Batto

Hehe, danke. Aber durchgestanden ist es noch nicht ;) Das war bisher noch nicht nötig. Dank ADMT wurde ja die SID History übernommen (einerseits bei der Benutzermigration, andererseits bei der Migration der Computer), zusätzlich sind die beiden Fileserver noch in der alten Domäne, wo der Zugriff via Trust erfolgt.Wenn alles klappt, werde ich aber dieses WE auch die verbleibenden Server und Standort RU migrieren, dann kann ich bestimmt mehr erzählen. Aus einer anderen Anleitung habe ich folgenden Schritt: Naja, mal schauen ob ich das brauche. Die Umstellung des DCs und der PCs ging jedenfalls ohne. Auch mit den Druckern hatte ich keine Probleme... Das Problem hatte ich auch. Bei 20 -30 Usern aber nicht so schlimm, da die Profile einfach per XP Funktion "Benutzerprofile kopieren" gefixt werden konnten. Das Problem ist, dass sich die lokalen Benutzerprofile nicht um die SID History kümmern. Ein Freund von mir, welcher in einer andern Firma auch schon an AD-Umstellungen beteiligt war, meinte bei ihnen wäre das ohne Probleme möglich gewesen. Allerdings habe ich schon an verschiedenen Stellen gelesen, dass es mit ADMT nicht möglich sei, was ich selber auch feststellen musste... Vermutlich hatten sie Roaming Profiles im Einsatz.Um wie viele Benutzer handelt es sich denn?

So, die Umstellung in MA ist grösstenteils vollzogen (SM1 und SM2 sind noch in der alten Domäne). Zusammen mit der Anleitung von Schroeder und einem PDF aus dem Netz hat es ganz gut geklappt. Im Moment beiss ich aber noch an folgendem Problem: Auf einem Windows XP Rechner läuft ein IIS 5.1 und ein Apache Tomcat Server mit einigen Websites für interne Zwecke. Nach dem Test auf dem PC schien alles zu funktionieren. Sprich lokal auf dem Gerät die Seiten ansprechen geht. Doch will man von einer andern Station innerhalb des selben Subnets den Rechner ansprechen, kommt "Fehler: Server oder DNS kann nicht gefunden werden Internet Explorer" Unter Firefox kommt ein Timeout. Egal ob über http://IP oder http://GERÄTENAME Egal ob IIS oder Tomcat Webseiten. Zuerst dachte ich natürlich tatsächlich an ein DNS Problem. Aber alle Tests mit Ping, Tracert und alternativer DNS sehen positiv aus. Edit: Das Wochenende war wohl zu lang für mein sanftes Gemüt. Oder hier meine Probleme niederzuschreiben ist einfach mein ultimativer Gedächnisboost. Wie auch immer: Bei der Umstellung wurde die Windows Firewall von selbst aktiviert, hat aber selbstsamerweise ICMP doch zugelassen, was sonst eigentlich ein sicherer Indikator für die Aktivheit der FW ist.

Habe nun auch mit meiner Migration begonnen. Sah alles gut aus, bis ich zur Migration der Benutzer bzw der Übernahme der Passwörter gekommen bin. Dort meckert ADMT, dass das auditing bzw das Tcpdingens nicht auf beiden Domänen überprüft werden konnte. Nach Überprüfung aller notwendiger Schritte bin ich auf ein Phänomän gestossen, das ich mir einfach nicht erklären kann. Und zwar scheint es nicht an Registry-Einträgen oder sonst was zu liegen, sondern am Trust, welchen ich eigentlich für funktionierend befunden hatte. Der Zugriff ins AD funktioniert einwandfrei (sprich Zugriff auf \\SM3\c$), aber beim Zugriff auf die NT Domäne haperts irgendwie. Will ich auf \\SM1\c$ zugreifen, kommt die Benutzeranmeldung. Also schwupps ein Testdirectory erstellt und folgendes ausprobiert: Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen lokale Gruppe Administratoren Vollzugriff: Geht nicht. Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen direkt den Administrator der neuen Domäne Vollzugriff: Geht! wtf? Ich bin mir sicher, alle Einstellungen überprüft zu haben und auch die AD-Domain Admins sind in der lokalen nt4.0 Admingruppe. Weiss echt nicht, woran das liegen könnte. Und die Standardfreigabe c$ kann man natürlich nicht anpassen. Edit: Arrr, nach weiterem Pröbeln, keiner wirklichen Anpassung der Konfiguration und einem letzten verzweifelten Neustart funktionierts einwandfrei. Ich mach Essenspause ^^

Heh, danke fürs Willkommenheissen! Dann wollen wir mal: Phu, keine Ahnung :D Bei der letzten Migration wurden einfach alle NT 4 PDCs ersetzt durch Win2k+ Maschinen. Darum hätte ich die beiden alten Domänen wohl einfach mit einem Trust ins AD weiter laufen lassen. Die EDV-Frak-Abteilung besteht eigentlich in erster Linie aus mir :) Und ich sitze zu 2/3 - 4/5 der Woche in MA, den Rest in RU. Das wird wohl auch in Zukunft so bleiben, da es relativ wenig Supportaufwand bei den Benutzern gibt. Und per Remotedesktop und VNC ist die Fernadministrierung ja eh beinah ein Kinderspiel. Ich glaub die Sache mit den Childdomains muss ich nochmal nachschlagen:X Die Server sind ziemlich gammelig (PII 400 MHZ, 256 MB RAM und zwar aus ner Zeit, als das noch Rackfüllend verbaut wurde und mehr gekostet hat als alle Workstations die darauf arbeiteten zusammen ;)).Oh, dachte das ganze VM-Ware Server Zeug wär nu kostenfrei. Dann lohnt es sich wohl eher abzuklären, ob die Software wirklich nicht 2k kompatibel ist und wie sich die Verantwortlichen sich das denn vorstellen, falls ein NT Server mal hops gehen sollte. Ach, mist. Der SM2 macht mir nämlich wirklich etwas sorgen und ich weiss nicht so recht, wie ich das testen soll. Auf der Maschine laufen die meisten kritischen Fachapplikationen (Geoinformatik, von Externen installiert) mit Datenbanken und allem drum und dran. Vielleicht den Server klonen und in einer getrennten Umgebung einmal in ein Test-AD integrieren? Jedenfalls schon mal danke für deine Zeit :jau: Edit: Da haben sich jetzt noch 1-2 Dinge ergeben. SM1: Oracle 8.04 SM2: Oracle 10g SM3: Oracle 9i (in Zukunft) Da man die jeweilige Software diese Oracleversionen voraussetzen und anscheinend keine verschiedenen Versionen auf einem Server laufen, bleibt der NT 4 Server vorerst. Und eine weitere 2k3 Lizenz anschaffen um dann einen 400mhz Server am laufen zu haben... Naja. Die Frage ist nur, ob es noch eine andere Möglichkeit gibt, auf den NT4 Server aus dem AD zuzugreifen, als einen Trust einzurichten? In RU bleibt auch noch die Frage nach dem DC, bzw. ob dieser wirklich angeschafft wird/werden soll. Falls die ADSL Verbindung mal unterbrochen ist, wäre das Einloggen am PC ja kein Problem, dank Login-Erinnerung. Funktioniert der Zugriff auf die NT4 Domäne dann noch, oder braucht der Trust eine Verbindung zum DC in MA?

So, ich auch mal =) Der Thread war bis hierhin schon mal sehr informativ und hat mir auch schon die eine oder andere Frage beantwortet. Ich stehe auch kurz vor einer AD Migration. Wir haben hier zwei Standorte mit je einer NT 4.0 Domäne, die über eine ADSL VPN Verbindung via Trust miteinander kommunizieren (wenn nicht grad die WINS streiken). Ich habe zwar schon Erfahrungen mit AD und war auch schon bei einer Migration dabei, da musste ich allerdings nicht alles von Grund auf aufbauen. VMWare Kentnisse = 0 :\ - Also wie gesagt, zwei Standorte (MA, RU) mit je einem NT 4.0 PDC (DOMM, DOMR). - Standort MA: ca 20 Clients (win2k und XP), 3 Server (SM1: NT4.0 PDC, Fachapplikationen; SM2; Win2k3, Fileserver, Fachapplikationen; SM3: Ganz neuer Win2k3 Server, soll AD Domaincontroller werden, wird Fileserverfunktion übernehmen) - Standort RU: ca 10 Clients (win2k und XP, 1*NT4.0), 2 Server (SR1: NT4.0 PDC, Fileserver; SR2: SuSE Groupwareserver, wird nur per Webinterface angesprochen und muss afaik nicht in die Domäne) Wie ich mir das ganze vorgestellt habe: Am besten wird wohl eine Paralellmigration sein, da die NT 4.0 Server wegen der Installierten Software noch eine Weile weiter laufen müssen. Oder sollte ich hier abklären, ob man das auch über VMWare lösen kann? Dann werde ich also mit MA anfangen, genauer mit SM3, wie am Anfang des Threads beschrieben. Trusts zu DOMM und DOMR aufbauen. Dann mit der Migration in MA beginnen. Sorgen macht mir der SM2. Der hat ziemlich viel Zeug installiert (Oracle Databases uvm). Kann man davon mit VMWare ein Abbild machen und den Server in ein Test-AD integrieren um zu schauen, ob irgendwelche Dienste o.ä. Probleme machen? Die Clients sollten kein Problem sein, damit kenn ich mich eigentlich aus. Die Sache mit den SIDs ist ja auch gut beschrieben. Also hätten wir dann ein umgestelltes AD (firma.ch) mit einer ersten Site (ma.firma.ch?) und zwei Trusts zu den alten NT4 Domains. Somit sollten alle Clients der beiden Standorte immer noch auf alle Server und Dienste zugreifen können, ja? In RU sind wir zur Zeit noch über eine weitere (kleine) Serveranschaffung am nachdenken. Somit gäbe es in RU noch einen DC und die zweite Site (ru.firma.ch) und dazwischen einen Sitelink. Dann noch die Clients in RU umstellen und fertig(?). Naja, werd mich jetzt mal etwas in VMWare einlesen und euch zu gegeber Zeit wieder belästigen ;)