Daim

Wie jetzt? Gibt es hier auch noch kompetente Leute? Ich hätte da mal eine Frage an so einen, nämlich, wie die Lottozahlen nächste Woche aussehen :cool: . Alles kein Problem. Wenn die Route steht und das Ziel vor Augen ist, ist der Rest nur noch Fleißarbeit ;) .

Ich hatte nichts anderes erwartet :cool:

Ahhhaa.... na also, jetzt ist es klarer ;) . Yepp, dass geht nicht. Der Vorgang wäre viel zu aufwändig und vorallem viel zu kritisch. Die Frage kannst du dir leicht selbst beantworten. Du weißt jetzt, dass man DCs nicht mit ADMT migrieren kann, also musst du nach und nach die DCs aus der alten Domäne herunter- und in der neuen Domäne herauf stufen. Falls dir in der neuen Domäne Hardware zur Verfügung steht, gilt es die Rollen Schritt für Schritt auf die neuen Maschinen zu portieren. Wenn du wissen möchtest wie ich es machen würde, dann würde ich die DCs sauber aus der alten Domäne entfernen (damit das AD in der alten Struktur sauber bleibt), die Systeme neu installieren und anschließend in der neuen Domäne erneut zu DCs stufen. Es hängt natürlich davon ab, wie die Situation vor Ort aussieht, welche Dienste existieren usw. usf.

Servus, ganz genau so ist es. @der_aragon Beachte die rote Schrift in diesem Artikel: Yusuf`s Directory - Blog - Dateizugriff überwachen

Na klar, dass kannst du ruhig machen. Dabei geht dir nichts "kaputt". Der Assistent meldet dann im ersten Part das /DOMAINPREP bereits durchgeführt wurde und führt dann lediglich das /GPPREP aus. Prinzipiell brauch man bei dem ADPREP keine Bedenken haben. Denn egal bei welchem Parameter, wenn dieser bereits ausgeführt wurde, bringt lediglich der Assistent die Meldung, dass es bereits durchgeführt wurde. Mehr passiert nicht. Daher brauch man auch bei einem mehrmaligen ausführen des Befehl keine großen Bedenken zu haben.

Da du von Windows 2000 zu Windows Server 2003 migrierst, kannst du auch gleich "ADPREP /DOMAINPREP /GPPREP" ausführen, damit die ACLs der GPOs die sich im SYSVOL-Verzeichnis befinden, gleich angepasst werden. Korrekt. Du brauchst lediglich das DNS auf dem neuen Server zu installieren, aber nicht zu konfigurieren, denn dein DNS ist ja bereits konfiguriert und existiert ja schon. Deshalb sollte man explizit darauf achten, die Forward Lookup Zone (FLZ) im AD zu speichern. Dann übernimmt den Rest die AD-Replikation. Die überkreuz Variante wird des öfteren verwendet. Der neue Server hat als ersten DNS-Server den 2000er DC und als zusätzlichen sich selbst. So richtest du es dann auch auf dem anderen DC ein. Zuerst verweist du auf den neuen und als zweites auf sich selbst.

Du kannst es zwar noch mehrmals erwähnen, trotzdem ändert sich dadurch die Tatsache nicht, dass Gruppenrichtlinien - in diesem Fall vielleicht ein unglücklicher Name - eben NUR auf Benutzer- sowie Computerkonten wirken. KEINESFALLS aber auf Gruppenobjekte.

Servus, nein, wie kommst du denn darauf? Warum sollten sie auch? Ganz einfach, mit DSQUERY + DSRM, OLDCMP oder per Skript. Yusuf`s Directory - Blog - Computerkonto löschen

Servus, genau so sieht es aus. Hier mal zum warm werden: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Yusuf`s Directory - Blog - Die Besonderheiten eines Small Business Server`s (SBS)

Huhuu Güntha, Off-Topic:boahh... solch ein Kompliment (ich nehme jetzt einfach mal an, dass es eins war ;) ) hatte ich bisher auch noch nicht :cool: . Danke dafür

Hi Norbi, pff... hör mal... das ist keine Vermutung sondern eine Feststellung :p . *duck und wech*

Nein, du musst das Active Directory Preparation - Tool IMMER mit einem Parameter ausführen. Dabei musst du das ADPREP mit dem Parameter /FORESTPREP auf deinem Windows 2000 Schema-Master ausführen und zwar bei R2, dass ADPREP von der zweiten CD! Du führst das ADPREP --> NICHT <-- auf dem Windows Server 2003 aus. Wie gut das du Exchange noch erwähnt hast. Das ist eine wichtige Information. Da bei dir das Exchange 2000 Schema in der Gesamtstruktur vorhanden ist, musst du zuerst die Exchange Schema-Erweiterung „korrigieren“. Dazu wird die Datei InetOrgPersonfix.ldf benötigt, die sich in der Archiv-Datei Support.cab im Verzeichnis „Support\Tools\" auf der Windows Server 2003 CD befindet. Diese Archiv-Datei gilt es zu entpacken und anschließend mit LDIFDE ins Schema zu importieren. Alles weitere erfährst du von diesem Link: Yusuf`s Directory - Blog - Das Active Directory Preparation Tool - ADPREP

Servus, du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs. Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2 Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest. Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen". Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig. Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein. Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern. Siehe: Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ? Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert". Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben, damit diverse Sicherheitsprinzipale noch erstellt werden: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben Zusätzlich solltest Du den neuen DC zum GC deklarieren. Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen. Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) Was sonst noch alles zu beachten ist (z.B. sichern des EFS-Zertifikats) und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel: Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen Zum Schluss noch eine Empfehlung: Wenn möglich, sollten in jeder Domäne zwei DCs existieren. Noch Fragen? ;)

Servus, so lautet also der neue DNS-Name der Domäne in der neuen Gesamtstruktur. Früher "beispiel.local" - jetzt "beispiel.intra.contoso.de". Dann lautet also der FQDN der Root-Domäne "intra.contoso.de". Oder lautet die Root-Domäne "contoso.de" und "intra" ist eine weitere Sub-Domäne (kann ich kaum glauben)? Du drückst es zwar total verquer aus, aber ja... so in etwa. Zuerst erstellst du mit einem neuen Server in der Ziel-Gesamtstruktur die neue Sub-Domäne "beispiel.intra.contoso.de", in dem du den Server zum DC stufst und gleichzeitig somit die Domäne erstellst. Danach stellst du eine Namensauflösung (eine bedingte Weiterleitung unter Windows Server 2003) und eine Vertrauensstellung zwischen alter und neuer Domäne her. Anschließend kannst du mit ADMT die Benutzer- sowie Computerkonten (Clients sowie Memberserver, aber KEINE DCs!) in die neue Domäne migrieren. Wenn du dich verständlicher ausdrücken könntest, würdest du es uns erleichtern.

Servus, es heißt "... mit dem AD". Das ist ein Fehler. Das DNS ist für das AD zwingend und gehört auch auf einem DC installiert. DHCP sollte ebenfalls auf dem DC installiert werden. In den TCP/IP-Einstellungen des DCs (sowie Memberserver und Clients) trägst du dann den DC als "Bevorzugter DNS-Server" ein. DNS, DNS und nochmals DNS.

Servus, für 200 Dollar bekommst du genau die Werkzeuge, die du für dein Vorhaben benötigst: SBSmigration.com - Home

Servus, ja, diese gibt es. Befindet sich der Gesamtstrukturfunktionsmodus nicht im Modus "Windows Server 2003 Interim" oder "Windows Server 2003", so kann eine Gruppe maximal 5.000 Benutzer enthalten. Erst im Gesamtstrukturfunktionsmodus "Windows Server 2003 Interim" oder "Windows Server 2003" können Gruppen - Benutzer in mindestens sieben stelligen Bereich enthalten. Siehe: Yusuf`s Directory - Blog - Die Linked Value Replikation (LVR) Was meinst du mit "ausgegraut"? Bekommt lediglich die Figur "graue" Haare? Siehe: Hair color of the "person" icon for a user group becomes gray if the group contains more than 500 users Ansonsten bitte genauer spezifizieren. Betrifft das immer die gleichen Benutzer? Betrifft es immer die gleiche Gruppe?

Salut, wenn es sich dabei um einen Mitgliesserver handelt und du NICHT die R2-Features (z.B. die DFS-R Replikation oder Druckermanagement) nutzen möchtest, dann ist nichts weiteres zu beachten. Du legst in einen Windows Server 2003 mit installierten SP1 die zweite R2-CD ein und folgst dem Assistenten. Damit du auf einen Windows Server 2003 R2 aktualisieren kannst, wird folgendes benötigt: - Windows Server 2003 SP1 muss installiert sein - Die zweite CD von der R2 Version muss vorhanden sein - Der Windows Server 2003 R2 Produkt-Key muss vorhanden sein (was auch eine gültige Lizenz voraussetzt: Entweder hat man R2 neu erworben oder man verfügt für den vorhandenen Windows Server 2003 über eine Software Assurance) Soll auf dem Mitgliedsserver eines der R2-Features genutzt werden, so muss vorher das AD-Schema mit ADPREP /FORESTPREP von der zweiten R2-CD auf dem Schemamaster ausgeführt werden. Das gleiche gilt für einen DC. Wenn der erste Windows Server 2003 R2 DC in eine Windows Server 2003 Gesamtstruktur hinzugefügt oder der erste Windows Server 2003 auf "R2" aktualisiert werden soll, so ist ebenfalls das ADPREP /FORESTPREP auf dem Schemamaster auszuführen. Siehe: Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

Servus, ja. Wenn bereits eine Active Directory-Umgebung existiert, ist die Migration ein leichtes. Natürlich sollte vorher die Ausgangbasis kontrolliert werden, sprich, die Windows Support Tools DCDIAG sowie NETDIAG ausgeführt werden. Danach erweiterst du zuerst das Schema, mit ausführen von ADPREP /FORESTPREP auf dem Schemamaster. Anschließend führst du den Befehl ADPREP /DOMAINPREP /GPPREP auf dem Infrastrukturmaster in der Domäne aus, in der du den Windows Server 2008 hinzufügen möchtest. Die Details erfährst du aus diesem Artikel: Yusuf`s Directory - Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Servus, jeder Domänen-Benutzer hat von Haus aus nur eine Leseberechtigung auf das AD. Daher würde ich ein normales Benutzerkonto einrichten und evtl. die Option "Kennwort läuft nie ab" aktivieren. In den Benutzereigenschaften könntest du noch auswählen, dass dieses Benutzerkonto ausschließlich an einem bestimmten Client sich anmelden könnte. Somit hast du das ganze auch etwas beschränkt. Ein normales Benutzerkonto wäre hier das ideale. Auf keinen Fall die Benutzerdaten eines Administrators verwenden. Wenn die Software Amok laufen sollte, kann es mit dem Administrator einiges anrichten. Dienstkonten sollten nur die Rechte erhalten, die sie auch tatsächlich benötigen und nicht mehr. Wie man es nimmt... ;) . How To Enable Secure Socket Layer (SSL) Communication over LDAP for Windows 2000 Domain Controllers Korrekt. Daher "nur" ein Benutzerkonto.

Korrekt. Denn dazu muss vorher das ADPREP in der 32Bit und nicht 64Bit Version ausgeführt werden. Das ist zwar von Microsoft nirgends dokumentiert (erster 64Bit Windows Server 2003 R2 DC in einer Windows 2000 32Bit Domäne), aber im Prinzip ist es genau das gleiche, wie bei einer 32Bit Windows Server 2003 Domäne. Oder hast du das etwa bereits erfolgreich durchgeführt? Na, du sollst darauf achten das die Forward Lookup Zone (FLZ) im AD gespeichert wird. Gehe dazu in die Eigenschaften deiner FLZ und überprüfe dort die Einstellung "Typ". Zusätzlich solltest du in den Eigenschaften der FLZ die Einstellung "Nur sichere" Updates wählen. Wenn die FLZ im AD gespeichert wird, brauchst du dich darum nicht mehr zu kümmern. Die AD-Replikation repliziert die DNS-Informationen automatisch auf die anderen DCs.

Right! Ich zitiere von meiner Webseite: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben faq-o-matic.net » Globaler Katalog vs. Infrastruktur-Master Korrekt. Der GC liefert dann die Informationen die ihm bekannt sind. Aber einen "Verweis" auf andere DCs erfolgt an dieser Stelle nicht, sprich, der Benutzer stellt dann nicht eine eigene/neue Anfrage an den DC, der z.B. auf einer Child-Domäne stammt. Die Antwort darauf erhälst du von meinem Zitat aus meiner Webseite, das ich zu Beginn DIESES Posts geschrieben habe. Richtig.

Servus, richtig! Das stimmt nur zum Teil und wird auch auf vielen Webseiten bzw. Büchern nicht richtig dargestellt (die Aussage an sich stimmt), es kommt auf die Umgebung an. Denn z.B. in einem Single-Domänen Forest kann sich der Benutzer auch ohne GC anmelden. Wenn in einem Single-Domänen Forest kein GC verfügbar ist, bekommt lediglich der Administrator beim einrichten des Benutzers zwar eine Warnmeldung die er bestätigen muss, aber trotzdem kann der Benutzer eingerichtet werden. Korrekt! Genau so sieht es nämlich aus ;) . Der Hinweis von "gysinma1" bezgl. NTFRS ist nicht korrekt. Denn der NTFRS ist einzig und allein für die Replikation des SYSVOL-Verzeichnisses zuständig und hat mit der AD-Replikation nicht das geringste zu tun. Das wird von vielen immer wieder verwechselt. Das AD wird eben über die AD-Replikation durchgeführt (RPC over IP) und das SYSVOL durch die NTFRS-Replikation. Stimmt! Das stimmt. Man muss nur unterscheiden um welche Größe sich es um die Umgebung handelt. Wird AD-lastig gearbeitet (viele Änderungen im AD)? Denn ansonsten entsteht lediglich bei der Initial-Replikation der Informationen die in den GC repliziert werden Last und Aufwand. Das ist aber auch nicht das Problem bei den heutigen Leitungen... Die Replikation kann nämlich auch über eine 56KB Leitung stattfinden. Sie braucht dann eben nur mehr Zeit... Jein. Der GC ist wie ein Inhaltsverzeichnis zu sehen. An welchen Server soll denn der Benutzer seine Anfrage nach einer Gesamtstrukturweiten Suche stellen? Nur der GC kennt eben ALLE Objekte in der Gesamtstruktur, wobei eben nur die wichtigsten Attribute, nämlich die bei einer Suche interessant sind (wie z.B. Distinguished Name etc.), in den GC von den anderen Domänen repliziert werden. ... to be continued

Ich warte erst auf die Antwort, dann werde ich auf dein OP antworten...

Moin, wie kommst du denn darauf?