Zum Inhalt wechseln


Foto

Parallelmigration von NT4 auf 2003 AD


  • Bitte melde dich an um zu Antworten
145 Antworten in diesem Thema

#1 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 05. Oktober 2005 - 13:11

Hallo zusammen,

Diesmal keine Frage oder ein Hilfegesuch. Mal was neues, oder ?

Ich bin durch einen anderen Thread, in dem es um eine Parallelmigration geht, vom Benutzer Jimmypop angesprochen worden zwecks Migration einer kleineren Umgebung von NT4 auf W2K3 AD.

Bevor wir das jetzt alles telefonisch oder per Mail durchziehen, haben wir uns eben darauf geeinigt, daß wir hier einen neuen Thread aufmachen, in dem wir die Migration einmal komplett Schritt für Schritt durchgehen.

Könnte dem ein oder anderen, der mal drüber stolpert, evtl. mal weiterhelfen.
Klar, es gibt bereits einige Threads zu diesem Thema, wir wollen hier aber einfach mal eine komplette Migration durchgehen, um die Infos gesammelt zu haben.
Ich hoffe auf eifrige Beteiligung, Wortmeldungen sind jederzeit gerne erwünscht :D

O.K. Los geht es:

IST-Aufnahme:

1 x NT4 PDC / 1 x NT4 BDC, ca 15 User, ein Exchange 5.5.
Es soll, wie gesagt, eine Parallelmigration werden, da vorerst nicht in die produktive Domäne eingegriffen wird, wie bei der InPlace-Migration.

Der neue W2K3 Server ist bereits aufgesetzt, jedoch absolut standardmäßig.
Dieser Server wird der erste DC der neuen Domäne sein.

fqdn für den Server wurde eingegeben (Rechte Maustaste auf den Arbeitsplatz, Eigenschaften, Computername, Ändern, Weitere => Hier den geplanten Namen der neuen Domäne z.B. firma.de eingeben)

Der Server wurde in seinen Netzwerkeigenschaften als DNS-Server eingetragen, die Reverse- und die Forward-Lookupzone wurden erstellt.

Anschließend "dcpromo" ausgeführt, NETBIOS-Name und fqdn der neuen Domäne eingegeben.

Mal auf Rückmeldung von Jimmypop warten, ob soweit alles funktioniert hat.

#2 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 05. Oktober 2005 - 13:50

Und schonmal was zum Weitermachen, evtl. habe ich morgen nicht die Zeit, ständig ins Forum zu schauen:

Wenn der DC einen Tag gelaufen ist und die Ereignisanzeige keine abstrusen Fehler meldet kannst Du weitermachen:

Start => Ausführen => "mmc" eingeben.
In diese Konsole über Datei => "SnapIn hinzufügen oder entfernen" vorerst mal die folgenden SnapIns hinzufügen:

- Active Directory Benutzer und Computer
- Active Directory Domänen und Vertrauensstellungen
- Active Directory Standorte und Dienste
- Dienste (lokal)
- DNS
- Ereignisanzeige
- WINS

Konsole (MMC) speichern (am besten auf dem Desktop) und schließen.

Anschließend über Start => Ausführen folgendes eingeben:

Regsvr32.exe %SystemRoot%\System32\schmmgmt.dll

Nun die Konsole wieder öffnen und noch das SnapIn "Active Directory Schema" hinzufügen.
Konsole speichern.

Testen, ob der NT4 PDC vom DC aus via Ping erreichbar ist.

Aufbau der Vertrauensstellung:
MMC starten, rechte Maustaste auf den Domänennamen unter "Active Directory Domänen und Vertrauensstellungen", Eigenschaften, "Vertrauensstellungen"
Hier eine neue Vertrauensstellung aufbauen, zur NT4-Domäne. (Bidirektional, Domänenweite Authentifizierung)
Auf der Gegenseite, der NT4-Domäne genau das gleiche machen, hier über den Benutzermanager => Richtlinien => Vertrauensstellungen. Hier das gleiche Passwort benutzen, wie es auf der AD-Seite vergeben wurde.

Anschließend Installation der W2K3-Support-Tools von der W2K3-Server CD. (Unterverzeichnis \Support\Tools) auf dem W2K3 DC.

SID-Filter ausschalten:
W2K3 DC: DOS-Box öffnen, Eingabe:

netdom trust firma.de /domain:nt4dom /quarantine:No /usero:Administrator /passwordo:PASSWORT.

wobei hier firma.de der Name der AD-Domäne ist und nt4dom der NETBIOS-Name der alten Domäne. Bitte die kleinen "o" hinter password"o" und user"o" nicht vergessen. Ist kein Schreibfehler...

Vergabe der Berechtigungen:

Es muss die globale Gruppe der Domänen-Admins der NT4-Domäne in die lokale Gruppe der Administratoren der W2K3-Domäne eingefügt werden.
Umgekehrt muss auch die globale Gruppe der Domänen-Admins der W2K3-Domäne in die lokale Gruppe der Administratoren der NT4-Domäne eingefügt werden.
Ebenso bitte für die Benutzer/Domänen-Benutzer verfahren.

Anschließend testen, ob der Trust sauber funktioniert. Mal einfach testen, ob ich auf Verzeichnisse in der alten Domäne Berechtigungen auf User der neuen Domäne vergeben kann.

Und dann mal Meldung machen, ob alles funktioniert, O.K ?

Grüsse

schroeder750

#3 DrDuplo

DrDuplo

    Junior Member

  • 72 Beiträge

 

Geschrieben 05. Oktober 2005 - 19:22

ICh höre mal gespannt zu, habe immerhin auch noch die Wahl obs Parallel oder InPlace gemacht wird ;)

#4 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 05. Oktober 2005 - 20:20

Genau so ist das gedacht :)

Hoffe, Jimmypop lässt was von sich hören und ist nicht schon ausgewandert ...
und ich schreib mir hier den Wolf :D

Grüsse

schroeder750

#5 jimmypop

jimmypop

    Junior Member

  • 84 Beiträge

 

Geschrieben 06. Oktober 2005 - 11:39

hallo!!

sorry, dass ich erst jetzt zeit habe hereinzuschreiben. so der server ist bis jetzt tadellos gelaufen ohne kuriose meldungen in der ereignisanzeige. ich werde gleich mit den nächsten schritten beginnen, und poste dann später das ergebnis.

ps: nein bin noch nicht ausgewandert. habe dies auch noch nicht vor. hängt vom erfolg der migration ab. *gg*

#6 jimmypop

jimmypop

    Junior Member

  • 84 Beiträge

 

Geschrieben 06. Oktober 2005 - 12:39

hallo nochmals: die nächsten punkte konnte ich alle problemlos durchführen bis zu dem punkt:

SID-Filter ausschalten:
W2K3 DC: DOS-Box öffnen, Eingabe:

netdom trust firma.de /domain:nt4dom /quarantine:No /usero:Administrator /passwordo:PASSWORT.



hier hat er ein problem mit diesem dos befehl. könntest du den vielleicht nochmals durchchecken? danke. mfg.

#7 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 06. Oktober 2005 - 12:53

Hi,

ich nehme an, Du willst mit dem Befehl einen Trust einrichten?

Dann fehlt da z.B. /add, außerdem vermisse ich /userD und /passwordD.

Aber was kommt denn eigentlich für eine Fehlermeldung?

Christoph

/edit:forget it, habe nicht richtig gelesen :rolleyes:
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#8 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 06. Oktober 2005 - 14:19

Sooo, da bin ich auch wieder...

Der Befehl dient einzig und alleine nur dazu, den SID-Filter, der beim Implementieren der Vertrauensstellung automatisch erstellt wird, wieder abzuschalten.
MUSS nicht zu diesem Zeitpunkt geschehen, spätestens jedoch, wenn wir mittels ADMT die Benutzer incl. SID-History rüberholen wollen, stört der SID-Filter.

Mich würde aber auch interessieren, was es da für einen Fehler gibt. Es müsste eigentlich, wenn alles glatt läuft, in der DOS-Box die Meldung auftauchen "Setting the trust to not filter SIDs". Mehr passiert nicht...

Was für ein Fehler kommt denn genau ?
Erkennt er den Befehl netdom erst gar nicht ?
Dann solltest Du vielleicht in der DOS-Box vorher in das Verzeichnis wechseln, in das die Support-Tools installiert wurden. Da liegt die Datei "netdom.exe" nämlich nach der Installation. Oder kopier diese Datei halt ins \System32-Verzeichnis. Geht auch...

Wo klemmts genau ?

Ansonsten hat alles sauber hingehauen ? Die Gruppen konntest Du verschachteln ?

Grüsse

schroeder750

#9 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 06. Oktober 2005 - 14:23

... ich gehe übrigens mal davon aus, daß Du die Werte "firma.de", "nt4dom" und "PASSWORT" jeweils durch Deine Werte ersetzt hast, oder ?

By the way, ich habe mir übrigens angewöhnt, in der neuen Domäne dem Administrator das gleiche Passwort zu verpassen, wie in der alten. Dann muss man im Laufe der Migration nicht ständig überlegen, auf welcher Seite man jetzt gerade wieder etwas einrichtet und welches Passwort ich wieder eingeben muss... reine Faulheit :D

schroeder750

#10 jimmypop

jimmypop

    Junior Member

  • 84 Beiträge

 

Geschrieben 06. Oktober 2005 - 15:07

hallo! ich habe mehrere fehlermeldungen bekommen, da ich viele verschiedene varianten versucht habe. schreibe einfach mal ein genaues beispiel her mit w2k3 domänenname: test.at nt4 domänenname: test1 benutzer: administrator pw: 1234

wobei ist das das vertrauenspasswort zwischen den beiden domänen oder das normale admin passwort??

#11 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 06. Oktober 2005 - 17:24

mit w2k3 domänenname: test.at nt4 domänenname: test1 benutzer: administrator pw: 1234



... das wäre dann folgender Befehl, den Du absetzen müsstest:
=========================================================
netdom trust test.at /domain:test1 /quarantine:No /usero:administrator /passwordo:1234
=========================================================
Das zu verwendende Passwort ist das des Administrators der neuen W2K3-Domäne, NICHT das vom Trust ...
Das ist wieder so ein Beispiel, warum ich die Adminpasswörter in beiden Domänen gleich wähle... da muss man weniger denken... es gibt halt nur ein Passwort :D

Wenn es damit nicht hinhaut, dann schreib bitte mal genau auf, was an Fehler gemeldet wird, O.K ?

Übrigens, an der Stelle, an der Du im W2K3 AD den Trust aufgebaut hast, kannst Du den Trust auch prüfen lassen. Es müsste die Meldung kommen, daß der Trust bestätigt wurde und aktiv ist... auch mal ganz nett, hier vorher nachzusehen, ob der Trust überhaupt sauber steht...

Bis später !

schroeder750

#12 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 06. Oktober 2005 - 17:49

... und damit Dir auch ja nicht langweilig wird, hier schon mal was zum Weitermachen:

NT4: Usermanager: Benutzer ==> Neue lokale Gruppe
Die neue lokale Gruppe muss den Namen der Quelldomäne, gefolgt von drei $ haben, die Gruppe darf KEINE Mitglieder enthalten.
Beispiel: Die alte Domäne heist "NT4DOM", dann muss die Gruppe "NT4DOM$$$" heißen.
==========================================================
NT4: Überwachung (Auditing) einschalten:
Benutzermanager starten => "Richtlinien" => Überwachen" => "Diese Ereignisse überwachen" anklicken und bei
"Benutzer- und Gruppenverwaltung" jeweils einen Haken bei Erfolg und Fehler machen.
Für die W2K3-Domäne sparen wir uns das, da kommt später eine Abfrage, die man nur bestätigen muss...
==========================================================
Registryänderungen am NT4-PDC der Quelldomäne:
Regedit starten:
Unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA den Wert "TcpipClientSupport" als "REG_DWORD:0x1" hinzufügen.
Neustart des Servers.
==========================================================
Die Administrativen Standardfreigaben (C$) müssen übrigens auf beiden Seiten auf den PDCs / BDCs / DCs bestehen.
Wenn die mal entfernt wurden, bitte rückgängig machen.
==========================================================
Es wird ein NT4BDC in der alten Domäne benötigt, der für den Password-Export-Server genommen wird.
Falls es später Probleme mit dem Passwortexport gibt, sollte man drüber nachdenken, sich einen frischen BDC aufzusetzen.
Hier reicht ja Notfalls eine alte Workstationgurke völlig aus.
128-Bit-Verschlüsselung muss auf diesem BDC installiert sein, ich schmeiße immer den IE6.01 SP1 drauf,
der bringt diese Vorraussetzungen mit.
==========================================================
Installation des Active Directory Migration Tools (ADMT):
W2K3 Server CD in den W2K3 DCD einlegen.
Aus dem Verzeichnis \I386\ADMT der Windows 2003-Server-CD die Datei "admigration.msi" starten.
Die Installation einfach mit "Weiter" durchklicken...
==========================================================
Encryption Key:
Eine leere Diskette ins Laufwerk des W2K3 DCs einlegen, auf dem ADMT installiert wurde.
Folgenden Befehl in einer DOS-Eingabeaufforderung absetzen:
"admt.exe key %SourceDomainNetBIOSName% Zielpfad\Zieldatei
Beispiel: admt.exe key nt4dom A:\
Auf der Diskette befindet sich jetzt eine Datei mit der Endung *.pes...
Die Datei wird im weiteren Verlauf für die Installation des Password Export Servers (oder auch Passwort Migration Server)
auf dem NT4 BDC benötigt.
==========================================================
Installation Password Migration Server auf einem (NT4) BDC:
Einlegen der Diskette mit dem Encryption Key in das Laufwerk des BDCs.
Ausführen der Datei Pwdmig.exe aus dem Unterverzeichnis "PWDMIG" des ADMT 2.0-Installationsverzeichnisses
(liegt auch auf der W2k3-Server CD).
Installation mit den Standardoptionen durchziehen, dabei die Datei auf der Diskette angeben, wenn danach gefragt wird.
Fragt er nicht danach, hat er automatisch erkannt, daß die Diskette drinliegt und nimmt den Key.
Nach der Installation den BDC neu starten, nach dem Neustart regedit aufrufen und folgendes prüfen:
Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa muss unter dem Eintrag
"AllowPasswordExport" der Wert "1" gesetzt sein.
Sinnigerweise wird dieser Schlüssel zwar bei der Installation erzeugt, der Wert aber auf "0" gesetzt. DANKE MS !!
Nach der Änderung auf "1" den BDC erneut starten. Auch danach bitte nochmal prüfen, ob jetzt endlich alles passt...

So, weiter später dann... jetzt kill Du erstmal den SID-Filter und dann sehen wir weiter, O.K. ?

Viel Erfolg !!

schroeder750

#13 schroeder750

schroeder750

    Board Veteran

  • 707 Beiträge

 

Geschrieben 06. Oktober 2005 - 18:09

Ein paar Worte noch zum Password Migration Server:

Da sagtest, daß Du in Deiner Domäne eine sehr handliche Anzahl an Usern hast...
Wenn Du den Aufriss mit dem PW-Migrationserver nicht machen willst, MUSST Du das auch nicht. In diesem Fall kannst Du ja die Benutzer auch ohne Passwörter migrieren (wichtig ist die SID-History) und kannst den Benutzern Standardpasswörter verpassen, die bei der ersten Anmeldung geändet werden müssen.
In kleineren Umgebungen geht sowas eher mal...

In großen Firmen ist das natürlich nicht so lustig, wenn der Azubi morgens die Mails vom Chef lesen kann, weil alle das gleiche Passwort haben...

Das war übrigens bei mir und meinen Kunden oft ein K.O.-Kriterium für die Parallelmigration zu Zeiten des ADMT 1.1 (W2K). Hier konnte man nur Passwort=Benutzername oder Passwort=ein vom system generiertes kryptisches Password wählen. Da bekommt man bei 3000 Benutzern dann noch Logistikprobleme dazu, wenn man die neuen Passwörter verteilen muss...

Sprich das evtl. mal Firmenintern durch, ob hier einfach ein Standardpasswort genommen werden kann, welches die User dann bei der ersten Anmeldung in der neuen Domäne ändern.

Wir wollen hier aber mal alles sauber zusammenfassen, dashalb mach ich mir die Mühe jetzt mal einfach, das incl. Passwortmigration zu erklären...

Grüsse

schroeder750

#14 jimmypop

jimmypop

    Junior Member

  • 84 Beiträge

 

Geschrieben 07. Oktober 2005 - 12:24

hallo!! zu den passwörtern: ja ich werde standard passwörter vergeben, da dies bei uns in der firma kein problem darstellt. aber vorher noch:

die verbindung zwischen den beiden domänen hat bei der überprüfung nun geklappt. nun habe ich auf beiden servern je einen ordner freigegeben, wo ich auch den benutzern aus dem anderen netzwerk die rechte vergeben konnte. nur jetzt ist folgendes problem aufgetreten. ich wollte diese ordner jeweils als netzlaufwerk verbinden und als ich mit dem nt4 server auf den w2k3 server zugreifen wollte, kam folgende fehlermeldung: die domäne ist nicht verfügbar, und dass die maximale anzahl der clients schon verbunden ist. wobei noch nicht mal 1 client draufhängt. und vom w2k3 server aus konnte ich die nt4 domäne gar nicht sehen, als ich die domäne nach dem ordner durchsuchen wollte. dort scheint nur die 2k3 domäne auf.

so viele probleme schon am anfang. *gg*

#15 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 07. Oktober 2005 - 12:39

Hallo, schroeder!

So weit ich mich entsinne, kann ein großteil der Dinge aus Post #12 vom Migrationsassistenten erledigt werden, nicht wahr?!

Schadet natürlich nix, das von Hand zu machen :D

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!