W2K Domäne auf W2K03 Domäne migriert

1. offizieller Beitrag

    Hallo,


    nach erheblichen Problemen habe ich es endlich geschafft einen Server 2003 zum DC zu machen. Nach der Migration der AD Daten und dem Neustart läuft der Server als DC. Folgendes Problem habe ich noch: Nach dem ersten Reboot wollte ich mir die eventlogs ansehen. Leider wird mir bei allen ausser der Sicherheit der "Zugriff verweigert" (Angemeldet al Dom Admin). Auf das Verzeichnis in dem die *.evt Dateien liegen kann ich zugreifen. Wer kann hier weiterhelfen?


    Danke und Gruss


    Micha

    Gruss




    Atamiga

    Arbeitsplatz/Verwaltung oder direkt über eventvwr. Beim Zugriff erhalte ich die Fehlermeldung "Zugriff verweigert".


    Als Vorgeschichte:


    ich habe die Domäne gepreppt. Einmal von der Exchange 2003 CD über "setup /forestprep und setup /domainprep" und hiernach das gleiche von der Server 2003 cd mit adprep.
    Danach wollte ich den Server 2003 zum DC hochstufen und bin jedesmal an der Fehlermeldung gescheitert das das Computerkonto nicht zum Domänencontrollerkonto geändert werden konnte. Wieder mit der Fehlermeldung "Zugriff verweigert". Der Vorgang lief anfangs erfolgreich ab. D.h. die AD Objekte wurden repliziert und der DC war im Standort vorhanden. Jedoch war dieser halt kein Domänencontroller. Nach dem suchen in dem Forum bin ich auf einen Artikel gestossen der mich zum KB Artikel verwies. Als ich dann anhand des Artikel die Default Domain Policy anpasste und die Administratoren hier aufgenommen habe (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird) konnte ich den Server zum DC machen. Allerdings habe ich vor einige erfolglose versuche unternommen und den Server immer aus dem Standort wieder gelöscht.


    Vieleicht ist es sinnvoll den DC wieder herunterzustufen und anschliessend neu aufzusetzen damit dieser "sauber" ist. Was meinst Du?

    Gruss




    Atamiga

    • Offizieller Beitrag

    Hallo,


    lief denn das adprep ohne Fehler?


    Auch ich würde den Server mit dcpromo wieder herunterstufen.


    Dann auf dem vorhandenen DC mit adsiedt nachsehen, ob Reste da sind.


    Diese ggf. entfernen.


    Ich würde sogar eine komplette Neuinstallation des W2K3 in Betracht ziehen.


    In dem jetzigen Zustand auf keien Fall in die Produvtive Umgebung einbinden!


    Hast du schon FSMO-Rollen übertragen?


    Lass mal das dcdiag aus dem Res-Kit laufen.


    :)

    Sysprep lief jeweils ohne Fehler durch. Die komplette Neuistallation habe ich ebenfalls in betracht gezogen da der Server noch nicht produktiv ist und keine Rollen hat. Die Installation ist verhunzt. Schuld daran sind bestimmt meine vergeblichen versuche ihn zum DC zu machen.

    Gruss




    Atamiga

    alles Erledigt: Ein neu aufsetzen brachte allerdings das gleiche Fehlerbild. Woran lags? Mein Vorgänger hatte die Grupppe der Benutzer in die Gast-Domänengruppe aufgenommen. Dadurch wurde mir der Zugriff verweigert. Nach dem entfernen der Gruppe aus dieser war dann alles o.k. Ich konnte jetzt weitere Fehler in den Events sehen und beheben.


    z.b.



    1. Identifizieren Sie das Konto, für das die SID nicht aufgelöst werden konnte


    -Weitere Hilfe zu diesem Problem finden Sie unter -http://support.microsoft.com. Suchen Sie dort in der -englischen Knowledge Base nach "troubleshooting 1202 -events".


    -Fehler 0x534 tritt auf, wenn ein Benutzerkonto in einem -oder mehreren Gruppenrichtlinienobjekten nicht in eine -SID aufgelöst werden konnte. Dieser Fehler wurde -möglicherweise dadurch verursacht, dass ein in -"Benutzerrechte" oder "Eingeschränkte Gruppen" -referenziertes Benutzerkonto falsch geschrieben oder -gelöscht wurde. Wenn Sie dieses Ereignis auflösen -möchten, wenden Sie sich einen Administrator und führen -folgende Schritte aus:


    lag daran das in den "Default domain controller policy" auf der OU Domänencontroller in den Lokalen Sicherheitsrichtlienen der "Hauptbenutzer" eingefügt war.
    Den gibts ja als Domänengruppe nicht. Dieser Fehler trat alle 5 min auf. Nach dem entfernen war auch dieser Fehler behoben. Weiterhine noch ein anderes Problem:


    -MS DTC konnte das Höher-/Tieferstufen eines -Domänencontrollers nicht ordnungsgemäss verarbeiten.


    In den Komponentendiensten hebe ich dann dieses Problem behoben. Lösung:


    1. Click Start -> Administrative Tools -> Component Services.
    2. Click the "+" next to Component services to expand it.
    3. Right click "My Computer" in the right window pane and select Properties.
    4. Click the MS DTC Tab.
    5. Click the "Security Configuration" button, a dialog box appears. Click "OK".
    6. Click "OK" on the "My Computer Properties" box; this will take you back to the console.
    7. Right click "My Computer" and select "Stop MS DTC" (this stops the MSDTC service.
    8. Again, right click "My Computer" and select "Start MS DTC".
    By following the above steps, it appears that this sets the MS DTC defaults resolving the error messages. Check the event log to verify that the problem is gone. You might also want to restart the server to verify this.


    jetzt bin ich schon mal gespannt was passiert wenn ich den Exchange installiere......


    Danke an alle die sich beteiligt haben. Ich lese einige Foren bin aber der Meinung das dieses hier sehr sachlich diskutiert wird und vor allem sich kompetente Leute hier beteiligen. Weiterhin wird man nicht angemeckert wenn Fragen gestellt werden die vieleicht für andere alltäglich sind....


    Wie kann ich ein Thema als erledigt markieren?

    Gruss




    Atamiga