77282
13.04.2015, aktualisiert am 14.04.2015
1325
3
0
Neuer zusätzlichen DC. GPOs nun auf beiden Servern unterschiedlich
Hallo, nachdem ich letzte Woche einen neuen DC in die Domäne integrierte und diesem alle FSMO Rollen übertrug, stellte ich heute fest, dass sich die Policies auf beiden DCs meiner Domäne unterscheiden. So sind auf dem einen DC1 2 GPOs die es auf dem DC1 nicht gibt. Auch befindet sich auf DC2 eine GPO die es wiederum auf DC1 nicht gibt.
Ein c:\>dcdiag zeigt mir an das es folgenden Fehler gibt:
Was ich bisher gelesen habe, sollte es keinen Zusammenhang mit meinem Problem geben.
Kennt ihr das Phänomen?
Ein c:\>dcdiag zeigt mir an das es folgenden Fehler gibt:
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=Domäne,DC=TLD
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=Domäne,DC=TLD
……………… DCON01 hat den Test NCSecDesc nicht bestanden.Kennt ihr das Phänomen?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269021
Url: https://administrator.de/forum/neuer-zusaetzlichen-dc-gpos-nun-auf-beiden-servern-unterschiedlich-269021.html
Ausgedruckt am: 19.05.2025 um 03:05 Uhr
3 Kommentare
Neuester Kommentar
Mahlzeit,
was passiert, wenn du die DCs manuell replizierst?
Sind deine Logs sauber?
was passiert, wenn du die DCs manuell replizierst?
Sind deine Logs sauber?
Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus gelöscht werden?
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus gelöscht werden?
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Zitat von @77282:
Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon
längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus
gelöscht werden?
Ja kannste löschen. das ist kein Computer-Objekt sondern nur ein Server-Objekt, welches mit dem Computer-Objekt des DC, welchen Du bereits demotet hast, assoziiert war. Über dieses Server-Objekt werden die Replikationsmechanismen abgewickelt. Aber nur, wenn der zugehörige DC noch da ist. Das Objekt wird beim Demoten nicht gelöscht, weil - ich vermute - es noch benötigt wird um allen anderen DC's mitzuteilen, dass der Server jetzt kein DC mehr ist.Bei der Manuellen Replikation gab es keine Fehler.
Habe aber unabhängig davon gesehen das in "Standorte und Dienste-->....--> Servers" ein alter DC der schon
längst kein DC mehr ist und aus "Domain Controllers" gelöscht wurde steht. Kann der Problemlos daraus
gelöscht werden?
Dieses Objekt stört aber auch nicht, wenn es noch vorhanden ist. Es irritiert bestenfalls nur den Admin
In den Ereignissen unter Dateireplikationsdienst bekomme ich nur folgende Info:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der
Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger
jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Normalerweise ja.Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der
Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger
jetzt als SYSVOL freigegeben werden kann.
Diese Info steht dreimal untereinander von zwei Tagen. sollte die Info nicht nur einmal dort stehen?
Sind die GPO's denn nun synchron? Wenn nein, dann könnetst Du es mit einem Trick versuchen: Ändere die bertreffenden GPO's auf einem DC, wo der aktuelle Stand ist (DC je GPO aussuchen). Und zwar im AD-Objekt wie in der Datei. Also z.B. den Kommentar der GPO und setze irgendeine Einstellung, die Du dann später wieder raus nimmst. (z.B. NTFS-Berechtigungen für einen Ordner setzen, den es gar nicht gibt). Dadurch sollte die Replikation der jeweiligen GPO's erfolgen.
Je nach dem, ob Du mit NtFRS oder DFS-R replizierst, müssen diese Dienste auf den DC's natürlich laufen, is klar, um die Dateien der GPO's replizieren zu können.
E.
