for /f "usebackq skip=4" %%a in (`netsh dhcp server \\DHCPSERVER show scope`) do (

netsh dhcp server \\DHCPSERVER scope %%a set optionvalue 006 IPADDRESS ip.des.dns.servers ip.des.zweiten.dns

netsh dhcp server \\DHCPSERVER scope %%a set optionvalue 015 STRING dns.name

)

Jetzt gibt es dazu eine konkrete Aussage von Microsoft:

Is there a way to isolate a DC in order to do an AD Schema upgrade? I cannot find any documentation on how to do this.

Answer

Isolating the Schema Master for ADPREP /FORESTPREP is unsupported (i.e. "not tested by the Product Group") and not recommended*; we intentionally try to block you from this scenario starting in Win2003 SP1.

Quelle und Begründung: Dritte Frage auf http://blogs.technet.com/askds/archive/2010/04/16/friday-mail-sack-i-live-again-edition.aspx

Daher hat Microsoft auch hier eine Komandozeilenalternative bereitgestellt: setprinter

Den Status der Veröffentlichung (unpublished, published oder published pending) kann man mittels setprinter -show \\druckservername 7 anzeigen lassen.

Um das Publizieren aller Drucker eines Druckservers zu erzwingen, bietet sich der Befehl setprinter \\druckservername 7 “dwAction=publish” an.

Die Ausgabe sieht dann wie folgt aus:

Und wo findet man das Tool? Im Resourcekit…

1. W2k8 R2 Core installieren (von DVD booten)
2. Mittels sconfig.cmd den Rechner umbenennen
3. Eine unattend.ini erstellen. Details dazu unter http://support.microsoft.com/kb/947034 (Ergänzung Forest/Domainlevel 4 ist Windows 2008 R2)
4. In der unattend.ini muss das recovery Passwort hinterlegt werden (im Flash mittels * dargestellt, muss aber eine höhere Komplexität haben)
5. dcpromo /unattend:unattend.ini aufrufen
6. Neustarten

Und das alles in einem kurzen Film:
Flash: Wie installiere ich einen Windows 2008 R2 Core Domänen Controller
Lessons learned: Immer die Auflösung runterdrehen

Daher sollte die Devise sein: Zuerst Zeitpunkt und Ort herausfinden und dann im Eventlog nachschauen.

Solange am Objekt nichts geändert wurde, ist der letzte Änderungszeitpunkt und Ort eigenschaftsgenau kontrollierbar.

Dazu ein kleines Beispiel: Ein Anwender beschwert sich, dass sein Konto ständig gesperrt wird. Er hat vor einigen Stunden sein Kennwort geändert.

Bevor das Konto zurückgesetzt wird, werden noch schnell wichtige Eigenschaften mittels repadmin extrahiert:

repadmin /showobjmeta * "CN=User1,OU=Benutzer,,DC=temp,DC=local" > user.txt

Dabei werden die Metadaten des per DN angegebenen Objektes (CN=…) auf allen Domänenkontrollern (*) ausgelesen und in eine Textdatei gespeichert.

In der Textdatei steht jetzt pro Domänencontroller eine Liste aller Attribute des Objektes und weitere wesentliche Parameter. Für dieses Beispiel relevant ist die LockoutTime:

153243532 Standardname-des-ersten-Standorts\dc1   1100175 2010-11-23 11:11:11   37 lockoutTime

Dieser Eintrag zeigt deutlich, dass das Attribut lockoutTime (also wann das Konto gesperrt wurde) auf dem Domänencontroller dc1 um 11:11 geändert wurde.

Somit kann man direkt diese Daten nutzen und ins Securitylog vom dc1 um 11:11 schauen.

Ereignistyp:    Fehlerüberw.

Ereignisquelle: Security

Ereigniskategorie:      (9)

Ereigniskennung:        675

Datum:          23.11.2010

Zeit:           11:11:11

Benutzer:               NT-AUTORITÄT\SYSTEM

Computer:       dc1

Beschreibung:

Fehlgeschlagene Vorbestätigung:

         Benutzername:   user1

         Benutzerkennung:                TEMP\user1

         Dienstname:     krbtgt/TEMP.LOCAL

         Vorauthentifizierungstyp:       0×2

         Fehlercode:     0×18

         Clientadresse:  192.2.0.10

Die Sperrung ging als vom Client 192.2.0.10 aus. Eine Rückfrage beim User ergibt direkt, dass er das Kennwort an einem anderen Client geändert hat, aber an dem oben angegebenen Client schon länger angemeldet ist.

Aufwand: 5 Minuten. Wilde Sucherei: Minimal. Präzision: Hoch