Zum Inhalt wechseln


Foto

Domänenumzug/Neuinst. ohne dcpromo


  • Bitte melde dich an um zu Antworten
46 Antworten in diesem Thema

#1 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 24. November 2008 - 10:26

Hallo zusammen,

wir haben ein kleine Domäne über zwei Standorte (ca. 20 Clients und 4 W2k3-Server), die wir aufgrund von zu viel Altlasten (der Domänencontroller exitsterte schon vor 5-6 Jahren unter Windows Server 2000, und wurde irgendwann mal auf 2003 hochgezogen) komplett ersetzen wollen.

Mein bevorzugter Weg wäre:
- Vorbereitung zweier neuer DCs (zwei Standorte)
(vorerst in isoliertem Netz)
- Beibehaltung des Domänennamens
- Anmeldung der Clients in temp. Workgroup
- Abschaltung alter DC
- Inbetriebnahme neue DCs
- Anmeldung der Clients an der Domäne

Ursprünglich wollte ich den Domänennamen ändern, um beide Domänen temporär parallel betreiben zu können, aber dann müsste ich hinterher auf allen Clients die Profile sichern und wiederherstellen, was bei Beibehaltung des Domänennames ja entfallen dürfte...

Wird das so tatsächlich klappen, oder mache ich irgendwo einen Denkfehler?
Bin für alle Vorschläge offen! :)

Der übliche Weg über dcpromo entfällt, da das alte ADS nicht mehr wirklich konsistent ist. Dcdiag hat mir schon diverse Fehler ausgeworfen, und auch dcpromo der Maschine in einer virtuellen Umgebung hat nur Probleme aufgeworfen - daher ist es Zeit für einen Neuanfang... :D

#2 Rudman

Rudman

    Board Veteran

  • 1.237 Beiträge

 

Geschrieben 24. November 2008 - 10:29

Was sagen denn die Fehler von DCPromo, vl. lässt sich da was gerade biegen.
Das mit den Profilen wird nicht so klappen. Auch wenn der Domänenname gleich bleibt ist es eine andere Domäne.
Wenn, dann baue eine Vertrauensstellung zw. beiden auf und migriere alles via ADMT.
Dabei ist aber ein andere Name als der jetzige zu bevorzugen. Dann klappts auch mit den Profilen.
Wenn Sie zustimmen, machen Sie bitte ein versteinertes Gesicht.

#3 rep

rep

    Member

  • 343 Beiträge

 

Geschrieben 24. November 2008 - 10:41

Also der Domainname ist meines Wissens nach nicht alles. Es gibt ja SIDs, Security Identification Number (glaube so übersetzt man das). Jedes Object in einem ADS hat sowas.

Wenn die Domain SID sich ändert, ist alles andere auch hinfällig. Und Wenn du eine neue Domain mit neuen Servern installierst aber den Domainnamen beibehälst, dann ist diese anders.

Interessieren würde mich aber ebenfalls ob Dein Weg klappt, aber mit korreter SID, also ob man mit selber SID neu anfangen kann, um eben die Domainclients nicht anfassen zu müssen.

Gruß

#4 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 24. November 2008 - 10:52

Wie bereits von Rudman und Rep angesprochen kannst du nicht einfach eine Domain mit gleichem Namen erzeugen, die Migration mit ADMT ist da die einzige Lösung.

Aber ich denke der beste Weg die Migration reibungslos über die Bühne zu bringen ist die jetzige Domain zu flicken, und dann diese auf neue DCs zu migrieren. Meistens sind es nur Detailprobleme die ein dcpromo vom funktionieren abhalten.

Erzähl doch mal was du beim dcpromo für konkrete Fehlermeldungen gekriegt hast, und was netdiag und dcdiag ausspucken.

#5 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 24. November 2008 - 10:54

Moin,

bevor du den steinigen Weg einer kompletten Domänenmigration gehst (das mit dem Domänennamen kannst du vergessen - der nützt dir nix), solltest du noch mal prüfen, ob sich die technischen Probleme nicht doch beheben lassen. Das ist ziemlich wahrscheinlich. Dann installierst du nur zwei neue DCs, demotest die anderen, und alles ist schön.

Ein kompletter Neuaufbau würde u.a. genau das beinhalten, was du vermeiden willst - Profile migrieren, Berechtigungen "überall" anpassen usw. Wie "rep" schon richtich vermutet, hängt das nicht am Namen, sondern am SID.

Also, Butter bei die Fische: Welche Fehler melden dcdiag und dcpromo?

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 24. November 2008 - 11:16

Ich hab's ja befürchtet... Kein Quick&Dirty :D
Werde also nochmal alles im Altsystem durchchecken, um dann evtl. zu migrieren.
Was mir nur wichtig ist: Ich will keinen unnötigen Ballast vom Altsystem mitschleppen. Nicht mehr vorhandene User sind dabei das geringste Problem, aber u.A. wurde auch mal Exchange auf dem DC genutzt (ist mittlerweile deinstalliert). Zukünftig wird mittelfristig wohl auch wieder Exchange zum Einsatz kommen (auf eigenem Server), daher würde ich eine saubere Neuinstallation bevorzugen.
Im Grunde brauche ich höchstens die User und Gruppen und Hosts aus dem ADS, weitere Funktionen wie z.B. servergespeicherte Profile o.ä. werden bisher eh nicht eingesetzt.
Angenommen, die Migration klappt, nachdem ich die Fehler auf dem alten DC gefunden und beseitigt habe - wie stehen die Chancen, das das neue System danach so frisch und aufgeräumt ist, wie nach einer Neuinstallation?

#7 rep

rep

    Member

  • 343 Beiträge

 

Geschrieben 24. November 2008 - 11:18

kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen... Versteht mich nicht falsch, ich will es nur wissen. Denn das ist mir sonst alles immer ein bisschen zu Virtuell.

Zwar bin ich auch Fan von großen Aufräumaktionen, wenn es geht alles Aufräumen, doch das ist in der IT uns in den Firmen ja nicht immer so möglich.

#8 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 24. November 2008 - 12:11

So, ich habe das Ereignisprotokoll und die Logs von dcdiag und netdiag mal durchforstet. Sieht nach einem DNS-Problem aus, was ich momentan aber noch nicht genau qualifizieren kann:

Auszug netdiag /test:dns

Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{D6E02AFC-30ED-42DA-BB29-94E20FD306EC}
    1 NetBt transport currently configured.


DNS test . . . . . . . . . . . . . : Failed
    [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '127.0.0.1'. Please wait for 30 minutes for DNS server replication.
    [FATAL] No DNS servers have the DNS records for this DC registered.


The command completed successfully

Desweiteren in dcdiag /c /v:
(kommt für jeden Root-Server und die DNS-Server vom Provider vor)

DNS server: 198.41.0.4 (a.root-servers.net.)
               1 test failure on this DNS server
               This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.41.0.4
               [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]


#9 rep

rep

    Member

  • 343 Beiträge

 

Geschrieben 24. November 2008 - 12:16

Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren.

dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp

Sollte auch informationen über DNS geben...
Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert.

#10 Rudman

Rudman

    Board Veteran

  • 1.237 Beiträge

 

Geschrieben 24. November 2008 - 12:26

Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten.
Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin?
Wenn Sie zustimmen, machen Sie bitte ein versteinertes Gesicht.

#11 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 24. November 2008 - 12:30

kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen


Nein. Sonst wärs ja einfach ;)
Einziger (mir bekannter) Weg um SIDs mit von einem alten in ein neues System zu nehmen sind diverse Migrationstools wie bspw. admt oder kostenpflichtiges bspw. von Quest.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#12 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 24. November 2008 - 12:39

Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten.
Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin?


Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind:

ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : domcon
   Primäres DNS-Suffix . . . . . . . : firma.lokal
   Knotentyp . . . . . . . . . . . . : Unbekannt
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Ja
   DNS-Suffixsuchliste . . . . . . . : firma.lokal

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung  . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
   Physikalische Adresse . . . . . . : 00-0C-29-25-EC-4B
   DHCP aktiviert  . . . . . . . . . : Nein
   IP-Adresse. . . . . . . . . . . . : 10.10.1.3
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 10.10.1.1
   DNS-Server  . . . . . . . . . . . : 10.10.1.3
   Primärer WINS-Server  . . . . . . : 10.10.1.3

dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp

Sollte auch informationen über DNS geben...
Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert.


Gibt folgenden Fehler aus:

Total number of CNAME records found on this server: 0

Total number of CNAME records missing on this server: 1

Total number of glue (A) records this server could not find: 0

CNAME records for forest GUIDs missing on server:
GUID: 2c80c960-b607-4f76-8365-4f35cab3241e._msdcs.firma.lokal
DC: domcon


"netdiag /fix" und "dcdiag /fix" konnten den Fehler scheinbar nicht beheben

"dnslint /ad /s localhost"
wirft übrigens den gleichen Fehler raus

Wie kann ich den CNAME Eintrag manuell vornehmen?

#13 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 24. November 2008 - 13:15

Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren.


Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden.

#14 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 24. November 2008 - 13:31

Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden.


IP-Adressen sind auf 10.10.1.3 geändert, registerdns ist ausgeführt und den Anmeldedienst habe ich neu gestartet... Bisher aber leider keine Änderung

#15 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 24. November 2008 - 13:41

Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind:


Wie meinst du das? Jeder Domain-Controller sollte ein DNS-Server sein. Wo wurde denn die AD-Zone bisjetzt gehostet? Was siehst du denn im dnsmgmt.msc für Einträge?