Daim

du weißt wer "glaubt"? Richtig, der Pfarrer ;) . Achwo, dass ist nicht sooo schwer, schon garnicht bei einer überschaubaren Größe. In der vergangenen Woche hatte ich auf dem Launch 2008 Fragen zu Migrationen in einer Größenordnung einmal von 200.000 und 500.000 Clients. Dort hatte ich in ca. 3 Std. das Grob-Konzept für die Migration zu Windows Server 2008 erstellt. Bei dieser Größe würde ich mir (verständlicherweise), mehr Gedanken über die Anzahl an den Fehlerquellen machen. Du kannst dir doch das Szenario in VMs nachbauen und führst dort die Migration durch. Wer einmal mit ADMT migriert hat, will es nicht mehr missen. Mit ADMT werden die Benutzer- sowie Computerkonten in die neue Domäne migriert. Der Benutzer bekommt davon nichts mit. Er meldet sich einfach in der neuen Domäne an und alles sieht so aus wie immer. Die Profile, die eben die meiste Arbeit bereiten, bleiben alle erhalten. DCs müssen aus der alten Domäne herunter- und in der neuen Domäne erneut heraufgestuft werden. Büddee schön. Soll ich meine Signatur hier noch größer gestalten? ;) Yepp, der bin ich. ... und dir sei mein Dank versichert :) .

In der Regel bleiben bei einem Inplace-Upgrade alle Rechte erhalten. OK, einiges an Applikationen also. Dann könntest du den Windows 2000 Server zum DC stufen und fügst dann den neuen Windows Server 2003 als zusätzlichen DC zur Domäne hinzu. Dazu muss aber vorher das Schema mit ADPREP bearbeitet werden (siehe Link im ersten Post).

Servus, das heisst nicht Upgradeinstallation sondern "Inplace-Upgrade" (CD einlegen und updaten) ;) . Wenn möglich, würde ich gerade bei einer Domänen-Migration immer über einen zusätzlichen Server die Migration vollziehen. Aber wenn es sich dabei um einen Applikationsserver handelt sieht die Angelegenheit anders aus. Man möchte ja wenig arbeit damit haben. Du solltest vorher überprüfen, dass die installierten Dienste/Applikationen auch unter Windows Server 2003 laufen, bevor du aktualisierst. Technisch funktioniert ein Upgrade. Yusuf`s Directory - Blog - Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update) Warum möchtest du zuerst eine Domäne erstellen und dann mit ADMT in eine neue Domäne migrieren? Ergibt keinen Sinn und ist auch nicht nötig. Wenn, dann erstelle mit dem neuen Windows Server 2003 die Domäne und füge die Clients zur Domäne hinzu. Anschließend erstellst du im Active Directory die Benutzerkonten etc. Es werden neue Profile erstellt. Du könntest aber die bisher verwendeten Profile erneut zum Leben erwecken. Siehe: faq-o-matic.net » Wie kann ich Benutzerprofile migrieren? Warum das schon wieder? Wenn, dann führe das alles in einem Schritt durch. Auf dem Server werden die lokalen Benutzerkonten beim heraufstufen zum DC alle übernommen. Daher ändert sich dabei nichts.

Moin, dann kontrolliere in der Registry eines DCs, welche Schema-Version du hast. Dazu kontrollierst du folgenden Schlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\“SchemaVersion“. Die Zahl in Klammern ist entscheidend dabei. Steht dort 30, wurde /FORESTPREP noch nicht ausgeführt. Aber wie dem auch sei, auch wenn das bereits ausgeführt wäre, kannst du es jederzeit wiederholen und das Tool würde dir melden, dass es bereits ausgeführt wurde. Es geht also nichts kaput. Also du hast scheinbar ein Problem mit dem lesen ;) . Lies in dem Link den du gepostet hast, der ersten Punkt.

Moin, sogar diese Größe kann hochgegriffen sein. Wenn alles "Standard" ist (es wurden keine weiteren größeren Veränderungen an den Attributen vorgenommen), beträgt die Größe der AD-DB bei 1.500 Benutzer- sowie Computerkonten im AD unter 400 MB. Exakto Mundo.

Aloha, nie und nimmer! Du hast mit REPADMIN überprüft, das die Replikation der einzelnen Verzeichnispartitionen ordnungsmemaß stattfindet? Was spricht auf dem DC der Zweigstelle ein NetDIAG?

Es ist ja kaum zu glauben... komischerweise hatten wir diese Art von Fragen ebenfalls die letzten beiden Tage auf dem Launch. Würdest du mir den Namen des Support-Mitarbeiters mitteilen, bitte per PN, damit ich diesen kontaktieren und mit ihm mal darüber sprechen kann.

Servus, NEIN! Korrekt. Garnicht. Wenn das ginge, wäre das ein riesiges Sicherheitsrisiko um nicht zu sagen "Sicherheitsloch". Ich könnte mir vorstellen, dass du ADAM oder in Windows Server 2008 "AD LDS" suchst. Recherchiere mal im Internet danach. Viele Grüße von der Launch 2008@FFM

Dazu siehe auch: Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Um genau zu sein, zwei Windows Server 2008-Lizenzen (Hardware vorrausgesetzt). Und was kostet dich deine ganze Domänenumstellung...?

Es ist wie immer, wenn alles glatt läuft, wird es keine Probleme geben. Aber wann läuft in der IT etwas glatt ;) . Wichtig ist, nach der Aktion das DNS sowie WINS zu kontrollieren. Aber nochmals der Hinweis, mache alles in einem Schritt, denn somit ersparst du dir Arbeit und hast weniger Stress. Nimm den "defekten" DC zuerst aus der Domäne heraus und gib ihm eine andere IP-Adresse sowie anderen Namen. Dann ist der Rest "einfach". Namen sind eigentlich Schall und Rauch. Namen sind eher etwas für den Menschen. Hinter den Namen stecken die viel wichtigeren Informationen, wie z.B. die SID sowie GUID und diese sind nunmal einmalig. Fakt ist aber, für die Dienste wie eben DNS sowie WINS spielen die Namen eben doch eine Rolle. Ich würde versuchen, die Änderung des Computernamens zu umgehen, wie ich bereits beschrieben hatte. Vielen Dank für die Blumen ;) .

Es ist eine andere und vorallem sanftere Vorgehensweise. Schau dir dazu meinen verlinkten Artikel an. Wenn Probleme beim ändern des Computernamen entstehen, waren diese bisher über bei der Variante über die GUI. Nicht falsch verstehen, ich behaupte nicht das das ändern des Computernamen über die GUI nicht funktioniert, sondern, ich behaupte das das ändern mit NETDOM weniger Fehlerbehaftet ist. Der Domänenfunktionsmodus hat nichts mit den FSMO-Rollen, sondern viel mehr mit den bestehenden DCs. Du kannst in den Domänen-Modus Windows Server 2003 erst wechseln (was im übrigen zu empfehlen wäre), wenn ALLE DCs in der Domäne unter Windows Server 2003 laufen. Clients sowie Memberserver sind davon nicht betroffen und spüren dadurch keinen Nachteil. P.S. Notiz an mich, nun wird es wirklich mal Zeit einen Artikel über Domänen- respektive Gesamtstrukturfunktionsmodus zu schreiben. Nein, ich habe es nicht überlesen. Du hast evtl. meine Antwort "nicht richtig" gelesen ;) . Lies nochmals was ich geschrieben habe.

Moin, warum denn das? Gibt es dafür trifftige Gründe? Ansonsten tendiert man eher zum Single-Domänen Forest, gerade wegen der einfacheren Administration. Und nun wo der Winodws Server 2008 vor der Tür steht mit dem RODC ist das doch eine gute Ausgangsbasis. Du stellst in die Filiale dann einen RODC und delegierst die Administration an einen USER vor Ort. Dieser ist dann der LOKALE Administrator der KEINE Rechte auf das AD hat. Genau. Oder du stellst gleich einen anderen DC nebendran (der bereits die neue Domäne bildet) und kannst dann mit ADMT die Benutzer- sowie Computerkonten in die neue Domäne migrieren. Alles viel zu umständlich. Migriere mit ADMT, damit hast du am wenigsten Arbeit. Da die Filialen zum gleichen Unternehmen gehören, sollten sich selbstverständlich alle Domänen in der gleichen Gesamtstruktur befinden. Somit entsteht automatisch eine transitive bidirektionale Vertrauensstellung zwischen den Domänen.

Servus, ja, seit Windows Server 2003 kannst du den Computernamen eines DCs ändern. Zu Windows 2000 Zeiten musste der DC zuerst heruntergestuft werden, ehe man den Computernamen ändern konnte. Auch die IP-Adresse kannst du nachträglich ändern und somit dem neuen DC, die IP-Adresse des alten DCs verpassen. Trotzdem bereitet aber die Änderung des Computernamens ab und an immer wieder mal Probleme. Du kannst den Computernamen zum einen über die GUI ändern und zum anderen, mit dem Tool NETDOM, das sich in den Windows Support Tools befindet. Wenn du en Computernamen mit NETDOM änderst, muss sich allerdings der Domänenfunktionsmodus auf Windows Server 2003 befinden. Ich würde dir (wenn es sein muss) empfehlen, dass umbenennen des Computernamens mit NETDOM durchzuführen. Yusuf`s Directory - Blog - Die IP - Adresse eines Domänencontrollers ändern faq-o-matic.net » Wie kann man einen Domänencontroller unter Windows Server 2003 umbenennen? Aber warum umgehst du die Änderung des Computernamens nicht und machst alles in einem Rutsch? Verschiebe "alles" vom /defekten/ DC auf deinen bestehenden DC. Dann nimmst du den /defekten/ DC sauber mit DCPROMO aus der Domäne und vergibst eine andere IP-Adresse oder stellst ihn auf DHCP um. Anschließend änderst du seinen Computernamen. Nun kannst du die neue Maschine gleich mit dem gewünschten Namen sowie IP-Adresse zur Domäne hinzufügen. Wenn alles erfolgreich verläuft, entstehen keine Probleme.

Bonjour, Nachteile in dem Sinne hast du keine. Du kannst eher die Vorteile, die der neue Modus dir bietet nicht nutzen ;) . Von Vorteil wäre es auf alle Fälle im Forest-Modus Windows Server 2003 zu sein. Die Hauptpunkte in den Windows Server 2008 Domänenfunktionsmodus zu wechseln wäre bei mir, die Replikation des SYSVOL-Verzeichnises über das DFS-R. Aber auch dazu reicht es nicht aus nur den Modus zu wechseln. Oder wenn du mehrere Kennwortrichtlinie einsetzen möchtest, dabei ist der Begriff "Kennwortrichtlinie" im Windows Server 2008 der falsche Begriff, es sind nämlich nun Passwort-Objekte (Password Settings Objects, kurz PSO) im AD, so kannst du das nur im Domänen-Modus "Windows Server 2008" einsetzen.

Du startest das Tool und führst eine LDAP-Aktion/Abfrage durch?

Das freut mich zu hören ;) . Und zum Wochenende... Exakto Mundo :) .

Servus, dann aktiviere den Alterungs-und Aufräumvorgang im DNS. In den Eigenschaften Deiner Forward Lookup oder Reverse Lookup Zone musst Du zuerst die Option "Veraltete Ressourcen aufräumen" aktivieren. Zusätzlich kommt noch in den Eigenschaften des DNS-Servers die Option "Aufräumvorgang bei veralteten Einträgen automatisch aktivieren" dazu. Siehe: faq-o-matic.net » Endlich Ordnung auf dem DNS-Server

Salut, falls du den noch nicht kennst, kennst du ihn jetzt ;): Yusuf`s Directory - Blog - Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update) OK. Ist denn der Server2 der allererste DC gewesen? Denn das EFS-Zertifikat liegt auf dem erst installierten DC. Nein, du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem Schemamaster aus und mit dem Parameter "/DOMAINPREP /GPPREP" auf dem Infrastrukturmaster. Du kannst die beiden Schalter DOMAINPREP sowie GPPREP zusammen ausführen und musst diese nicht gesondert ausführen. Beides geht in einem Rutsch. Das ADPREP musst du auf den FSMO-Rolleninhaber (Schema- sowie Infr.master) ausführen und nicht auf dem anderen. Wie bereits geschrieben, führe ADPREP mit "DOMAINPREP /GPPREP" in einem Schritt zusammen auf dem Infrastrukturmaster (bei dir der Server1) aus. Du kannst das zwar auch getrennt ausführen, ist aber nicht nötig und somit ersparst du dir einen Schritt. Jawollja. Nö, sieht gut aus der Fahrplan. Schau noch einmal auf meinen oben verlinkten Artikel... dann bleibt nur noch zu sagen: Viel Glück and Have Fun :) .

Servus, mach dir erstmal keine Sorgen und behalte das im Auge. Überprüfe die DCs erneut mit DCDIAG sowie NetDIAG. Aber merke dir vorallem für die Zukunft: Man startet nicht beide DCs gleichzeitig neu (wenn nur zwei DCs existieren). Denn was machst du, wenn beide auf einmal nicht mehr hochfahren...

Servus, das funktioniert. Und nur weil der eine Server auf 32Bit und der andere auf 64Bit läuft, gibt es keine Probleme.

Moin, und wie soll das konkret aussehen?

Moin, nein, dass geht nicht. Denn es gibt nicht das einzelne Recht "Software installieren", das man einem Benutzer vergeben könnte. Das darf eben nur der Administrator Der Read-Only Domänencontroller in Windows Server 2008 wäre genau das richtige für dieses Szenario.

Servus, naja, anschließend muss der Client auch in diesem Fall neu zur Domäne hinzugefügt werden.

Servus, nein, dass heißt es so nicht. Du musst die Kennwortrichtlinie nicht in der Default Domain Policy aktivieren. Du kannst das in einer neuen Richtlinie einstellen. Diese muss nur auf Domänen-Ebene verlinkt werden. Es waren damals eben andere Zeiten und man hatte andere Ansprüche. Das sich die Zeit (und Microsoft) wandelt, siehst du am Windows Server 2008.

Servus, das überdenkst du bitte noch einmal. Dieser Link ist hilfreich: Gruppenrichtlinien - Übersicht, FAQ und Tutorials