Nachdem die ganze Umstellung auf Windows 7 erfolgreich beendet wurde (ich hab irgendwie noch nie so schnell alle Systeme umgestellt), waren die Tage auch beide Server dran. Nach der Umstellung von Windows Server 2008 auf Server 2008 R2, also die Serverversion von Windows 7, waren natürlich ein paar mehr Änderungen an der Konfiguration notwendig.
In dem Zusammenhang habe ich auf DCDIAG ausgeführt, um zu testen, ob noch Probleme auftauchen. Und spontan stolperte ich über folgenden Fehler:
Starting test: NCSecDesc
Fehler: NT-AUTORITÄTDOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:DC=ForestDnsZones,DC=example,DC=com
Fehler: NT-AUTORITÄTDOMÄNENCONTROLLER DER ORGANISATION besitzt keineReplicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:DC=DomainDnsZones,DC=example,DC=com
……………………. SERVER hat den Test NCSecDesc nicht bestanden.
Das Problem ist ganz einfach: die Domäne war zwar via ADPREP auf den neuen 2008 R2 DC vorbereitet worden, aber nicht auf einen der mit 2008 eingeführten “REad-Only-DCs”. Auch wenn man gar nicht vor hat, solch einen einzusetzen, sollte man mit ADPREP /rodcprep das AD darauf vorbereiten. Man verbaut sich damit nichts, hat aber die NCSecDesc Fehlermeldung beseitigt.
Ingos Blog 