Windows Server
Update KB5034439 mit Fehler 0x80070643
https://anreiter.at/windows-server-2022-update-kb5034439-mit-fehler-0x80070643/
FSMO Rollen übertragen
Die FSMO-Rollen per PowerShell übertragen Zunächst solltest Du überprüfen, welcher Server überhaupt der Inhaber welcher FSMO-Rolle ist. Hierfür öffnest Du die PowerShell mit administrativen Rechten (Rechtsklick – „als Administrator ausführen“) und gibst den Befehl netdom query fsmo ein. Nach einem kurzen Moment werden Dir die verschiedenen Rollen und deren Besitzer angezeigt:
PDC Emulator (0) RID Pool Manager (1) Infrastruktur Master (2) Domain Naming Master (3) Schema-Master (4)
Für den optimalen Fall, dass alle FSMO-Rollen auf einem noch funktionierenden Domänencontroller im Active Directory liegen, kannst Du mit dem folgenden Befehl die FSMO-Rollen per Powershell übertragen:
Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator
Alternativ kannst Du statt der Rollennamen auch die numerischen Werte (0-4, siehe oben) angeben. Der Befehl zum Verschieben der FSMO-Rollen wird damit noch einfacher:
Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4
Hierbei ist ersichtlich, dass Du die Rollen nicht wie bei dem Verschieben über die GUI direkt auf dem neuen Server übernehmen musst. Mit dem Parameter -Identity <ziel-DC> gibst Du den Server an, welcher der neue Inhaber werden soll. Der Befehl selbst kann von jedem DC aus abgesetzt werden. Auch per RSAT von einem Windows-Client.</ziel-
Verschieben der FSMO-Rollen erzwingen Solltest Du in der unglücklichen Lage stecken, dass alle oder einzelne Rollen auf einem nicht mehr erreichbaren Server liegen, kannst Du die Übernahme auch erzwingen. Hierbei ist zu beachten, dass der (alte) bisherige Inhaber der Rollen auf keinen Fall mehr mit dem Netzwerk verbunden werden darf.
Grund: Im genaueren Sinne werden die FSMO-Rollen hierbei nicht übertragen, sondern einfach die Inhaberinformationen neu erstellt und publiziert. Der alte Server bekommt hiervon natürlich nichts mit und würde sich anschließend ebenfalls als Inhaber der FSMO-Rollen im Netzwerk melden. Das dies unvorhersehbare Folgen hätte, sollte jedem klar sein.
Um die Übertragung der Rollen per Powershell zu erzwingen, brauchst Du an die obigen Befehle lediglich ein -force anhängen.
Z.B.:
Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4 -Force
Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole DomainNamingMaster Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole InfrastructureMaster Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole PDCEmulator Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole RIDMaster Move-ADDirectoryServerOperationMasterRole -Identity ADS-2016 -OperationMasterRole SchemaMaster
FSMO-Rollen übertragen
Das übertragen der Rollen wird mit ntdsutil und transfer durchgeführt.
In einigen Artikeln wird auch Seize verwendet. Seize dient dazu die Übernahme der Betriebsmasterrolle zu erzwingen z.B. weil der alte Domain Controller nicht mehr verfügbar ist (beschädigt, gelöscht).
Hier zeige ich den „normalen“ Weg auf wie die Rollen umgezogen werden können. Eine bestimmte Reihenfolge muss dabei nicht beachtet werden.
Ntdsutil Roles Connections Connect to Server Ziel-Server Q transfer Infrastructure Master transfer Naming Master transfer PDC transfer RID Master transfer Schema Master Q Q
Einem Server die Funktion »Globaler Katalog« zuweisen toptop
Der globale Katalog ist eine Verzeichnisdatenbank, die von Anwendungen und Clients zum Suchen eines beliebigen Objekts in einer Gesamtstruktur abgefragt werden kann. Genauer gesagt enthält ein globaler Katalog ein Replikat jedes Objekts in Active Directory, wobei jedoch nur eine begrenzte Anzahl der jeweiligen Objektattribute übernommen wird. Im globalen Katalog werden die in Suchvorgängen am häufigsten verwendeten Attribute (z.B. Vor- und Zuname des Benutzers) sowie die für das Auffinden eines vollständigen Objektreplikats benötigten Attribute gespeichert.
Der globale Katalog wird vom Replikationssystem Active Directory automatisch erstellt und auf einem oder mehreren Domänencontrollern in der Gesamtstruktur gehostet. Er enthält ein Teilreplikat jeder Domänenverzeichnispartition in der Gesamtstruktur. Die in den globalen Katalog replizierten Attribute beinhalten einen von Microsoft festgelegten Basissatz. Administratoren können entsprechend den Anforderungen an ihre Installation zusätzliche Eigenschaften festlegen. Durch die Installation von Exchange Server wird z.B. die Anzahl der in den globalen Katalog replizierten Attribute erheblich vergrößert, damit ein Benutzer an einem Standort A in Outlook die für ihn wichtigen Attribute eines Empfängers oder einer Verteilerliste aus dem Standort B einsehen kann.
Mehrere Domänencontroller innerhalb einer Domäne können die Funktion globaler Katalogserver übernehmen. An jedem Standort der Domäne sollte nach Möglichkeit zumindest ein Domänencontroller auch den globalen Katalog beherbergen. Jedoch sollte dieser Server nicht gleichzeitig Infrastrukturmaster sein. Um einen Domänencontroller zum globalen Katalogserver heraufzustufen oder die Funktion des globalen Katalogs zu entfernen, gehen Sie wie folgt vor:
1. Öffnen Sie das Snap-In Active Directory-Standorte und –Dienste.
2. Doppelklicken Sie in der Konsolenstruktur auf den Domänencontroller, der die Funktion globaler Katalog erhalten oder abgeben soll.
3. Wechseln Sie nach Sites · Standortname · Server · Domänencontroller.
4. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, und klicken Sie dann auf Eigenschaften.
5. Aktivieren oder deaktivieren Sie das Kontrollkästchen Globaler Katalog.
Betriebsmasterfunktionen und der globale Katalogserver
Fehler bei Active Directory Domain Controller Herunterstufung
https://www.zueschen.eu/fehler-bei-active-directory-domain-controller-herunterstufung-forestdnszones-fsmoroleowner-attribut/
Clean Temp
$pathlist = Get-childItem 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList' `
| % {Get-ItemProperty $_.pspath } `
| Select profileImagePath
foreach ($path in $pathlist) {
write-host "Processing $path"
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\FontCache*.dat")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Terminal Server Client\Cache\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Windows\WebCache\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Temp\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Windows\WER\ReportArchive\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Mozilla\Firefox\Profiles\*.default\")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Roaming\Microsoft\Office\*.tmp")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Google\Chrome\User Data\Default\Cache\*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Google\Chrome\User Data\Default\Media Cache\*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Office\15.0\Lync\Tracing\OCAddin\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\AppData\Local\Microsoft\Office\15.0\Lync\Tracing\*.*")
Remove-Item -Recurse -Force ($path.profileImagePath+"\Tracing\uccapi*.*")
}
Lizenzierung
1 Öffnen Sie die Eingabeaufforderung (CMD) mit Administrator-Rechten. 2 Geben Sie bitte folgendes ein: DISM /Online /Set-Edition:ServerStandard /ProductKey:N69G4-B89J2-4G8F4-WWYCC-J464C /AcceptEula 3 Der oben genannte Produktschlüssel ist ein generischer Schlüssel direkt von Microsoft, der ein Upgrade des Evaluation Server auf die Standard Version durchführt. 4 Starten Sie den Computer über die Eingabe von „Y“ neu. 5 Der Computer führt nun die notwendigen Schritte für das Upgrade aus. 6 Der Server ist nun noch nicht aktiviert. Dies passiert über den Produktschlüssel, den Sie von uns erhalten haben. 7 Öffnen Sie zum Aktivieren erneut die Eingabeaufforderung (CMD) mit Administrator-Rechten. Geben Sie folgendes ein: slmgr /ipk <Produktschlüssel von uns> und drücken Sie „Enter“ Der Produktschlüssel wird nun installiert. 8 Geben Sie nun folgendes ein: slmgr /ato
