Samstag, 19. Januar 2013

Active-Directory

Lange habe ich es vor mir hergeschoben. Nun ist auch der Artikel "Active-Directory", der ursprünglich aus dem Jahr 2000 stammte, überarbeitet.

Er hat eine ordentliche Besuchezahl, ich hoffe so gefällt er dem Publikum noch etwas besser.

Zum Artikel geht es hier.

FSMO-Rollen

So, gerade habe ich einen ziemlich alten Artikel von mir nochmal überarbeitet.

Betriebsmasterrollen / FSMO
  • Wofür sind sie da?
  • Wie stelle ich fest wo sie sind?
  • Wie kann ich sie migrieren?
Link: http://www.it-zeugs.de/index.php?id=254

Dienstag, 15. Januar 2013

Die _mscds-Zone im Active Directory DNS

Auch  Standardanwendungs-Verzeichnispartition

Noch unter Windows Server 2000 war die Zone nur eine Unterzone von der jeweiligen Domain-Zone.

DCPROMO macht ab Windows Server 2003 automatisch eine separate Zone. Es hat den Hintergrund, dass die Global Catalogs des Forests nur in dieser Zone der Stammdomäne der Gesamtstruktur vorhanden sind.
Ein DC in einer möglichen Subdomain müsste sonst immer die Zone der RootDomain erreichen, um einen GC zu finden. Wenn diese aus Netzwerkgründen nicht erreichbar ist, hat der DC der Subdomain dann ein Problem den GCs zu finden.
Deshalb wird diese Zone bei 2003 als eigenständige Zone eingerichtet und auf alle DCs der Gesamtstruktur repliziert. Damit kennt jeder DC im gesamten Forest alle GCs.

Letzter Absatz fast wörtlich geklaut bei GRIZZLY999 aus dem Thread http://www.mcseboard.de/topic/75414-msdcs-zone-als-eigene-forward-lookup-zone/

Eine gute Erklärung für die _mscds Zone findet sich unter What's the DNS _msdcs zone for the forest root domain used for?

Zusammengefasst kann man sagen, dass diese Zone den Standort der AD-Dienste angibt.

Mehr Infos zu DNS unter http://www.it-zeugs.de/index.php?id=282

Sonntag, 13. Januar 2013

Lose Sammlung zu AD Replikation und Behebung von Problemen

When good Domain Controllers go bad!

http://www.virtuallyimpossible.co.uk/when-good-domain-controllers-go-bad

-----------  

Diagnose

ipconfig /all
repadmin /showrepl
dcdiag /v

netdiag /fix - behebt möglicherweise einige Fehler

Description of the Netdiag /fix Switch http://support.microsoft.com/kb/219289/en-us

-----------  

-----------  
Replikation: Standorte & Standortverknüpfungsbrücken http://www.faq-o-matic.net/2005/02/15/replikation-standorte-standortverknuepfungsbruecken/

----------- 

Beheben von Fehlern bei der RPC-Endpunktzuordnung http://support.microsoft.com/kb/839880

----------- 

repadmin /showreps - zeigt Replikationsstatus an

-----------

Von http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/Q_21144152.html

repadmin /showreps

"I had a similar problem.  I turned out that the secure channel between the two domain controllers (mine happened to be in different sites) had been corrupted.   Try the following steps to see if this is your issue and then how to fix.

If you have 2 Active Directory Servers that are not replicating, ServerA & ServerB, try the following:

From ServerA, go to Start -> Run and type:  \\ServerB
From ServerB, go to Start -> Run and type:  \\ServerA

If  from ServerA you get and error message indicating that the target name is incorrent, then the the secure channel has been corrupted.  Same Vice-Versa.  You will also see error messages in replmon and repadmin debug indicating that the target is invalid as well.

In My case, I could not get to \\ServerB from ServerA.  The Secure channel on ServerA for ServerB had been corrupted and I had to reset it.  I had to perform the following steps to fix the problem:

a.  Stop the Kerberos Key Distribution Center (KDC) service, and then set it to Manual startup.
b.  Run the netdom command:

resetpwd /server:replication_partner_server_name /userd:domain_name\admin_user /passwordd:*

c.  Restart the computer, start the KDC, and then set it back to Automatic startup.


These commands can be found in the following Microsoft KB:

http://support.microsoft.com/default.aspx?scid=kb;en-us;329721

Hope this helps some one!"

---------------------------------------
http://www.mcseboard.de/topic/164275-ntds-kcc-fehler-bei-sbs-2008-migration/

---------------------------------------

http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/ed88e45c-e786-4309-9606-fc4755a27ed1/

---------------------------------------
---------------------------------------
Dritter DC mag nicht replizieren

---------------------------------------
Wie kann man kontrollieren, ob ein Domänencontroller auf dem der globale Katalog aktiviert wurde, auch als solcher agiert? http://blog.dikmenoglu.de/PermaLink,guid,a13c0d2f-4214-4c97-b66e-0828feb91436.aspx

---------------------------------------

http://support.microsoft.com/kb/2459530

---------------------------------------

http://www.bhcblog.com/2009/04/23/fixing-active-directory-dns-_msdcs-_sites-_tcp-_udp

---------------------------------------

http://blog.dikmenoglu.de/Dom%C3%A4nencontroller+Diagnose+Mit+NETDIAG.aspx