kaineanung

Die CALS sind die Gleichen und unterliegen nur unserer eigenen, jedoch festen Zuordnung. Wir nutzen meist User-Cals. Dennoch sind die Gäste, deren Endgeräte auch eine IP-Adresse zugewiesen bekommen, und das ist dann egal ob Handy, Tablet oder deren eigene Notebooks, von diesen CALS nicht abgedeckt. Sollten aber im Endeffekt sein. Auch gibt es Azubi-Arbeitsplätze die fliessend sind und die wir dann mit Device-CALS ausgestattet haben. Diese Azubis bekommen von uns auch ein Abteilungs-Tablet und Notebook für Präsentationsübungszwecken und diese haben auch eine Device-CAL. Es ist also fliessend. Die Tablets der Azubis benötigen auch eine CAL obwohl Sie definitiv mit diesen Teilen nicht in der AD sind und auch keine Fileserver-Zugriffe auf MS-Server vornehmen. Wenn ich noch weiter nach hake und nachschaue werde ich sicherlich noch viele 'verbratene' teure CALS finden die wir nutzen müssten wenn wir es ganz genau nehmen würden. Somit sind wir mit dem DHCP und DNS auf Linux einfach auf der sicheren Seite und müssen uns lizenztechnisch keine Gedanken machen. Die nächste Überlegung ist auch ein Samba-Fileserver der an die AD angebunden ist. Da stellt sich jedoch die Frage ob es bereits ausreicht das der AD die Rechteverwaltung auf dem Fileserver übernimmt und wir deswegen doch CALs nutzen müssten.... das ist aber ein anderes Thema mit dem ich euch nicht nerven werde. Hier und jetzt geht es um das Thema BIND-DNS und MS-DNS miteinander zu verschmelzen. Netzdienste-Zone (diese _msdcs.Firma.local-Zone) auf MS als Master und BIND als Slave, die anderen Zonen nur auf BIND und die Clients haben den BIND-Server als DNS-Server eingetragen. Ich habe noch ein weiteren Bind-DNS als Slave welcher an den ersten BIND-DNS, welcher als Master konfiguriert ist, angebunden und verteile per DHCP an alle beide als DNS-Server (der Master als 1. DNS und der Slave als 2. -> Ausfallsicherheit). Aber wie versprochen werde ich das in meiner Testumgebung einfach mal testen und dann berichten damit ihr auch was gelernt habt (wurde ja von @NorbertFe so verlangt).

Da dies ja auch andere gefragt hatten will ich das kurz erklären: 1. Zuerst kommt die Vorliebe meines Vorgesetzten: Mein Vorgesetzter ist ein Linux-Liebhaber der, seit ich, ein 'eher Windows-Mensch', in der Firma bin, Linux lobpreist, es immer vergleicht und es einfach besser findet. Ich bin derjenige der immer dagegen gehalten hat weil ich mich einfach nicht ausgekannt habe in der Linuxwelt und dem Administrieren. Er übrigens ebensowenig... 2. Dann die Lizenzen: Er will Lizenzen sparen. Das ist ja klar. Aber was uns sauer aufgestossen ist war folgendes: als wir einmal eine Prüfung unserer CALS machen, ist herausgekommen das wir jahrelang keine CALS mehr hinzugekauft hatten, selber aber gewachsen sind UND neuere MS Server im Netzwerk aufgesetzt haben was ja zwingend eine neuere CAL pro User erfodert. Haben wir dann für sehr viel Geld auch gekauft. Dann aber hat jemand herausgefunden das auch der DNS und der DHCP-Server von MS eigentlich eine CAL für jegliche Endgeräte voraussetzt obwohl die Endgeräte nur IP-Adressen bekommen und DNS auflösen und sonst kein Fileserver oder sonstiges zugreifen! Also z.B. unsere Android-Geräte die IP-Adressen erhalten nur um ins Internet gehen zu können oder eMails zu Empfangen vom Zimbra-Server (NICHT MS Exchange!). auch der Gastzugang für das Internet wäre davon betroffen usw... Und da kam dann die Idee: lassen wir DHCP und DNS auf Linux auslagern (siehe Punkt 1 -> bietet sich ja dann mal an). Wer muss es machen? Ich muss es machen weil ich ja so ein großer Linuxfan war.........und vor allem weil ich mich ja so großartig ausgekannt hatte mit Linux (die letzten 2 Dinge waren IRONIE falls das jemand nicht erkannt hatte). 3. Nach und nach machte mir Linux aber Spaß! Und ich habe, so als eigentlicher Anwendungsentwickler, meine eigenen Admintools für Linux programmiert (mit Python -> habe ich mir geschwind angelernt) und es funktioniert. Sehr stabil sogar! Keine Ausfälle, DHCP-Failover-Server, DNS-Slave Server und alles abgesichert. Somit hat es mir angefangen auch zu gefallen..... und ich würde mich auch in der Linux-Welt weiterentwickeln wollen und wenn man das schon bei der Arbeit machen darf bzw. soll. dann sagt man da nicht nein.... So, also die Vorliebe meines Vorgesetzten, sein Sparwille und die saublöde Politik mit den CALS von MS, und am Ende der Spaß den ich selber mit Linux habe, waren ausschlaggebend warum wir jetzt diese Linie verfolgen. Hauptargument sind aber die saublöden CALS die bei Linux einfach entfallen UND man nicht alle Jahre wieder 5000 - 10000 EUR für neue CALS ausgeben muss weil man gerade auf einen neuen Server migriert ist. Die Lizenzen für die Server-Betriebssysteme sind da nichtmal eingerechnet..... Zurück zu meinem Thema: Wenn ich die _msdcs nun beim MS DNS belasse und alles andere beim BIND betreibe, dann habe ich ja alles was ich brauche: das Beste aus der Windows-Welt: die Domäne und dessen Dienste in der MS-DNS. Alle anderen (Nicht AD-Client) Geräte benötigen diese nicht zum Auflösen und somit ist es Lizenztechnisch ok. Der Rest ist im stabilen und guten Bind enthalten... also die schnöde Name/IP-Auflösung... Zudem kommt das wir den ISC-DHCP-Server unter Linux betreiben und dieser DDNS auf den BIND macht. Ob ich diesne DHCP-Dienst hinbekomme ddns im Windows-DNS zu machen weiß ich jetzt nicht.. Und MS-DHCP braucht wieder für jedes Gerät eine CAL..... somit schliesst sich der Teufelskreis...

Also ich dachte ein Forum hat den Sinn und Zweck seine Fragen zu stellen und, wenn jemand die Antwort kennt UND bereit ist zu helfen, diese dann beantwortet. Die Frage sollte natürlich dem Forums-Thema entsprechen und auch im richtigen Bereich stehen. So, dann zu meiner Person: Ich kann dem Vorgesetzten sagen daß wir einen externen Dienstleister dazu holen oder ihn das gleich ganz machen lassen. Das bringt mich aber nicht weiter weil ich das selber erlernen möchte. Der Maler kann auch ein Bild fertig kaufen, aber es macht nun mal mehr Spaß es selber hinzubekommen. Wenn jemand meine Fragen nicht beantworten möchte, dann ist das okey. Derjenige soll nur einmal in Sich gehen und ehrlich sich selber die Frage beantworten ob er nicht selber früher, bevor er sich das Wissen angeeignet hat, nicht auch andere gefragt hat? Oder in anderen Foren mit anderen Themen auch jetzt noch unterwegs ist? Das hat nichts mit egozentrisch zu tun sondern mit Wissbegierigkeit, mit dem selber vorankommen, besser zu werden und sich mit dem Thema immer besser und besser aus zu kennen. Das mache ich z.B. auch in einem Forum bei welchem es ums Kochen geht und werde immer besser beim Kochen. In einem Drohnenforum, in einem Schnorchelforum, PC-Hardware-Forum usw.. Was das' selber in der Testumgebung ausprobieren und dann hier posten' angeht: da hast du recht. Das könnte ich machen und werde es morgen auch gleich tun. Ich denke auch das es irgendwie klappen wird und ich kann davon berichten. Dennoch war meine Frage eher mit dem Hintergedanken nicht gleich im Start auf die falsche Bahn geraten zu sein und daß jemand mir sagt: macht das nicht so oder anders mehr Sinn? Muss ja nicht gleich bedeuten eine fertige Lösung wie "du musst die rechte Maustaste auf dies drücken und im Kontext-Menü jenes auswählen..." zu bekommen sondern eine Bestätigung des richtigen Gedankenganges zu bekommen oder eine Korrektur des Gedankenganges... Und dafür sind die Foren eben da, oder nicht?

Hallo Leute, ich habe nun mindestens 5 mal in der Testumgebung die Domäne von Server 2003 auf Server 2016 migriert und denke daß ich nun kapiert habe was zu tun ist und brav in unsere Wiki eingetragen. Jetzt will ich aber einen Schritt weiter planen: DNS. Da ihr wisst das wir hier Bind9 als DNS nutzen, und dies auch weiterhin sehr gerne machen würden, stellt sich mir die Frage was ich am besten machen könnte um beide Welten zu nutzen. Irgendjemand hat in einem der vorangegangenen Beiträgen erwähnt gehabt das man Bin9 als Slave und MS DNS als Master konfigurieren könnte. Da ein Slave jedoch 'Read-Only' ist, habe ich dann natürlich ein Problem da die Verwaltung der Clients, und das DDNS seitens des DHCPs nach wie vor von ISC-DHCP-Server-Dienst in Linux ausgeführt wird. Da ich ja nicht wirklich alle Zonen als Slave nutzen MUSS, dachte ich an folgendes Szenario: MS Server DNS: Master: _msdcs.firma.local Bind9 DNS: Master: firma.local firma.de Subdomain.local Reverse-Lookup-Zonen Slave: _msdcs.firma.local Was meint ihr, würde das gehen? Sprich: der MS DNS kümmert sich aktiv nur um die Netzwerkdienste, der Bind9-Server kümmert sich um die Clients im Netzwerk. Bisher hatte ich in der Firma.local-Zone auch alle Netzwerkdienste der Domäne eingetragen. Wie ich das aber nun sehe sind im MS-DNS diese Netzwerkdienst-Auflösungen (nennt man ja so, richtig?) separiert in der Zone '_msdcs.Firma-local'-Zone abgelegt und das trifft sich ja dann gut: diese Zone lassei ch als Master beim MS-DNS, die anderen (Client-) Zonen belasse ich auf dem Bind9 und säubere diesen nur von den Netzwerkdiensten der AD die bisher da enthalten waren. 1. Würde das so funktionieren 2. Sieht hier jemand Probleme die ich nicht erkennen kann? 3. Spricht da in Zukunft dann auch nichts dagegen mehrere DCs zu promoten ohne am BIND-Server irgendwas ändern zu müssen? Das Promoten und die Kommunikation der DCs in der Domäne läuft unabhängig des DNS-Servers bis daß die Netzdienste eingetragen werden können und diese sollen ja auf dem MS bleiben. Dazu fällt mir abern och eine Frage auf: Nicht jeder DC soll eine integrierten DNS-Server am Laufen haben, richtig? Muss ich dann beim Aufsetzen eines weiteren DCs irgendwas DNS-spezifisches beachten? Oder einfach AD Rolle installieren, promoten und das war es? Er nimmt dann den DNS den er selber als Client hinterlegt bekommen hat in den Netzwerkeinstellungen, oder?

Ich habe nun von W2K3 nach W2K16 migriert (direkt) und erstmal scheint alles zu laufen. Auch der Fileserver selber! Habe ihn dieses mal nicht aus der Domäne geworfen oder Sonstiges. Jetzt schaue ich mir das Ereignisprotokoll des AD DS an: Ich bekomme ich regelmäßigen Abständen ein Eintrag der mir gar nichts sagt: >Der DNS-Server hat einen kritischen Active Direcotry-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) laten "0000051B: AtrErr: DSID-030F2312, #1: 0: 0000051B: DSID-030F2312, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 20119 (nTSecurityDescriptor)". Die Ereignisdaten enthalten den Fehlercode.< Weiß zufällig jemand was das zu bedeuten hat? Also meine AD funktioniert soweit daß ich mich anmelden kann, User können verwaltet werden wie Passwörter zurücksetzen und auch neue USer können angelegt werden und sich am Client anmelden. Der Fileserver funktioniert auch einwandfrei. Die Berechtigungen stehen, neue können vergeben werden und alte entzogen usw.. Wäre dieses Fehlermeldung nicht würde ich behaupten: genau so soll es sein.... Ach ja, FRS nach DFRS habe ich noch nicht migriert. Das sollte aber nicht problematisch sein... Mist, ich glaube ich habe die FSMO nicht übertragen... ich muss alles nocheinmal machen... vielleicht ist es ja das? Sogar sehr wahrscheinlich..... grr

Meinst du mit 'wir' wie "wir Administratoren"? Klar kosten wir. Sogar viele von uns sehr viel. Aber ein Externer würde für die jetzige Migration locker 3k haben wollen und in einigen Jahren, wenn dann W2K20 kommt dann nochmal 3K und 4 Jahre später bei W2K24 ebenfalls. So koste ich mein Betrieb höchstens ~2k für die Lernphase und das jetzige Migrieren (sagen wir mal 2 Wochen also) und später machen wir das nur noch kurz nebenher und koste dadurch nur noch ein paar Hunderter für die Migration selber... Ich denke es selber machen zu können ist unterm Strich immer günstiger und das macht den Job ja auch aus: sich immer weiter und weiter bilden... ;) Ich habe Anwendungsentwicklung gelernt. Jetzt bin ich mehr und mehr in der Serverlandschaft (Linux + MS) und Netzwerke. Also Mädchen-für-alles. und das ist ja der Reiz unseres Jobs, oder? Oder meinst du mit 'wir' euch hier? Ja wo kann ich spenden? Denn für solch eine Hilfe macht man das doch gerne!

Das wird aber nicht an einem Samstag Nachmittag passieren da bei uns dann niemand anwesend ist. Wir reden nicht vom zurückspringen auf das Image nach x Tagen. Wir reden von recovern nach ein paar Stunden wenn die Migration im Desaster endet. Und was die raus geflogenen Clients betrifft (sollte es aus welchen Gründen auch immer doch passieren): wenn das passiert ist es halb so wild. Client in die Arbeitsgruppe nehmen und anschließend wieder in die Domäne und er ist wieder im Spiel... Wie gesagt: die Migration passiert an einem Tag wenn keiner hier bei der Arbeit ist. Und wenn das dennoch passieren sollte: Verlustei n so einem Krieg gibt es immer ein paar... ;) Und nochmals: ich rede die ganze Zeit von einem Offline-Bakup -> somit ist das ok euerer Meinung nach? Ich bin eben ein Harmonie-bedürftiger Mensch und entschuldige mich lieber vorsichthalber bevor jemand denkt ich würde hier was fordern und pochen und keine einsicht zeigen wollen und unbelehrbar sein oder der Gleichen. Und ja, das Thema ist komplexer als der Anschein am Anfang. Aber mit der Zeit und der gewonnen Erfahrung im IT-Leben hat man gelernt das es meistens immer so ist und man am Ende meistens doch den richtigen Weg (mit ein paar Wirrungen und Umwege) findet. Übrigens: habe das Szenario gerade nochmals durchgespielt und man kann tatsächlich von W2K3 auf W2K16 direkt migrieren... ;) Man hätte für heute und jetzt etwas gespart (also ich bin eine billige Arbeitskraft hier... nur um das mal klar zu stellen;)), aber das wird bestimmt nicht die einzige Migration in der Firma hier bleiben. Und in Zukunft kann ich das ohne fremde Hilfeu nd werde mein Wissen in der internen Wikipedia verweigen für alle folgenden Generationen oder auch für meine heutigen Kollegen... Somit haben wir uns viel gespart UND ich bin wertvoller geworden und kann endlich den Mindestlohn für mich einfordern... ;) Wie ich bereits weiter oben festgestellt hatte: höchstwahrscheinlich habe ich den Server beim 'demoten' aus der Domäne geschmissen und es nicht einmal bemerkt weil mein Augenmerk nicht beim Fileserver lag sondern bei dem anderen DC. Aber ich spiele das Szenario gerade nochmals durch (sogar ohne W2K8 als Zwischenschritt) und werde mehr darauf achten. Ich berichte dann.

Du hast ja mit deiner Einstellung vollkommen Recht. Ich bin auch paranoid und gerade deshalb will ich alle Möglichkeiten nutzen um ganz sicher zurückspringen zu können im Falle eines Desasters bei der Migration. Und da wir ja noch Amateurhaft unterwegs sind und nur einen DC (NOCH, bald sind es wenigstens 2) betrieben, dachte ich mir: wenn ausserhalb des DCs bei so einer Migration nichts anderes verändert wird (bis auf den DNS der ebenfalls auf dem DC ist) dann dürfte ein Imagen und notfalls recovern kein Problem darstellen. Und das wollte ich lediglich noch hier einmal sicherstellen... Hättest du mir gesagt: nein, pass auf, die Client-PCs werden bei der Gelegenheit auch irgendwie sofort und unmittelbar mit beeinflusst und es gibt kein Zurück mehr und das Image rettet dich nicht mehr, dann wäre das eine Aussage und für mich eben das Totschlagargument für nicht imagen... Gott sei dank habe ich auch meine Qualitäten. Windows-Netzwerk-Administration gehört nicht dazu aber dafür das Programmieren und Datenbanken allgemein. Natürlich sagt mir die relationale Datenbank etwas. Und das was du erwähnt hast mit der offline-Sicherung: entschuldigung das ich das nicht klarer und deutlicher Formuliert hatte: ich rede die ganze Zeit davon! Ich dachte daß mit Acronis und Ghostimage sowieso nur Offline-Images gehen? Wir machen es jedenfalls immer ausschliesslich als Offline-Variante. Booten von Stick oder CD und dann ein Image auf eine externe HDD machen. Im Notfall das gleiche SPiel nochmal nur statt 'backupen' -> 'recovern'. Also nochmal: ich rede die ganze Zeit ausschließlich von a) einem DC welchen wir in der Domäne haben und b) einem Offline-imagen Spricht da etwas dagegen diese Vorsichtsmaßnahme so zu ergreifen?

DAS IST mir schon klar und deutlich! HÄTTE ich einen weiteren DC in der Domäne, dann wäre dies selbstverständlich ein Problem mit dem USN-Rollback. Ausser VIELLEICHT ich würde zum gleichen Zeitpunkt auch von diesem anderen Server ein Image machen oder diesen zuvor demoten oder was auch immer. Das Problem stellt sich mir momentan nicht da ich blöderweise momentan NUR EINEN DC in der Domäne habe. Wenn ich diesen Image und im Worst Case zurückgehen will, kann ich problemlos das Image recovern und habe mein Stand von vor der Migration bzw. dessen Fehlversuch. Also, stimmst du mir bei dieser Theorie somit zu? Übrigens: Ich will ja nicht irgendwas behaupten da ihr euch viel besser damit auskennt. Ich will aber sicherstellen das wir vom Gleichen reden und erst dann eine gesicherte Antwort erhalte wo ich weiß und verstehe das dies so geht oder nicht geht. Und bei einem DC, welcher verändert wird, kann ich die Änderung rückgängig machen wenn ich das Image von davor recovere? Dieses Heraufstufen der Domänen- und Gesamtstrukturfunktionsebene spielt sich ausschliesslich auf diesem einen DC ab da kein weitere vorhanden ist und sonst auf keinem anderen Netzwerk-Mitglied irgendwas verändert wird? Auch das promoten und all das Andere verändert sonst nichtsi m Netzwerk ausser am DC selber? Wenn all das so zutrifft: dann ist ein Image machen und im Notfall recovern ja nicht sooo problematisch, oder?

Dann verstehe ich nicht was das Problem sein sollte ein Image des einzigen DCs in der Domäne zu machen für das Worst-Case-Szenario um wieder zurückzugehen? Marco31 rät ja DRINGEND davon ab. Aber er hat im letzten Post ja Stichwörter genannt die ich mal kurz ergoogeln werde... Aber dennoch einmal vorab: wenn sich alles auf diesem einen Server abspielt, dann sollte ich zurückspringen können auf das zuvor erstellte Image da die Änderungen sonst nichts anderes mit einbezogen haben und das Netzwerk und die 'Domäne' dann einfach so weiterlaufen sollten wie vor dem fehlgeschlagenen Versuch der Migration.

Ja natürlich in meinem Testnetzwerk abgeschottet von dem produktiven Netz in einer virtuellen Umgebung. Dort habe ich 1x Win7-Client, 1x Ubuntu DNS und DHCP-Server welcher während der Migration 'abgeschafft' wird, 1x W2K3-DC mit Fileserver und 1x W2K16 auf welchen AD migriert werden soll. Alles zusammen in einem virtuellen Netzwerk welches keine Kommunikation in das produktive Netz ermöglicht. Von allen habe ich den Stand VOR der MIGRATION ein Snapshot damit ich das Szenario mehrere male durchspielen kann ohne alles neu aufsetzen zu müssen... Aber dennoch interessiert mich ganz dringend die Antwort auf meine Frage: wo zum Teufel wird noch was verändert wenn ich einen DC migriere? Auf unseren HP-Switchen sicherlich nicht. An der FW auch nicht. Den Client-PCs sollte es egal sein gegen wen sie sich authentifizieren müssen und das bestimmt doch nur der DNS-Server mit den Netzdienst-Auflösungen. Ich sehe keine weitere 'Baustellen' die betroffen sein könnten die verhindertn könnten das ein 'zurückspringen' auf einen früheren Zeitpunkt gefährlich machen könnten (ob Snapshot oder Image-Recover ist dann auch egal)? Ich werde es nicht in meiner produktiven Umgebung machen. Ich werde sicherheitshalber dennoch ein Image des DCs machen VOR der Migration. Dann habe ich wenigstens etwas in der Hinterhand.... @mba Mist, ich habe die Snapshots widerhergestellt und kann das nicht mehr genau prüfen. Ich gehe mal davon aus der Server war kein Domänenmitglied mehr da ich beim migrieren mein Augenmerk auf die DCs gehabt habe und nicht auf den Fileserver und den nur im Nachhinein geschwind testen wollte. Jetzt wo du es erwähnst bin ich mir ziemlich sicher daß dieser kein Domänenmitglied mehr war. Ich bin ein wenig verwirrt heute... ;)

Nun ja, was den DC und die User- und Computerverwaltung angeht hat es ja geklappt. Auch die SYSVOL ist migriert worden. Ich kann mich am Client anmelden und somit -> erfolgreich. So, der Fileserver und die Berechtigungen darauf -> blöderweise nicht erfolgreich! Wenn ich das noch mit dem Fileserver hinbekommen würde, dann wäre ja alles perfekt... WENN ich es hinbekomme... Ich habe mir die Schritte aber aufgeschrieben und werde zurückspringen auf 'vor Migration'-Status (dank VMWare & Snapshots) und werde das alles jetzt noch genauer und ohne Umschweife 'durchspielen'. Vielleicht fällt mir ja dabei was auf? Vielleicht weiß ja jemand hier an was es liegen könnte weil er selber dies so bereits erlebt hat und die Lösung gefunden hat?

Hallo Leute, ich habe es soeben geschafft 'erfolgreich' den DC von W2k3 -> W2K8 -> W2K16 zu migrieren. Ich habe nebenbei auch das SYSVOL von FRS nach DFSR migriert und es scheint zu funktionieren. Es scheint zu funktionieren weil: 1. der neue DC der einzige DC im Testnetz (virtuell) ist und ich mich als User authentifizieren konnte (Test-Client ebenfalls im gleichen Testnetz) jedoch mit folgender Besonderheit: 1.1 mit 'unverändertem' User anmelden geht. Kann aber auch die lokale Speicherung der Anmeldedaten gewesen sein 1.2 User-Passwort auf dem neuen DC geändert und versucht sich mit dem alten Passwort am Client anzumelden: das hat funktioniert (blöderweise) 1.3 mit neuem User-Passwort sich nochmals angemeldet -> hat auch funktioniert?!? 1.4 wieder mit altem User-Passwort anmelden -> hat nicht mehr funktioniert..... (endlich. warum nicht gleich so?) 2. Die Netlogon.bat und diverse andere Scripte sind in der SysVol enthalten und zwari m originalen Zustand wie auf dem ursprünglichem Server (W2K3) -> das hat ebenfalls funktioniert Was nicht funktioniert ist: Auf dem alten W2K3-DC war auch der Fileserver untergebracht. Dieser läuft auch weiterhin als Fileserver ohne DC da dieser ja auf W2K16 migriert wurde. Leider sind die ganzen Berechtigungen uznd Freigaben unnutz geworden weil der Server keine User mehr erkennt sondern nur noch SID mit einem Fragezeichen anzeigt wenn man sich die Sicherheitseinstellungen / Berechtigungen anschaut? Wie ist das passiert und wie kann ich das verhindern?

Das ist ja meine Frage: was sind 'laufende Systeme'? DNS ist mit im Image, also Zustand von vor der Migration. Der einzige DC in der Domäne ist im Image. Alle Client-PCs sind ausgeschaltet. Switche werden sicherlich nicht betroffen sein von jeglichen Änderungen. Unsere Server im Netzwerk (ERP Aplikationsserver und ERP-DB-Server und sonstige Server) sind nicht implementiert in die Active Direcotry bis auf daß das diese Domänenmitglieder sind (und das war es schon). Wenn ich sowas mache wie Domänen-Level hochstufen und einen weiteren DC hinzufüge und dann den alten demote, dann betrifft das ja sonst niemanden ausser den DNS und die DC-Server selber, RICHTIG oder FALSCH? (Hoffe RICHTIG denn bei FALSCH müsste ich sicherheitshalber auch andere Systeme imagen die nicht als VM laufen. Bei den VMs müsste ich nur Snapshots anlegen.. Ich gehe davon aus das es nicht notwendig sein wird zurück zu rudern. Nur für den Fall will ich vorsorgen und Image ist das Einzige was geht. Daher nochmals: schreibt der DC ausser im DNS noch irgendwo was weg beim migrieren oder der Gleichen oder verbleiben die restlichen Systeme (Server, Clients, Switche, Router, NAS-Storage, usw. ) unangetastet?

Wenn der Tag X da ist, wird schon alles klappen. Im Noffall will ich aber zurückgehen können. Besser das als daß meine Domäne gar nicht mehr funktioniert. Das wird an einem WE passieren und somit werden alle PCs abgeschaltet sein bis bei uns in der EDV. Und darum frage ich ja euch hier ob irgendwer weiß ob da noch was anders verändert wird bei diesem Vorgang und ob es unproblematisch ist das dann wieder zurück zu setzen?

Nach dem ich mich nun mit NTDSUTIL auseinandergesetzt habe, habe ich es geschafft auch die restlichen Rollen zu übertragen! Vielen Dank dafür! Dann bin ich herangegangen um den alten DC zu demoten: Ausführen: dcpromo und den Assistenten dann befolgen. Hat bisher auch wunderbar geklappt. Jetzt muss ich lediglich noch die Migration auf W2K16 vornehmen und anshcliessend testen ob alles noch funktioniert. Dennoch lasst mich bitte noch die eine Frage klären: Wenn ich ein DC promote, Rollen übertrage, den alten Demote usw.: wird das ausserhalb der DNS-Server und DCs irgendwo noch was verändert / weggeschrieben / o.ä. ? Ich will nämlich sichergehen und den alten DC einmal vorab 'imagen' (Acronis oder Ghostimage wenn Acronis zu neu dafür sein sollte) und dies als sicherheit / backup haben für den Fall das die Migration schiefgeht. Mal angenommen diese geht schief: 1. den neuen DC aus der Domäne nehmen 2. den alten recovern auf den Stand zuvor (vom Image eben) -> sollte das theoretisch gehen oder habe ich irgendwo irgendwas irreparabel verändert gehabt mit der hier beschrieben Vorgehensweise? Eigentlich nicht da keine weiteren Geräte verändert wurden durch die Migration, richtig?

Vielen Dank. Habe ich soeben ausgeführt und das Ergebnis bestätigt meine Vermutung: Schemamaster und Domänen-Master wurden nicht übertragen. Der Rest schon. Somit muss ich mich noch darum kümmern die 2 auch noch zu übertragen. Und das geht sicherlich auch mit NTDSUTIL, richtig?

Erster Satz in der ersten Antwort auf deinen Ausgangspost. -> "Wenn DFL und FFL auf mindestens 2003 ist" Das sind die 2 Dinge dich ich auch hoch gestuft hatte. Das habe ich in einem der ersten Folgebeiträgen gesagt gehabt. Dennoch hat mir W2K16 beim promoten gemeldet das er keinen Server gefunden hat welcher mindestens W2K8 hat.......... Dann habe ich einen anderen Strang verfolgt: doch kurz auf W2K8 migrieren bevor es dann weiter auf W2k16 geht (Kann ich ja mit einer Trialversion von W2K8 auch machen und somit entstehen keine Kosten ausser etwas meiner Zeit was aber nicht weiter schlimm ist bei meinem Lohn ;)) So, ich habe nun einen W2K8 Server als DC im Netz und habe diesen auch promotet. Jetzt will ich die Rollen übertragen und habe bereits gefunden wo ich die 3 Rollen, also RID, PDC, Infrastruktur (wie oben genannt) übertragen kann. Ich würde aber nun gerne auch wissen wo ich den Schmamaster und den Domänenmaster übertragen kann und wo ich das nachprüfen/verifizieren kann? Würde mir das jemand hier verraten? Ich glaube wenn ich das noch habe, habe ich die Migration auf W2K8 erfolgreich gemacht und mache das Gleiche nochmals von w"k( auf W2K16 und alles ist Erledigt. Danke schon einmal im Voraus bzw. auch für alles bisherige! ;) Ich habe ja bereits ein paar Beiträge vor diesem gesagt gehabt das ich 'zurückgerudert' bin was DNS angeht: in meiner Testumgebung läuft dieses wieder auf dem DC-Server selber und promt konnte ich in der Testumgebung auf W2K8 migrieren. Und ich berede das mit meinem Chefe: DC als DNS beibehalten, BIND9 als Slave einrichten und auf diesen weiterhin abfragen. Jetzt geht es aber um die Frage: Wo kann ich alle FSMO Rollen übertragen und wo kann ich das prüfen das dies auch getan wurde?

Ok, ich habe den Menüeintrag 'Betriebsmaster' im 'Active Directory-Benutzer und -Computer" Verwaltungsfenster gefunden. Dort kann ich auch 3 Rollen übetragen: RID PDC Infrastructur Was ist aber mit dem Schemamaster? Und kommt da nicht noch der Domänenmaster hinzu? Was und Wo übertrage ich alles weg vom alten DC um diesen demoten zu können?

"passt auf dem 2003er auf den Domain Functional Level auf" -> und genau diese Information hätte ich zuvor gebraucht. Werde ich aber sofort am Montag ausprobieren. Wo sehe ich diesen ein und wie passe ich diesen an? In der Testumgebung wurde der DNS-Dienst wieder zurück zum DC geschoben. Also kein externer BIND-Server mehr! Und wenn das klappt -> machen wir in 'echt' dann auch am Tag X. Und ich habe nun bereits einen W2K8-DC in meiner Domäne. Ich lese mich auch gerade durch mit den Rollen übertragen (ntdsutil) auf einer MS-Seite durch (using-ntdsutil). Am Ende steht wie ich prüfen kann ob die Rollen übertragen worden sind. Ich soll in der AD-Verwaltung unter NTDS-Settings prüfen ob das Häckschen bei 'Globaler Katalog' gesetzt ist. Was ich komisch finde: bei beiden Servern ist dieser gesetzt und beide können diese einzigartigen Rollen ja gar nicht innehaben? Ausserdem sind das ja viele Rollen udn wenn ich nur ein Teil übertragen hätte, bräuchte ich genauere Informationen statt 'nur das es ein globaler Katalog sei'? Kann mir mal einer sagen ob 1.) ich alle Rollen auf einmal übertragen kann (und nicht jedes einzelne separat) 2.) wo kann ich sehen wer der aktuelle Inhaber der entsprechenden Rolle ist? Ich danke euch schon einmal für die riesige Hilfe bis hierher. Es ist ja nicht so das ich auf irgendetwas verharren würde -> Dann wird der DHCP und DNS Server wieder zurück zu MS delegiert. Das habe ich ja auf meinem alten DC-Server: Domäne und Gesamtstruktur wurden hochgestuft. Sonst hätte ich auch keine Migration auf 2008 geschafft. 2016 brachte eine Meldung das kein DC mit mindestens W2k8 gefunden wurde (siehe meine Posts oben). Und mehr kann ich auf dem alten DC auch gar nicht hoch stufen. Bei 2003 ist Ende und höher geht es nicht (bietet er mir nicht an).

Ich habe heute den DNS-Server des DC wieder aktiviert, Zonentransfer des BIND9-Servers gemacht und den MS-DNS (auf dem DC) zum Master gemacht. DHCP habe ich angewiesen nun diesen neuen DNS-Server als einzigen DNS zu verteilen im meinem virtuellen Testnetz. Domainfunktionalität (Netzwerkdienste) und 'normale Namensauflösung' incl. Reverse-Auflösungen funktionieren tadellos. Jetzt habe ich auf meinem W2K16 Server wieder versucht die AD-Rolle zu installieren und zu promoten -> das Gleiche Ergebnis -> kein W2K8 oder höherer Server in der Domäne gefunden! Wie im Eingangspost oder kurz danach von mir gepostet, habe ich auch irgendwo gelesen das es mit der Migration von W2K3 auf W2K16 nicht direkt geht. Als ihr mir hier gesagt habt das sollte gehen war ich ja happy, aber wenn ich den Umweg gehen muss dann ist das auch nicht weiter schlimm so fern das alles irgendwann mal funktionieren wird das wir endlich auf einem neuere DC angekommen sind ;)) Ausser du meinst noch andere Gegebenheiten in meiner Umgebung? Ürigens: das promoten des "W2K8 Servers zum DC ist einige Schritte weiter gekommen als vorher noch ohne MS DNS. Jetzt habe ich 'lediglich' eine Warnung an einer Stelle bekommen: "Für den DNS-Server kann keine Delegierung erstellt werden, da die autorisierende übergeordnete Zone nicht gefunden wurde oder Windows DNS-Server nicht ausgeführt wird. Wenn Sie eine Integration in eine vorhandene DNS-Infrastruktur vornehmen möchten, sollten Sie in der übergeordneten Zone manuell eine Delegierung an den DNS-Server erstellen, um eine zuverlässige Namensauflösung von außerhalb der Domäne "Firmenname.local" zu gewährleisten. Andernfalls ist keine Aktion erforderlich. Möchten Sie den Vorgang fortsetzen?" Und ich weiß nicht genau ob das für mich relevant sein soll oder nicht? Ich habe hier eine Unterdomäne die 'von ausserhalb Anfragen sendet'. Ist das jetzt relevant oder nicht? Ausserdem handelt es sich um die Haupt-Zone die keine Übergeordnete Zone hat? Wo soll ich jetzt eine Delegation machen und an wen nicht nicht an den DNS-Server selber?

Weil mein Vorgesetzter irgendwann mal beschlossen hat das wir mehr und mehr Dinge auf Linux schieben. Ich bin dann das 'ausführende Organ' und habe eben Bind9 aufgesetzt, Zonentransfer ausgeführt, MS-DNS deaktiviert und per DHCP (ebenfalls auf Linux mit ddns update auf Bind9-DNS) die DNS-Server verteilt (ja, ich habe noch ein Bind9-Slave zum Bind9-Master). Somit fahren wir schon seit ca. 2-3 Jahren ohne MS-DNS und ohne MS-DHCP. Die Diensteinträge im DNS sind ja mit transferiert worden und verrichten ihren Job bisher ganz gut. Jetzt stehe ich vor der Entscheidung: temporär zurück auf MS-DNS oder DC überreden mit dem Bind9-DNS zu arbeiten? Das temporär würde sich so anschauen: MS DNS Dienst starten Zonentransfers auf MS-DNS -> MS-DNS Slave, Bind9 Master MS-DNS zum Master machen und Bind9 zum Slave 2. DC promoten und alles was notwendig ist um einen 2. Server hinzuzufügen und zu migrieren alten DC demoten und DC und DNS-Rolle entfernen (Fileserver ist noch drauf -> für eine kurze Zeit bleibt der noch in der Domäne) wenn alles steht den DNS-Server auf dem neuen DC beenden (dieser ist ja Master und bind9 Slave -> Zonentransfer soltle gelaufen sein) und den Bind9 zum Master machen So habe ich mir das vorgestellt WENN keiner eine Idee hat wie ich den W2K16-DC überreden kann gleich mit dem Bind9 zu arbeiten?

Ich will gar nicht das ein schreibgeschützter DC erstellt wird. Ich habe aber nirgends die Möglichkeit dies zu entscheiden. Nach dem Hinzufügen zu einer 'bestehenden Domäme' macht er irgendwas, springt auf diesen 2. Punkt 'Domänencontrolleroptionen' und macht irgendwas bis er diese Meldung anzeigt. Und tatsächlich ist da ein Unterschritt aufgelistet der 'DNS-Server' heisst. Und ich kann nach der Fehlermeldung Häckchen setzen bei 'DNS-Server' und 'Globaler Katalog'. Jetztz aheb ich DNS-Server weggeklickt (ich habe ja einen Bind9-DNS-Server) und versuche es gleich nochmals. Wenn alles schiefgeht transferiere ich temporär alles auf den MS-DNS-Server der DCs, stelle mein Bind9 ab und versuche es dann wieder. Danach kann ich ja wieder alles zurück auf Bind9 transferieren oder den Bind9 als Slave betreiben.

Diesen Schritt habe ich bereits gestern Abend versucht und kenne nicht mehr den 100% genauen Wortlaut. Aber beim Hinzufügen der AD-Rolle bzw. dem Hinzufügen zu einer bestehenden Domäne, hieß es erst daß diese Funktionslevel der DC nicht auf Server 2003 waren. Dies habe ich dann hochgestuft. Dann hieß es die Gesamtstruktur wäre ebenfalls noch auf dem Level 2000 statt dem 2003. Dann habe ich dies in der Gesamtstruktur ebenfalls hochgestuft. (Übrigens: in meiner echten Domäne sind beide Werte auf Server 2003 und lediglich in meiner Testumgebung musste ich hochstufen) Dann schien es zu funktionieren weil er irgendwas gearbeitet hat bis die Meldung kam: kein Windows 2008 Server DC-Server gefunden. Nachtrag: Jetzt wollte ich den Wortlaut genau haben und habe es nochmals probiert mit dem Hinzufügen des DC zur bestehenden Domäne. Es passiert bei dem Punkt "Domänencontrolleroption" welcher gleich nach dem ersten Schritt "Bereitstellungskonfiguration" passiert. Die Fehlermeldung besagt: "In dieser Domäne konnte kein Domänencontroller gefunden werden, auf dem Windows Server 2008 oder höher ausgeführt wird. Damit ein schreibgeschützter Domänencontroller installiert werden kann, muss sich in der Domäne ein Domänencontroller befinden, auf dem Windows Server 2008 oder höher ausgeführt wird."

Ich möchte nur mal kurz den Zwischenstand in meinem virtuellen Netzwerk zur Migration von W2K3 auf W2K16 berichten: scheint so als ob die direkte Migration, wie bereits irgendwo gelesen gehabt, so nicht möglich sein wird weil der Sprung zu groß ist. Ich werde dies heute nun mit einem Zwischenschritt auf W2K8 ausprobieren. Das poste ich deshalb weil sich vielleicht der Eine oder Andere jemals die gleiche Frage stellen wird oder selber gefragt wird (wie ich euch dazu befrage) und nun Aufschluss darüber erhält..