dom2, an Standort2 haben einen lokalen DC.
Standort2 ist per VPN über eine schwache 2 Mbit/s Leitung (mehr ist nicht verfügbar derzeit) mit Standort1 verbunden, an dem ebenfalls ein DC von Dom2 steht.
Die User von Standort2 sollen hauptsächlich auf den Terminal-Servern in Standort1 arbeiten.
Diese befinden sich auf Grund der Lizenz-Server in Dom1.

Auf Grund des bidirektionalem Trustings können sich die User auch problemlos an dem Terminal Server anmelden.
Jetzt kommt das Problem, dass die User aus Dom2 extrem häufig an dem DC in Standort2 authentifiziert werden, und nicht an dem DC in Standort1, wenn sie sich am TS anmelden.

Wir haben in beiden Domänen unter Standorte und dienste die entsprechenden Standorte und die dort jeweils verfügbaren Netzwerke angelegt und korrekt verbunden. Dennoch interessiert es die DCs von Dom2 nicht, dass der TS von dem aus sie sich an der eigenen Domäne (Dom2) authentifizieren, in dem Netz von Standort1 steht.

Was können wir hier noch machen? ist ein Umzug des TS in Dom2 notwendig, damit das klappt? wenn ja, kann er dann überhaupt noch auf den Lizenzserver der Dom1 zugreifen?

Bitte um Hilfe

Hallo zusammen,

ich betreue eine Domäne mit zwei Standorten, beide Standorte sind über einen VPN Tunnel miteinander verbunden, es gibt pro Standort einen Domain Controller.

Domänenrechner mit Windows 7 (ob frisch reingebracht, oder schon lange drin) sehen sofort beide Server und können sowohl über IP als auf über \\Servername\ auf Freigaben zugreifen.

Domänenrechner mit Windows 10 hingegen, können nur die Freigaben ihres Standortes sehen nicht aber die entfernten. Ping in beide Richtungen geht. Sogar Clients im entfernten Netz können angepingt werden. Auch DNS funktioniert... "ping servername" funktioniert für den entfernten Server. Es ist auch möglich eine RemoteDesktop Sitzung mit "Servername" zu öffnen. Einzig die SMB Freigaben gehen nicht... 

Irgendwelche Tipps oder Hinweise? Firewall ist im Domänennetz aus, keine Virensoftware außer Windows Defender, frisch installiertes W10...

Für jeden Hinweis bin ich dankbar!

Hallo zusammen,

bin heute, relativ spät, über die Änderungen, die KB3159398 mit sich gebracht hat, gestolpert. War vorher schon mal an dem Thema dran, hab es aber wieder aus den Augen verloren. War insgesamt nicht besonders wichtig für mich gewesen, weil der wesentliche Aufbau meiner AD-Struktur nicht mit der Änderung durch das Update plötzlich hinüber war. Es gab ein paar wenige über alle Ebenen greifenden GPOs, die ich durch das Entfernen der Gruppe "Authentifizierte Nutzer" quasi kaputt gemacht habe.

Nun gibt es ja Leute die meinen, dass das quasi keine gute Arbeitsweise wäre. Wie wäre es denn richtig? Mark und Günter Born haben da zwar gute Vorbeit geleistet, bei mir hat sie aber noch nicht so ganz gegriffen.

Außerdem verstehe ich so 100%ig immer noch nicht, warum ich mit dem Entfernen der "Authentifizierten Nutzer" die GPO außer Gefecht gesetzt habe. Ich sehe meinen Fehler gerade nicht.

Danke schon mal für eure Antworten!

Grüße

willy