Active Directory Standorte - 1 DC doppelt?
Hallo.
Bin das erste Mal hier und möchte hiermit erstmal Hallo an Alle sagen.
Fachtechnisch mach ich Systemadministration mehr so nebenbei - bin also noch nicht der Profi. Bitte um Nachsicht.
Habe drei gleichberechtigte Domänen-Controller im Netz. Auf allen 3 DC steht im AD unter den AD-Standorten im Menüpunkt <Servers> ein Server (Server C) zweimal drin. Ich muss den Server C jetzt zum Globalen Katalogserver machen (Server A ist bisher der einzige).. Bin mir aber nicht sicher, was ich damit anrichte (weil der Server C zweimal drin steht) und vor allem wieso der Server C zweimal drin steht.
Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings
--- Server B
-- NTDS Settings
--- Server C
-- NTDS Settings
--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings
Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.
Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.
Danke schon mal fürs Durchlesen.
Gruß, Luttertaler
Bin das erste Mal hier und möchte hiermit erstmal Hallo an Alle sagen.
Fachtechnisch mach ich Systemadministration mehr so nebenbei - bin also noch nicht der Profi. Bitte um Nachsicht.
Habe drei gleichberechtigte Domänen-Controller im Netz. Auf allen 3 DC steht im AD unter den AD-Standorten im Menüpunkt <Servers> ein Server (Server C) zweimal drin. Ich muss den Server C jetzt zum Globalen Katalogserver machen (Server A ist bisher der einzige).. Bin mir aber nicht sicher, was ich damit anrichte (weil der Server C zweimal drin steht) und vor allem wieso der Server C zweimal drin steht.
Sites
Standardname-des-ersten-Standorts
Servers
--- Server A
-- NTDS Settings
--- Server B
-- NTDS Settings
--- Server C
-- NTDS Settings
--- Server C(ein Quadrat)NCF:39e7c858-453 ..........usw.
-- NTDS Settings
Klickt man auf NTDS Settings bei Server A ,so sieht man die anderen drei Server ( B und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server B, so sieht man die anderen drei Server ( A und zweimal C) als Objekte.
Klickt man auf NTDS Settings bei Server C, so sieht man nur die beiden Server A und B als Objekte.
Klickt man auf NTDS Settings bei Server C (der letzte mit dem Quadrat) so stehen hier keine Objekte.
Weiss jemand bitte evt. von Euch jemand, was der zweite Eintrag des Server C (der mit dem Quadrat) bedeuten könnte (Objekt?. Irgendwein Überbleibsel?)? Ich habe das AD nicht eingerichtet.
Danke schon mal fürs Durchlesen.
Gruß, Luttertaler
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 128454
Url: https://administrator.de/forum/active-directory-standorte-1-dc-doppelt-128454.html
Ausgedruckt am: 06.04.2025 um 13:04 Uhr
12 Kommentare
Neuester Kommentar
Servus,
dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx
Du kannst den Konflikteintrag entfernen.
Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.
Viele Grüße
Yusuf Dikmenoglu
NCF:39e7c858-453
dieser Eintrag weißt auf einen Konflikt hin. Was das genau bedeutet, erfährst du von diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt]
http://blog.dikmenoglu.de/Active+DirectoryReplikationskonflikt.aspx
Du kannst den Konflikteintrag entfernen.
Aber abgesehen davon ist es empfehlenswert auf JEDEM DC den globalen Katalog zu aktivieren.
Viele Grüße
Yusuf Dikmenoglu
Das dachte ich mir schon, dass sich das nicht "einfach" löschen lässt da es sich um einen DC handelt.
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.
Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.
Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.
Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!
[1] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
[2] [LDAP:Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...
Gruß, Yusuf
Da es sich in diesem Fall auch noch um einen wichtigen Server, nämlich um einen DC handelt, solltest du diesen lösen.
Ich würde vorschlagen den "Server C" mit DCPROMO zuerst herunterzustufen.
Anschließend kontrollierst du ob auch das Konfliktobjekt entfernt wurde. Falls nicht, dann "mit Gewalt" [1].
Danach stufst du den "Server C" erneut zum DC und kontrollierst ob erneut ein Konfliktobjekt erstellt wird.
Falls sich der DC nicht mit DCPROMO herunterstufen lässt, stufe ihn "mit Gewalt", nämlich mit DCPROMO /FORECEREMOVAL herunter [2].
Mit dieser Variante werden die AD-Informationen LOKAL auf dem DC entfernt. Die DC-Informationen bleiben aber im AD weiterhin bestehen.
Danach musst du dann noch die Metadaten des AD bereinigen [1]. Erst dann kannst du den Server erneut zum DC stufen. Vorher solltest du dann aber noch ggf. die Einträge aus dem DNS entfernen.
Stufst du den DC mit der "gewaltsamen" Variante herunter, befindet sich dieser anschließend in einer "Arbeitsgruppe" und ist kein Mitgliedsserver!
[1] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
[2] [LDAP:Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfern ...
Gruß, Yusuf
Also du meinst, stehen lassen kann man den Eintrag nicht.
Ein Konflikt ist nunmal ein Konflikt. Weiterführende Probleme verursacht durch diesen Konflikt kann man nicht ausschließen. Und wie ich es bereits erwähnt habe, ist ein DC ein kritisches System und dieser muss reibungslos laufen. Experimente mit und auf einem DC sind Tabu!
Natürlich funktioniert die Domäne auch mit dem Konflikt, aber dadurch können Folgeprobleme eben nicht ausgeschlossen werden. Die durchzuführenden Aufgaben die ich in meiner vorherigen Antwort geschrieben habe sind ja nicht sooo die Welt. Man sollte die Aufgaben aber sorgfältig und bedacht durchführen.
Man kann vieles tun, aber ( ich höre mich schon an, wie eine Schallplatte die einen Sprung hat
Gruß, Yusuf
Na der Zeitpunkt ist der, als Server C zum DC gestuft wurde. 
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:
[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx
Gruß, Yusuf
Das Erstellungsdatum eines jeden Objekts, ist im Attribut "whencreated" gespeichert.
Wie du das in Erfahrung bringst, erfährst du von hier:
[LDAP://Yusufs.Directory.Blog/ - Erstellungsdatum eines Benutzerobjekts]
http://blog.dikmenoglu.de/Erstellungsdatum+Eines+Benutzerobjekts.aspx
Gruß, Yusuf
In den Eventlogs wird also die EventID 1119 protokolliert. Abgesehen davon beötigt man nur dann einen GC,
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.
[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.
Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.
Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.
Gruß, Yusuf
wenn es sich um einen Multidomänen-Forest handelt. Also wenn min. zwei Domänen in der Gesamtstruktur existieren.
[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
Es ist empfehlenswert auf allen DCs das DNS zu installieren und die Forward Lookup zone "AD-integriert" ZU speichern.
Auf allen Clients sollten dann die DCs als DNS-Server statisch oder per DHCP mitgeteilt werden.
Wenn sich die Benutzer nicht an der Domäne anmelden können, liegt es höchstwahrscheinlich am DNS.
Überprüfe die Eventlogs der DCs nach Fehlern und falls welche protokolliert werden, gehe diesen auf der Seite EventID.net nach.
Des Weiteren überprüfe die DCs mit DCDIAG. Hierbei sollten natürlich auch keine Fehler gemeldet werden.
Wenn du ins Eventlog schaust, sollte dein Augenmerk auf den Logs: Verzeichnisdienst, DNS und Dateireplikation (FRS) liegen.
Kontrolliere mit NSLOOKUP ob die Namensauflösung funktioniert. Überprüfe auch mit Ping zum einen auf die Namen und zum anderen auf die IPs der DCs, ob du überhaupt die DCs erreichst.
Gruß, Yusuf