Daim

Servus, doch, dass wird es. Wenn du unter Start-Ausführen-DCPROMO eingibst wird zuerst geprüft ob die Binärdaten installiert sind und falls nicht, wird eben die Rolle AD DS automatisch installiert. Anschließend startet dann der DCPROMO-Assistent. Natürlich macht es Sinn wenn es notwendig ist. Es kommt ja darauf an, welche Dienste zur Verfügung gestellt werden sollen. In einer Umgebung mit mehreren Standorten kann z.B. an einem entfernten Standort wo lediglich Fileservices zur Verfügung gestellt werden sollen, der Server Core als RODC installiert werden. Der Vorteil des Server Core ist ja, es laufen viel weniger Dienste auf dem Server. Dadurch ist er weniger Sicherheitsanfällig.

Diese Aussage musste ebenfalls gechrieben werden. Denn andere Leser müssen klar verstehen, worauf zu achten ist. Nämlich auf eine regelmäßige System State Sicherung. Natürlich kann ein Servercrash jederzeit und überall eintreten. Jedoch weiß ein erfahrener Admin das auch und trifft Vorkehrungen, in Form eines zweiten DCs oder eines funktionierenden Backups. Ein Servercrash kann jederzeit eintreten und ist auch nicht weiter tragisch, wenn man Vorkehrungen getroffen hat. Dann hast du meine Antwort nicht richtig gelesen. Ich habe geschrieben, dass du die Domäne neu instalieren sollst. Alles andere ist gebastel [1] und nicht supportet! [1] Gebastel ist, wenn die Empfehlungen und technischen Voraussetzungen nicht beachtet werden und dazu noch zu einer nicht supporteten Umgebung seitens des Herstellers führen.

Servus, autsch. Wenn es keine ordnungsgemäße Systemstatussicherung ist... vergiss es. Ehrlich! Wer den Schaden hat, braucht für den Spot nicht zu sorgen. Wenn eine Domäne lediglich auf nur einem DC läuft, ist es umso wichtiger, dass wenigstens das Backup regelmäßig und ordnungsgemäß durchgeführt wird. Das regelmäßige sichern des System States ist unverzichtbar. Um Himmels Willen... Wenn es sich um eine kleine Domäne handelt, dürfte doch das neu einrichten der Domäne nicht so lange dauern. Denn den Zustand den du jetzt hast, ist nicht nur unter aller Kanone, sonderen wird seitens Microsoft nicht supportet! Vergiss es. Du wirst Schiffbruch erleiden. Wenn es sich um ein produktives Netz handelt, muss alles ordnungsgemäß und seitens des Herstellers supportet laufen. Sorry, aber das widerspricht gegen alles und da kann man nicht hinweg sehen. Warum muss erst etwas passieren, bevor man die Lehre daraus zieht. Dann lass es gefälligst bleiben. Dann solltest du zusehen, die Domäne schnell wieder zum laufen zu bringen und zwar vernünftig. Also installiere die Domäne neu und achte in der Zukunft auf das Backup!

ISA auf einem DC ist ein NO GO! Versuche alles um den ISA auf einer anderen (eigenen) Maschine zu installieren, als auf einem DC.

Salut, so ist es. Mein Leibwächter, dem Volksmund auch als Norbert bekannt, muss vor mir stehen und nicht auf mir. :D :D

Servus, an diesem AD-Standort sollte natürlich auch ein erstelltes Subnetz verknüpft sein. Wenn du nun einen DC an einen anderen AD-Standort verschiebst, musst du unbedingt danach das DNS bereinigen. Denn durch die alten Einträge im DNS versuchen die Systeme dann evtl. noch den DC an seinem alten Standort zu finden. Siehe auch (insbesondere Punkt 13): Yusuf`s Directory - Blog - Einen Domänencontroller an einen anderen Standort verschieben

Mitgliedsserver können auch mit ADMT migriert werden. Ich verschiebe aber i.d.R. Server immer von Hand. Die Devise lautet: Das Whitepaper zu ADMT lesen und vorher testen. ;)

Servus, du könntest das z.B. mit LDIFDE lösen: Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange

Servus, nein. Die bedingte Weiterleitung wurde erst mit Windows Server 2003 eingeführt. Regel das doch an der Firewall.

Mit "Parent System" meinst du wohl das Host-System. Das Host-System, worauf einige virtuelle Maschinen laufen, willst du wirklich zu einem DC stufen? Wozu das denn?

Servus, negativ. Ein Neustart ist zwingend. Manche kommen auch auf die Idee, ein autoritatives (oder non-..) Restore des AD durchzuführen bei gestopptem AD-DS Dienst. Das ist nicht supportet. Ein Neustart ist auch hier zwingend notwendig. Korrekt. Genau so ist es. Das stoppen des Dienstes ist ohnehin für Wartungszwecke gedacht. Yusuf`s Directory - Blog - Active Directory-Domänendienste (AD-DS) Wie gesagt, ein Neustart nach dem Heraufstufen muss sein. Was den Umgang mit virtuellen DCs anbetrifft und worauf es alles zu achten gilt, erfährst du aus diesem Whitepaper. Download details: Using Domain Controller Virtual Machines

Servus, dem Volksmund auch auch "Hub-and-Spoke" Topologie bekannt. Im AD ohnehin nicht möglich. Nein, wird es nicht. Siehe auch: How the Active Directory Replication Model Works: Active Directory Der Infrastrukturmasters vergleicht Objekte seiner eigenen Domäne, mit den Objekten anderer Domänen die sich in der gleichen Gesamtstruktur befinden, um mögliche Unterschiede (z.B. bei domänenübergreifenden Gruppenmitgliedschaften) zu korrigieren. Operations master roles: Active Directory Nicht wegen dem Infrastrukturmaster, sondern wegen der standortübergreifenden Replikation. Du kannst aber auch wie bei der Intra-Site Replikation die über Änderungsbenachrichtigungen stattfindet, auch für die standortübergreifende Replikation die Änderungsbenachrichtigung konfigurieren. Allerdings wird dann mehr über Standortgrenzen repliziert. Yusuf`s Directory - Blog - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren

Servus, wenn du auf diesem Server Exchange installierst, darfst du DCPROMO nicht ausführen. Das wird von Microsoft nicht supportet.

Damit mit ADMT migriert werden kann, ist eine Vertrauensstellung sowie Namensauflösung Voraussetzung, was ja in einer Gesamtstruktur gegeben ist. Ich würde das ADMT in der Root-Domäne, also in der Ziel-Domäne, installieren. Das Benutzerkonto mit dem du das ADMT ausführst, muss in der lokalen Administratoren-Gruppe der Clients sein. Denn das ADMT installiert lokal auf den Clients einen Agent der die Rechte Lokal anpasst. Das ADMT legt bei der Migration ein neues Benutzerkonto in der neuen Domäne an und fügt die Object-SID des alten Benutzerkontos aus der alten Domäne, an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Lies dir zum ADMT das Whitepaper durch. Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Genau so. Das ist ja das schöne an ADMT. Der Benutzer merkt quasi nichts davon. Er fährt seinen Client aus der Sub-Domäne herunter, baut ihn in der Root-Domäne auf und kann sich dann mit seinem Benutzerkonto und seinem Client an der Root-Domäne anmelden. Du musst an dem Client dann nichts mehr tun. Allerdings kommt es hin und wieder gerade bei der Client Migration zu Problemen. Es kann dann sein, dass ein solcher Client zwei-dreimal neugestartet werden muss, ehe es dann funktioniert. Evtl. kommt es dann vereinzelt zu hartnäckigeren Problemen an den Clients, dort kann man dann händisch ran, in dem man evtl. den Client manuell zur neuen Domäne hinzufügt. Im großen und ganzen ist das ADMT - DAS Pflichttool bei einer Migration. Gerade wenn es sich um größere Umgebungen handelt, ist das Tool Goldwert. Aber auch in kleineren Umgebungen spart man mit ADMT eine Menge Arbeit. Teste es selbst. Danach wirst du das ADMT lieben. ;)

So in etwa, ja. Wenn die Migration mit ADMT abgeschlossen wurde, dann nicht. Das ist auch empfehlenswert.

Servus, führe erst einen Schritt nach dem anderen durch. Ich würde zuerst diesen AD-Standort auflösen und wenn das dann geklappt hat, auf 2008 aktualisieren. Wenn dieser AD-Standort, der ja Teil einer Domäne ist, zur Root-Domäne gehört, muss du in der MMC "Active Directory-Standorte und -Dienste" die DCs aus dem "alten" Standort, an seinen neuen AD-Standort verschieben. Erst wenn aus dem AD-Standort alle DCs verschoben wurden, lässt sich der AD-Standort entfernen. Dabei sollte das Subnetz nicht vergessen werden. Anschließend ist noch das DNS zu bereinigen. Yusuf`s Directory - Blog - Einen Domänencontroller an einen anderen Standort verschieben Falls Dienste auf dem DC laufen (wie z.B. DHCP), sind diese anzupassen oder zu deaktivieren/deinstallieren. Habe ich deine Frage mit meiner obigen Antwort beantwortet? Ansonsten erläutere was genau du mit "Content" meinst. Kann man machen wie man möchte. – Genau so ist es. Eins nach dem anderen. Ich würde ebenfalls erst das Domänenmodell "umbauen" und dann auf 2008 aktualisieren. ADMT ist hier das richtige Werkzeug. Das bedeutet, mit ADMT können die Benutzer- sowie Computerkonten (aber keine DCs!) von dem Standort, in die Root-Domäne migriert werden.

Wenn das so wäre, dann sollte sich der Admin einen neuen Job suchen. ;)

Servus, sehr gute. Ja. Nicht mehr und nicht weniger als sonst. ;) Unbedingt direkt Windows Server 2008 einsetzen. Der Windows Server 2008 ist das Server-Betriebssystem für den Administrator und nicht für die Benutzer. ;) Ja, schon einige. Wenn du die Wahl hast, empfehle ich dir direkt Windows Server 2008 einzusetzen. Der 2008er ist die Weiterentwicklng des Windows Server 2003, mit erweiterten und verbesserten Features.

Servus, keine Chance! Auhaa... da gehört jemand so was von geteert, gefedert und was weiß ich noch alles. Bei 1500 Benutzern... und es existiert nur EIN DC in der Root-Domäne, wo noch nicht einmal der Systemstatus gesichert wird.... unglaublich. Das nenne ich einen Griff ins Klo... und zwar bis zur Krümmung. Grob fahrlässig ist hier noch zu milde ausgedrückt! Dir bleibt ohnehin nichts anderes übrig, als mit ADMT in eine neue Gesamtstruktur zu migrieren. So leid es mir auch tut, dir das jetzt sagen zu müssen. :( Wenn zumindest eine funktionierende System State Sicherung von dem Root-DC bestehen würde, hätte es Hoffnung gegeben. Aber so... leider nein.

Aloha, ja, es funktioniert. Mit welchem Aufwand und wie komfortabel die tägliche Administration damit allerdings ist, steht wieder auf einem anderen Blatt. Es muss aber icht zwingend der Windows DNS-Dienst sein. Siehe auch diesen Beitrag: faq-o-matic.net » Installation von Active Directory mit einer DNS-Appliance @Edgar So ist es ja auch. Aber in manchen Firmen wird es wirklich aus firmenpolitischen Gründen (oder durch anderweitige Gründe) so nicht gewünscht. So entstand z.B. der Artikel auf den ich verweise. Ich kann mich noch an diverse Unterhaltungen mit Nicki erinnern, warum, wieso, weshalb er nicht der Windows DNS-Dienst installieren durfte...

Servus, nichts leichter als das. ;) Nicht gut, wenn du schon einen Windows Server einsetzt, dann sollte auch dieser Infrastrukturdienst wie der DHCP-Dienst, auf dem Windows Server laufen. Vorher musst du noch den DHCP-Server im AD autorisieren. Das darf nicht sein. Denn wenn du schon auf einem Server das AD installieren möchtest, wird dazu eine Namensauflösung (DNS) benötigt. Du musst also ohnehin um das AD zu installieren auf dem Server auch das DNS installieren. Dann sollte der Windows Server für die interne und externe Namensauflösung, als DNS-Server im Netzwerk genutzt werden. Wenn dann auf dem Server das DNS installiert und konfiguriert wurde, musst du lediglich noch eine Weiterleitung auf den Router oder auf die DNS-Server deines ISPs einrichten. OK. Das gehört sich bei einem DC (und überhaupt bei Servern) ohnehin so. Du führst unter Start-Ausführen das DCPROMO aus und folgst dem Assistenten. Während dem DCPROMO Vorgang kannst du auch auswählen, dass das DNS installiert udn konfiguriert werden soll. Wie das im einzelnen vonstatten geht, erfährst du aus diesem Artikel: http://www.unterwegs-im.net/content/view/8/8/ Das ist ja so auch üblich. NUR den Windows Server und nicht noch den Router! Nein! Der Kandidat hat 100 Gummipunkte. ;)

Servus, idealerweise sollte sich in jeder Domäne min. zwei DCs befinden. Wenn dann einer der DC ausfallen sollte, hält der andere DC die Domäne weiterhin aufrecht. Der ausgefallene DC könnte dann aus dem AD entfernt und anschließend nach der Reparatur, neu zur Domäne hinzugefügt werden. Damit der DC restlos aus dem AD entfernt wird, müssen die Metadaten des AD bereinigt werden. http://support.microsoft.com/kb/216498/en-us Wichtig ist aber, dass mindeste was an einem DC zu sichern wäre, ist das System State, der sogenannte Systemstatus. Diesen kann man bis Windows Server 2003 noch mit NTBACKUP sichern. Was das AD und die Domäne anbetrifft, ist das kein Problem solange eine funktionierende und idealerweise aktuelle System State Sicherung vorliegt. Wenn der DC ausgefallen und nicht mehr zum Leben zu erwecken ist, so das also nichts mehr geht, reparierst du zuerst den Server, installierst das Betriebssystem neu und sicherst anschließend das System State zurück. Somit hast du den Stand der Domäne zum Zeitpunkt der System State Sicherung. Aber wie gesagt, idealerweise sollten sich zwei DCs in der Domäne befinden. Auf beiden sollte das DNS installiert und der GC aktiviert sein. Die FLZ sollte AD-integriert gespeichert werden. Siehe auch: Yusuf`s Directory - Blog - Einen Server mit rücksichern des System State zum DC stufen

Hmm... diesem Problem bin ich noch nie begegnet. Kannst du das Benutzerkonto in eine höhere OU verschieben (falls es sich nicht bereits auf der höchsten OU-Ebene befindet) und dort das kopieren versuchen? Erscheint die Fehlermeldung beim Versuch JEDES Benutzerkonto zu kopieren oder nur von einzelnen Konten? Wird im Verzeichnisdienstprotokoll des DCs darüber ein Fehler protokolliert, dann könnte man ggf. mit der EventID mehr anfangen? Ansonsten bestehen aber keine etwaigen Probleme mit der Domäne, also ein DCDIAG meldet keine Fehler? P.S. So langsam muss ich aufhören, die Fragezeichen auf meiner Tastatur gehen mir aus. ;)

Servus, was heißt das denn genau? Bitte exakt erläutern.

Klar, dass funktioniert natürlich auch. Der Kreativität sind keine Grenzen gesetzt, solange sich eben der Bereich für die Vergabe der IP-Adressen nicht überschneidet. Wie man den Bereich splittet, bleibt jedem selbst überlassen.