Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Standorte - 1 DC doppelt?

Frage Microsoft Windows Server

Mitglied: Luttertaler

Luttertaler (Level 1) - Jetzt verbinden

02.11.2009, aktualisiert 14:36 Uhr, 5558 Aufrufe, 12 Kommentare

Hallo.

Bin das erste Mal hier und möchte hiermit erstmal Hallo an Alle sagen.
Fachtechnisch mach ich Systemadministration mehr so nebenbei - bin also noch nicht der Profi. Bitte um Nachsicht.

Habe drei gleichberechtigte Domänen-Controller im Netz. Auf allen 3 DC steht im AD unter den AD-Standorten im Menüpunkt <Servers> ein Server (Server C) zweimal drin. Ich muss den Server C jetzt zum Globalen Katalogserver machen (Server A ist bisher der einzige).. Bin mir aber nicht sicher, was ich damit anrichte (weil der Server C zweimal drin steht) und vor allem wieso der Server C zweimal drin steht.

Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings

--- Server B
-- NTDS Settings

--- Server C
-- NTDS Settings

--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings

Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.

Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.

Danke schon mal fürs Durchlesen.

Gruß, Luttertaler
Mitglied: Yusuf-Dikmenoglu
02.11.2009 um 15:13 Uhr
Servus,

NCF:39e7c858-453

dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:

[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx

Du kannst den Konflikteintrag entfernen.

Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Luttertaler
02.11.2009 um 16:40 Uhr
Hallo Yusuf,

besten Dank für die Hilfe und die Information.
Dann lösche ich den zweiten Server C (CNF). Hoffe, da wird nichts passieren.


Danke und Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
02.11.2009 um 17:53 Uhr
Wenn "etwas" passieren sollte, ist das nicht dramatisch.
Das lässt sich alles wieder richten.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 11:34 Uhr
Komme gerade vom Kunden und habe versucht, den Konflikteintrag SERVER...CNF:... zu löschen. Ging leider nicht. Kam folgende Meldung,- sinngemäß:

Das Containerobjekt Server...CNF... sollte nicht gelöscht werden. Server...CNF... enthält Objekte, die den Domänencontroller Server...CNF... und möglicherweise andere Domänencontroller darstellen. Man solle zum Löschen den DC mit dcpromo erst herabstufen.

Kann es irgendwelche negativen Auswirkungen im Lauf der Zeit haben, wenn man diesen Eintrag (Server...CNF... in den Standorten stehen lässt? Ich denke da z.Bsp. an das Szenario wenn ein DC der dreien mal wegbricht und über ein Image wiederhergestellt und wieder ins Netz genommen werden muss (USN Rollback etc.).

Danke und Gruss, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 12:01 Uhr
Das dachte ich mir schon, dass sich das nicht "einfach" löschen lässt da es sich um einen DC handelt.
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.

Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.

Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.

Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!


[1] [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...

[2] [LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...




Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 12:17 Uhr
Hallo Yusuf,

Das sieht ja nach Arbeit aus

Das muss ich mit dem IT-Admin, der noch knapp 2 Wochen im Urlaub ist, erst absprechen.

Also du meinst, stehen lassen kann man den Eintrag nicht.

Danke und Gruss,. Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 13:28 Uhr
Also du meinst, stehen lassen kann man den Eintrag nicht.

Ein Konflikt ist nunmal ein Konflikt. Weiterführende Probleme verursacht durch diesen Konflikt kann man nicht ausschließen. Und wie ich es bereits erwähnt habe, ist ein DC ein kritisches System und dieser muss reibungslos laufen. Experimente mit und auf einem DC sind Tabu!

Natürlich funktioniert die Domäne auch mit dem Konflikt, aber dadurch können Folgeprobleme eben nicht ausgeschlossen werden. Die durchzuführenden Aufgaben die ich in meiner vorherigen Antwort geschrieben habe sind ja nicht sooo die Welt. Man sollte die Aufgaben aber sorgfältig und bedacht durchführen.

Man kann vieles tun, aber ( ich höre mich schon an, wie eine Schallplatte die einen Sprung hat ) ein DC muss fehlerfrei funktionieren und nein, der Konflikt sollte nicht bestehen bleiben. Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann soll er meine Ausführungen durchführen. Aber durchführen sollte man es.


Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
03.11.2009 um 13:52 Uhr
... ( ich höre mich schon an, wie eine
Schallplatte die einen Sprung hat )
Keine Angst, hatte mal einen Papagei

ein DC muss fehlerfrei
funktionieren und nein, der Konflikt sollte nicht bestehen bleiben.
Okay. Besten Dank. Mir wird der IT-Admin auch nämlich die Frage stellen ob der Eintrag ohne
Auswirkungen stehen bleiben kann - und jetzt hab ich wenigstens kompetentes Futter für ihn.

Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann
soll er meine Ausführungen durchführen. Aber
durchführen sollte man es.
Ich bin noch nicht so firm in diesen Dingen und kann dem Admin da nicht vorgreifen..

Danke noch mal und Gruß, Norbert
Bitte warten ..
Mitglied: Luttertaler
05.11.2009 um 12:21 Uhr
Hallo Yusuf,

nur noch eine letzte Frage : Gibt es die Möglichkeit *irgendwo* zu sehen wann dieser Konflikt aufgetreten ist bzw. wann dieses Konflikt-Objekt erstellt wurde? Ich sehe leider (oberflächlich) nichts.

Danke noch mal und Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
05.11.2009 um 20:07 Uhr
Na der Zeitpunkt ist der, als Server C zum DC gestuft wurde.
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:

[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx


Gruß, Yusuf
Bitte warten ..
Mitglied: Luttertaler
06.11.2009 um 08:42 Uhr
Besten Dank für den Link.

Habe aber schon wieder ein Problem

Habe vor vier Tagen alle drei DCs zum Globalen Katalogserver gemacht (Ereiegnisprotokoll sagt auch, dass alle drei DCs globale Katalogserver seien). Heute früh ist ein DC wieder eingefroren. Und trotzdem konnten sich die MItarbeiter nicht an der Domäne anmelden.

Muss ich da noch eine zusätzliche Einstellung vornehmen?

Gruß, Norbert
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
06.11.2009 um 09:23 Uhr
In den Eventlogs wird also die EventID 1119 protokolliert. Abgesehen davon beötigt man nur dann einen GC,
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.

[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx


Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.

Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.

Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.


Gruß, Yusuf
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...