Jump to content

Domänenvertrauensstellung zur Fehleranalsye

lendl

Von lendl
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

lendl Enthusiast

lendl   10

Geschrieben
Geschrieben

Hallo Leute,

 

ich habe einen DC geerbt der dringend mal eine Neuinstallation benötigt. Folgende Fehler und sonderbare Verhaltensweisen treten auf:

 

- größere Dateien (> 1GB) lassen sich nicht speichern, IRPStackSize habe ich aber schon versucht

- Anmeldung dauert bein Client oft 5 Minuten

- Reboot der Maschine dauert manchmal 30 min

- Viele kleine Fehlerchen die aber oft nach einem Reboot wieder weg sind

 

Das Gerät ist ca. 1 1/2 Jahre alt, hat ausreichend Power, ist allerdings kein Markengerät. Die Installation wurde mit Acronis von Vorgängerserver auf diesen geklont. Das Gerät ist zudem Fileserver, Anwendungsserver und auch sonst recht zugemüllt.

 

Deshalb will ich jetzt mal Nägel mit Köpfen machen und das Teil neu installieren. Wenn ich schon neu installiere will ich aber auch noch die Domäne umbenennen und ein paar weitere Sachen testen (z.B. Anmeldedauer der Clients). Das ganze soll dann auch noch nach und nach passieren und im laufenden Betrieb.

Folgende Vorgehensweise habe ich mir dazu überlegt:

 

- ich erstelle eine neue Domäne (mit dem neuen Namen) auf einen auf einem wenig genutztem Server (gleiches Subnetz)

- ich erstelle eine Vertrauenstellung zwischen den beiden Domänen

- ich nehme die Client-PCs nach und nach in die neue Domäne auf

- ich stufe den alten DC dann zum Mitgliedsserver herunter

- danach installiere ich ihn neu und lasse ihn als reinen Fileserver laufen.

 

Hier noch ein paar Fragen:

- Ist das eine Vorgehensweise die man so durchführen könnte oder habt Ihr andere Vorschläge / Anregungen?

- Können die Clients in der neuen Domäne auf ihre Daten aus der alten Domäne zugreifen? (das regelt doch die Vertrauensstellung?)

- Kann man, sollte irgendetwas schief gehen, den ursprünglichen Zustand problemlos wiederherstellen? (neue Domäne löschen, Vertrauenstellung auflösen, Clients wieder in die alte Domäne aufnehmen)

- Gibt es sonst noch Fallstricke die man beachten sollte?

- Jetzt das Wichtigste: Gibt es eine gute Doku zu den Vertrauensstellungen? Ich habe so etwas nämlich noch nie gemacht.

 

Vielen Dank vorab, muss jetzt weg und mal wieder meinen Server durchbooten... :-(

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

- Anmeldung dauert bein Client oft 5 Minuten

 

DNS vermutlich nicht korrekt eingerichtet. Zeig mal ein ipconfig /all vom Client und vom Server.

 

- Reboot der Maschine dauert manchmal 30 min

 

Ist das ein SBS? Ist das OS up2date? Fehlermeldungen im Eventlog?

 

- Viele kleine Fehlerchen die aber oft nach einem Reboot wieder weg sind

 

Fehlermeldungen im Eventlog?

 

- ich erstelle eine neue Domäne (mit dem neuen Namen) auf einen auf einem wenig genutztem Server (gleiches Subnetz)

- ich erstelle eine Vertrauenstellung zwischen den beiden Domänen

- ich nehme die Client-PCs nach und nach in die neue Domäne auf

- ich stufe den alten DC dann zum Mitgliedsserver herunter

- danach installiere ich ihn neu und lasse ihn als reinen Fileserver laufen.

 

Du kannst auch Clients migrieren, sowie die Benutzerprofile. Such mal danach hier im Forum, gibts garantiert genügend Hinweise.

 

Hier noch ein paar Fragen:

- Ist das eine Vorgehensweise die man so durchführen könnte oder habt Ihr andere Vorschläge / Anregungen?

 

Zuerst mal probieren die Fehler zu bereinigen.

 

- Können die Clients in der neuen Domäne auf ihre Daten aus der alten Domäne zugreifen? (das regelt doch die Vertrauensstellung?)

 

Jepp. Notfalls die Berechtigungen kontrollieren und korrigieren.

 

- Kann man, sollte irgendetwas schief gehen, den ursprünglichen Zustand problemlos wiederherstellen? (neue Domäne löschen, Vertrauenstellung auflösen, Clients wieder in die alte Domäne aufnehmen)

 

Können tut man schon, aber ob das dann wirklich problemlos geht wag ich zu bezweifeln.

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

- Ist das eine Vorgehensweise die man so durchführen könnte oder habt Ihr andere Vorschläge / Anregungen?

 

du möchtest also in eine neue Domäne migrieren. Dann suchst du das Migrationswerkzeug ADMT.

 

- Können die Clients in der neuen Domäne auf ihre Daten aus der alten Domäne zugreifen? (das regelt doch die Vertrauensstellung?)

 

Ja, dass können sie. Das regelt aber nicht die Vertrauensstellung denn diese ist dafür da, damit der Zugriff auf die andere Domäne überhaupt gewährleistet ist. Wenn du mit ADMT migrierst kannst du entweder mit DUAL-ACL oder mit der SID-History arbeiten.

 

Was das bedeutet, verrät dir der folgende Artikel:

 

Yusufs Directory Blog - Eine Domänenmigration durchführen

 

- Kann man, sollte irgendetwas schief gehen, den ursprünglichen Zustand problemlos wiederherstellen? (neue Domäne löschen, Vertrauenstellung auflösen, Clients wieder in die alte Domäne aufnehmen)

 

Ja, dass kann man. Lies dir dazu das Whitepaper zu ADMT durch.

 

- Gibt es sonst noch Fallstricke die man beachten sollte?

 

Fallstricke gibt es hauptsächlich deshalb, wenn eine Migration nicht ordentlich geplant wurde.

 

- Jetzt das Wichtigste: Gibt es eine gute Doku zu den Vertrauensstellungen? Ich habe so etwas nämlich noch nie gemacht.

 

Damit du eine Vertrauensstellung erstellen kannst, benötigste du als erstes eine Namensauflösung. Ab Windows Server 2003 kannst du einfach eine "bedingte Weiterleitung" im DNS einrichten.

 

Erstellen einer Gesamtstrukturvertrauensstellung

Yusufs Directory Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen

Link zu diesem Kommentar
lendl Enthusiast

lendl   10

Geschrieben
  • Autor
Geschrieben

@Sunny61

Danke für die schnelle Antwort.

Ich möchte an dieser Kiste echt keine Fehler mehr suchen, das tue ich nämlich schon seid einem Jahr. Was ich alleine für die IRPStackSize Geschichte an Zeit verbraten habe war schon zu viel (und es funktioniert immer noch nicht - ich vermute es hängt mit dieser Migration mit Acronis zusammen). Ich bin eine Ein-Mann-Abteilung für 100 Clients, deswegen such ich auch eine Lösung die ich schrittweise vollziehen kann.

 

@Daim

Also zu sagen dass ich unbedingt die Domäne umbenennen will wäre übertrieben. Es wäre ein netter Nebeneffekt wenn man diese Sache schon anfangen muss. Mein Hauptziel ist es die DC-/File-/Anwedungsserver Kombination platt zzu machen. Ohne noch mehr graue Haare, ohne Herzinfarkt, ohne den laufenden Betrieb einzuschränken. Ich will mir die Kiste an einem Wochentag ins Büro holen und neu installieren ohne das die Anwender etwas davon mitbekommen. Danach soll das Teil nur noch als Fileserver laufen. Das ist das Ziel

 

@giffy

Den DC wegmigieren und die Anwendungen, das würde gehen und ist ein guter Ansatz. Das Gerät sollte danach nur noch Fileserver sein. Übergangsweise habe ich aber auch auf einem anderen Server genügend Speicherplatz.

Das bedeutet ich muss meinen zweiten DC zum Betriebsmaster machen und danach der ersten zum normalen Mitgliedsserver. Das sollte ja eigentlich problemlos möglich sein. Allerdings kann ich dann aber doch viele Fehler nicht eingrenzen, da ich ja immer noch in der gleichen Domäne bin.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Ich möchte an dieser Kiste echt keine Fehler mehr suchen, das tue ich nämlich schon seid einem Jahr. Was ich alleine für die IRPStackSize Geschichte an Zeit verbraten habe war schon zu viel (und es funktioniert immer noch nicht - ich vermute es hängt mit dieser Migration mit Acronis zusammen). Ich bin eine Ein-Mann-Abteilung für 100 Clients, deswegen such ich auch eine Lösung die ich schrittweise vollziehen kann.

 

Weshalb willst Du kein ipconfig /all posten? Du könntest auch mit RSOP.MSC auf den Clients nachsehen, welche GPOs ankommen. Evtl. bekommen wir so die Anmeldezeit auf den Clients reduziert. Wenn Du die Ursache nicht kennst, kann es doch ganz einfach sein, das Du dir den Fehler bei der neuen Domain auch gleich mit einbaust.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...