Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

SAM Recorts nach einfügen eines neuen DCs nicht mehr zugänglich.

Mitglied: JanW

Die SAM Recorts sind nach einfügen eines neuen DCs und demoten des alten DCs nicht mehr zugänglich.

Hi,

Ich habe folgendes Problem:

Wir haben hier unseren DC ersetzen wollen, da er einen Hardware-Schaden hatte.

Nun wurde ein neuer Server aufgesetzt, und als zweiter DC eingerichtet, AD wurde replieziert, danach wurden der Betriebsmaßer auf den neunen DC übertragen, und der alte DC wurde Herabgestufft, und ist nun raus aus dem Netz.

Auf die SAM kann aber nicht mehr zugegriffen werden auf dem neunen Server, wenn man beispielsweise in die Dömänen Richtlienien will, ist dies nicht möglich, da Folgende Meldung kommt:
"Die Gruppenrichtlienien konnten nicht geöffnet werden, sie verfügen möglicherweise nicht über die erfolderlichen Rechte" , darunter: "Es konnte keine Verbindung zur Domäne hergestellt werden" , wobei aber die letzere Meldung etwas trügerisch erscheint, da sowohl die Domäne als auch der DC vorhanden, und zugänglich sind.

Das Problem ist also SAM.

Nun habe ich versucht die SAM duch Einsatz des NTDSUTIL zu analysieren, aber es kommt die Meldung das keine Verbindung zu einem SAM-Server bestünde.
Wenn ich mich erst (Obwohl ich NTDSUTIL lokal ausführe) mit dem Server verbinden (wie gesagt der einzige DC), und dann z.B. nach SAM nach dublizierten SIDs checke, ist die log leer (was auch heißen könnte das es einfach keine doppelten SIDs gibt) aber zumindest kein Fehler.

Da ich in Sachen AD nicht wirklich 100% bewandert bin, weiss ich nun noch nicht wie ich dieses Problem lösen kann, oder wie ich zumindest die SAM irgendwie analysieren kann.

Vielleicht hatte jemand von euch schonmal einen ähnlichen Fall, oder zumindest mehr Erfahrung in Sachen DC,
auf jeden Fall währe ich für jede Hilfe dankbar.

mfg,
Jan W.

Content-Key: 4755

Url: https://administrator.de/contentid/4755

Ausgedruckt am: 16.09.2021 um 21:09 Uhr

Mitglied: Atti58
Atti58 12.12.2004 um 13:05:04 Uhr
Goto Top
Hast Du auch den "globalen Katalog" und die anderen vier "roles" (Schemen-, Domain Naming Operation-, RID- und Infrastructuremaster) auf den neuen DC übertragen? Wenn nicht, hilft Dir vielleicht der folgende Beitrag weiter:

http://support.microsoft.com/default.aspx?scid=kb;de;255504

Gruß

Atti
Mitglied: JanW
JanW 12.12.2004 um 13:07:36 Uhr
Goto Top
Nachtrag:

Ich habe zum testen in einer anderen Domäne einen weiteren DC aufgesetzt.
Und obwohl nun beide DCs da sind, und laufen (die DCs haben übrigens rein garnichts mit der Oben gennanten Domäne gemein, sind in einem ganz anderen Netzwerk) komme ich zwar auf dem Ersten DC problemlos in die Gruppen Richtlienen füs Ad usw., auf dem zweiten DC bekomme ich aber den genau gleichen Fehler wie schon oben beschrieben.

Kann es sein das ich irgendwas übersehe, oder das es an der Fehlkonfiguration von irgendetwas liegen könnte?

mfg,
Jan W.
Mitglied: Atti58
Atti58 12.12.2004 um 13:14:10 Uhr
Goto Top
... das sieht mir nach einem DNS-Problem aus, wie hast Du denn DNS konfiguriert?

Gruß

Atti
Mitglied: JanW
JanW 12.12.2004 um 13:53:59 Uhr
Goto Top
Danke für den Tipp ;) Aber der DNS war es nicht.
Den habe ich (so denke ich) richtig konfiguriert, nachdem ich damit schon recht viel Erfahrung gesammelt habe.

Ich konnte das Problem derweil selber lösen, und falls jemand selbiges Problem auch haben sollte, diese 2 MS Kb Einträge sollten helfen http://support.microsoft.com/kb/216498 ; http://support.microsoft.com/default.aspx?scid=kb;en-us;255504 (Der Frühere DC war nicht komplett demotet durch dcpromo und die FSMO Rollen waren somit nicht alle auf den DC jetzt übertragen.
Allerdings ist äußerste Vorsicht bei dem Entfernen der Überreste des eines alten DCs aus dem AC geboten, denn man kann, fals man was falsch macht, den Server zerstören, bzw das AD.

gruß,
Jan W.
Mitglied: Atti58
Atti58 12.12.2004 um 19:49:50 Uhr
Goto Top
... dann lag ich ja mit meinem ersten Kommentar gar nicht so schlecht ;-) face-wink , das ist nämlich genau die deutsche Übersetzung Deines zweiten Liks :-) face-smile :-) face-smile ...

Prima, dass es funktioniert hat,

Gruß

Atti.
Mitglied: JanW
JanW 13.12.2004 um 19:57:04 Uhr
Goto Top
Ach, ich hatte den ersten Beitrag ganz übersehen (war ein echt hartes Wochenende ;) ),
hätte ich ihn gleich gesehen gehabt, hätte ich mir viel Sucharbeit gespart ;)

Die Server laufen wieder, die Software die noch so laufen muss, macht auch keine Faxen mehr, ich bin echt glücklich.

Auf jeden Fall vielen Dank für deine Hilfe,

Gruß,
Jan W.
Mitglied: Atti58
Atti58 13.12.2004 um 21:15:28 Uhr
Goto Top
... solche Wochenenden kenne ich auch nur zu gut ;-) face-wink ... na, Hauptsache, die Kisten vesehen wieder ihren Dienst, dann hat der Einsatz sich wenigstens gelohnt :-) face-smile :-) face-smile ...

Gruß

Atti
Heiß diskutierte Beiträge
info
Israelische Sicherheitsfirma kauft im großen Stil VPN-AnbieterLochkartenstanzerVor 1 TagInformationErkennung und -Abwehr15 Kommentare

Moin, Weil viel hier meinen, sie nutzen einen VPN-Anbieter im Ausland, um sich vor den "Behörden" zu verstecken. Die israelische Sicherheitsfirma Kape Securities kauf im ...

question
Netzwerkstruktur für ein Unternehmen errichtennasir21Vor 1 TagFrageNetzwerke18 Kommentare

Hallo liebes Forum :) Ich habe eine Ausbildung zum Fachinformatiker für Systemintegration gestartet und nun auch meine erste, kleine Projektaufgabe erhalten. Die Aufgabenstellung lautet wie ...

question
Drucker Gäste WLANmarkaurelVor 1 TagFrageLAN, WAN, Wireless23 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab in einer kleinen Schule ein LAN aufgebaut. Mit der Zeit kam natürlich auch der Bedarf an ...

question
Virtualisierungsprojekt für die FacharbeitVentimonusVor 1 TagFrageVirtualisierung15 Kommentare

Heyho, Ich habe mal ein paar fragen, bezüglich meines Abschlussprojektes, ob das alles überhaupt so Sinnig ist wie ich es mir denke. Kurz zur Erläuterung: ...

question
Welcher Harddisk Typ und welches Raid in ServerMazenauerVor 1 TagFrageServer-Hardware21 Kommentare

Grüezi zusammen Was würdet ihr - stand heute und jetzt - für einen Raid Typ erstellen und mit was für Disks? Wünschenswert wäre Ausfallsicherheit von ...

general
HomeServer noch mal anfassen?dertowaVor 12 StundenAllgemeinServer-Hardware20 Kommentare

Hallo zusammen, erst im Juli dieses Jahres habe ich mein Homeserver-System angefasst und ein paar Upgrades vorgenommen. Der Threadripper 1920x wurde durch einen Ryzen 5 ...

general
Backup "to go" für Laptops - wie macht ihr das? gelöst GrinskeksVor 1 TagAllgemeinBackup11 Kommentare

Hallo zusammen, ich frage mich gerade wie ihr das Thema Laptop und Backup angeht. Bei uns sollen nun einige Laptops angeschafft werden und ich tendiere ...

question
An Konsole geht der Root Account über SSH Permission denieditnirvanaVor 1 TagFrageUbuntu17 Kommentare

Hallo, wenn ich bei Ubuntu 16.04 über SSH einlogge, kommt Permission denied. Bin ich aber direct an der Konsole im VMWARE geht der Root User. ...