"Sicherheitsrichtlinien werden übernommen" - teilw. 10min lang

JangoJarango · 9. Mai 2006

also ich glaube inzwischen auch, dass die probleme bei den FSMO rollen liegen - hab zufällig ein script gefunden, das feststellen soll, auf welchen server welche fsmo-rollen verteilt sind, das zeigt dann aber sowohl bei schema- als auch PDC-server "offline an."

hab mich dann ein wenig in das thema eingelesen und nachgesehen wie ich diese rollen evtl neu verteilen könnte, aber lt. server sind sie schon au dem, dem ich sie geben möchte...

wenn ich ADSI Edit ausführe wird aber der andere (also der backup)-DC als Haupt-DC angegeben?

sehr seltsam, das

werd mich noch etwas umschauen, besten Dank jedenfalls für den Tipp!

kroewing · 9. Mai 2006

Hi,

verschiebe die FSMO Rollen doch alle mal auf einen anderen Server.

Schau ob es dann geht und verteile diese dann nach Deinen Anforderungen.

Wenn Du uns mehr über deine Domänenstruktur und die Anzahl der DC / GC (mit Version) schreibst, können wir Dich darin unterstützen.

Gruss
Heinz

JangoJarango · 12. Mai 2006

hallo!

was ist denn ein GC?

wollte soeben die FSMO-rollen übertragen, aber die schaltfläche 'ändern' beim übertragen des schema-masters ist ausgegraut - woran kann das liegen?

NobbyausHB · 12. Mai 2006

Hi,

GC=Global Catalog.

Hast du alle Rechte?

Das übertragen wird auf dem Zielserver angeschoben,
der "holt" sich quasi die Rolle.

JangoJarango · 14. Mai 2006

Zitat

Nobby schrieb:
Hast du alle Rechte?

jawohl!

/edit: hab mich geirrt, war nicht berechtigt *g* FSMO-rollen sind jetzt alle am backup-DC

kroewing · 14. Mai 2006

Besteht der Problem nun noch immer?

Gruss
Heinz

JangoJarango · 15. Mai 2006

ja, leider (4h sonntagsarbeit umsonst..)

könnte es sein, dass die default- GPOs irgendwie beschädigt sind und deshalb die übertragung so lange dauert?!

NobbyausHB · 15. Mai 2006

Hi,

eher nicht.

http://www.nobbysweb.de/community/newbb/howto/095.pdf

Ich weiss, das frage ich immer, aber ist DNS/WINS korrekt?

Kannst du das mal überprüfen und dann wieder posten?
8-)

NobbyausHB · 15. Mai 2006

Hi,

nochwas, kannst mal den Expba herunterladen und laufen lassen:
http://www.microsoft.com/downl…ddbd258df3&displaylang=en

Geht auch an einem Client, muss aber .net drauf sein.
8-)

BitFlip · 15. Mai 2006

Hi,
du solltest sicherstellen, dass neben DNS und WINS auch die Zeitsynchronisierung der W2k3-Domäne funktioniert. Über den Windows-Zeitgeberdienst wird die Systemzeit der gesamten Domäne [des gesamten Forests] synchronisiert. Dies geschieht aufgrund der Verwendung von Kerberos als primärem Authentifizierungsprotokoll innerhalb des AD. Kerberos arbeitet auf Basis eines Ticketsystems, wobei Clients bei Serveranfragen ein Ticket vom Server erhalten, welches nur bestimmte Zeit gültig ist. Da es sich hier um zeitkritische Aktionen handelt, müssen die Systemzeiten der beteiligten Maschinen so akkurat wie möglich synchronisiert sein. Dies erledigt der Windows-Zeitgeberdienst automatisch. Dabei darf die Zeitabweichung in der Standardeinstellung maximal 5 Minuten [300 Sekunden] betragen. Weicht die Zeit des Clients weiter ab, wird dem Client nicht mehr vertraut [keine Kerberostickets ausgestellt] und es können solche Effekte wie in deiner Umgebung auftreten.

1. Voraussetzung für eine funktionierende Zeitsynchronisierung in der Domäne ist die Synchroniserung des PDC-Emulators der Domäne mit einer authoritativen Zeitquelle. Dies kann eine interne [der Server selbst], besser eine externe Quelle sein. Wie das geht liest du hier: http://support.microsoft.com/kb/816042/de
Eine gute Empfehlung als externe Zeitquelle ist pool.ntp.org, hier die deutsche Zone

2. Auf den Clients muss der Windows-Zeitgeberdienst gestart sein [Startart: Automatisch]

3. Willst du mit einer externen Zeitquelle arbeiten [EMPFOHLEN!], muss auf der Firewall eine Portfreigaberegel definiert werden:
Richtung: beidseitig [rein + raus]
Port: 123
Protokoll: UDP
Hosts intern: IPs aller W2k3-DCs [für den Fall, dass die FSMO PDC-Emulator mal verschben wird. Man vergisst gern die Firewall ;-)]
Hosts extern: any [oder die Adressen der verwendeten NTP-Server]

Teilen