12
Active Directory Standorte - 1 DC doppelt?
Hallo.
Bin das erste Mal hier und möchte hiermit erstmal Hallo an Alle sagen.
Fachtechnisch mach ich Systemadministration mehr so nebenbei - bin also noch nicht der Profi. Bitte um Nachsicht.
Habe drei gleichberechtigte Domänen-Controller im Netz. Auf allen 3 DC steht im AD unter den AD-Standorten im Menüpunkt <Servers> ein Server (Server C) zweimal drin. Ich muss den Server C jetzt zum Globalen Katalogserver machen (Server A ist bisher der einzige).. Bin mir aber nicht sicher, was ich damit anrichte (weil der Server C zweimal drin steht) und vor allem wieso der Server C zweimal drin steht.
Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings
--- Server B
-- NTDS Settings
--- Server C
-- NTDS Settings
--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings
Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.
Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.
Danke schon mal fürs Durchlesen.
Gruß, Luttertaler
Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings
--- Server B
-- NTDS Settings
--- Server C
-- NTDS Settings
--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings
Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.
Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.
Danke schon mal fürs Durchlesen.
Gruß, Luttertaler
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128454
Url: https://administrator.de/contentid/128454
Printed on: April 25, 2024 at 11:04 o'clock
12 Comments
Latest comment
Servus,
dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx
Du kannst den Konflikteintrag entfernen.
Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.
Viele Grüße
Yusuf Dikmenoglu
NCF:39e7c858-453
dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx
Du kannst den Konflikteintrag entfernen.
Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.
Viele Grüße
Yusuf Dikmenoglu
Hallo Yusuf,
besten Dank für die Hilfe und die Information.
Dann lösche ich den zweiten Server C (CNF). Hoffe, da wird nichts passieren.
Danke und Gruß, Norbert
besten Dank für die Hilfe und die Information.
Dann lösche ich den zweiten Server C (CNF). Hoffe, da wird nichts passieren.
Danke und Gruß, Norbert
Wenn "etwas" passieren sollte, ist das nicht dramatisch.
Das lässt sich alles wieder richten.
Gruß, Yusuf Dikmenoglu
Das lässt sich alles wieder richten.
Gruß, Yusuf Dikmenoglu
Komme gerade vom Kunden und habe versucht, den Konflikteintrag SERVER...CNF:... zu löschen. Ging leider nicht. Kam folgende Meldung,- sinngemäß:
Das Containerobjekt Server...CNF... sollte nicht gelöscht werden. Server...CNF... enthält Objekte, die den Domänencontroller Server...CNF... und möglicherweise andere Domänencontroller darstellen. Man solle zum Löschen den DC mit dcpromo erst herabstufen.
Kann es irgendwelche negativen Auswirkungen im Lauf der Zeit haben, wenn man diesen Eintrag (Server...CNF... in den Standorten stehen lässt? Ich denke da z.Bsp. an das Szenario wenn ein DC der dreien mal wegbricht und über ein Image wiederhergestellt und wieder ins Netz genommen werden muss (USN Rollback etc.).
Danke und Gruss, Norbert
Das Containerobjekt Server...CNF... sollte nicht gelöscht werden. Server...CNF... enthält Objekte, die den Domänencontroller Server...CNF... und möglicherweise andere Domänencontroller darstellen. Man solle zum Löschen den DC mit dcpromo erst herabstufen.
Kann es irgendwelche negativen Auswirkungen im Lauf der Zeit haben, wenn man diesen Eintrag (Server...CNF... in den Standorten stehen lässt? Ich denke da z.Bsp. an das Szenario wenn ein DC der dreien mal wegbricht und über ein Image wiederhergestellt und wieder ins Netz genommen werden muss (USN Rollback etc.).
Danke und Gruss, Norbert
Das dachte ich mir schon, dass sich das nicht "einfach" löschen lässt da es sich um einen DC handelt.
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.
Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.
Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.
Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!
[1] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
[2] [LDAP:Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...
Gruß, Yusuf
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.
Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.
Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.
Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!
[1] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
[2] [LDAP:Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...
Gruß, Yusuf
Hallo Yusuf,
Das sieht ja nach Arbeit aus
Das muss ich mit dem IT-Admin, der noch knapp 2 Wochen im Urlaub ist, erst absprechen.
Also du meinst, stehen lassen kann man den Eintrag nicht.
Danke und Gruss,. Norbert
Das sieht ja nach Arbeit aus
Das muss ich mit dem IT-Admin, der noch knapp 2 Wochen im Urlaub ist, erst absprechen.
Also du meinst, stehen lassen kann man den Eintrag nicht.
Danke und Gruss,. Norbert
Also du meinst, stehen lassen kann man den Eintrag nicht.
Ein Konflikt ist nunmal ein Konflikt. Weiterführende Probleme verursacht durch diesen Konflikt kann man nicht ausschließen. Und wie ich es bereits erwähnt habe, ist ein DC ein kritisches System und dieser muss reibungslos laufen. Experimente mit und auf einem DC sind Tabu!
Natürlich funktioniert die Domäne auch mit dem Konflikt, aber dadurch können Folgeprobleme eben nicht ausgeschlossen werden. Die durchzuführenden Aufgaben die ich in meiner vorherigen Antwort geschrieben habe sind ja nicht sooo die Welt. Man sollte die Aufgaben aber sorgfältig und bedacht durchführen.
Man kann vieles tun, aber ( ich höre mich schon an, wie eine Schallplatte die einen Sprung hat
) ein DC muss fehlerfrei funktionieren und nein, der Konflikt sollte nicht bestehen bleiben. Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann soll er meine Ausführungen durchführen. Aber durchführen sollte man es.Gruß, Yusuf
... ( ich höre mich schon an, wie eine
Schallplatte die einen Sprung hat )
Keine Angst, hatte mal einen Papagei Schallplatte die einen Sprung hat
) ein DC muss fehlerfrei
funktionieren und nein, der Konflikt sollte nicht bestehen bleiben.
Okay. Besten Dank. Mir wird der IT-Admin auch nämlich die Frage stellen ob der Eintrag ohnefunktionieren und nein, der Konflikt sollte nicht bestehen bleiben.
Auswirkungen stehen bleiben kann - und jetzt hab ich wenigstens kompetentes Futter für ihn.
Du kannst natürlich warten bis der Admin aus dem Urlaub kommt, dann
soll er meine Ausführungen durchführen. Aber
durchführen sollte man es.
Ich bin noch nicht so firm in diesen Dingen und kann dem Admin da nicht vorgreifen..soll er meine Ausführungen durchführen. Aber
durchführen sollte man es.
Danke noch mal und Gruß, Norbert
Hallo Yusuf,
nur noch eine letzte Frage : Gibt es die Möglichkeit *irgendwo* zu sehen wann dieser Konflikt aufgetreten ist bzw. wann dieses Konflikt-Objekt erstellt wurde? Ich sehe leider (oberflächlich) nichts.
Danke noch mal und Gruß, Norbert
nur noch eine letzte Frage : Gibt es die Möglichkeit *irgendwo* zu sehen wann dieser Konflikt aufgetreten ist bzw. wann dieses Konflikt-Objekt erstellt wurde? Ich sehe leider (oberflächlich) nichts.
Danke noch mal und Gruß, Norbert
Na der Zeitpunkt ist der, als Server C zum DC gestuft wurde.
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:
[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx
Gruß, Yusuf
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:
[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx
Gruß, Yusuf
Besten Dank für den Link.
Habe aber schon wieder ein Problem
Habe vor vier Tagen alle drei DCs zum Globalen Katalogserver gemacht (Ereiegnisprotokoll sagt auch, dass alle drei DCs globale Katalogserver seien). Heute früh ist ein DC wieder eingefroren. Und trotzdem konnten sich die MItarbeiter nicht an der Domäne anmelden.
Muss ich da noch eine zusätzliche Einstellung vornehmen?
Gruß, Norbert
Habe aber schon wieder ein Problem
Habe vor vier Tagen alle drei DCs zum Globalen Katalogserver gemacht (Ereiegnisprotokoll sagt auch, dass alle drei DCs globale Katalogserver seien). Heute früh ist ein DC wieder eingefroren. Und trotzdem konnten sich die MItarbeiter nicht an der Domäne anmelden.
Muss ich da noch eine zusätzliche Einstellung vornehmen?
Gruß, Norbert
In den Eventlogs wird also die EventID 1119 protokolliert. Abgesehen davon beötigt man nur dann einen GC,
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.
[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.
Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.
Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.
Gruß, Yusuf
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.
[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.
Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.
Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.
Gruß, Yusuf
