Hallo,

wir haben ein Windows Server 2016 ADDS.
Kann man den Computernamen unmittelbar nach löschen im AD wiederverwenden?
Möchte Win10 Clients durch neue PC ersetzen, aber den Computernamen beibehalten.

Viele Grüße
Roland

Hallo,

unser DFSR repliziert nicht mehr. SYSVOL Share zwischen den DCs ist inkonsistent.

Kann mir jemand helfen?

Viele Grüße
Roland

aus der Ereignisanzeige des DC1 Ereignis ID 4612

Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und  wartet darauf, die erste Replikation auszuführen.
Der replizierte Ordner bleibt  im ersten Synchronisierungsstatus, bis er mit seinem Partner DC2.mydomain.de repliziert  wurde.
Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als Domänencontroller,
bis dieses Problem behoben wurde.
Dies kann darauf  zurückzuführen sein, dass der angegebene Partner sich selbst in einem  ersten Synchronisierungsstatus befindet.
Eine weitere mögliche Ursache  ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind.
Wenn dieses Ereignis bei der Migration  von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist,
werden die Änderungen nicht nach außen repliziert, bis dieses  Problem behoben wurde.
Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist. 
 
Weitere Informationen: 
Name des replizierten Ordners: SYSVOL Share
ID des replizierten Ordners: 35FC8138-171C-4111-B7C8-E2A800B11825
Replikationsgruppenname: Domain System Volume
Replikationsgruppen-ID: 8218C44E-BB6C-4923-9822-1D892C40B7D0
Mitglieds-ID: 29896AB7-4054-42E7-90E6-5A5185A696EA
Schreibgeschützt: 0

Ereignis ID 5014 und 5002 melden auch Fehler bezüglich DFSR.

NtFrs ist deaktiviert

PS C:\Users\Administrator> dfsrmig /getglobalstate

Aktueller globaler DFSR-Status: "Entfernt"
Erfolgreich
PS C:\Users\Administrator> dfsrmig /getmigrationstate

Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich

Hallo.

Ich habe ca. 40 Drucker aber 145 Druckerqueue ( Hochformat, Duplex,Schacht u.s.w)

Mein Ziel: Aufräumen

Mein Lösungsansatz:

# alle Printer ermitteln

 "$allprinters=Get-WMIObject -Class Win32_Printer |select sharename"

#..und ermitteln welche Queues z.B 14 Tage nicht mehr genutzt wurden (Event-Log)

$Results = Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-PrintService/Operational"; ID=307;}

Wie baue ich das jetzt zusammen ?

Moin

Ich habe ein "komisches" Problem

2x Server 2008R2 (aktueller Patchstand)

Forestmodus ist 2000

Domänenmodus 2003

Alle FSMO Rollen auf einem DC

Sysvol Replikation über FRS nicht über DFSR

Ad Objekte (z.B. User) werden einwandfrei repliziert. Das klappt

Aber Objekte im Sysvol Ordner dagegen nicht. Die Stände sind unterschiedlich (sowohl die Inhalte als auch die Zeiten sind unterschiedlich).

so z.B. xml Dateien für Windows 10 werden nicht von einem DC auf den anderen übertragen

DCDiag, replshow bringen alle keine Ergebnisse. Lt. den Tools sieht alles top aus. Im Ereignisprotokoll sind keine Warnungen/Fehler zu finden

Hat jemand eine Idee?

Kann ich die Replikation von FSR zu dem "neueren" DFSR ändern (ohne Probleme?)

Würde das was bringen?

Viele Grüße

Lutz

Hallo,

wie hier beschrieben (https://social.technet.microsoft.com/Forums/de-DE/7fa6838d-139c-4327-8e26-1c592a6fa926/sbs2011-offline-exchange-db-exportieren?forum=exchange_serverde)  ist ein SBS2011 zu einem sehr ungünstigem Zeitpunkt gestorben.

Jetzt habe ich den DC aus der Domäne genommen mit ntdsutil > metadata cleanup usw. das hat funktioniert, ich habe das mit ntdsutil, in der AD Verwaltung überprüft und der alte DC ist nicht mehr gelistet.

Als nächsten Schritt habe ich einen anderen Server 2016 zum DC machen wollen. Im Servermanager habe ich die AD Funktionen installiert und den Assistenten gestartet und wie ihr auf dem Bild seht bekomme ich diese Fehlermeldung.

Wo soll/muß ich noch mit adsiedit.msc die alten Einträge entfernen?

Hallo Leute,
ich bin ganz frisch aus der Ausbildung raus und stehe gerade vor einer kleinen Herausforderung. Folgendes Szenario:

Meine Firma (Standort A) hat eine Tochterfirma (Standort B), welche bislang einen eigenen Server + AD & Exchange etc. hat.

Nun soll die komplette IT dort von uns betreut werden und wir planen über eine Sophos Red (Router, welcher VPN-Verbindung erstellt) eine Verbindung zu unserem Server aufzubauen. Eine extra Domäne soll nicht erstellt werden.

Wie gehe ich da am einfachsten vor?

Reicht es, dass die Leute an Standort B einen VPN-Zugriff haben, sodass sie sich direkt in der Domäne anmelden können inkl. Gruppenrichtlinien? Kann man im AD mehrere Standorte "konfigurieren"?

Zusätzlich soll der Mailverkehr von Standort B über unseren Exchange 2013 Server laufen, jedoch haben die Leute dort eine andere @Domain als wir, die sie auch behalten müssen. Wie muss ich da vorgehen denn vorgehen bzw. wo richte ich die 2. Domain ein?

Hoffe ihr könnt mir helfen :) versuche mich natürlich parallel andersweitig schlau zu machen.

Bis dann :)

Hallo zusammen,

ich habe ein Problem mit einem Skript welches mir den Status des Bitlockers ausgeben soll. Eigentlich sollte das ganz einfach sein aber irgendwie funktioniert das Skript nicht richtig... 
Im Prinzip soll nur folgendes geschehen: die Ausgabe für "manage-bde -status" soll in einem Textfile auf einem share liegen. Nun habe ich das Skript als Computer und als Benutzer GP als Logon Skript ausgerollt, doch das funktionierte nicht. Anschließend habe ich den Befehl "date /t > %path%\%Computername%.txt" eingeführt. Dann bekomme ich aber nur eine txt File mit dem Datum drinnen. Wenn ich das Skript von dem AD ALS ADMIN ausführe (<domainpath>\sysvoll\scripts) dann funktioniert es, ich erhalte dann ein txt File mit allen Daten die ich benötige. 

Mein Skript sieht so aus:

@echo off
set path=\\192.168.5.148\Bitlocker
date /t > %path%\%Computername%.txt
manage-bde -status >> %path%\%Computername%.txt

An was könnte das liegen? Soweit ich weiß werden Computer GP immer als Administrator ausgeführt?

Vielen Dank im Voraus.

Guten Tag,

ich wollte heute eine Domäne auf die Funktionsebene von Windows Server 2012 R2 anheben. Alle DomänenController im AD sind auch Windows Server 2012R2 Maschinen. Jedoch wird einer angemeckert das er dies nicht sei?

Die Funktionsebene der Domäne konnte nicht mithilfe der Active Directory-Domänendienste aktualisiert werden, da sich der folgende Active Directory-Domänencontroller auf einer niedrigeren Funktionsebene als der angeforderten neuen Funktionsebene der Domäne befindet. 
 
Objekt:
DC=Domain,DC=local 
NTDS-Einstellungsobjekt des Active Directory-Domänencontrollers:
CN=NTDS Settings,CN=SRV099,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=Domain,DC=local

Update: Auf dem betreffenden Server konnte ich nun den Fehler ActiveDirectory_DomainService mit Event ID 2916 und 1224 sehen, es ist ein RODC.

Problem scheint wohl die Event ID 2916 zu sein:

Benutzeraktion
 Wenn Sie den Fehler manuell beheben möchten, muss die richtige Funktionsebene des RODCs in das angegebene Attribut des angegebenen Objekts auf einem beschreibbaren Domänencontroller in der Domäne geschrieben werden. Die Funktionsebene des beschreibbaren Domänencontrollers muss mindestens Windows Server 2008 R2 sein.
 
 
Attributname: 
905b3 (msDS-Behavior-Version) 
Richtige Funktionsebene des RODCs: 
6 
Objekt-DN: 
CN=NTDS Settings,CN=SRV099,CN=Standort,CN=Sites,CN=Configuration,DC=Domain,DC=local 

Hallo zusammen,

ich möchte unter Windows Server 2012 R2 einen Domain Controller einer neuen Domäne einrichten. Das entsprechende Feature kann ich über den Server Manager installieren, aber ich scheitere bei der Konfiguration. Dort komme ich bis zum Schritt der Pfadanagabe für NTDS, SYSVOL etc. und wenn ich dort auf"weiter" klicke, bekomme ich den folgenden Fehler:

Ungültige Pfade: "Fehler bei der Überprüfung der Verzeichnispfade. Der Ordner "C:\Windows\NTDS" bezieht sich nicht auf eine gültige Festplatte. Wählen Sie einen Ordner auf einer Festplatte aus.".

Ich habe die Pfade auf der Standardeinstellung gelassen (C:\Windows\NTDS; C:\Windows\SYSVOL). Die Festplatte ist eine fest integrierte SanDisk FD4032 mit 32GB. Es sind noch ca. 20GB frei.

Leider habe ich in den letzten 2 Stunden via google nichts passendes gefunden.

Auf einem anderen Rechner (mit 250GB Samsung SSD) habe ich den Domain Controller installieren können.

Die Platte ist als Basisdatenträger eingerichtet, das ist die des anderen (funktionierenden) Servers aber auch. Daran sollte es also nicht liegen.

Ich habe auch schon versucht, die Pfade auf ein Netzlaufwerk oder einen USB-Stick zu legen - beides ging nicht.

Was mache ich falsch?

Gruß

Maximilian

Wir haben einen neuen Windows Server 2019 Standard mit der Rolle Volume Activation Services eingerichtet. Das Einspielen der KMS-Schlüssel für Server 2019, Windows 10 und Office 2019 hat mit der Active-Directory-Based Activation wunderbar geklappt, leider kann man Office 2016 und älter nicht pflegen. Man erhält die Fehlermeldung:

The Software Licensing Service reported that the license is not installed.

Diese Fehlermeldung bringt uns kein Bisschen weiter, denn wir haben noch nie Office-Produkte auf einen KMS-Server installiert!?

Bei der telefonischen Auskunft von Microsoft hat man mir erzählt, dass man einen KMS-Host für die neuesten Produkte und einen KMS-Host für die älteren Produkte benötigt. Es sei nicht möglich mit dem neuen KMS die älteren Microsoft-Produkte zu verwalten.

Falls dies tatsächlich wahr ist, dann wäre dies ein grosser Rückschritt für die Schlüsselaktivierung der Microsoft-Produkte!

Die Frage die sich mir dabei stellt ist, wie ich bei unserem DNS-Server unterscheiden kann welche Anfrage er mit welchem KMS-Host beantworten soll. Office 2016 soll zum alten KMS, Office 2019 soll zum neuen KMS!?

Hallo,

wir haben derzeit eine Domäne mit Unterstrich (dc_firma.intern) im Namen und einige DNS Dienste bzw. neue Applikationen können damit nicht umgehen. Daher planen wir den Umstieg auf eine neue Domäne (firma.intern).

Die Domäne läuft heute sowohl in der Domänenfunktionsebene als auch Gesamtstrukturfunktionsebene auf Windows Server 2008 R2. Wir wollen eine neue Domäne auf Windows Server 2016 einrichten.

Geplant ist ein neuer DC mit Vertrauensstellung zum Jetzigen. Bei der Migration werden wir sicher auf das ADMT zurückgreifen, um zumindest die Benutzer und Gruppen zu übernehmen.

Vom Dienstleister wurden wir darauf aufmerksam gemacht, dass jeder Benutzer ein neues Profil auf seinem Windows Client erhält, was mich etwas stutzig macht, da ich ja die Profilinformation samt History mit dem ADMT übernehme. Einzig die Clients (Computerkonten) selbst würde ich manuell in die neue Domäne aufnehmen.

Da wir auch noch eine Office 365 Umgebung nutzen, stellt sich für uns auch die Frage der Anbindung an die neue Umgebung und Integration von Benutzerkonten, da derzeit ja alle auf die jetzige (alte) Domäne zeigen.
Hat jemand schon solche Erfahrungen gesammelt und kann mir hilfreiche Tipps geben?

Vielen Dank.

Chris

Hallo zusammen, 

in meiner Domäne befinden sich 4 DomainController. 3 sind schreibbare DomainController einer ist ein RODC. Die drei Schreibbaren sind am Hauptstandort (auch sitemäßig) und der RODC ist an einem Nebenstandort. Vor einem Jahr ist einer der DCs defekt gewesen. Dieser wurde ordentlich per metadatacleanup entfernt. Keine Replikationsprobleme nach dem Entfernen. Danach wurde der DC wieder mit dem selben Namen und selber IP hinzugefügt. Replikationscheck in Ordnung. 

So nun zur Frage: nach dem Einbinden des DCs stand der alte DC bei folgendem Befehl auf "deleted DSA" 

repadmin /showvector /latency "CN=schema,dc=domain,dc=de"

Hierzu gibt es mehrere Einträge.

https://www.mcseboard.de/topic/143789-alte-repadmin-einträge-entfernen/

https://community.spiceworks.com/topic/505590-server-2012-tombstoned-objects-cleanup

Wir hatten dann noch Eventlog 1864 Error. Dieser verschwand dann aber nach einem halben Jahr (Tombstone Zeit) 

Wenn ich nun den oben genannten Befehl ausführe, bekomme ich 3 Einträge mit den DCs und einen "verwaisten". Verwaiste bedeutet in dem Fall nur eine InvocationID keinen Namen dazu. 

Wenn ich mit PowerShell das Ganze abfrage bekomme ich folgenden Output: 

Get-ADReplicationUpToDatenessVectorTable -Target dc01 | fl

Get-ADReplicationUpToDatenessVectorTable -Target dc01 | fl


LastReplicationSuccess : 29.10.2018 16:42:46
Partition              : DC=domain,DC=de
PartitionGuid          : 527f8e23-92f1-4cb3-8064-df93389127af
Partner                : CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-S
                         ite-Name,CN=Sites,CN=Configuration,DC=domain,DC=de
PartnerInvocationId    : db5d40d3-95f4-4b47-99bf-c6133424188
Server                 : dc01.domain.de
UsnFilter              : 10698889

LastReplicationSuccess : 24.11.2017 18:04:15
Partition              : DC=domain,DC=de
PartitionGuid          : 527f8e23-92f1-4cb3-8064-df93389127af
Partner                :
PartnerInvocationId    : 8c568a69-233b-454d-8294-01d33be3d02f
Server                 : dc01.domain.de
UsnFilter              : 23959668

LastReplicationSuccess : 29.10.2018 16:41:12
Partition              : DC=domain,DC=de
PartitionGuid          : 527f8e23-92f1-4cb3-8064-df9cd89127af
Partner                : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Default-First-S
                         ite-Name,CN=Sites,CN=Configuration,DC=domain,DC=de
PartnerInvocationId    : 71171eab-c620-49ff-b1c4-9e331fe034da
Server                 : dc01.izbw.de
UsnFilter              : 34571773

LastReplicationSuccess : 29.10.2018 16:42:10
Partition              : DC=domain,DC=de
PartitionGuid          : 527f8e23-92f1-4cb3-8064-df9c339127af
Partner                : CN=NTDS Settings,CN=DC03,CN=Servers,CN=Default-First-S
                         ite-Name,CN=Sites,CN=Configuration,DC=domain,DC=de
PartnerInvocationId    : 57f842e8-9b08-427a-b194-db919e333529
Server                 : dc01.domain.de
UsnFilter              : 35223142

Ist es möglich den verwaisten Eintrag (kursiv) zu entfernen? Falls ja, wo ist dieser Eintrag im AD /woanders zu finden. 
ADSI habe ich bereits durchsucht und nichts gefunden. Sites und Services ist ebenfalls kein Eintrag vorhanden. 

Vielen Dank für eure Hilfe. 

Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

Hallo Leute

wir haben folgende AD Strukture:

Single forest mit mehreren Bäumen mit  meinefirma.de als root domäne daneben exestieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.

Nun wird ein Standort geschlossen und ich wollte die beiden DC's 2008er aus meine Forest-Domäne demoten und die Domäne: meinefirma.ch löschen.

Bin mir nun bei der Frage nicht sicher: Domäne löschen, da der Server der letzte  Domänencontroller ist. Nicht sicher welche Domäne damit gemeint ist ich hoffe nicht die root domäne: meinefirma.de?

Wenn ich netdom query fsmo auf diesem Server ausführe sehe ich folgendes:

Könnt ihr mir da helfen keinen Fehler zu machen?

Vielen Dank an alle Helfer

Servus,

ich habe das Problem das die importierten admx auf einem DC nicht angezeigt werden.

Ich habe auf einem DC (Server 2012R2) verschiedene Office 2016 und 2013 Gruppenrichtlinienvorlagen importiert, einfach in den jeweiligen Ordner (C:\Windows\PolicyDefinitions und C:\Windows\PolicyDefinitions\de-de) kopiert. Wenn ich anschließend in der  Gruppenrichtlinienverwaltung eine Gruppenrichtlinie erstelle und konfigurieren möchte, werden mir die gerade importieren Vorlagen jedoch nicht angezeigt. Auch bereits vorhandene Vorlagen (z.B. Mailstore) werden nicht angezeigt. 

Was kann das sein?

In der Ereignisanzeige sind keine Fehle Fehler zu finden.

Hello all,

we are getting a lot of active directory logs in our siem system and are looking for possible bruteforce logins.

I have recognized that there are are a lot of authentication events (4771) from the same source maschine and username with exactly the same timestamp. This makes it really hard to define thresholds for the siem rules responsible for detecting possible bruteforce attacks.

My understanding is, that every login attempt should result in a log on the active directory with a unique timestamp.

Here are some example logs where the timestamp is exactly the same:

Are there known reasons for the existence of these Logs with the same timestamps?

Thanks in advance.

Hallo zusammen,

seit ca. 1 Woche habe wen wir anscheinend ein Problem mit der DFS-R Synchronisierung des Sysvol Verzeichnis.

Wir haben einen Hauptstandort (DC1) der mit allen anderen 10 Standorten/DCs kommuniziert. Alle DCs laufen auf Windows Server 2012R2

Wenn ich mit den Bericht/Status der Gruppenrichtlinien anzeige , wird mit angezeigt das alle Domänencontroller gerade sychronisieren (bis auf einen).Testweise neu angelegte Gruppenrichtlinien werden hier angezeigt/bemängelt.

3 Gruppenrichtlinien neu angelegt. Auf einem DC wird GPO1 bemängelt. Auf einem anderen widerum GPO2 usw.

Kein Muster dahinter.

Die Gruppenrichtlinien werden aber auf allen DCs angelegt. Die Ordner inkl. meinem Testskript exisitieren.

Die Server wurden alle neu gestartet und ich habe lange genug gewartet.

Nebeninfo: Wir haben vor 4 Wochen einen weiteren DC Nr. 11 (Standort) hinzugefügt.

Die Erstynchronisation wurde aber korrekt durchgeführt. In den ersten 2 Wochen war alles i.O. Jedoch werden bei diesem DC jetzt so ziemlich alle Gruppenrichtlinien in der Synchronisation bemängelt. Die Ordner existieren aber ebenfalls alle.

Die Eventlogs sagen auch das alles ok ist.

repadmin /showprel

repadmin/ replsummary ebenfalls alles i.O.

Ich würde gerne eure Meinung dazu hören.

Hat der Bericht evtl nur ein Problem? Kann ich einne Neureplizierung vom Basis DC anstoßen?