3
W2k8-DC in W2k3-Domäne mit E2k7 verursacht Probleme bei gpprep
Veränderte Kennwortrichtlinien durch gpprep verursachen Anmeldeprobleme auf IMAP-Konten
Hallo.
Folgendes Szenarium:
Es gibt einen W2k3-DC (Windows Server 2003 R2 64-bit), auf dem E2k7 (Exchange Server 2007 SP1) installiert ist.
Die Domäne soll mit 2 W2k8-DC´s aktualisiert werden.
Die Ausführung von 'adprep /forestprep' und 'adprep /domainprep /gpprep' auf dem W2k3-DC war erfolgreich.
Es gab keine Fehlermeldungen.
Danach aber fingen die Probleme erst an.
1. Wurden durch gpprep die Kennwortrichtlinien insoweit geändert, das die vorher, einfacheren, Richtlinien überschrieben wurden.
Dadurch gab es dann das Problem, das User nicht mehr auf ihre IMAP-Konten auf dem E2k7 zugreifen konnten.
Nach manueller Änderung der Kennwortrichtlinien ging das dann wieder.
Meine Frage ist nun: Können die W2k8-DC´s korrekt weiterlaufen? Momentan habe ich beide jedoch deaktiviert.
2. Nach Übertragung des GC (globalen Katalogs) hat sich der Exchange-Server komplett verabschiedet und die Exchange-Dienste liessen sich nicht mehr starten.
Laut MS ist es ja so vorgesehen, das der GC nicht gleichzeitig auf dem Infrastrukut-Betriebsmaster laufen darf.
Dem habe ich Rechnung getragen, indem ich den GC auf dem W2k3 deaktiviert habe und halt auf einem W2k8 aktiviert habe.
Dadurch entstand das o.g. Chaos. Nachdem ich dann aber wieder den GC auf dem W2k3 aktiviert habe, lief zum Glück auch wieder der Exchange.
Meine Frage dazu: Wie kann die Verschiebung des GC solche Auswirkungen auf den Exchange haben?
3. Habe ich testweise mal auf einem W2k8-DC ein AD-Objekt erstellt, welches jedoch nicht auf den W2k3-DC repliziert wurde, auch nach sehr langer Wartezeit (30-60 Minuten).
4. Habe ich nun große Sorgen, die W2k8-DC´s wieder zu reaktivieren, da ich befürchten muss, das das tägliche Geschäft dadurch zu sehr in Mitleidenschaft gezogen wird.
Und das ist das wichtigste, IT muss zwar auch laufen, aber das Geschäft ist wichtiger.
Wie würdet ihr vorgehen, um eine reibungslose Migration bzw. Aktualisierung vorzunehmen?
Vielen Dank für etwaige Antworten,
Grüße, Michael
Hallo.
Folgendes Szenarium:
Es gibt einen W2k3-DC (Windows Server 2003 R2 64-bit), auf dem E2k7 (Exchange Server 2007 SP1) installiert ist.
Die Domäne soll mit 2 W2k8-DC´s aktualisiert werden.
Die Ausführung von 'adprep /forestprep' und 'adprep /domainprep /gpprep' auf dem W2k3-DC war erfolgreich.
Es gab keine Fehlermeldungen.
Danach aber fingen die Probleme erst an.
1. Wurden durch gpprep die Kennwortrichtlinien insoweit geändert, das die vorher, einfacheren, Richtlinien überschrieben wurden.
Dadurch gab es dann das Problem, das User nicht mehr auf ihre IMAP-Konten auf dem E2k7 zugreifen konnten.
Nach manueller Änderung der Kennwortrichtlinien ging das dann wieder.
Meine Frage ist nun: Können die W2k8-DC´s korrekt weiterlaufen? Momentan habe ich beide jedoch deaktiviert.
2. Nach Übertragung des GC (globalen Katalogs) hat sich der Exchange-Server komplett verabschiedet und die Exchange-Dienste liessen sich nicht mehr starten.
Laut MS ist es ja so vorgesehen, das der GC nicht gleichzeitig auf dem Infrastrukut-Betriebsmaster laufen darf.
Dem habe ich Rechnung getragen, indem ich den GC auf dem W2k3 deaktiviert habe und halt auf einem W2k8 aktiviert habe.
Dadurch entstand das o.g. Chaos. Nachdem ich dann aber wieder den GC auf dem W2k3 aktiviert habe, lief zum Glück auch wieder der Exchange.
Meine Frage dazu: Wie kann die Verschiebung des GC solche Auswirkungen auf den Exchange haben?
3. Habe ich testweise mal auf einem W2k8-DC ein AD-Objekt erstellt, welches jedoch nicht auf den W2k3-DC repliziert wurde, auch nach sehr langer Wartezeit (30-60 Minuten).
4. Habe ich nun große Sorgen, die W2k8-DC´s wieder zu reaktivieren, da ich befürchten muss, das das tägliche Geschäft dadurch zu sehr in Mitleidenschaft gezogen wird.
Und das ist das wichtigste, IT muss zwar auch laufen, aber das Geschäft ist wichtiger.
Wie würdet ihr vorgehen, um eine reibungslose Migration bzw. Aktualisierung vorzunehmen?
Vielen Dank für etwaige Antworten,
Grüße, Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 134223
Url: https://administrator.de/contentid/134223
Ausgedruckt am: 20.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Salve,
deine Wahrnehmung trügt, denn /GPPREP ändert keineswegs irgendwelche Einstellungen in der Kennwortrichtlinie. Das Ausführen von "/GPPREP" bewirkt
nichts anderes, als das lediglich zusätzliche vererbbare Zugriffssteuerungseinträge (ACEs) für Gruppenrichtlinienobjekte im SYSVOL Verzeichnis hinzugefügt werden.
Ja, klar. Warum sollten sie es denn nicht.
Doch, der GC darf auch auf dem Infrastrukturmaster aktiviert werden.
Aber nur dann, wenn auf allen DCs der Domäne der GC aktiviert wird.
Daher ist es in den meisten Umgebungen empfehlenswert, auf jedem DC den GC zu aktivieren.
[LDAP:Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx
Weil z.B. der 2008er DC noch nicht als GC bereit war.
[LDAP:Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
Befinden sich die 2003er und 2008er DCs am gleichen AD-Standort? Falls nein, dauert es standardmäßig 180 Minuten bis die standortübergreifende AD-Replikation stattgefunden hat.
Ansonsten kontrolliere das Eventlog. Da müssen Hinweise stehen. Elementar für das AD ist das DNS.
Denn bevor ein DC eine Replikation durchführt, führt er als erstes ein DNS-Lookup durch und stellt somit zwei Dinge sicher:
1. Das die Namensauflösung funktioniert und
2. das der Replikationspartner online und erreichbar ist.
Solange die 2003er DCs noch laufen, hat sich ja in der Umgebung kaum was geändert.
Du solltest die IST-Situation mit laufenden 2008er DCs überprüfen. Eventlog und DCDIAG sollten erste Ansätze liefern.
Viele Grüße
/ > Yusuf Dikmenoglu
Zitat von @mike1969:
1. Wurden durch gpprep die Kennwortrichtlinien insoweit geändert, das die vorher, einfacheren, Richtlinien überschrieben wurden.
1. Wurden durch gpprep die Kennwortrichtlinien insoweit geändert, das die vorher, einfacheren, Richtlinien überschrieben wurden.
deine Wahrnehmung trügt, denn /GPPREP ändert keineswegs irgendwelche Einstellungen in der Kennwortrichtlinie. Das Ausführen von "/GPPREP" bewirkt
nichts anderes, als das lediglich zusätzliche vererbbare Zugriffssteuerungseinträge (ACEs) für Gruppenrichtlinienobjekte im SYSVOL Verzeichnis hinzugefügt werden.
Meine Frage ist nun: Können die W2k8-DC´s korrekt weiterlaufen?
Ja, klar. Warum sollten sie es denn nicht.
Laut MS ist es ja so vorgesehen, das der GC nicht gleichzeitig auf dem Infrastrukut-Betriebsmaster laufen darf.
Doch, der GC darf auch auf dem Infrastrukturmaster aktiviert werden.
Aber nur dann, wenn auf allen DCs der Domäne der GC aktiviert wird.
Daher ist es in den meisten Umgebungen empfehlenswert, auf jedem DC den GC zu aktivieren.
[LDAP:Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx
Meine Frage dazu: Wie kann die Verschiebung des GC solche Auswirkungen auf den Exchange haben?
Weil z.B. der 2008er DC noch nicht als GC bereit war.
[LDAP:Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/Globaler+Katalog+Sein+Oder+Nicht+Sein.aspx
3. Habe ich testweise mal auf einem W2k8-DC ein AD-Objekt erstellt, welches jedoch nicht auf den W2k3-DC repliziert wurde, auch
nach sehr langer Wartezeit (30-60 Minuten).
nach sehr langer Wartezeit (30-60 Minuten).
Befinden sich die 2003er und 2008er DCs am gleichen AD-Standort? Falls nein, dauert es standardmäßig 180 Minuten bis die standortübergreifende AD-Replikation stattgefunden hat.
Ansonsten kontrolliere das Eventlog. Da müssen Hinweise stehen. Elementar für das AD ist das DNS.
Denn bevor ein DC eine Replikation durchführt, führt er als erstes ein DNS-Lookup durch und stellt somit zwei Dinge sicher:
1. Das die Namensauflösung funktioniert und
2. das der Replikationspartner online und erreichbar ist.
4. Habe ich nun große Sorgen, die W2k8-DC´s wieder zu reaktivieren, da ich befürchten muss, das das tägliche
Geschäft dadurch zu sehr in Mitleidenschaft gezogen wird.
Geschäft dadurch zu sehr in Mitleidenschaft gezogen wird.
Solange die 2003er DCs noch laufen, hat sich ja in der Umgebung kaum was geändert.
Wie würdet ihr vorgehen, um eine reibungslose Migration bzw. Aktualisierung vorzunehmen?
Du solltest die IST-Situation mit laufenden 2008er DCs überprüfen. Eventlog und DCDIAG sollten erste Ansätze liefern.
Viele Grüße
/ > Yusuf Dikmenoglu
Hi Yusuf.
Entschuldige bitte meine verspätete Antwort, aber mein Problem ist auch nicht so zeitkritisch.
Und auch erst einmal ein großes Lob für deine Blog-Seite. Du bist ja eine wahre Ikone auf dem Gebiet Windows Server und AD.
Nun zu meinem Problem:
Nachdem ich ja die W2k8-DC´s deaktiviert habe, den GC auf dem Exchange-Server wieder aktiviert habe und die Kennwortrichtlinien wieder manuell zurückgesetzt habe lief erstmal wieder alles.
Wenn die Kennwortrichtlinien nicht durch 'gpprep' verändert wurden, wurden sie dann allein durch die Aktualisierung des AD-Schemas auf Version 44 verändert?
Habe nun wieder beide W2k8-DC´s reaktiviert, jedoch ohne GC-Aktivierung.
Namensauflösung mit nslookup klappt.
Replizierung klappt leider nur in eine Richtung, und zwar vom W2k3-DC in Richtung W2k8-DC´s aber nicht umgekehrt.
Außerdem wurden die NTDS-Settings unter 'AD-Sites- and Services' nicht auf dem W2k3-DC erstellt, auf den W2k8-DC´s aber schon.
Ich vermute, das, wenn ich die NTDS-Settings manuell auf dem W2k3-DC erstelle auch die Replikation klappt.
Krass finde ich auch die Beendigung der Exchange-Dienste, nur wegen der Verschiebung des GC, wenns denn der Grund dafür war, was ich vermute.
Grund für diese Aktion ist, das ich hier am Standort ein AD aufbauen soll. Bisher läuft größtenteils alles auf Sambauser- und freigaben.
Der Exchange war im Grunde genommen nur für die Anbindung von Blackberry-Usern. Da aber schon ca. 50 davon im bisherigen AD eingetragen sind, wollte ich es mir ein wenig einfacher machen und statt 150 neue Konten halt nur noch 100 neue Konten einzurichten. Der DNS- und Domänenname war auch schon genau das, was gewünscht wird.
Außerdem ist die Einbindung der Exchange-DB´s um so einfacher, wenn dann auch noch ein neuer E2k7 oder E2k10 kommt.
Alternative wäre eine komplett neue Domäne gewesen.
Bis denne und nochmals vielen Dank,
Michael Böth
Entschuldige bitte meine verspätete Antwort, aber mein Problem ist auch nicht so zeitkritisch.
Und auch erst einmal ein großes Lob für deine Blog-Seite. Du bist ja eine wahre Ikone auf dem Gebiet Windows Server und AD.
Nun zu meinem Problem:
Nachdem ich ja die W2k8-DC´s deaktiviert habe, den GC auf dem Exchange-Server wieder aktiviert habe und die Kennwortrichtlinien wieder manuell zurückgesetzt habe lief erstmal wieder alles.
Wenn die Kennwortrichtlinien nicht durch 'gpprep' verändert wurden, wurden sie dann allein durch die Aktualisierung des AD-Schemas auf Version 44 verändert?
Habe nun wieder beide W2k8-DC´s reaktiviert, jedoch ohne GC-Aktivierung.
Namensauflösung mit nslookup klappt.
Replizierung klappt leider nur in eine Richtung, und zwar vom W2k3-DC in Richtung W2k8-DC´s aber nicht umgekehrt.
Außerdem wurden die NTDS-Settings unter 'AD-Sites- and Services' nicht auf dem W2k3-DC erstellt, auf den W2k8-DC´s aber schon.
Ich vermute, das, wenn ich die NTDS-Settings manuell auf dem W2k3-DC erstelle auch die Replikation klappt.
Krass finde ich auch die Beendigung der Exchange-Dienste, nur wegen der Verschiebung des GC, wenns denn der Grund dafür war, was ich vermute.
Grund für diese Aktion ist, das ich hier am Standort ein AD aufbauen soll. Bisher läuft größtenteils alles auf Sambauser- und freigaben.
Der Exchange war im Grunde genommen nur für die Anbindung von Blackberry-Usern. Da aber schon ca. 50 davon im bisherigen AD eingetragen sind, wollte ich es mir ein wenig einfacher machen und statt 150 neue Konten halt nur noch 100 neue Konten einzurichten. Der DNS- und Domänenname war auch schon genau das, was gewünscht wird.
Außerdem ist die Einbindung der Exchange-DB´s um so einfacher, wenn dann auch noch ein neuer E2k7 oder E2k10 kommt.
Alternative wäre eine komplett neue Domäne gewesen.
Bis denne und nochmals vielen Dank,
Michael Böth
Danke sehr.
Du bist ja eine wahre Ikone auf dem Gebiet Windows Server und AD.
Wenn dir eines Tages eine /echte/ Ikone über den Weg läuft, sag mir bescheid.
Wenn die Kennwortrichtlinien nicht durch 'gpprep' verändert wurden, wurden sie dann allein durch die Aktualisierung
des AD-Schemas auf Version 44 verändert?
des AD-Schemas auf Version 44 verändert?
Nein, keineswegs. Beim ausführen von ADPREP werden neue Attribute sowie Klassen dem AD-Schema hinzugefügt und/oder es werden ggf. bestehende Attribute bzw. Klassen
oder deren Berechtigungen geändert. Aber es werden nicht die Einstellungen der Kennwortrichtlinie manipuliert. Das wäre ja noch schöner!
Habe nun wieder beide W2k8-DC´s reaktiviert, jedoch ohne GC-Aktivierung.
Aktiviere ruhig auf beiden den GC. Das hat mit deinem "Problem" rein garnichts zu tun.
Replizierung klappt leider nur in eine Richtung, und zwar vom W2k3-DC in Richtung W2k8-DC´s aber nicht umgekehrt.
Das darf natürlich nicht sein. Steht in den TCP/IP-Einstellungen der 2008er DCs, die 2003er DCs als DNS-Server drin?
Falls nicht, konfiguriere das so.Ansonsten führe DCDIAG aus und überprüfe bzw. werte das Eventlog aus. Dort müsste ja dann "Karneval in Rio" sein.
Außerdem wurden die NTDS-Settings unter 'AD-Sites- and Services' nicht auf dem W2k3-DC erstellt,
auf den W2k8-DC´s aber schon.
auf den W2k8-DC´s aber schon.
Das könnte am DNS liegen. Befindet sich die Forward Lookup Zone im AD und wurde diese auch auf die 2008er DCs repliziert?
Ich vermute, das, wenn ich die NTDS-Settings manuell auf dem W2k3-DC erstelle auch die Replikation klappt.
Das könntest du zwar machen, aber scheinbar liegt noch ein Problem vor. Denn die Verbindungsobjekte
müssten automatisch erzeugt werden, wenn alles in Ordnung wäre. Daher solltest du das Problem beseitigen.
Ansonsten wirst du in der Zukunft immer wieder darüber stolpern.
Krass finde ich auch die Beendigung der Exchange-Dienste, nur wegen der Verschiebung des GC,
wenns denn der Grund dafür war, was ich vermute.
wenns denn der Grund dafür war, was ich vermute.
Exchange ist in dieser Hinicht "sehr penibel". Die kleinste etwaige Veränderung und Exchange stellt seine Dienste ein.
Überprüfe auch, ob die DCs auch tatsächlich als GCs fungieren. Benutze zum verifizieren den folgenden Artikel:
[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/PermaLink,guid,a13c0d2f-4214-4c97-b66e-0828fe ...
Außerdem ist die Einbindung der Exchange-DB´s um so einfacher, wenn dann auch noch ein neuer E2k7 oder E2k10 kommt.
Ganz genau. Probleme sind dazu da, beseitigt zu werden. Abgesehen davon, die Probleme die scheinbar bei dir existieren sind nicht die Welt.
Da gibt es weitaus schlimmere.
Alternative wäre eine komplett neue Domäne gewesen.
Ne nee... das wäre zu einfach. Troubleshooting lautet die Devise und dabei ist der Lerneffekt enorm.
Gruß, Yusuf
