linuxguru
Jan 26, 2010, updated at 10:05:55 (UTC)
view5238
view9
0
Goto Top

Win2k3 Problem Profilverzeichnisse mit FSMO übertragen

GermansolvedQuestionWindows ServerMicrosoft

Active Directory Domain Controller FSMO übergeben Fehler

Das System ist eine Virtalbox mit 2 windows 2003 sp1 Servern (beide virtuell). Es gab bei der Übergabe der FSMO keinerlei Probleme, nur am Ende beim Schemamaster ging das erst beim 2-ten mal, aber keinerlei Fehler wurden da gemeldet. Es wird auch alles richtig angezeigt, der aktuelle DC der Domäne ist der, an den ich die FSMO übergeben habe.

Ich konnte scheinbar erfolgreich - zu 95% - die FSMO Rechte verschieben. Allerdings hatte ich die Verzeichnisse der Benutzer ( Profile / Users ) auf C: des alten DC gespeichert. Ist halt nur ein Testsystem. Diese wurden nicht repliziert. Jetzt wollte ich sie auf ein USB Stick kopieren, aber beim kopieren bekomme ich bereits die Fehlermeldung "Zugriff verweigert". Ich kann in die Verzeichnisse der Benutzer noch nicht einmal reinschauen.

Dabei bin ich als Administrator der Domäne auf dem alten DC noch angemeldet. Dabei ist natürlich der neue DC ausgeschaltet.

Die Pfade zu den Benutzerprofilen, die bei den Eigenschaften der benutzer stehen, wurden auch 1:1 übergeben - das heisst sie sind jetzt falsch. Ich kann sie allerdings nicht umändern. Sollte das so sein?

Also kann ich die Einstellungen der Benutzer nicht verschieben oder habe ich doch was falsch gemacht?

Ich erstelle diesen Thread hier, da der alte schon in der Versenkung verschwand.

Hier der Link dazu: Server 2003 Einstellungen sichern

Es gibt viele wunderbare Anleitungen zum Thema FSMO-Rollen, nur blöderweise ist mir die Beschreibung für sowas wie das hier bisher nicht untegekommen.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 134365

Url: https://administrator.de/contentid/134365

Printed on: April 19, 2024 at 23:04 o'clock

9 Comments
Latest comment
Goto Top
Member: Yggdrasul
Yggdrasul Jan 26, 2010 at 10:14:05 (UTC)
Goto Top
Hallo Linuxguru face-big-smile

1. FSMO hat mit Profileinstellungen nix zu tun
2. Das Profil wirst nicht mehr so einfach 1:1 übernehmen können, da dir jetzt im Prinzip nur noch die Übernahme übrigbleibt. Sprich Besitz am Verzeichnis (brauchst admin rechte) übernehmen und den Admin dann in den Verzeichnisrechten hinzufügen. Danach kannst das Verzeichnis auch kopieren. Aber nicht 1:1 in den neuen Profilpfad übernehmen, ich denke das gibt ärger mit windows und der legt dann ein tempverzeichnis an. die Eigenen Dateien, Desktopdate, Favoriten kannst aber ohne Probleme zurück kopieren.
3. Den Profilpfad kannst im AD-Benutzer festlegen.
4. DU musst die Rechte der Benutzerprofile im Vorfeld anpassen, so das sowohl der User als auch der Admin Vollzugriff darauf haben, dann sollte auch ein Verschieben möglich sein.
5. Den alten Server (wenn er nicht mehr gebraucht wird!) solltest mit dcpromo sauber aus der domäne entfernen.

Ich hoffe ich hab mich nicht allzu verwirrend ausgedrückt.

mfg Marco
Member: Linuxguru
Linuxguru Jan 26, 2010 at 10:50:04 (UTC)
Goto Top
Ich habe soeben versucht den alten DC mit dcpromo zu entfernen. Egal ob ich "letzer DC" wähle, oder das entspr. Häckchen dabei nicht setze - es lässt sich so nicht entfernen. Setze ich das häckchen, erkennt er (trotz des abgeschalteten neuen DCs) das es noch einen DC gibt. Setze ich das Häckchen nicht, dann sagt er das er keinen anderen DC gefunden hat und schlägt vor den Server in eine Arbeitsgruppe zu übernehmen. Allerdings ist das nicht möglich.

Muss ich also mit "dcpromo /forceremoval" arbeiten und ist das normal?
Member: Yggdrasul
Yggdrasul Jan 26, 2010 at 11:04:59 (UTC)
Goto Top
mach um gotteswillen nicht weiter face-big-smile

kennst dich überhaupt mit win servern ein wenig aus ? (ernst gemeinte frage)

1. der NEUE server muss eingeschaltet sein wenn du auf dem ALTEN dc promo machst. dadurch wird der ALTE server ein normaler server ohne Active directory und der NEUE server weiß dann das er nix mehr zu dem ALTEN replizieren muss.
2. auf KEINEN FALL das häkchen letzter Server setzen. damit machst du dem server klar das es dein wunsch ist die domäne zu zerstören, weil nach ihm die domäne ja keiner mehr hat. er wäre der letzte domäneninhaber.
3. nach abschluss von dcpromo ist nur noch der NEUE server ein domänencontroller.

mfg Marco
Member: Linuxguru
Linuxguru Jan 26, 2010 at 11:50:36 (UTC)
Goto Top
Hi, klar kenn ich mich aus. Soviel, daß ich ein Testsystem hinbekomme wo ich lernen kann bevor ich mich an MCSE o.ä. heranwage. Da kann kaum was schlimmes passieren - ist halt VM.

Ich habe mich zuletzt an dieses Tutorial gehalten:

http://www.wintotal.de/artikel/artikel-2004/19-uebertragen-der-fsmo-rol ...

Offenbar ist das aber nicht alles gewesen. Da hat der Autor etwas vergessen - nämlich genau das was du in deinem letzten Post geschrieben hast. Das Beenden der Übergabe mit DCPROMO. Soviel zur Vollständigkeit.

Das hat jetzt bei mir geklappt, mal sehen ob ich jetzt mit den Verzeichnissen für die Profiles weiterkomme.
Member: Linuxguru
Linuxguru Jan 26, 2010 at 12:01:31 (UTC)
Goto Top
Ok, ich habe inzwischen mal dcdiag auf dem neuen DC ausgeführt. Folgendes steht da:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests
  
   Testing server: Standardname-des-ersten-Standorts\SERVER2K3-DC2
      Starting test: Connectivity
         ......................... SERVER2K3-DC2 passed test Connectivity

Doing primary tests
  
   Testing server: Standardname-des-ersten-Standorts\SERVER2K3-DC2
      Starting test: Replications
         ......................... SERVER2K3-DC2 passed test Replications
      Starting test: NCSecDesc
         ......................... SERVER2K3-DC2 passed test NCSecDesc
      Starting test: NetLogons
         ......................... SERVER2K3-DC2 passed test NetLogons
      Starting test: Advertising
         ......................... SERVER2K3-DC2 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... SERVER2K3-DC2 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... SERVER2K3-DC2 passed test RidManager
      Starting test: MachineAccount
         ......................... SERVER2K3-DC2 passed test MachineAccount
      Starting test: Services
         ......................... SERVER2K3-DC2 passed test Services
      Starting test: ObjectsReplicated
         ......................... SERVER2K3-DC2 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... SERVER2K3-DC2 passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the

         SYSVOL has been shared.  Failing SYSVOL replication problems may cause

         Group Policy problems.
         ......................... SERVER2K3-DC2 failed test frsevent
      Starting test: kccevent
         An Error Event occured.  EventID: 0xC000066D
            Time Generated: 01/26/2010   16:14:18
            (Event String could not be retrieved)
         ......................... SERVER2K3-DC2 failed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0x00000010
            Time Generated: 01/26/2010   15:55:36
            (Event String could not be retrieved)

Gesund sieht das nicht aus...
Member: Linuxguru
Linuxguru Jan 26, 2010 at 12:04:03 (UTC)
Goto Top
Die Verzeichnisse kann ich immer noch nicht kopieren/einsehen klicke ich auf "Eigenschaften/ Sicherheit" dann steht da, daß ich keine Berechtigungen dafür habe. Bin jetzt lokal als Admin angemeldet. Auf dem alten DC. Das AD habe ich mit DC Promo erfolgreich entfernt.
Member: Yggdrasul
Yggdrasul Jan 26, 2010 at 14:20:34 (UTC)
Goto Top
Also zu Deinem Log fällt mir gerade nichts ein. sieht jetzt aber nicht soooo gravierend aus :D schau mal in der ereignisanzeige ob du da noch fehler hast in richtung netlogon oder kerberos.

zu der berechtigungs geschichte:

die meldung einfach mit ok wegklicken und anschließend unten rechts auf "erweitert" klicken. im folgenden fenster auf das register "Besitzer" wechseln und "besitz übernehmen" anklicken.

danach kannst die berechtigungen neu setzen.
Member: Linuxguru
Linuxguru Jan 27, 2010 at 13:10:18 (UTC)
Goto Top
Ach, super - schon wieder was gelernt. Also resumiere ich nochmal wie das beim übertragen sein soll:

1. Es muss noch ein DC in der Domäne vorhanden sein
2. Die FSMO-Roles müssen so wie in der oben verlinkten Anleitung übergeben werden
3. Mit DCPROMO muss der letzte Schritt zur Übergabe gemacht werden (wie von Dir genannt)
4. Die Verzeichnisse für Profiles / Users müssen übernommen und dann kopiert/verschoben werden und /oder - falls auf anderer Partition - die Pfade auf dem neuen DC evtl. angepasst werden
5. Die Verzeichnisse (falls kopiert/verschoben) müssen erneut durch den Benutzer (SERVER/Benutzer) in dem Untermenü Sicherheit übernommen werden.
6. Die Netzwerkeinstellungen müssen evtl. auf dem neuen DC und den Clients angepasst werden falls der DC auch DNS / DHCP Server ist

Richtig so ungefähr?
Member: Linuxguru
Linuxguru Jan 29, 2010 at 11:16:08 (UTC)
Goto Top
Naja, wäre da was falsch hättest Du sicherlich reagiert. Daher nehme ich das als "Richtig" - an.

Danke schön für die Hilfe. Hast mir wirklich sehr geholfen.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment