Steht eine Migration bevor, z.B. von Windows 2000 auf Windows Server 2003, sollte stets die Ausgangsbasis kontrolliert werden.
Bevor ein solcher Schritt durchgeführt wird, wäre es empfehlenswert, den Zustand der Domänencontroller zu überprüfen um während der
Migration keine bösen Überraschungen zu erleben.


 


Auf der anderen Seite ist es eines der Routineaufgaben des Administrators, den Status der Domänencontroller regelmäßig zu überprüfen. 


In beiden Fällen, sind die beiden Windows Support Tools DCDIAG sowie NetDIAG hilfreich. Mit diesen Tools lassen sich Fehler schnell aufdecken.


 


Kommt es dabei, beim ausführen von DCDIAG zu folgender Warn-Meldung:



 


Starting test: MachineAccount


Warning:  Attribute userAccountControl of <DC-NAME> is: 0x82020 = ( UF_PASSWD_NOTREQD | UF_SERVER_TRUST_ACCOUNT | UF_TRUSTED_FOR_DELEGATION )
         Typical setting for a DC is 0x82000 = ( UF_SERVER_TRUST_ACCOUNT | UF_TRUSTED_FOR_DELEGATION )


         This may be affecting replication?


         ……………………. <DC-NAME> passed test MachineAccount



 


ist der Grund für diese Meldung, dass der Wert des Attributs User-Account-Control vom Domänencontroller-Computerobjekt nicht korrekt ist.
Als Wert des Attributs ist 0x82020 (Hex) eingetragen. Allerdings müsste entweder 0x82000 (Hex) bzw. 532480 (Dezimal) darin enthalten sein.
Das Flag PASSWD_NOTREQD ist im Computerobjekt des Domänencontrollers gesetzt, was nicht der Fall sein sollte.
Das gesetzte Flag PASSWD_NOTREQD bedeutet, dass kein Kennwort erforderlich ist.
Der Wert des Attributs lässt sich recht einfach mit LDP.exe oder ADSIEdit.msc korrigieren.




Die Vorgehensweise mit ADSIEdit.msc wäre folgende:




  1. Zuerst gilt es über Start-Ausführen-Adsiedit.msc aufzurufen.



  2. Danach ist eine Verbindung mit der Domänen-Partition herzustellen, falls keine bestehen sollte.




  3. Im nächsten Schritt navigiert man zu der OU bzw. zu dem Container, in dem sich das Domänencontroller-Objekt befindet.
    Standardmäßig befinden sich die Domänencontroller-Objekte i
    n der “OU=Domain Controllers”.




  4. Dort wählt man mit einem Rechtsklick auf dem entsprechenden Domänencontroller-Objekt, die Eigenschaften aus.



  5. Im Anschluss gilt es das Attribut User-Account-Control auszurufen und den Wert auf “532480” zu korrigieren.

 


Das Attribut User-Account-Control lässt sich mit DSQUERY abfragen.
Der Befehl dazu lautet folgendermaßen:
Dsquery * domainroot -filter “(&(objectCategory=Computer)(objectClass=Computer)(Name=DC-NAME))” -attr userAccountControl




Weitere Informationen:
How to use the UserAccountControl flags to manipulate user account properties


 

Comments are closed, but trackbacks and pingbacks are open.