brainkopp
Goto Top

Probleme mit Benutzer IWAM xxx nach DC Entfernung mit ntdsutil

Nach erfolglosen Entfernung eines alten DC (Win2k-Server) mittels dcpromo habe ich den alten Server mittels ntdsutil entfernt.
Die FSMO-Rollen konnte ich noch erfolgreich an unseren zweiten DC übetragen.
Danach die entsprechenden Einträge mit ADSIedit gelöscht.
Jetzt bekomme ich folgende Fehlermeldung in der Ereignisanzeige:

Ereignistyp: Warnung
Ereignisquelle: W3SVC
Ereigniskategorie: Keine
Ereigniskennung: 36
Datum: 05.04.2006
Zeit: 14:00:26
Benutzer: Nicht zutreffend
Computer: SERVER1
Beschreibung:
Der Server konnte Anwendung '/LM/W3SVC/1/ROOT' nicht laden. Fehler 'Der Serverprozess konnte nicht gestartet werden, da die konfigurierte Identitt falsch ist. berprfen Sie Benutzernamen und Kennwort.

und

Bei DCOM ist der Fehler "Anmeldung fehlgeschlagen: Benutzerkontenbeschrnkung. " aufgetreten. .\IWAM_NTSERVER konnte nicht angemeldet werden, um den folgenden Server zu starten:
{3D14228D-FBE1-11D0-995D-00C04FD919C1}

Erklärung zur 2. Fehlermeldung: NTSERVER ist der alte DC, der nicht mehr exisitiert.
Diese beiden Fehlermeldungen kommen fast in jeder Sekunde und lassen dass Ereignisprotokoll schnell volllaufen.

Folgendes ist für die Lösung interessant (denke ich):
Im Active-Directory gibt es folgende Benutzer, nämlich:

IUSER [alterDC]
IUSER [zweiterDC]
und
IWAM [alterDC]
IWAM [zweiterDC]

Mittlerweile ist ein dritter, neuer DC ins Netz genommen worden, für den gibt es aber keine IWAM bzw. IUSER-Konten. Ist das normal ?

Bei Microsoft bin ich fündig geworden. Dort heisst es, es ist ein Problem, dass die Passwörter des IUSER bzw. IWAM nicht synchronisiert sind.

Mit Hilfe des Tools adsutil.vbs habe ich mir die Passwörter von IUSER und IWAM anzeigen lassen. Wenn ich das Tool auf dem zweiten DC ausführe (der schon die ganze Zeit im netz war) und auf dem neu aufgenommenen DC erhalte ich unterschiedliche Passwörter als Ergebnis.

Mein Frage zusammengefasst:
- Kann ich den IUSER [alterDC] und IWAM[alterDC] einfach löschen ?
- Brauche ich für den neuen DC nicht auch IUSER und IWAM Einträge ?

Obwohl sich das Problem Thema komplex anhört, habe ich versucht, alles so verständlich wie möglich zu schildern.

Danke im Voraus !

Content-ID: 29783

Url: https://administrator.de/contentid/29783

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

brainkopp
brainkopp 18.05.2006 um 09:18:23 Uhr
Goto Top
also, anscheinend habe ich mich zu kompliziert ausgedrückt oder ich bin der einzigste face-sad
Also, für alle die auch mal dieses Problem haben (ich wünsche es

Workaround:

Im Internet-Informationsdienste den Server auswählen, Eigenschaften der Standard-Webseite anklicken -> Kartenreiter Verzeichnissicherheit -> Steuerung des anonymen Zugriffs bearbeiten -> verwendestes Konto für anonymen Zugriff bearbeiten.

hier stand noch der IUSER_[alter DC] drinne. Habe den benutzer auf IUSER_[aktueller DC] umgestellt und das Passwort geändert (kann man per Kommandozeilen-tool auslesen).

Seitdem ist Ruhe in der Ereignisanzeige face-smile