Nessy 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Hi Leute, Ich habe den Auftrag bekommen einen Windows 2000 Server DC durch einen neuen Windows Server 2008 DC zu ersetzen. Es soll ein neuer Rechner werden, also der alte soll nicht geupdatet werden. Natürlich soll alles von dem 2000er in den 2008er migriert werden, der 2008er soll komplett die Funktion den jetzigen 2000er's übernehmen. Bisher bin ich nur auf folgenden Blog gestoßen und habe ab und an etwas von einem "Ntdsutil.exe"-Tool zum übertragen der FSMO-Funktionen gefunden, das aber glaube ich auch nur von 2000 -> 2000. http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cMigration.aspx Bisher habe ich kaum Erfahrungen sammeln können was Domänen angeht, das weiss aber auch mein Praktikumsbetreuer/Chef. Ich habe mich aber schon belesen können was ein DC ist, un die einzelnen Schemas. Auch den Blog habe ich natürlich gelesen wo es erstmal darum geht die Gesamtstruktur auf 2008 zu bringen mithilfe von einem Active Directory Preparation Tool (kurz ADPREP). Habt Ihr da Tipps für mich, wie ich da am besten vorgehe oder sonstiges Wissenwertes? Schönen Gruss Nessy Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Moin, einen 2000er-DC könntest du auch gar nicht auf 2008 aktualisieren. Das ist aber auch gar nicht nötig. Ebensowenig musst du eine Migration machen. Du nimmst den 2008er Server in die bestehende Domäne auf, passt diese an 2008 an und stufst dann den 2008-Server zum zusätzlichen DC der bestehenden Domäne hoch. Alle Objekte werden dann einfach repliziert. LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen Beachte aber: Ein einzelner DC ist in fast allen Netzwerken zu wenig. Du brauchst mindestens zwei. Gruß, Nils Zitieren Link zu diesem Kommentar
Sanic 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Bezüglich FSMO Rollen Übertragung gibt es auch die Möglichkeit, das per GUI zu machen: LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Als erstes solltest du generell den neuen Server in die Domäne bewegen und zum zusätzlichen DC hochstufen. Dann kannst du dir genaue Überlegungen machen wie du alle Dienste auf der alten Kiste auf den neuen Rechner überträgst. Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Wow, Ihr seid schnell :D Danke schonmal :wink2: Hab mir hier mal was zusammengeschireben, so würde ich vorgehen. Was haltet Ihr davon, hab ich alles drin und beachtet? 1. Active Directory Preparation Tool (kurz ADPREP) von Win 2008 DVD auf Schema-Master ausführen (64-32bit beachten; Adprep32 /Forestprep oder Adprep /Forestprep).Dabei muss Benutzer Mitglied der folgenden Gruppen sein: - Organisations-Admins - Schema-Admins - Domänen-Admins in der Domäne, in der der Schema-Master Mitglied ist 2.Adprep32 /Domainprep & /Gpprep auf dem Infrastruktur-Master ausführen, in der Domäne in der man den Win 2008 Server als DC hinzufügen möchte. Benutzer muss dabei Mitglied er Sicherheitsgruppe Domänen-Admins ein. 3. Win 2008 als zusätzlichen DC hinzufügen. Als DC heraufstufen & DNS installieren & zusätzlich den globalen Katalog aktivieren. 4. Schema-SnapIn mit Start->Ausführen "regsvr32 schmmgmt.dll" regestrieren. Unter Start Ausführen "MMC" Konsole öffnen um dann Datei->SnapIn hinzufügen/entfernen das Active Directory Schema hinzuzufügen. 5. Auf altem Rolleninhaber Rechtsklick auf Active Directory-Schema [FQDN] den Eintrag Active Direktory-Domänencontroller ändern. 6. Erneuter Rechklick auf Active Directory-Schema [FQDN] Betriebsmaster auswählen. Im Dialogfenster "Schemamaster ändern" Ändern und bestätigen. 7. Mit Schließen bestätigen. 8. Start-Programme-Verwaltung -> SnapIn Active Directory-Domänen. Rechtsklick auf Active Directory-Domänen und -Vertrauensstellungen [FQDN] die Option Domänencontroller ändern. 9. Rechklick auf Active Directory-Domänen und -Vertrauensstellungen Betriebsmaster auswählen. Im Dialogfenster "Schemamaster ändern" Ändern und bestätigen. 10. Mit Schließen bestätigen. 11. Start-Programme-Verwaltung MMC Active Directory-Benutzer und -Computer starten. 12. Auf ursprünglichem Rolleninhaber Rechtsklick auf Domänenamen und option Domänencontroller ändern wählen. 13. Rechtsklick auf Domänenname Betriebsmaster auswählen. Register RID->Ändern. 14. Mit schließen bestätigen 15. Start-Programme-Verwaltung MMC Active Directory-Benutzer und -Computer starten. 16. Auf ursprünglichem Rolleninhaber Rechtsklick auf Domänenamen und option Domänencontroller ändern wählen. 17. Rechtsklick auf Domänenname Betriebsmaster auswählen. Register RID->Ändern. 18. Mit schließen bestätigen 19. Start-Programme-Verwaltung MMC Active Directory-Benutzer und -Computer starten. 20. Auf ursprünglichem Rolleninhaber Rechtsklick auf Domänenamen und option Domänencontroller ändern wählen. 21. Rechtsklick auf Domänenname Betriebsmaster auswählen. Register PDC->Ändern. 22. Mit schließen bestätigen 23. Start-Programme-Verwaltung MMC Active Directory-Benutzer und -Computer starten. 24. Auf ursprünglichem Rolleninhaber Rechtsklick auf Domänenamen und option Domänencontroller ändern wählen. 25. Rechtsklick auf Domänenname Betriebsmaster auswählen. Register Infrastruktur->Ändern. 26. Mit schließen bestätigen 27. Zusätzlich sollte der neue DC zum Global Catalog-Server (GC) deklariert werden. Dazu ist im Snap-In Active Directory-Standorte und -Dienste in den Eigenschaften des NTDS-Settings Objekt, das sich unterhalb des neuen DC-Objekts befindet, der Haken bei "Globaler Katalog" zu setzen. 28. EFS-Zertifikat von erstem DC sichern, dazu Default Domain Policy öffnen ->Computereinstellungen->Sicherheitseinstellungen->Richtlinien öffentlicher Schlüssel->Agent zum wiederherstellen verschlüsselter Daten. Rechsklick auf das Zertifikat des Administrators->Exportieren. 2x exportieren, einmal mit privatem Schlüssel und einmal ohne (seperate Dateien). Schönen Gruss Nessy Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Servus, ja, die Richtung stimmt schon mal. Ausser das du dich verschrieben hast und zwei mal den Schemamaster ändern möchtest. ;) Du musst natürlich dann noch alle Daten sowie Dienste auf den 2008er DC übertragen und ggf. das Loginskript anpassen. An was du alles denken solltest, beschreibt dir dieser Artikel: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen Aber wie Nils es bereits angesprochen hatte, ein einziger DC in der Domäne ist definitiv ein DC zu wenig. Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Hi Daim, Also kann ich Punkt 8-10 einfach wegfallen lassen, richtig? Wie mache ich das denn am besten und einfachstem mit den Daten & Diensten auf den 2008er verschieben? Und LogIn Script sagt mir grade garnix *gg* Schönen Gruss Nessy Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Also kann ich Punkt 8-10 einfach wegfallen lassen, richtig? Nein, du lässt nichts weg. Du hast nur wahrscheinlich ein Copy&Paster in den Punkten 6+9 zu viel gemacht. Dort änderst du zwei mal den Schemamaster. ;) Das passt schon. Abgesehen davon werden die FSMO-Rollen auch automatisch während dem herunterstufen des Rolleninhabers auf einen anderen DC verschoben. Das bedeutet, auch wenn du es vergessen würdest eine Rolle händisch zu verschieben, würde die Rolle automatisch während dem herunterstufen des DCs mit DCPROMO verschoben werden. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen mit DCPROMO verschieben Wie mache ich das denn am besten und einfachstem mit den Daten & Diensten auf den 2008er verschieben? Die Daten kopierst du eben mit den ACLs auf den neuen DC, falls der DC zeitgleich auch ein Fileserver ist. Welche Werkzeuge du dazu verwenden kannst, ist in dem Link in meiner vorherigen Antwort beschrieben. Was die Dienste anbetrifft musst du ja wissen, welche auf dem 2003er DC laufen und wie diese übernehmen werden können. Ggf. setze dich mit den Herstellern in Verbindung. Wie du z.B. DHCP übernehmen kannst, ist ebenfalls in dem Link meiner vorherigen Antwort beschrieben. Und LogIn Script sagt mir grade garnix *gg* Uiuiuiii... jetzt wirds ernst. Wie verknüpfen denn die clients ihre Netzlaufwerke? Ändisch oder automatisiert bei der Anmeldung eben mit einem Loginskript, welches sich im NETLOGON-Verzeichnis des DCs befindet. Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Nein, du lässt nichts weg. Du hast nur wahrscheinlich ein Copy&Paster in den Punkten 6+9 zu viel gemacht. Dort änderst du zwei mal den Schemamaster. ;) Das passt schon. Abgesehen davon werden die FSMO-Rollen auch automatisch während dem herunterstufen des Rolleninhabers auf einen anderen DC verschoben. Das bedeutet, auch wenn du es vergessen würdest eine Rolle händisch zu verschieben, würde die Rolle automatisch während dem herunterstufen des DCs mit DCPROMO verschoben werden. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen mit DCPROMO verschieben Mh, ok wird wohl nen Copy&Paste Fehler sein jop. Gut, den Artikel von dir mit dem FSMO Rollen lass ich dann mal beiseite, weil ich das ja wohl schon einzeln mache laut meiner Beschreibung. Die Daten kopierst du eben mit den ACLs auf den neuen DC, falls der DC zeitgleich auch ein Fileserver ist. Welche Werkzeuge du dazu verwenden kannst, ist in dem Link in meiner vorherigen Antwort beschrieben. Was die Dienste anbetrifft musst du ja wissen, welche auf dem 2003er DC laufen und wie diese übernehmen werden können. Ggf. setze dich mit den Herstellern in Verbindung. Wie du z.B. DHCP übernehmen kannst, ist ebenfalls in dem Link meiner vorherigen Antwort beschrieben. Ist nen 2000er DC :D Naja, ich weiss das nicht, aber mein Prakikumsbetreuer bestimmt. Wie ich die DHCP exportiere habe ich gelesen, ja. Aber klappt das den auch von Win 2000 Server auf Win 2008 Server? Uiuiuiii... jetzt wirds ernst. Wie verknüpfen denn die clients ihre Netzlaufwerke? Ändisch oder automatisiert bei der Anmeldung eben mit einem Loginskript, welches sich im NETLOGON-Verzeichnis des DCs befindet. Ähhhhm :D Keine Ahnung :D Zitieren Link zu diesem Kommentar
Sanic 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Läuft da wirklich etwas produktiv drauf oder ist das ein Spielserver für dich? Du solltest dich wirklich schlau machen was ALLES auf dem Server läuft, wie du die Nutzdaten sicherst etc. pp. Guck mal im AD unter "Benutzer und Computer" bei einem Benutzeraccount ob dort ein Anmeldeskript in den Eigenschaften eingetragen ist. Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Läuft da wirklich etwas produktiv drauf oder ist das ein Spielserver für dich?Du solltest dich wirklich schlau machen was ALLES auf dem Server läuft, wie du die Nutzdaten sicherst etc. pp. Nein, es ist definitiv keine Spieleserver! Wie gesagt, habe ich momentan Praktium in einer großen Firma und soll mich deswegen schlau machen. Guck mal im AD unter "Benutzer und Computer" bei einem Benutzeraccount ob dort ein Anmeldeskript in den Eigenschaften eingetragen ist. Ich glaube ich selbst kann garnicht direkt ins Active Directory schaun. Ich muss dann nochmal Rücksprache mit meinem Chef halten. Schönen Gruss Nessy Zitieren Link zu diesem Kommentar
Sanic 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Schreibst du etwa nur eine Anleitung für deinen Chef oder wie ist das gedacht wenn du gar nicht auf den Server gucken kannst? Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Bisher habe ich nur die Problematik erklärt bekommen wegen Windows 2000 Server auf einem Windows 2008 Server zu migrieren so das der erste dann vom Netz gehen kann. Und in wie weit das überhaupt möglich ist. Und nun informiere ich mich dazu und habe daraufhin, bisher für mich selbst, diese "Anleitung" geschrieben. Ich hatte bisher weder was mit Domänen, Domänen Controller, Windows Server oder Active Directory am Hut. Deswegen ist das für mich alles völliges Neuland. Ich beende "grade" erst mein IT-FOS ^^ Schönen Gruss Nessy Zitieren Link zu diesem Kommentar
Sanic 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Alles klar. Kannst du vielleicht deinen Praktikumgsbetreuer bitten dir zwei Rechner zu geben um mal so etwas durchzuspielen? Ist sicherlich nett mal ein paar Trockenübungen zu machen als gleich in die Vollen zu gehen. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Nein, es ist definitiv keine Spieleserver! Wie gesagt, habe ich momentan Praktium in einer großen Firma und soll mich deswegen schlau machen. Ohh... na ob dieses Vorhaben etwas für einen Praktikanten ist...? Ich glaube ich selbst kann garnicht direkt ins Active Directory schaun. Standardmäßig hat jeder "Authentifizierte Benutzer", sprich alle Domänen-Benutzer das Leserecht auf das AD. Wenn du dir auf deiner Admin-Workstation das Adminpak installierst, welches du auf einem Windows Server 2003 im Verzeichnis %windir%\system32 findest, dann kannst du z.B. die MMC "AD-Benutzer und -Computer" öffnen und hast das Leserecht auf die Objekte. Ich muss dann nochmal Rücksprache mit meinem Chef halten. Das solltest du in jedemfall. Zitieren Link zu diesem Kommentar
Nessy 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Ohh... na ob dieses Vorhaben etwas für einen Praktikanten ist...? Standardmäßig hat jeder "Authentifizierte Benutzer", sprich alle Domänen-Benutzer das Leserecht auf das AD. Wenn du dir auf deiner Admin-Workstation das Adminpak installierst, welches du auf einem Windows Server 2003 im Verzeichnis %windir%\system32 findest, dann kannst du z.B. die MMC "AD-Benutzer und -Computer" öffnen und hast das Leserecht auf die Objekte. Das übersteigt meinen Horizont ^^ Das solltest du in jedemfall. Jap, das so oder so :D Da trau ich mich alleine eh nicht ran. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.