Jump to content
Sign in to follow this  
JensL

Windows Server 2003 in Windows 2000 Domäne zum DC machen

Recommended Posts

Hallo Leute,

 

wir haben einen neuen Windows 2003 Server in unserer Domäne und dieser soll nun DC werden.

In der Domäne fungieren im Moment noch zwei Windows 2000 Server als DC (bald nur noch einer und dann eventuell gar kein 2000er mehr).

 

Der neue Windows 2003 Server hängt ganz normal in der Domäne wie auch schon zwei weitere Windows 2003 Server.

 

Nun soll dieser 2003 Server aber Domänencontroller werden.

Kann es bei der Hochstufung zu Problemen kommen, weil dies der erste 2003 DC bei uns wäre? Oder gibt es eventuell Probleme, wenn die 2000 Server heruntergestuft und aus der Domäne genommen werden?

 

Vielen Dank schon mal für Anregungen oder Hinweise!

Share this post


Link to post
Share on other sites

Servus,

 

Kann es bei der Hochstufung zu Problemen kommen, weil dies der erste 2003 DC bei uns wäre? Oder gibt es eventuell Probleme, wenn die 2000 Server heruntergestuft und aus der Domäne genommen werden?

 

du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten.

Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte,

beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs.

 

Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2

 

Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den

Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest.

 

Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu.

Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen".

 

Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.

 

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

 

 

In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein.

Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern.

Siehe:

 

Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ?

 

Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert".

 

 

Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben, damit diverse Sicherheitsprinzipale noch erstellt werden:

 

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

 

Zusätzlich solltest Du den neuen DC zum GC deklarieren.

Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort,

auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen.

 

Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

 

 

Was sonst noch alles zu beachten ist (z.B. sichern des EFS-Zertifikats) und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel:

 

Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen

 

Zum Schluss noch eine Empfehlung: Wenn möglich, sollten in jeder Domäne zwei DCs existieren.

 

 

Noch Fragen? ;)

Share this post


Link to post
Share on other sites

Das so viel zu tun ist, hätte ich nicht gedacht :)

 

Vielen Dank für die super Zusammenfassung plus Links!

 

Aus meinem Post ist das vielleicht falsch hervorgegangen, wir setzen den 2003 zsätzlich rein, nehmen dann einen 2000er DC raus.

Und wenn der letzte 2000er DC rausgenommen wird, kommt dafür aber ein neuer DC wieder rein. Also wir bleiben auf jeden Fall bei 2 DCs.

 

Das erste ADPREP führt man ohne Parameter auf dem neuen 2003er aus, oder(ist übrigens ein ein R2)?

 

Kann es Probleme geben, wenn auf einem alten 2000er DC (mit FSMO) noch Exchange läuft?

Share this post


Link to post
Share on other sites
Das erste ADPREP führt man ohne Parameter auf dem neuen 2003er aus, oder(ist übrigens ein ein R2)?

 

Nein, du musst das Active Directory Preparation - Tool IMMER mit einem Parameter ausführen.

Dabei musst du das ADPREP mit dem Parameter /FORESTPREP auf deinem Windows 2000 Schema-Master ausführen und zwar bei R2,

dass ADPREP von der zweiten CD! Du führst das ADPREP --> NICHT <-- auf dem Windows Server 2003 aus.

 

Kann es Probleme geben, wenn auf einem alten 2000er DC (mit FSMO) noch Exchange läuft?

 

Wie gut das du Exchange noch erwähnt hast. Das ist eine wichtige Information.

 

Da bei dir das Exchange 2000 Schema in der Gesamtstruktur vorhanden ist, musst du zuerst die Exchange Schema-Erweiterung „korrigieren“.

Dazu wird die Datei InetOrgPersonfix.ldf benötigt, die sich in der Archiv-Datei Support.cab im Verzeichnis „Support\Tools\" auf der Windows Server 2003 CD befindet.

Diese Archiv-Datei gilt es zu entpacken und anschließend mit LDIFDE ins Schema zu importieren.

 

Alles weitere erfährst du von diesem Link:

Yusuf`s Directory - Blog - Das Active Directory Preparation Tool - ADPREP

Share this post


Link to post
Share on other sites

So, jetzt wollen wir gerade die Umstellung vornehmen und beim ersten Schritt klappt es schon nicht mehr. :(

 

So sieht unsere inetorgpersonfix.ldf von der Windows 2003 Server CD aus:

# Fix the LDN of inetOrgPerson schema objects in case they were mangled.

dn: CN=secretary,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: secretary
-

dn: CN=labeledURI,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: labeledURI
-

dn: CN=houseIdentifier,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: houseIdentifier
-

dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: msExchAssistantName
-

dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: msExchLabeledURI
-

dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: lDAPDisplayName
lDAPDisplayName: msExchHouseIdentifier
-

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

 

Folgende Fehlermeldung tritt auf:

Verbindung mit "HC_NTS04.holger-clasen.de" wird hergestellt.
Anmelden als aktueller Benutzer unter Verwendung von SSPI
Das Verzeichnis wird aus der Datei "inetOrgPersonFix.ldf" importiert.
Die Einträge werden geladen.
1: CN=secretary,CN=Schema,CN=Configuration,DC=Holger-clasen,DC=DE
Entry DN: CN=secretary,CN=Schema,CN=Configuration,DC=Holger-clasen,DC=DE
change: modify
Attribute 0) lDAPDisplayName:secretary

Fehler in Zeile 3: Objekt nicht vorhanden
Serverseitiger Fehler: "Verzeichnisobjekt nicht gefunden."
0 Einträge wurden einwandfrei geändert.
Fehler im Programm

 

Hat jemand eine Idee?

Share this post


Link to post
Share on other sites

Hi,

 

in folgendem link werden im mittleren Teil Migrations-Szenarien beschrieben:

 

How to upgrade Windows 2000 domain controllers to Windows Server 2003

 

Ich hatt am Anfang des Jahres die gleiche Umstellung, habe aber das Script nicht ausgeführt und es läuft alles problemlos.

 

In der Ereignisanzeige hat er mit eine Fehlermeldung wegen diesen falschen/doppelten Einträgen von LabeledURI, HouseIdentifier und Secretary gebracht, aber das System hat es selbst "repariert"!

 

In der Anleitung ist aber beschrieben, wann Du das Script ausführen musst und wann nicht!

 

Gruss

twiki

Share this post


Link to post
Share on other sites

OK, ist jetzt alles gelaufen und es sieht alles gut aus.

 

Wir haben die ersten drei Änderungen aus dem Script genommen, so ist das Script auch in einem Mirosoft Artikel beschriben. Danach hat es geklappt.

 

Mit den anderen Schritten hat es dann keine mehr Probleme gegeben.

Share this post


Link to post
Share on other sites

OK, der Server läuft sauber und das AD ist repliziert.

 

Wie kann ich DNS jetzt nur installieren aber nicht konfigurieren?

 

Wenn ich das mittels des Assistenten machen will steht da ja in der Beschreibung zu DNS-Server das man das nur machen soll, wenn der Server der einzigste DNS-Server werden soll.

 

Kann ich DNS nur installieren über Systemsteuerung, Software, Komponenten, Anwendungsserver, DNS?

 

Oder doch den Assistenten starten und dann bei der Konfiguration abbrechen?

Share this post


Link to post
Share on other sites
Kann ich DNS nur installieren über Systemsteuerung, Software, Komponenten, Anwendungsserver, DNS?

 

Ob du das kannst, weiß ich nicht. ;)

In der Systemsteuerung unter SOFTWARE findest du den DNS-Server aber nicht unter "Anwendungsserver", sondern unter "Netzwerkdienste".

Oder du installierst ihn über "Start - Programme - Verwaltung - Serververwaltung - Funktion hinzufügen oder entfernen".

 

 

Oder doch den Assistenten starten und dann bei der Konfiguration abbrechen?

 

Du musst lediglich das DNS installieren, aber nicht konfigurieren, denn er ist doch bereits auf dem anderen DC konfiguriert.

 

Siehe Punkt 3:

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...