Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Standorte - 1 DC doppelt?

Mitglied: Luttertaler

Luttertaler (Level 1) - Jetzt verbinden

02.11.2009, aktualisiert 14:36 Uhr, 5625 Aufrufe, 12 Kommentare

Hallo.

Bin das erste Mal hier und möchte hiermit erstmal Hallo an Alle sagen.
Fachtechnisch mach ich Systemadministration mehr so nebenbei - bin also noch nicht der Profi. Bitte um Nachsicht.

Habe drei gleichberechtigte Domänen-Controller im Netz. Auf allen 3 DC steht im AD unter den AD-Standorten im Menüpunkt <Servers> ein Server (Server C) zweimal drin. Ich muss den Server C jetzt zum Globalen Katalogserver machen (Server A ist bisher der einzige).. Bin mir aber nicht sicher, was ich damit anrichte (weil der Server C zweimal drin steht) und vor allem wieso der Server C zweimal drin steht.

Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings

--- Server B
-- NTDS Settings

--- Server C
-- NTDS Settings

--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings

Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.

Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.

Danke schon mal fürs Durchlesen.

Gruß, Luttertaler
Mitglied: Yusuf-Dikmenoglu
02.11.2009 um 15:13 Uhr
Servus,

NCF:39e7c858-453

dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:

[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx

Du kannst den Konflikteintrag entfernen.

Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Luttertaler
02.11.2009 um 16:40 Uhr
Hallo Yusuf,

besten Dank für die Hilfe und die Information.
Dann lösche ich den zweiten Server C (CNF). Hoffe, da wird nichts passieren.


Danke und Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
02.11.2009 um 17:53 Uhr
Wenn "etwas" passieren sollte, ist das nicht dramatisch.
Das lässt sich alles wieder richten.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 11:34 Uhr
Komme gerade vom Kunden und habe versucht, den Konflikteintrag SERVER...CNF:... zu löschen. Ging leider nicht. Kam folgende Meldung,- sinngemäß:

Das Containerobjekt Server...CNF... sollte nicht gelöscht werden. Server...CNF... enthält Objekte, die den Domänencontroller Server...CNF... und möglicherweise andere Domänencontroller darstellen. Man solle zum Löschen den DC mit dcpromo erst herabstufen.

Kann es irgendwelche negativen Auswirkungen im Lauf der Zeit haben, wenn man diesen Eintrag (Server...CNF... in den Standorten stehen lässt? Ich denke da z.Bsp. an das Szenario wenn ein DC der dreien mal wegbricht und über ein Image wiederhergestellt und wieder ins Netz genommen werden muss (USN Rollback etc.).

Danke und Gruss, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 12:01 Uhr
Das dachte ich mir schon, dass sich das nicht "einfach" löschen lässt da es sich um einen DC handelt.
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.

Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.

Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.

Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!


[1] [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...

[2] [LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...




Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 12:17 Uhr
Hallo Yusuf,

Das sieht ja nach Arbeit aus

Das muss ich mit dem IT-Admin, der noch knapp 2 Wochen im Urlaub ist, erst absprechen.

Also du meinst, stehen lassen kann man den Eintrag nicht.

Danke und Gruss,. Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 13:28 Uhr
Also du meinst, stehen lassen kann man den Eintrag nicht.

Ein Konflikt ist nunmal ein Konflikt. Weiterführende Probleme verursacht durch diesen Konflikt kann man nicht ausschließen. Und wie ich es bereits erwähnt habe, ist ein DC ein kritisches System und dieser muss reibungslos laufen. Experimente mit und auf einem DC sind Tabu!

Natürlich funktioniert die Domäne auch mit dem Konflikt, aber dadurch können Folgeprobleme eben nicht ausgeschlossen werden. Die durchzuführenden Aufgaben die ich in meiner vorherigen Antwort geschrieben habe sind ja nicht sooo die Welt. Man sollte die Aufgaben aber sorgfältig und bedacht durchführen.

Man kann vieles tun, aber ( ich höre mich schon an, wie eine Schallplatte die einen Sprung hat ) ein DC muss fehlerfrei funktionieren und nein, der Konflikt sollte nicht bestehen bleiben. Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann soll er meine Ausführungen durchführen. Aber durchführen sollte man es.


Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 13:52 Uhr
... ( ich höre mich schon an, wie eine
Schallplatte die einen Sprung hat )
Keine Angst, hatte mal einen Papagei

ein DC muss fehlerfrei
funktionieren und nein, der Konflikt sollte nicht bestehen bleiben.
Okay. Besten Dank. Mir wird der IT-Admin auch nämlich die Frage stellen ob der Eintrag ohne
Auswirkungen stehen bleiben kann - und jetzt hab ich wenigstens kompetentes Futter für ihn.

Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann
soll er meine Ausführungen durchführen. Aber
durchführen sollte man es.
Ich bin noch nicht so firm in diesen Dingen und kann dem Admin da nicht vorgreifen..

Danke noch mal und Gruß, Norbert
Bitte warten ..
Mitglied: Luttertaler
05.11.2009 um 12:21 Uhr
Hallo Yusuf,

nur noch eine letzte Frage : Gibt es die Möglichkeit *irgendwo* zu sehen wann dieser Konflikt aufgetreten ist bzw. wann dieses Konflikt-Objekt erstellt wurde? Ich sehe leider (oberflächlich) nichts.

Danke noch mal und Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
05.11.2009 um 20:07 Uhr
Na der Zeitpunkt ist der, als Server C zum DC gestuft wurde.
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:

[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx


Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
06.11.2009 um 08:42 Uhr
Besten Dank für den Link.

Habe aber schon wieder ein Problem

Habe vor vier Tagen alle drei DCs zum Globalen Katalogserver gemacht (Ereiegnisprotokoll sagt auch, dass alle drei DCs globale Katalogserver seien). Heute früh ist ein DC wieder eingefroren. Und trotzdem konnten sich die MItarbeiter nicht an der Domäne anmelden.

Muss ich da noch eine zusätzliche Einstellung vornehmen?

Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
06.11.2009 um 09:23 Uhr
In den Eventlogs wird also die EventID 1119 protokolliert. Abgesehen davon beötigt man nur dann einen GC,
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.

[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx


Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.

Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.

Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.


Gruß, Yusuf
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory-Standorte und Dienste
gelöst Frage von hajoweWindows Server4 Kommentare

Hallo Zusammen. Ich möchte gerne mal wissen, ob der Eintrag für Standardname-des-ersten-Standortes aus dem Active Directory-Standorte und Dienste gelöscht ...

Windows Server

Aus einem Standort 2 Standorte machen (Exchange, DC)

Frage von HakketasWindows Server1 Kommentar

Hallo! Aktuell haben wir alle Server quasi als Cluster in einem Serverraum. Wir möchten den Serverraum trennen und die ...

Windows Server

Neuaufbau Active Directory für zwei Standorte mit Hyper-V und DFS

Frage von Vesto100Windows Server13 Kommentare

Hi zusammen, ich wollte mal mein Konzept vorstellen und Euch fragen ob das generell so Sinn ergibt. Ich möchte ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 2 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 8 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 22 StundenSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...