Jump to content
Sign in to follow this  
SPHERE

User-Migration NT4 -> W2k3 Dömäne -> keine SID's ?!?

Recommended Posts

Hallo zusammen,

 

sitze hier gerade vor folgendem Problem:

 

Ich möchte die User/Groups unserer NT4-Domäne auf unseren neuen DC der W2k3-Domäne migrieren.

 

Die W2k3-Domäne läuft bereits im Native-Mode. Vertrauensstellung der Domänen sind in beiden Richtungen vorhanden.

 

Dazu benutze ich das Active Directory Migration Tool 2.0 welches ich auf dem W2k3-DC installiert habe. Ich setze einen Haken bei "Migrate user SIDs to target domain", danach erhalte ich folgenden Fehlermeldung:

"Could not verify auditing and TcpipClientSupport on domains. Will not be able to migrate Sid's. Zugriff verweigert."

 

Hatte vielleicht schon jemand von euch diese Fehlermeldung und kann mir sagen was ich falsch gemacht habe und wie ich die Users/Groups auf den W2k3-DC migrieren kann (inkl. SID's) ?

 

Nebenbei die Frage: Gibt es eine deutsche verständliche Schritt für Schritt Anleitung zu diesem Tool ?

 

Danke & Greetz

SPHERE

Share this post


Link to post

Du musst in einer der beiden Domänen einen Key erzeugen, der dann in der anderen vorhanden sein muss. Ich kann dir aber jetzt nicht mehr sagen wie das genau war, habe das auch nur auf einem Microsoft Kongress gehört ohne es je selbst zu machen.

Share this post


Link to post

hallo,

 

das steht (wenn auch englisch) in der online-hilfe unter "how to..." (enable auditing und tcpipclientsupport).

norm. sollte admt das aber feststellen (testlauf gemacht), daß die einstellungen nicht vorhanden sind und das auf wunsch automatisch erledigen.

 

gruß

Share this post


Link to post

Ich habe bisher immer festgestellt, dass wenn man den Key setzt und den geforderten Reboot macht, der Key wieder auf 0 ist. Dann nochmal setzen, jetzt bleibt er auf 1.

 

grizzly999

Share this post


Link to post

Hi Sphere,

Ich benutze zum Migrieren nicht das ADMT, daher weiss ich nicht, was es mit den erwähnten Schlüsseln auf sich hat. Jedenfalls musst du, um die SIDhistory rüber zu bekommen, dies machen

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;322970

 

- Success and failure auditing of account management for both source and target domains.

- An empty local group in the source domain that is named {SourceNetBIOSDom}$$$.

- The HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport registry key must be set to 1 on the source domain primary domain controller.

-You must restart the source domain primary domain controller after the registry configuration.

 

Ohne die $$$-Gruppe und ohne den Registrywert gehts definitiv schief.

Der Trust zwischen NT4.0 und 2003 muss natürlich auch laufen!

 

cu

blub

Share this post


Link to post

Hi,

 

danke schonmal für eure Tips, jetzt weiss ich zumindest schon mal wo ich anfangen soll, allerdings kam auch gleich wieder der Rückschlag :D

 

Leider kann ich den Registry-Eintrag "TcpipClientSupport" in der DC-NT4 Registry nicht finden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport , existiert nicht.

 

Die Locale Gruppe {SourceNetBIOSDom}$$$ habe ich angelegt.

 

Ich hoffe ihr habt mir noch ein paar Ideen was mein Problem betrifft, schonmal danke im voraus.

 

@blub, welche tool nimmst du zum migrieren ?

 

greetz,

SPHERE

Share this post


Link to post
Leider kann ich den Registry-Eintrag "TcpipClientSupport" in der DC-NT4 Registry nicht finden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport , existiert nicht.

Warum legst du ihn dann nicht an? Typ Reg_DWORD.

 

 

grizzly999

Share this post


Link to post

hi,

 

ups, da hab ich euch wohl falsch verstanden :(

 

"Reg_DWORD TcpipClientSupport Wert 1" in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\ der NT4-DC Registry hab ich gesetzt,

die locale Gruppe "Domaenenname$$$" der Quell-Domäne angelegt, leider erhalte ich immer noch die selbe Fehlermeldung !?!?

 

Der Eintrag stand in der Registry nach dem ReBoot noch drin...habt ihr noch irgendwelche Einfälle oder Ratschläge ?

 

Greetz,

SPHERE

Share this post


Link to post

Mit welchem Account führst du die Migration durch? Du solltest die Domain Admins der AD-Domäne in die lokale Administratorengruppe der NT4.0 Domäne stecken.

Der Migrationsaccount muss auf beiden Seiten Administrative Rechte besitzen.

Weiter musst du aufpassen, dass dir deine GPOs (z.B. Mindestpasswortlänge, Minimale Lebensdauer eines Passworts) nicht die Migration behindern. Erstell dir am besten eine eigene Migrationspolicy, in der du die Account Policies sehr weit runterschraubst, und die du während der Migration an oberste Stelle setzt. Ausserdem noch im AD "Everyone" in die Gruppe "Pre-Windows 2000 compatiblen Access" aufnehmen.

 

Es gibt noch x andere Stellen, wo es haken kann. (Sind die Router wirklich offen, steht der Trust von jedem AD-DC aus..)

 

Wenns nicht klappt, untersuch mal deine Eventlogs auf beiden Seiten.

 

cu

blub

 

cu

blub

Share this post


Link to post

Du bist mein held des tages !!

 

es hat gefunzt, das problem waren die lokalen adminrechte der nt-domäne die wohl der w2k3-domäne zu fehlten !

 

finde es klasse dass ihr euch so mühe gegeben habt mir zu helfen !!

 

Klasse Board hier !!!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...