Zum Inhalt wechseln


Foto

Parallelmigration von NT4 auf 2003 AD


  • Bitte melde dich an um zu Antworten
145 Antworten in diesem Thema

#136 martin80

martin80

    Newbie

  • 7 Beiträge

 

Geschrieben 29. Juni 2006 - 14:03

Mahlzeit,

sagmal...wie hast du das mit dem DNS-Server gemacht...hast du wärend der migration 2 DNS server laufen lassen?? ja eigentlich gehtd as ja net anders...

ich hatte nämlich auch schon die benutzermigration gemacht aber irgendwie dann zu viel gespielt und nun findet keiner mehr die domaine...echt :confused:

wie hast du denn dann den NT-DNS-Server mit dem AD-DNS-Server zusammenbekommen???

grüße

martin

#137 Sigma

Sigma

    Gast

  • 862 Beiträge

 

Geschrieben 29. Juni 2006 - 14:22

Hi,

die NT4-Server haben die erforderlichen Einträge in ihrer hosts-Datei.
Beim W2k3-Server habe ich noch gar nichts eingestellt.

Tschau,

Sigma
Understanding is a three-edged sword.

#138 Sigma

Sigma

    Gast

  • 862 Beiträge

 

Geschrieben 30. Juni 2006 - 07:17

Hi,

hab jetzt die Migration der Benutzer samt Kennwort geschafft. :cool:

Ich mußte dazu noch Folgendes machen:

Die Domainpolicy, welche das anonyme Aufzählen der SAM verbietet, habe ich deaktiviert.
Außerdem habe ich in der Registry des W2k3-Servers unter HKLM\System\Control\CurrentControlSet\LSA den Schlüssel restrictanonymous auf 0 gesetzt und dann den Server neugestartet.

Tschau,

Sigma
Understanding is a three-edged sword.

#139 Batto

Batto

    Newbie

  • 5 Beiträge

 

Geschrieben 22. Juli 2006 - 10:39

Habe nun auch mit meiner Migration begonnen. Sah alles gut aus, bis ich zur Migration der Benutzer bzw der Übernahme der Passwörter gekommen bin. Dort meckert ADMT, dass das auditing bzw das Tcpdingens nicht auf beiden Domänen überprüft werden konnte. Nach Überprüfung aller notwendiger Schritte bin ich auf ein Phänomän gestossen, das ich mir einfach nicht erklären kann.

Und zwar scheint es nicht an Registry-Einträgen oder sonst was zu liegen, sondern am Trust, welchen ich eigentlich für funktionierend befunden hatte.

Der Zugriff ins AD funktioniert einwandfrei (sprich Zugriff auf \\SM3\c$), aber beim Zugriff auf die NT Domäne haperts irgendwie. Will ich auf \\SM1\c$ zugreifen, kommt die Benutzeranmeldung.
Also schwupps ein Testdirectory erstellt und folgendes ausprobiert:
Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen lokale Gruppe Administratoren Vollzugriff: Geht nicht.
Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen direkt den Administrator der neuen Domäne Vollzugriff: Geht!

wtf?

Ich bin mir sicher, alle Einstellungen überprüft zu haben und auch die AD-Domain Admins sind in der lokalen nt4.0 Admingruppe.
Weiss echt nicht, woran das liegen könnte. Und die Standardfreigabe c$ kann man natürlich nicht anpassen.

Edit: Arrr, nach weiterem Pröbeln, keiner wirklichen Anpassung der Konfiguration und einem letzten verzweifelten Neustart funktionierts einwandfrei. Ich mach Essenspause ^^

#140 Batto

Batto

    Newbie

  • 5 Beiträge

 

Geschrieben 24. Juli 2006 - 08:05

So, die Umstellung in MA ist grösstenteils vollzogen (SM1 und SM2 sind noch in der alten Domäne). Zusammen mit der Anleitung von Schroeder und einem PDF aus dem Netz hat es ganz gut geklappt.

Im Moment beiss ich aber noch an folgendem Problem:
Auf einem Windows XP Rechner läuft ein IIS 5.1 und ein Apache Tomcat Server mit einigen Websites für interne Zwecke. Nach dem Test auf dem PC schien alles zu funktionieren. Sprich lokal auf dem Gerät die Seiten ansprechen geht.

Doch will man von einer andern Station innerhalb des selben Subnets den Rechner ansprechen, kommt "Fehler: Server oder DNS kann nicht gefunden werden
Internet Explorer"
Unter Firefox kommt ein Timeout.
Egal ob über http://IP oder http://GERÄTENAME
Egal ob IIS oder Tomcat Webseiten.

Zuerst dachte ich natürlich tatsächlich an ein DNS Problem. Aber alle Tests mit Ping, Tracert und alternativer DNS sehen positiv aus.

:cry:

Edit: Das Wochenende war wohl zu lang für mein sanftes Gemüt. Oder hier meine Probleme niederzuschreiben ist einfach mein ultimativer Gedächnisboost. Wie auch immer: Bei der Umstellung wurde die Windows Firewall von selbst aktiviert, hat aber selbstsamerweise ICMP doch zugelassen, was sonst eigentlich ein sicherer Indikator für die Aktivheit der FW ist.

#141 martin80

martin80

    Newbie

  • 7 Beiträge

 

Geschrieben 01. August 2006 - 11:54

na erstmal herzlichen Glückwünsch...

leider kann ich das noch nicht behaupten..:-(

aber vielleicht kannst du mri weiterhelfen...

Wie hast du denn die File- bzw. Printermigration von der alten domain auf die neue gemacht...hast du tools benutzt die mir helfen könnten???


mfg

martin

#142 EazyAdm

EazyAdm

    Newbie

  • 15 Beiträge

 

Geschrieben 04. August 2006 - 11:18

Ganz besonders dir Schroeder.

Jetzt habe ich nur noch ein ganz kleines Problem welches ich nicht gebacken bekomme.

Wenn ich nun meine Benutzer umziehe auf die neue W2k3 Domäne und sich meine User Anmelden habe ich neue Profile, wie bekomme ich die originalen Benutzerprofile welche nicht servergespeichert sind so hin das diese auch auf der "neuen" Domäne die alten lokalen Profile geladen werden ?

Aktuelle erstellt er mir in Dokumente und Einstellungen jeweils ein neues Verzeichnis für den Benutzer "USER.DOMÄNENNAME".

Vielen Dank

bye
eazy

p.s. ich werde im laufe der nächsten Woche alle Schritte um die NT4 Domäne auf W2k3 zu migireren nocheinmal zusammenfassen das man nicht immer durch den ganzen Thread springen muss.

#143 Batto

Batto

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2006 - 06:50

na erstmal herzlichen Glückwünsch...

Hehe, danke. Aber durchgestanden ist es noch nicht ;)

Wie hast du denn die File- bzw. Printermigration von der alten domain auf die neue gemacht...hast du tools benutzt die mir helfen könnten???

Das war bisher noch nicht nötig. Dank ADMT wurde ja die SID History übernommen (einerseits bei der Benutzermigration, andererseits bei der Migration der Computer), zusätzlich sind die beiden Fileserver noch in der alten Domäne, wo der Zugriff via Trust erfolgt.
Wenn alles klappt, werde ich aber dieses WE auch die verbleibenden Server und Standort RU migrieren, dann kann ich bestimmt mehr erzählen.

Aus einer anderen Anleitung habe ich folgenden Schritt:

Für diese Durchführung wird ein Tool namens Subinacl benötigt, das sich im Resourcekit zu
Windows Server 2003 oder auf der Windows Webseite befindet.
Verwendung:
Subinacl /subdirectories \\fileserver\share\*.* /changedomain=alte_dom=neue_dom

Naja, mal schauen ob ich das brauche. Die Umstellung des DCs und der PCs ging jedenfalls ohne. Auch mit den Druckern hatte ich keine Probleme...

Q 7.6: We have a lot of Windows NT file servers that have a lot of very
specific NTFS permissions. What do we need to do to migrate these
permissions to Active Directory?

A: If you migrate your NT domain carefully, you don’t need to do anything to your NT file
servers. If you use a migration tool capable of migrating NT security identifiers (SIDs) into
Active Directory’s (AD’s) SID history, all your file servers’ NTFS permissions will continue to
work fine.
Eventually, though, you’ll want to repermission your file servers’ NTFS permissions to use your
new AD SIDs.[...]
Microsoft’s ADMT
ADMT is a free download from http://www.microsoft.com/download. The tool is designed to
migrate user and group accounts as well as computers, and provides basic functionality for
repermissioning a computer’s NTFS file permissions during a migration.
Basically, ADMT searches the access control list (ACL) on every file and folder on a computer’s
hard drive. ADMT examines every SID on each ACL, and looks for each SID in the SID history
of AD. When a match is found, ADMT replaces the SID on the ACL with the primary SID from
the AD account. When ADMT finishes, all the NTFS permissions on the computer use new AD
SIDs instead of the older NT SIDs stored in AD’s SID history.
ADMT doesn’t reach out and perform a computer migration all by itself, though. Scanning
through all of a computer’s files and folders is a time-consuming process. Instead, ADMT
installs an agent on each computer it migrates. That agent runs in the background, fixing all the
computer’s file and folder permissions. You can use the ADMT management console to monitor
the status of the agents that ADMT has deployed.


Wenn ich nun meine Benutzer umziehe auf die neue W2k3 Domäne und sich meine User Anmelden habe ich neue Profile, wie bekomme ich die originalen Benutzerprofile welche nicht servergespeichert sind so hin das diese auch auf der "neuen" Domäne die alten lokalen Profile geladen werden ?

Das Problem hatte ich auch. Bei 20 -30 Usern aber nicht so schlimm, da die Profile einfach per XP Funktion "Benutzerprofile kopieren" gefixt werden konnten. Das Problem ist, dass sich die lokalen Benutzerprofile nicht um die SID History kümmern. Ein Freund von mir, welcher in einer andern Firma auch schon an AD-Umstellungen beteiligt war, meinte bei ihnen wäre das ohne Probleme möglich gewesen. Allerdings habe ich schon an verschiedenen Stellen gelesen, dass es mit ADMT nicht möglich sei, was ich selber auch feststellen musste... Vermutlich hatten sie Roaming Profiles im Einsatz.
Um wie viele Benutzer handelt es sich denn?

#144 EazyAdm

EazyAdm

    Newbie

  • 15 Beiträge

 

Geschrieben 08. August 2006 - 07:09

Guten Morgen Mädls und Männers,

ich habe nun eine komplett erfolgreiche Migration am WE hintermich gebracht.

Die Profile musste ich leider zufuss machen, aber alles andere hat geklappt.

Fileserver, Exchange Server, Domäne.

Die genaue Beschreibung gibt es die nächsten Tage.

Vielen Dank an alle die sich an diesem Thread beteiligt haben.

bye
eazy

#145 Grobiii

Grobiii

    Newbie

  • 62 Beiträge

 

Geschrieben 11. August 2006 - 05:46

ich hab da im Zuge eines Migrationstests ein kleines Problem mit dem Password Export Server. Mit dem der neuen ADMT Version sieht ja der CommandoZeilenBefehl eh etwas anders aus.

z.b.

admt.exe key /option:create /sourcedomain:adstest /keyfile:c:\

leider bekomme ich immer, egal welche Domaine ich angebe, diesen Fehler:
Invalid pointer (0x80004003)

Der Test besteht zwischen 2 W2k3 Domainen.

Jemand eine Idee was da los ist? Trusts und Rechte sind eigentlich soweit vorhanden.

EDIT: okay, hat sich erledigt

Lag wohl am ADMT selber, habs runter gehaun, und neu drauf, tadaaaa! :)

EDIT2: nächstes momentane Problem. Password Export Server läuft, aber bei der Usermigration mecker der Ziel Server an, dass er den Key nicht hätte. o_O den PES auf dem Source Server erkennt er.

#146 Grobiii

Grobiii

    Newbie

  • 62 Beiträge

 

Geschrieben 14. August 2006 - 08:41

die Frage ist, woher weiss der PES wo das Key File auf dem Server liegt?! Wärend der Installation kam keine Abfrage.