37955
Goto Top

Neue AD erstellen

AD bereits vorhanden, entfernen, neue erstellen

Hallo,

ich habe vor kurzem den Job als Netzadmin bei einem kleineren Unternehmen übernommen. Mein Vorgänger hatte dort eine Domäne unter einem Namen (XYZ) erstellt, welcher bereits im Internet (www.XYZ.de) vorhanden ist. Deshalb gibt es dort anscheinend mehrer Schwierigkeiten mit der AD, vorallem beim Verwalten / Erstellen von Gruppenrichtlinien.

Sobald ich die Gruppenrichtlinie ändern möchte, erhalte ich folgende Fehlermeldung:

*
Der Domänencontoller für Gruppenrichtlinienvorgänge ist nicht verfügbar. Brechen Sie die Sitzung ab, oder wählen Sie einen anderen Domänencontroller.
O mit dem Betriebsmastertoken für PCD Emulation
O von dem Active Directory Snape Ins verwendeten
O verfügbare Domänensonroller
*

Ich möchte nun die AD und den DNS-Server über DCPROMO zunächt deinstallieren und anschließend neu einrichten. Problem dabei ist nur, dass in der Domäne kein weiterer DC vorhanden ist. D.h. ich muss sämtliche Terminalserver / PCs / Notebooks (ca. 20 Stück) zunächst in eine Arbeitsgruppe umziehen und anschließend wieder in die neue Domäne aufnehmen. Beim DC handelt es sich übrigens um einen Windows 2000 Server SP4.

Da ich bisher noch keine AD deinstalliert und auf einem bestehenden System neu aufgesetzt habe, sondern lediglich einen DC komplett neu installiert hab, frag ich euch was es dabei zu beachten gibt?
Welche Zeit wird die Neu-Einrichtung der Domäne ungefähr in Anspruch nehmen? Es handelt sich um ca. 20 Geräte und 20-30 User. Da unsere Entwicklung nachts über unseren Terminalserver arbeitet, sollte nach Möglichkeit keine zu große Ausfallzeit entstehen.

Wozu ratet ihr generell den DC komplett neu installieren oder auf dem vorhanden System eine neue Domäne erstellen? Problem bei einer neuen Komplettinstallation ist, dass auf dem Server weitere Anwendungen laufen und eingerichtet sind, welche anschließend auch wieder konfiguriert werden müssten.

Bedank mich im Vorraus schonmal für eure Hilfe! face-smile

Content-Key: 43886

Url: https://administrator.de/contentid/43886

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 9299
9299 07.11.2006 um 13:25:08 Uhr
Goto Top
Deine Fehlermeldungen hören sich so an als hättet ihr zwar einen DC aber keinen Betriebsmaster.Ergo wird wohl mal ein anderer DC dort gestanden haben und entweder wurde migriert (das allerdings nicht sauber) oder der erste DC wurde entfernt und der zweite DC nicht zum Betriebsmaster gemacht.
Schau mal in dein AD ob dein DC auch der Betriebsmaster ist und wenn nicht mach ihn mal zum Betriebsmaster mit allen 5 Rollen die dazu gehören.
Wie das geht dafür gibts hier ein Howto im Forum.
Danach sollten deine Probleme hoffentlich verschwunden sein , denn es ist egal ob deine Domäne im Internet existiert solange du einen Router oder einen anderen genateten Zugang zum Internet hast.
Mitglied: 37955
37955 07.11.2006 um 13:32:13 Uhr
Goto Top
Hallo,

erstmal danke, klingt ja schonmal positiv. Wo finde ich den hier die Howtos?
Mitglied: 9299
9299 07.11.2006 um 14:08:17 Uhr
Goto Top
Das ist das richtige
Mitglied: 37955
37955 07.11.2006 um 15:05:23 Uhr
Goto Top
Das Tutorial ist ja mal wirklich gut gemacht! face-smile

Leider hat es mir bei meiner Fehlerbeseitigung nicht geholfen. Der DC ist RID, PDC, Infrastruktur Betriebsmaster, sowie Domänennamen-Master und Schema-Master.

Wähle ich die Eigenschaften unter "Active Dircetory-Benutzer und -Computer" des Ordners "Domain Controllers" mit der rechten Maustaste aus und wechsle auf die Registerkarte Gruppenrichtlinie erhalte ich immernoch die selbe Fehlermeldung.

Zusätzlich wird im Anwendungsprotokoll ständig folgender Fehler protokolliert:

*
Datum: 07.11.2006 - Quelle: Userenv
Uhrzeit: 14:21 - Kategorie: Keine
Typ: Fehler - Ereignis-ID: 1000
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER

Beschreibung:
Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen.
Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert.
*

Das Verzeichnis SYSVOL unter WINNT ist komplett leer!!! Allerdings habe ich auf D:\ ein Verzeichnis SYSVOL vom 01.08.2002 entdeckt, darin sind folgende Ordner enthalten:

XYZ (Domänenname)
domain
staging
staging areas
sysvol

Ich vermute die AD wurde damals eingerichtet und dieses Verzeichnis ist eine Art Backup, da SYSVOL normalerweise ja zwingend unter WINNT vorhanden sein muss?

Da scheint einiges schief gelaufen zu sein...
Mitglied: 9299
9299 07.11.2006 um 17:39:41 Uhr
Goto Top
Das SYSVOL muss nicht unter C:\WINNT oder C:\Windows liegen sondern nur zwingend auf einem NTFS formatierten Laufwerk.
Meine ca 30 Server davon 10 DCs haben sogar extra Partitionen für das AD (SYSVOL,NTDS).

Mein Vorschlag.

Zieh einen 2. DC auf.Ein einfacher PC,etwas leistungsstärker tut es dafür.Wenn der beim hochstufen Fehlermeldungen bringt dann ist dein AD im A.... sollte das hochstufen laufen dann erzwinge mal eine Replikation.Läuft auch die Fehlerfrei dann weiss ich leider auch keinen Rat mehr.
Bevor du das machst schau dir aber erst mal deine DNS Einstellungen an.DNS Fehler führen manchmal zu den tollsten Effekten und Active Directory steht und fällst mit fehlerhaftem DNS.
Checkliste für DNS:
Forwardzone mit NS Eintrag und A Eintrag
_msdcs Zone mit den Serviceeinträgen für Kerberos etc. die auf den DC zeigen.
Reverse Zone mit PTR Einträgen für den Server
und zum Schluss sollte der DC als DNS seine eigene IP-Adresse in den Netzwerkkarteneinstellungen haben.
Wenn das alles nicht hilft wirst du wohl um ein Neuaufsetzen nicht drum rum kommen.
Mitglied: 37955
37955 08.11.2006 um 18:26:10 Uhr
Goto Top
Hallo,

also ich habe heute auf einem PC (P4, 2,66 Ghz, 1024 MB RAM) Windows 2000 Server installiert und diesen via DCPROMO als weiteren DC hochgestuft, dabei ist keine Fehlermeldung aufgetreten.

Repliziert hat er anscheinend, da auf dem 2. DC bereits alle Einstellungen des 1. vorhanden sind.

Möchte ich nun über den 2. allerdings die Gruppenrichtlinie editieren erhalte ich immernoch die Meldung:


Der Domänencontoller für Gruppenrichtlinienvorgänge ist nicht verfügbar. Brechen Sie die Sitzung ab, oder wählen Sie einen anderen Domänencontroller.
O mit dem Betriebsmastertoken für PCD Emulation
O von dem Active Directory Snape Ins verwendeten
O verfügbare Domänensonroller


Was ich nun noch festgestellt habe ist, dass der DNS-Server nicht auf dem DC sondern auf dem Terminalserver (192.168.100.101) installiert wurde. Dort ist auch eine Forward-Lookupzone für meine Domäne XYZ eingetragen, jedoch keine Reverse.

Ich habe meinen TS nun an beiden DC als DNS-Server angegeben und eine Aktualisierung mit Stop/Start des Dienstes netlogon erwzungen, jedoch immernoch ohne Erfolg. Beim Ausführen von nslookup erhhalte ich folgende Meldung:


"Der Servername für die IP-Adresse 192.168.100.101 konnte nicht gefunden werden: Non-existent domain"


Der Befehlt benötigt sowieso eine Reverse-Lookupzone zur korrekten Funktion?