Exchange 2000 server onder child domain install

donderdag 13 maart 2003 21:51

PF5A

De admin van domain B heeftgeen rechten voor forestprep. Dit dien je te doen met de admin van domain A (die is enterprise admin)

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

donderdag 13 maart 2003 21:58

Topicstarter

zwelgje schreef op 13 March 2003 @ 19:55:
http://support.microsoft....aspx?scid=kb;en-us;236146

alstublief, een compleet technet artikel

Dank u wel, maar zoals het zegt:

This article assumes that you have already run /Forestprep for the forest and /Domainprep for the child domain.

Zoals ik al vertelde lukt het nog niet eens om forestprep uit te voeren dat is nu juist het probleem.

Traag zeg jij nu dat ik alleen maar op server 1 exchange 2000 kan installeren?

Ik heb ook een eigen user aangemaakt op domain a en deze enterpriseadmin groep geplaatst en lid gemaakt van de administrators groep op domain a.
Als ik nu inlog als die user op server 2 in domain a of b maakt niet uit krijg dezelfde melding.

Acties:

Verwijderd

/forestprep in domain a en dan /domainprep in b ...

donderdag 13 maart 2003 23:01

Acties:

vrijdag 14 maart 2003 11:12

PF5A

Razorh schreef op 13 March 2003 @ 21:51:
Traag zeg jij nu dat ik alleen maar op server 1 exchange 2000 kan installeren?

Ik heb ook een eigen user aangemaakt op domain a en deze enterpriseadmin groep geplaatst en lid gemaakt van de administrators groep op domain a.
Als ik nu inlog als die user op server 2 in domain a of b maakt niet uit krijg dezelfde melding.

Je kunt dat op werkelijk alle machines doen, maar de forestprep dient uitgevoerd te worden door een enterprise admin. Default is dat alleen de admin uit het root domain (eerst geinstalleerde), dus domain A. Gewoon setup.exe /forestprep runnen als A\Administrator

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

Goshimaplonker298

BOFH Wannabee

je moet forestprep draaien OP een domain controller in domein a met a\administrator

en dan domainprep in domain b met b\administrator ( ook dit weer op een domain controller )

vrijdag 14 maart 2003 12:00

Acties:

vrijdag 14 maart 2003 15:12

boelkloedig

Goshimaplonker schreef op 14 maart 2003 @ 11:12:
je moet forestprep draaien OP een domain controller in domein a met a\administrator

en dan domainprep in domain b met b\administrator ( ook dit weer op een domain controller )

ONZIN! Je kunt ForestPrep draaien op iedere willekeurige Windows 2000 of XP machine in het gehele forest, zolang je het proces maar draait onder de security context van een user met Schema Admin privileges. (Dus Run As... werkt ook, zeg maar)
DomainPrep kun je draaien op iedere willekeurige Windows 2000 of XP machine in het domain, als je het proces maar draait onder een user account met Domain Admin privileges voor het betreffende domain.

QnJhaGlld2FoaWV3YQ==

Acties:

vrijdag 14 maart 2003 15:53

chown -R me base:all

Staat je DNS wel goed?

Acties:

vrijdag 14 maart 2003 17:56

Topicstarter

Nou het lukt nog steeds niet, misschien kunnen jullie zeggen wat ik fout doe.

child domain controller server 2 install:

· Start --> programs --> administrative tools --> configure your server
. active directory --> start
· Welkom --> next
· Domaincontroller --> next
· New child domain --> next
· Network credentials --> (global) username+password+domain--> next
· Child domain: b--> next
· Database location: d:\NTDS
Sysvol folder c:\winnt\sysvol --> next
· Pre windows 2000 --> next
· Restore mode --> next
· Summary --> next
· Configuring……
· Completing ADIW --> next
· Restart now.

Log in als administrator op server 2 op domain a (lid gemaakt van de enterprice admins en schema admins)

nu voer ik setup.exe /forestprep uit

En krijg de foutmelding:

The component "Microsoft Exchange Forest "Prepareration"cannot be assigned the action "forestprep" because:
- Setup is unable to access the windows 2000 active directory.
- Setup must extend the Active Directory schema and/or create organisation objects in the active directory.
- Please run setup with the "forestprep"switch in the domain a
wich contains the schema master domain controller.
Once this is complete and the changes have replicated to this domain
you may run setup normally.

[ Voor 7% gewijzigd door Razorh op 14-03-2003 15:55 ]

Acties:

vrijdag 14 maart 2003 19:04

PF5A

Kabouterplop01 schreef op 14 March 2003 @ 15:12:
Staat je DNS wel goed?

Als je ook maar een BEETJE verstand hebt van Exchange 2000 dan weet je dat deze opmerking best loos is, aangezien het NIETS met dns te maken heeft.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

vrijdag 14 maart 2003 19:24

boelkloedig

Traag schreef op 14 March 2003 @ 17:56:
[...]
Als je ook maar een BEETJE verstand hebt van Exchange 2000 dan weet je dat deze opmerking best loos is, aangezien het NIETS met dns te maken heeft.

Het zou natuurlijk kunnen zijn dat de DNS zone van het root domain niet getransferred wordt naar de DNS server van het child domain. En dan kan een machine in het child domain inderdaad de schema master gewoon niet vinden en gaatie allemaal foutmeldingen lopen roepen à la "Setup is unable to access the windows 2000 active directory".

QnJhaGlld2FoaWV3YQ==

Acties:

vrijdag 14 maart 2003 22:46

PF5A

Brahiewahiewa schreef op 14 March 2003 @ 19:04:
Het zou natuurlijk kunnen zijn dat de DNS zone van het root domain niet getransferred wordt naar de DNS server van het child domain. En dan kan een machine in het child domain inderdaad de schema master gewoon niet vinden en gaatie allemaal foutmeldingen lopen roepen à la "Setup is unable to access the windows 2000 active directory".

Yup, maar:

Nu krijg ik de melding dat hij niet de gegevens uit de active directory kan halen op ik geen rechten heb.

Dat zegt de TS niet, dus lijkt het me dat niet. De TS zou een vergelijkbare error wel vermeld hebben als deze was voorgekomen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

ZeRoC00L

Razorh schreef op 13 maart 2003 @ 19:52:
Eerder voordat ik van server 2 een child domain controller maakte en alleen exchange 2000 server had geinstalleerd waren er geen problemen. (de huidig configuratie is trouwens een verse install)

Hieruit maak ik op dat je 'ooit' al eens een exchange server geinstalleerd hebt gehad in je AD, dan is /forestprep niet meer nodig, hoeft maar 1 x

[*] Error 45: Please replace user
Volg je bankbiljetten

vrijdag 14 maart 2003 22:54

Acties:

zaterdag 15 maart 2003 00:25

PF5A

ZeRoC00L schreef op 14 March 2003 @ 22:46:
Hieruit maak ik op dat je 'ooit' al eens een exchange server geinstalleerd hebt gehad in je AD, dan is /forestprep niet meer nodig, hoeft maar 1 x

Als je Exchange 2000 deinstalleert dan worden de attributen uit je schema niet weggehaald, maar wel gegevens uit de andere partities van de AD. Na een deinstallatie doen je dus WEL een setup.exe /forestprep uit te voeren om alles weer werkend te krijgen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

mutsje

Certified Prutser

om al het bovengenoemde even op een rijtje te krijgen.

A: probeer met nslookup eens wat zaken te resolven(beter zeker weten dat het werk dan achteraf toch zeggen had ik het maar gecontroleerd)
B: probeer eens iets te wijzigen op domain A waarvan je zeker weet dat de AD Schema aangepast wordt(doe dit wel vanuit domainB , als alles goed is moet dit zonder fouten verlopen zoniet heb je een authentication problem)

troubleshooting is lastig maar ga us je event id's na en op technet kijken wat die er van zeggen.

Ik lees een hele hoop "mogelijke" oplossingen en "mogelijke" fouten.. maar kom eens met harde eventid's in je system & application log... dan kan er tenminste gericht gezocht worden.

[ Voor 4% gewijzigd door mutsje op 15-03-2003 00:26 ]

maandag 17 maart 2003 23:15

Acties:

maandag 17 maart 2003 23:19

chown -R me base:all

Ik verstand van Exchange2000, helemaal niet! Maar ik leer van jullie allemaal
b.t.w ik draai Exchange2003 da's veel makkelijker.

Acties:

maandag 17 maart 2003 23:57

chown -R me base:all

Oh ja ik draai ook Exch2000, back end. Is iets lastiger.

Acties:

dinsdag 18 maart 2003 11:04

boelkloedig

Probeer je nou een 2003 front-end server in een child domain te draaien tegen een 2000 server in het root domain? Dan zoek je de "uitdagingen" wel op, ja

QnJhaGlld2FoaWV3YQ==

Acties:

dinsdag 18 maart 2003 14:02

Topicstarter

Na een weekend relaxen ben ik weer op werk en heb ik even gekeken, nu blijkt het zo te zijn dat als ik server 2 delegate control geef over server 1 hij geen problemen heeft, maar dat is niet te de bedoelling dus hoe kan ik dit verder oplossen.

Acties:

dinsdag 18 maart 2003 15:13

chown -R me base:all

Yep, en het werkt als een trein: Excha2003;als intranet.meindomein.net mailserver en Exch2000; als meindomein.net mailserver en inderdaad de Exch2003 is de frontend. Is alleen jammer dat het na een jaar niet meer werkt, is maar test. Heb gelukkig een stel goede ghosts gemaakt (en getest).

Is eigenlijk gekomen doordat ik de ISA feature pack nog niet had op het moment van configgen van Exch2000 (lastig man) Kreeg hem niet gepublished. Toen heb ik de Compaq erbij gehangen en 2003 geinstalleerd en de feature pack wizard gebruikt en 2003 als front end erbij gezet, eigenlijk alleen omdat het veel makkelijker werkt (En de webmail is vet snel). En alleen Exch2000 draaien komt nog...

Acties:

dinsdag 18 maart 2003 16:00

chown -R me base:all

Topic Starter, Het lijkt er op(maar ik kan het mis hebben) dat er niets wordt gerepliceerd tussen de DC's. Ik weet niet hoe diep je expliciet rechten hebt toegekend op je schijven. Ik heb hetzelfde probleem gehad (ik heb alle problemen opgeschreven) En ik heb het opgelost door de Root Domain controller (schema master in mijn geval) toestemming te geven om te kunnen schrijven op de schijven waar je Active Dir. staat op de child DC EN andersom (dus de child DC ook op de Root DC.) Na dit gedaan te hebben werkte het bij mij.

Acties:

dinsdag 18 maart 2003 20:32

Topicstarter

dus eigenlijk het zelfde als ik nu gedaan heb, maar is dat wel veilig?

Acties:

dinsdag 18 maart 2003 20:42

chown -R me base:all

Ik denk niet dat dat hetzelfde is: Delegate computer (in Active Dir users en computers) is niet hetzelfde als browsen naar een schijf en dan naar security tab gaan en bijv COMPUTERNAAM$ modify rechten geven. De 2 machines moeten elkaar wel kunnen/mogen updaten. Als je een machine delegeert moet je wel aangeven waar, waarin en waarmee. Volgens mij kun je in je evntvwr uitlezen waar de "schrijfactie" is misgegaan.

Acties:

woensdag 19 maart 2003 09:14

chown -R me base:all

Waar denk je aan als je het woord veiligheid in de mond neemt. (Bedoel je als je bijv. een virus hebt dat de machines elkaar " bevuilen". Of als iemand een DC hacked dat je hele SAM te grabbel ligt??)

Acties:

woensdag 19 maart 2003 10:30

Topicstarter

Ik bedoel dus dat straks niet een user die niet bevoegt is even bijv m'n domain controller omgooit in native mode enzo of andere site naam gaat instellen en , ja en hackers dus

Acties:

woensdag 19 maart 2003 16:40

chown -R me base:all

Dat kun je weer beveiligen door objecten zoals je MMC dicht te bouwen; jij als admin kan author mode gebruiken, maar de "onbevoegde user" zou dat niet moeten mogen

Bovendien zou je dus de users ook(zoals eerder vermeld) in je NTFS permissies mee moeten nemen. Alleen in de homedir modify, of met meer vrijheid, full controll.
Volgens mij kan je dat soort dingen ook met poledit configureren ( Niet Expliciet de MMC), maar wel strakke restricties opleggen. En tja hackers.... Er is een mogelijkheid om lokaal op een machine admin te worden. Als iemand dat doet gelijk ontslaan. En dat kun je ook dichtbouwen; waarvan moet je admin worden als je je lokale schijf niet eens "ziet" en alleen maar de shares waar je op mag...

Acties:

woensdag 19 maart 2003 20:28

chown -R me base:all

zie ook [rml][ Win2000Server] Rechten & Policies[/rml]

Acties:

Taigu

Volgens mij is het 5x voorbij gekomen maar heb je het nog steeds niet gedaan:

Log in als administrator van het a domein op server 2 en draai het dan.... Ik weet dat je b\administrator hebt toegevoegd aan de enterprise admins, maar probeer het nou eens

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

woensdag 19 maart 2003 23:35

Acties: