77282
Apr 13, 2015, updated at Apr 14, 2015 (UTC)
1215
3
0
Neuer zusätzlichen DC. GPOs nun auf beiden Servern unterschiedlich
Hallo, nachdem ich letzte Woche einen neuen DC in die Domäne integrierte und diesem alle FSMO Rollen übertrug, stellte ich heute fest, dass sich die Policies auf beiden DCs meiner Domäne unterscheiden. So sind auf dem einen DC1 2 GPOs die es auf dem DC1 nicht gibt. Auch befindet sich auf DC2 eine GPO die es wiederum auf DC1 nicht gibt.
Ein c:\>dcdiag zeigt mir an das es folgenden Fehler gibt:
Was ich bisher gelesen habe, sollte es keinen Zusammenhang mit meinem Problem geben.
Kennt ihr das Phänomen?
Ein c:\>dcdiag zeigt mir an das es folgenden Fehler gibt:
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=Domäne,DC=TLD
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=Domäne,DC=TLD
……………… DCON01 hat den Test NCSecDesc nicht bestanden.Kennt ihr das Phänomen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269021
Url: https://administrator.de/contentid/269021
Printed on: April 23, 2024 at 08:04 o'clock
3 Comments
Latest comment
Mahlzeit,
was passiert, wenn du die DCs manuell replizierst?
Sind deine Logs sauber?
was passiert, wenn du die DCs manuell replizierst?
Sind deine Logs sauber?
Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus gelöscht werden?
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus gelöscht werden?
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Zitat von @77282:
Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon
längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus
gelöscht werden?
Ja kannste löschen. das ist kein Computer-Objekt sondern nur ein Server-Objekt, welches mit dem Computer-Objekt des DC, welchen Du bereits demotet hast, assoziiert war. Über dieses Server-Objekt werden die Replikationsmechanismen abgewickelt. Aber nur, wenn der zugehörige DC noch da ist. Das Objekt wird beim Demoten nicht gelöscht, weil - ich vermute - es noch benötigt wird um allen anderen DC's mitzuteilen, dass der Server jetzt kein DC mehr ist.Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon
längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus
gelöscht werden?
Dieses Objekt stört aber auch nicht, wenn es noch vorhanden ist. Es irritiert bestenfalls nur den Admin
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der
Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger
jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Normalerweise ja.Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der
Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger
jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Sind die GPO's denn nun synchron? Wenn nein, dann könnetst Du es mit einem Trick versuchen: Ändere die bertreffenden GPO's auf einem DC, wo der aktuelle Stand ist (DC je GPO aussuchen). Und zwar im AD-Objekt wie in der Datei. Also z.B. den Kommentar der GPO und setze irgendeine Einstellung, die Du dann später wieder raus nimmst. (z.B. NTFS-Berechtigungen für einen Ordner setzen, den es gar nicht gibt). Dadurch sollte die Replikation der jeweiligen GPO's erfolgen.
Je nach dem, ob Du mit NtFRS oder DFS-R replizierst, müssen diese Dienste auf den DC's natürlich laufen, is klar, um die Dateien der GPO's replizieren zu können.
E.
