106561
29.10.2014, aktualisiert am 05.11.2014
4291
46
0
Active Directory Domäne Dienste von Hyper -V Host entfernen
Hi User
Habe ein Anliegen
Ich habe bei meinem hyper v Host schon Jahre lang zugleich die Domäne Dienste installiert .
Jetzt würde ich die Domäne Virtualisieren wollen und dann die Dienste von hyper v Host entfernen.
Wie ist das Vorgehen hierbei ?
Ich vermute:
Ich erstelle eine neue v- Maschine , installiere Server 2008r2 und aktivier dort die Domäne Dienste .
Dann replizieren und den "alten dc" aus der Domäne entfernen .
Dann hoffen das der Virtualisierte Exchange den neuen dc "annimmt"
Sehe ich das richtig ?
Habe ein Anliegen
Ich habe bei meinem hyper v Host schon Jahre lang zugleich die Domäne Dienste installiert .
Jetzt würde ich die Domäne Virtualisieren wollen und dann die Dienste von hyper v Host entfernen.
Wie ist das Vorgehen hierbei ?
Ich vermute:
Ich erstelle eine neue v- Maschine , installiere Server 2008r2 und aktivier dort die Domäne Dienste .
Dann replizieren und den "alten dc" aus der Domäne entfernen .
Dann hoffen das der Virtualisierte Exchange den neuen dc "annimmt"
Sehe ich das richtig ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253296
Url: https://administrator.de/forum/active-directory-domaene-dienste-von-hyper-v-host-entfernen-253296.html
Ausgedruckt am: 16.02.2025 um 20:02 Uhr
46 Kommentare
Neuester Kommentar
Hi,
im Prinzip hört sich das nach einer Vorgehensweise an. aber wieso hast du es damals so gelöst. Best practise war das damals auch nicht
Gruß eumel
im Prinzip hört sich das nach einer Vorgehensweise an. aber wieso hast du es damals so gelöst. Best practise war das damals auch nicht
Gruß eumel
Achja..die fsmo´s musst du übertragen. Dann Ad bereinigen (Standorte...)
Hallo
Tja würd ich auch gerne wissen
Aktuell gibt es ja keine Probleme
Ist es empfohlen die ad unzuziehen ?
Tja würd ich auch gerne wissen
Aktuell gibt es ja keine Probleme
Ist es empfohlen die ad unzuziehen ?
Fsmo ? Wie übertragen ?
Hi,
ad und hyperv auf einer kiste=noGo
benutze mal Google: fsmo übertragen....dann wird dir geholfen
Gruß eumel
P.S.: ich nehme an es handelt sich um einen test/spielserver privater Natur
ad und hyperv auf einer kiste=noGo
benutze mal Google: fsmo übertragen....dann wird dir geholfen
Gruß eumel
P.S.: ich nehme an es handelt sich um einen test/spielserver privater Natur
Home Server
Danke
Danke
Hallo,
dein HyperV ist auch gleichzeitig der erste DC? Wenn das jetzt die standardversion ist und Du zwei Virtuelle Server ohne zusätzliche Lizenz betreibst, war das schon immer nicht lizenzkonform. (2 VM bedeutet der HV darf keine anderer Rolle inne haben)
Wenn Du nun den DC vom Hypervisor runterhauen willst in eine VM darf die VM erstmal nicht auf dem HyperV der jetzt noch DC ist laufen.
Warum?
Du musst den Hyoervisor runterfahren und dann ist auch der andere DC weg, kann nur schief gehen.
Gruß
Chonta
dein HyperV ist auch gleichzeitig der erste DC? Wenn das jetzt die standardversion ist und Du zwei Virtuelle Server ohne zusätzliche Lizenz betreibst, war das schon immer nicht lizenzkonform. (2 VM bedeutet der HV darf keine anderer Rolle inne haben)
Wenn Du nun den DC vom Hypervisor runterhauen willst in eine VM darf die VM erstmal nicht auf dem HyperV der jetzt noch DC ist laufen.
Warum?
Du musst den Hyoervisor runterfahren und dann ist auch der andere DC weg, kann nur schief gehen.
Gruß
Chonta
Übernimmt der Exchange dann den neuen Server ?
Hi Chonta,
danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenende
Gruß eumel
danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenende
Gruß eumel
Zitat von @eumel1979:
Hi Chonta,
danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenende
Gruß eumel
Hi Chonta,
danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenende
Gruß eumel
Und heute ist noch nicht Freitag
Hallo,
Denk mal darüber nach was du da haben willst
Gruß,
Peter
Zitat von @106561:
Übernimmt der Exchange dann den neuen Server ?
Du willst nicht wirklich einen Exchange auf einen DC am laufen haben, oder? Der Exchange benötigt zwar ein AD, aber den auf einen DC zu betreiben ist nicht das wann mittlerweile will. Es sind nicht mehr die Zeiten von Server 2000 und Exchange 5.5, daher hat der Exchange seinen eigenen Server der aber kein DC ist sondern nur ein Memberserver....Übernimmt der Exchange dann den neuen Server ?
Denk mal darüber nach was du da haben willst
Gruß,
Peter
verzwickte Sache
Hallo,
also wenn Du einen neuen DC in die Dömäne aufnimmst, die FMSO /Globalen Katalog nicht vergessen) auf diesen zweiten verschiebst und den ersten dan sauber aus der Domäne entfernst wird es im Prinzip klappen.
Immer schön auf die Replikation warten!
Der neue DC muss auch DNS-Server werden und die DNS-Zonen der Domäne im AD integriert.
Die Server und Clients müssen auf den neune DNS-Server als ersten DNS-Server umgestellt werden.
Wenn der alte DC demotet ist, müssen EVTL. im DNS die Einträge die diesen Server als DC und kdc und und und ausweisen manuel entfernt werden.
Wird das berücksichtig und sauber gearbeitet hat der Exchange kein Problem. Vorrausgesetzt der neue DC hat eine Serverversion, die von dem Exchange auch supportet wird.
Gruß
Chonta
also wenn Du einen neuen DC in die Dömäne aufnimmst, die FMSO /Globalen Katalog nicht vergessen) auf diesen zweiten verschiebst und den ersten dan sauber aus der Domäne entfernst wird es im Prinzip klappen.
Immer schön auf die Replikation warten!
Der neue DC muss auch DNS-Server werden und die DNS-Zonen der Domäne im AD integriert.
Die Server und Clients müssen auf den neune DNS-Server als ersten DNS-Server umgestellt werden.
Wenn der alte DC demotet ist, müssen EVTL. im DNS die Einträge die diesen Server als DC und kdc und und und ausweisen manuel entfernt werden.
Wird das berücksichtig und sauber gearbeitet hat der Exchange kein Problem. Vorrausgesetzt der neue DC hat eine Serverversion, die von dem Exchange auch supportet wird.
Gruß
Chonta
1
Muss man eigentlich die selben anmelde Informationen wie beim ersten da angeben ?
Interessiere mich dafür
Interessiere mich dafür
Wie gesagt, wenn der Hyper-V ein Standard Server ist, dann darfst Du die Lizens folgend Verwenden:
Blech NUR Hyper-V und 2 VM
Blech keine VM
Blch Hyper-V und eine andere Rolle - EINE VM die über die normale Lizenz abgedeckt ist.
Wenn auf dem Rechner mehr VM-Laufen müssen mehr Lizenzen nachgekauft werden.
Früher oder Später wirst Du mit dem Setup ein Problem bekommen.
Was Du da mit dem Backup vorgeschlagen hast kann ich nichtmal in Gedanken nachbauen, lass es bleiben.
Gruß
Chonta
Blech NUR Hyper-V und 2 VM
Blech keine VM
Blch Hyper-V und eine andere Rolle - EINE VM die über die normale Lizenz abgedeckt ist.
Wenn auf dem Rechner mehr VM-Laufen müssen mehr Lizenzen nachgekauft werden.
Früher oder Später wirst Du mit dem Setup ein Problem bekommen.
Was Du da mit dem Backup vorgeschlagen hast kann ich nichtmal in Gedanken nachbauen, lass es bleiben.
Gruß
Chonta
Hallo
Habe den 2. Server hinzugefügt , erhalte aber enorm viele Fehlermeldungen
Habe den 2. Server hinzugefügt , erhalte aber enorm viele Fehlermeldungen
Bilder stehen oben drinnen
Hallo,
was hast Du wie und worauf gemacht?
Gruß
Chonta
was hast Du wie und worauf gemacht?
Gruß
Chonta
Hi
Habe in hyper v eine neue virtuelle Maschine erstellt
Die Domäne Dienste installiert und mit dcpromo den Server als 2. Domäne Controller heraufgestuft.
Dann neu gestartet
Dann kommen die Fehler von oben .
Mit freundlichen Grüßen
Habe in hyper v eine neue virtuelle Maschine erstellt
Die Domäne Dienste installiert und mit dcpromo den Server als 2. Domäne Controller heraufgestuft.
Dann neu gestartet
Dann kommen die Fehler von oben .
Mit freundlichen Grüßen
Hallo,
bei dcpromo kann man ne ganze menge an Einstellungen auswählen.
Welche wurden ausgewählt?
Warum eine VM? wenn Du vom Hyper-V die AD-Dienste entfernen willst brauchst Du einen DC auf Blech oder als VM auf einem anderen Hypervisorm sonnst wird das nix.
Hat der "neue" DC eine feste IP?
Ist der neue DC auch DNS?
Ist der neue DC auch Globalercatalogserver (laut Fehlermeldung nicht)
Wie sind die Netzwerkeinstlelungen?
Gruß
Chonta
bei dcpromo kann man ne ganze menge an Einstellungen auswählen.
Welche wurden ausgewählt?
Warum eine VM? wenn Du vom Hyper-V die AD-Dienste entfernen willst brauchst Du einen DC auf Blech oder als VM auf einem anderen Hypervisorm sonnst wird das nix.
Hat der "neue" DC eine feste IP?
Ist der neue DC auch DNS?
Ist der neue DC auch Globalercatalogserver (laut Fehlermeldung nicht)
Wie sind die Netzwerkeinstlelungen?
Gruß
Chonta
Hallo
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben
Der neue DC hat eine feste ip
Der neue DC hat die dns Einstellungen vom alten DC übernommen
Der hyper v hat 2 netzwerkkaurten
Eike davon hat die ip 192,168,2,118
Die andere ist für die vm maschienen
Dort ist der Exchange (192.168.2.123)
Und der neue DC (192.168.2.119)
Liegen alle im selben Netz
DHCP verteilt an die anderen Clients
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben
Der neue DC hat eine feste ip
Der neue DC hat die dns Einstellungen vom alten DC übernommen
Der hyper v hat 2 netzwerkkaurten
Eike davon hat die ip 192,168,2,118
Die andere ist für die vm maschienen
Dort ist der Exchange (192.168.2.123)
Und der neue DC (192.168.2.119)
Liegen alle im selben Netz
DHCP verteilt an die anderen Clients
Zitat von @106561:
Hallo
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben
Ok, ABER die VM die DC werden soll darf NICHT auf dem physikalischen Hypervisor laufen der derzeit noch selber DC ist!Hallo
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben
Wenn und wirklich ERST nachdem das AD erfolgreich mit 2 DC eingerichtet war, der Hyper-V DC seinen DC Status verloren hat und ALLES sauber läuft kann die VM auch auf dem Hyper-V der derzeit noch DC ist laufen.
Wenn Du das anders versuchst läufst Du gefahr dein AD zu zerschießen.
Warum?
Neustart vom Hyper-V = beide DCs wärend das AD bereinigt wird weg! Weil der Server starte terst neu und macht die Änderungen, nachdem die VM alle aus sind.
Gruß
Chonta
Sprich ich muss einen DC auf dem anderen hyper v machen , und dann nochmal umziehen ?
Eben dieses.
Oder als separates Blech belassen.
Eigendlich unterstützt MS erst seid 2012 virtuelle DC so richtig. Und wenn möglich sollte man immer zum einen mehr als einen DC haben zum anderen mindestens einen Hardware oder auf verschiedenen Hypervisors.
Warum?
Wenn der Hyper-V startet will der mit dem DC reden aber findet keinen und das KANN wohlgemerkt KANN zu Problemen führen.
Ich habe bei uns auch einen VM-DC ale einzigen DC auf dem Hypervisor.
Anders wäre es mir auch lieber, aber geht halt nicht.
Gruß
Chonta
Oder als separates Blech belassen.
Eigendlich unterstützt MS erst seid 2012 virtuelle DC so richtig. Und wenn möglich sollte man immer zum einen mehr als einen DC haben zum anderen mindestens einen Hardware oder auf verschiedenen Hypervisors.
Warum?
Wenn der Hyper-V startet will der mit dem DC reden aber findet keinen und das KANN wohlgemerkt KANN zu Problemen führen.
Ich habe bei uns auch einen VM-DC ale einzigen DC auf dem Hypervisor.
Anders wäre es mir auch lieber, aber geht halt nicht.
Gruß
Chonta
Nagut, aber ich muss Strom sparen .
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht
Zitat von @106561:
Nagut, aber ich muss Strom sparen .
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht
Nagut, aber ich muss Strom sparen .
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht
Deswegen hat er diese vielen Fehler gehabt ?!
Weil gleich nach dem durchführen des dcpromo kamen die ersten Fehler auf beiden Geräten.
Dabei hatte ich nicht einmal neu gestartet
Als User werde ich den Domänen Admin wohl angeben müssen
Zitat von @106561:
> Zitat von @106561:
>
> Nagut, aber ich muss Strom sparen .
> Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
> Es ist damals auch net anders gegangen ...
> Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
> Bloß ich hoffe nicht das wieder alles zusammen bricht
Deswegen hat er diese vielen Fehler gehabt ?!
Weil gleich nach dem durchführen des dcpromo kamen die ersten Fehler auf beiden Geräten.
Dabei hatte ich nicht einmal neu gestartet
Als User werde ich den Domänen Admin wohl angeben müssen
> Zitat von @106561:
>
> Nagut, aber ich muss Strom sparen .
> Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
> Es ist damals auch net anders gegangen ...
> Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
> Bloß ich hoffe nicht das wieder alles zusammen bricht
Deswegen hat er diese vielen Fehler gehabt ?!
Weil gleich nach dem durchführen des dcpromo kamen die ersten Fehler auf beiden Geräten.
Dabei hatte ich nicht einmal neu gestartet
Als User werde ich den Domänen Admin wohl angeben müssen
mein jetztiges vorgehen:
http://mntechblog.de/weiteren-windows-server-2008-r2-domaenencontroller ...
genau so wie beschrieben
dann noch
http://mntechblog.de/verwendete-dns-server-der-domnencontroller/
hoffe es funkktioniert nun
Guten
Tag
Habe jetzt den neuen DC mit DC Promo heraufgestuft
Fehlermeldungen :
Etliche
event id 1153 superclass
Außerdem Ereignis 614
Tag
Habe jetzt den neuen DC mit DC Promo heraufgestuft
Fehlermeldungen :
Etliche
event id 1153 superclass
Außerdem Ereignis 614
Hallo,
wo kommen die Fehler? (Blech oder der VM?)
Hatte die VM auch einen Computernamen den es noch nicht gab?
Ist das Computerkonto der VM im AD richtig hinterlegt?
Als wer hast Du die Hochstufung des Memberservers zum DC gemacht?
Wurde der Server schon neu gestartet?
Ist für die VM der Blechserver der erste DNS-Server?
ID 614 welche Quelle?
Gruß
Chonta
http://technet.microsoft.com/en-us/library/cc756675%28v=ws.10%29.aspx
wo kommen die Fehler? (Blech oder der VM?)
Hatte die VM auch einen Computernamen den es noch nicht gab?
Ist das Computerkonto der VM im AD richtig hinterlegt?
Als wer hast Du die Hochstufung des Memberservers zum DC gemacht?
Wurde der Server schon neu gestartet?
Ist für die VM der Blechserver der erste DNS-Server?
ID 614 welche Quelle?
Gruß
Chonta
http://technet.microsoft.com/en-us/library/cc756675%28v=ws.10%29.aspx
Hi
Der neue DC macht die Fehler ( esxi vm) nach Neustart auch noch
Der alte DC ( hyper v Blech ) wurde noch nicht neu gestartet ....
Die neue vm hat den Namen "dc2" bekommen , dieser wurde noch nie zuvor verwendet.
Der alte DC heisst "SERVER "
Als Domäne Administrator würde es gemacht
( der Standart Administrator acc)
Jap ist er
Einträge des "alten dc"
Dns1:den neuen DC
Dns2: Sich selber
Einträge des neuen DC
Dns1:den alten DC
Dns2: sich selber
Der neue DC macht die Fehler ( esxi vm) nach Neustart auch noch
Der alte DC ( hyper v Blech ) wurde noch nicht neu gestartet ....
Die neue vm hat den Namen "dc2" bekommen , dieser wurde noch nie zuvor verwendet.
Der alte DC heisst "SERVER "
Als Domäne Administrator würde es gemacht
( der Standart Administrator acc)
Jap ist er
Einträge des "alten dc"
Dns1:den neuen DC
Dns2: Sich selber
Einträge des neuen DC
Dns1:den alten DC
Dns2: sich selber
Hallo,
der alte muss auch nicht neu gestartet werden.
was sagen dcdiag und repadmin.exe? (auf dem neuen)
Hat der neue sich irgendwas vom AD repleziert?
Ist der HyperV ein 2008 ohne R2 und der neue DC ein R2?
Sicher das dein AD davor überhaupt richtig lief?
Normalerweise ist das hinzufügen von DCs das geringste Problem im AD.
Gruß
Chonta
der alte muss auch nicht neu gestartet werden.
was sagen dcdiag und repadmin.exe? (auf dem neuen)
Hat der neue sich irgendwas vom AD repleziert?
Ist der HyperV ein 2008 ohne R2 und der neue DC ein R2?
Sicher das dein AD davor überhaupt richtig lief?
Normalerweise ist das hinzufügen von DCs das geringste Problem im AD.
Gruß
Chonta
Hallo
Wenn ich zuhause bin poste ich die Ergebnisse
Beide sind 2008r2
Alte DC ist Enterprise / ebenso der Exchange
Neue DC ist Standart
Also die ad funktionierte schon
Bis auf 2 Warnungen :
Kdc smartcard
Und kein zertifikt
Sonst ging alles ...
Wenn ich zuhause bin poste ich die Ergebnisse
Beide sind 2008r2
Alte DC ist Enterprise / ebenso der Exchange
Neue DC ist Standart
Also die ad funktionierte schon
Bis auf 2 Warnungen :
Kdc smartcard
Und kein zertifikt
Sonst ging alles ...
so also laut dcdiag und repadmin funktioniert alles
bin in den domäneadministrator acc gegangen unbd habe die befahle ausgeführt.
so nun möchte ich die fsmo rollen verschieben.
habe aber bisschen angst davor... :D
vielleicht hat ja jemand lust von euch via teamviewer mit dabei zu helfen
(im sinne von vorher zu prüfen ob alles passt) und mir dann beim übertragen hilfe zu leisten ...)
Mit freundlichen Grüßen
bin in den domäneadministrator acc gegangen unbd habe die befahle ausgeführt.
so nun möchte ich die fsmo rollen verschieben.
habe aber bisschen angst davor... :D
vielleicht hat ja jemand lust von euch via teamviewer mit dabei zu helfen
(im sinne von vorher zu prüfen ob alles passt) und mir dann beim übertragen hilfe zu leisten ...)
Mit freundlichen Grüßen
Warte mit den FMSO bis Du sicher sein kannst das alles geht.
1
exchange hat schonmal was gemeldet:
"INFORMATION"
Prozess MAD.EXE (PID=3944). Der Exchange Active Directory-Anbieter hat folgende Server mit folgenden Eigenschaften gefunden:
(Servername | Rollen | Aktiviert | Erreichbarkeit | Synchronisiert | GK-fähig | PDC | SACL-Recht | Benötigte Daten | Netlogon | Betriebssystemversion)
Innerhalb des Standorts:
SERVER.pb.local CDG 1 7 7 1 0 1 1 7 1 ALT
DC2.pb.local CDG 1 7 7 1 0 1 1 7 1 NEU
Außerhalb des Standorts:
ist doch schon mal sehr gut
"INFORMATION"
Prozess MAD.EXE (PID=3944). Der Exchange Active Directory-Anbieter hat folgende Server mit folgenden Eigenschaften gefunden:
(Servername | Rollen | Aktiviert | Erreichbarkeit | Synchronisiert | GK-fähig | PDC | SACL-Recht | Benötigte Daten | Netlogon | Betriebssystemversion)
Innerhalb des Standorts:
SERVER.pb.local CDG 1 7 7 1 0 1 1 7 1 ALT
DC2.pb.local CDG 1 7 7 1 0 1 1 7 1 NEU
Außerhalb des Standorts:
ist doch schon mal sehr gut
HAbe jetzt die fsmo rollen übertragen.
aktuell startet der hyper v (also alter DC und Exchange) neu.DC"neu" ist online ->(esxi)
Ich hoffe dass alles funktioniert... *bangebange*
aktuell startet der hyper v (also alter DC und Exchange) neu.DC"neu" ist online ->(esxi)
Ich hoffe dass alles funktioniert... *bangebange*
las dir anzeigen welcher dc die fmso hat.
netdom query fsmo /domain:MyDomain
Dsquery server -domain domain.local
um anzuzeigen wer alles einen globalen catalog hat.
warte noch ein bissel und dann kann der alte demotet werden.
Danach neustart und ggf dns aufräumen (Einträge die den alten server noch als kdc oder dergleichen ausweisen)
Gruß
Chonta
netdom query fsmo /domain:MyDomain
Dsquery server -domain domain.local
um anzuzeigen wer alles einen globalen catalog hat.
warte noch ein bissel und dann kann der alte demotet werden.
Danach neustart und ggf dns aufräumen (Einträge die den alten server noch als kdc oder dergleichen ausweisen)
Gruß
Chonta
Hi.
ergebnis zu netdom:
alle stehen auf "dcNEU"
zu dsquery:
Warnungen DCALT:
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
-Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.
Zertifikatname: SERVER.pb.local
-Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
-Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SERVER.pb.local; WSMAN/SERVER.
Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.
Fehler EXCHANGE
-Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Desweiteren sind viele warnungen , die besagen dass die verbindung nicht hergestellt werden kann
das war vor der replizierung auch schon(
ABER: liegt daran, dass die verbindung (lan schnittstelle) erst viel später aktiviert wird..
es dauert beim boot ca.30 sekunden, dann erst startet die lan verbindung.
dann funktioniert auch alles bestens.
habe es schon versucht mit neuer-lan "karte" , bleibt einfach so
BEISPIEL:Der Postfachreplikationsdienst konnte die aktiven Postfachdatenbanken auf einem Postfachserver nicht ermitteln.
Postfachserver: EXCHANGE.pb.local
Fehler: MapiExceptionNetworkError: Unable to make admin interface connection to server. (hr=0x80040115, ec=-2147221227)
Diagnostic context:
Fehler & warnungen bei DCNEU
-Keine
Erklärung:
SERVER=AlterDC
EXCHANGE =Exchnage
DC2=NeuerDC
ergebnis zu netdom:
alle stehen auf "dcNEU"
zu dsquery:
Warnungen DCALT:
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
-Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.
Zertifikatname: SERVER.pb.local
-Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
-Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SERVER.pb.local; WSMAN/SERVER.
Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.
Fehler EXCHANGE
-Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Desweiteren sind viele warnungen , die besagen dass die verbindung nicht hergestellt werden kann
das war vor der replizierung auch schon(
ABER: liegt daran, dass die verbindung (lan schnittstelle) erst viel später aktiviert wird..
es dauert beim boot ca.30 sekunden, dann erst startet die lan verbindung.
dann funktioniert auch alles bestens.
habe es schon versucht mit neuer-lan "karte" , bleibt einfach so
BEISPIEL:Der Postfachreplikationsdienst konnte die aktiven Postfachdatenbanken auf einem Postfachserver nicht ermitteln.
Postfachserver: EXCHANGE.pb.local
Fehler: MapiExceptionNetworkError: Unable to make admin interface connection to server. (hr=0x80040115, ec=-2147221227)
Diagnostic context:
Fehler & warnungen bei DCNEU
-Keine
Erklärung:
SERVER=AlterDC
EXCHANGE =Exchnage
DC2=NeuerDC
Hallo,
welcher DNS-Server ist beim exchange eingetragen?, Da sollt enur der neue drinstehen.
Was willst du mit ad webdiensten warum sind die drauf? wozu?
Wenn ein DC neu gestarter wird, hat der immer fehle rim log, weil netzwerk noch nicht oben ist, weil dns nicht gestartet ist und weil das ad nicht gestartet ist und alles voneienander abhängt.
Die Frage ist funktioniert der Mailversand/empfang und gibt es jetzt imme rnoch fehler?
Fichtig beim Fehler posten
Quelle und ID
was sagt repadmin?
Gruß
Chonta
welcher DNS-Server ist beim exchange eingetragen?, Da sollt enur der neue drinstehen.
Was willst du mit ad webdiensten warum sind die drauf? wozu?
Wenn ein DC neu gestarter wird, hat der immer fehle rim log, weil netzwerk noch nicht oben ist, weil dns nicht gestartet ist und weil das ad nicht gestartet ist und alles voneienander abhängt.
Die Frage ist funktioniert der Mailversand/empfang und gibt es jetzt imme rnoch fehler?
Fichtig beim Fehler posten
Quelle und ID
was sagt repadmin?
Gruß
Chonta
Der neue DC
AD Webdienste soll ich entfernen ?
jap mail und so funktioniert alles :D
Repadmin sagt alles in ordnung
soll ich die anderen Warnungen vom Exchange auch noch posten ?
MFG
AD Webdienste soll ich entfernen ?
jap mail und so funktioniert alles :D
Repadmin sagt alles in ordnung
soll ich die anderen Warnungen vom Exchange auch noch posten ?
MFG
Ja in Bezug auf die Warungen.
wo sind die AD webdienste installiert auf dem alten oder dem neuen? wenn auf dem neuen runter damit wenn eh nicht verwendet.
Wenn auf dem alten nur drauf, na der ist ja eh bald alles los.
Gruß
Chonta
http://www.drwindows.de/windows-7-allgemein/68370-ereignisfehler-wmi.ht ...
wo sind die AD webdienste installiert auf dem alten oder dem neuen? wenn auf dem neuen runter damit wenn eh nicht verwendet.
Wenn auf dem alten nur drauf, na der ist ja eh bald alles los.
Gruß
Chonta
http://www.drwindows.de/windows-7-allgemein/68370-ereignisfehler-wmi.ht ...
1
Die sind auf dem alten
ok gut ich mache schnell ein foto ;)
ok gut ich mache schnell ein foto ;)
Wenn die Webdienste auf dem alten drauf sind, mach dir keinen kopf, der wird mit dem demote alles los.
Die Fehlermeldung vom Exchange scheint null mit dem DC zutun zu haben Link.
Mal gezoelter google verwenden evtl findest Du da noch was raus.
wenn die fmso drüben sind, repadmin sagt alles ok ist aus meiner sicht alles ok.
Das DNS macht evtl noch Probleme wenn der alte server ganz weg ist, muss bereinigt werden und fertig.
Gruß
Chonta
Die Fehlermeldung vom Exchange scheint null mit dem DC zutun zu haben Link.
Mal gezoelter google verwenden evtl findest Du da noch was raus.
wenn die fmso drüben sind, repadmin sagt alles ok ist aus meiner sicht alles ok.
Das DNS macht evtl noch Probleme wenn der alte server ganz weg ist, muss bereinigt werden und fertig.
Gruß
Chonta
NEUER DC
gut dann entferne ich den ALTEN DC via dcpromo ...
Artikel: "was muss ich tun wenn ich den ersten DC einferne"
ZITAT DARAUS:
Und dann gibt es noch den Aspekt, der gern übersehen wird, aber eigentlich der kritischste ist, weil hier wirklich Datenverluste drohen: Das EFS-Recovery-Zertifikat.
Seit Windows 2000 gibt es das Verschlüsselnde Dateisystem (EFS), das Daten auf Workstations und Computern wirklich sicher verschlüsseln kann. Jeder Benutzer kann dies standardmäßig tun. Sollte ein Benutzer seinen EFS-Schlüssel verlieren, so gibt es nur noch einen User im AD, der die Daten wieder entschlüsseln kann: Den Recovery Agent (RA). Standardmäßig ist dies der vordefinierte "Administrator" (nur das Userkonto, nicht die Gruppe!). Er kann dies, weil er ein passendes Zertifikat hat.
Und nun wird's interessant: Das Zertifikat des EFS-Recovery-Agent ist standardmäßig ausschließlich auf dem ersten installierten DC vorhanden. Wenn dieser entfernt wird, ist das Zertifikat weg – es sei denn, man sichert es vorher. Und das geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!):
Auf dem ersten DC öffnet man die "Default Domain Policy".
Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich).
Hier findet man (im Regelfall) das Zertifikat des Administrators.
Rechtsklick darauf, "Exportieren" wählen.
Wichtig: Man exportier das Zertifikat zweimal: Einmal mit dem privaten Schlüssel, einmal ohne (in separate Dateien).
Die exportierten Dateien kopiert man auf Disketten oder andere separate Datenträger und verwahrt diese gut. Die Dateien müssen vom DC gelöscht werden, sie haben dort nichts zu suchen!
Wenn man nun später Daten für andere Benutzuer als RA entschlüsseln muss, so nutzt man die Diskette mit dem privaten Schlüssel. Falls einmal der Original-RA in der Default Domain Policy oder anderswo wieder importiert werden muss, nutzt man die Dateio ohne privaten Schlüssel.
Achtung: Das EFS-Zertifikat ist nicht nur dann zu sichern, wenn man EFS bereits einsetzt, sondern immer. Denn in einer Domäne gibt es nur genau einen vordefinierten Recovery Agent, und dessen persönlicher Schlüssel ist genau auf dem einen DC vorhanden, der zuerst installiert wurde. Auch dann, wenn erst in drei Jahren zum ersten Mal jemand EFS verwendet, wird das EFS-Zertifikat des RA verwendet – nur hat dann vielleicht niemand mehr den privaten Schlüssel!
das muss ich auch noch machen oder?
ZITAT DARAUS:
Und dann gibt es noch den Aspekt, der gern übersehen wird, aber eigentlich der kritischste ist, weil hier wirklich Datenverluste drohen: Das EFS-Recovery-Zertifikat.
Seit Windows 2000 gibt es das Verschlüsselnde Dateisystem (EFS), das Daten auf Workstations und Computern wirklich sicher verschlüsseln kann. Jeder Benutzer kann dies standardmäßig tun. Sollte ein Benutzer seinen EFS-Schlüssel verlieren, so gibt es nur noch einen User im AD, der die Daten wieder entschlüsseln kann: Den Recovery Agent (RA). Standardmäßig ist dies der vordefinierte "Administrator" (nur das Userkonto, nicht die Gruppe!). Er kann dies, weil er ein passendes Zertifikat hat.
Und nun wird's interessant: Das Zertifikat des EFS-Recovery-Agent ist standardmäßig ausschließlich auf dem ersten installierten DC vorhanden. Wenn dieser entfernt wird, ist das Zertifikat weg – es sei denn, man sichert es vorher. Und das geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!):
Auf dem ersten DC öffnet man die "Default Domain Policy".
Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich).
Hier findet man (im Regelfall) das Zertifikat des Administrators.
Rechtsklick darauf, "Exportieren" wählen.
Wichtig: Man exportier das Zertifikat zweimal: Einmal mit dem privaten Schlüssel, einmal ohne (in separate Dateien).
Die exportierten Dateien kopiert man auf Disketten oder andere separate Datenträger und verwahrt diese gut. Die Dateien müssen vom DC gelöscht werden, sie haben dort nichts zu suchen!
Wenn man nun später Daten für andere Benutzuer als RA entschlüsseln muss, so nutzt man die Diskette mit dem privaten Schlüssel. Falls einmal der Original-RA in der Default Domain Policy oder anderswo wieder importiert werden muss, nutzt man die Dateio ohne privaten Schlüssel.
Achtung: Das EFS-Zertifikat ist nicht nur dann zu sichern, wenn man EFS bereits einsetzt, sondern immer. Denn in einer Domäne gibt es nur genau einen vordefinierten Recovery Agent, und dessen persönlicher Schlüssel ist genau auf dem einen DC vorhanden, der zuerst installiert wurde. Auch dann, wenn erst in drei Jahren zum ersten Mal jemand EFS verwendet, wird das EFS-Zertifikat des RA verwendet – nur hat dann vielleicht niemand mehr den privaten Schlüssel!
das muss ich auch noch machen oder?
Sodala
Alter Dc ist weg
Alles geht soweit
Ich danke chonta ausdrücklich für die Geduld an mir und die guten Erklärungen !!
Natürlich auch den anderen Mitgliedern die mir geholfen haben.
Als nächstes werde ich den Blech dc auf eine neue vm replizieren , da ich stromtechnisch nur 1 Server am laufen lassen kann ...
Ich melde mich im Laufe der nächsten Woche bei euch melden .
Wer Gefallen an einer Anleitung findet , da kann ich was zusammen fassen wenn ihr wollt ( für die "nach"Welt)
Liebe Grüße
Philipp
Alter Dc ist weg
Alles geht soweit
Ich danke chonta ausdrücklich für die Geduld an mir und die guten Erklärungen !!
Natürlich auch den anderen Mitgliedern die mir geholfen haben.
Als nächstes werde ich den Blech dc auf eine neue vm replizieren , da ich stromtechnisch nur 1 Server am laufen lassen kann ...
Ich melde mich im Laufe der nächsten Woche bei euch melden .
Wer Gefallen an einer Anleitung findet , da kann ich was zusammen fassen wenn ihr wollt ( für die "nach"Welt)
Liebe Grüße
Philipp
