Jump to content

User-Migration NT4 -> W2k3 Dömäne -> keine SID's ?!?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

sitze hier gerade vor folgendem Problem:

 

Ich möchte die User/Groups unserer NT4-Domäne auf unseren neuen DC der W2k3-Domäne migrieren.

 

Die W2k3-Domäne läuft bereits im Native-Mode. Vertrauensstellung der Domänen sind in beiden Richtungen vorhanden.

 

Dazu benutze ich das Active Directory Migration Tool 2.0 welches ich auf dem W2k3-DC installiert habe. Ich setze einen Haken bei "Migrate user SIDs to target domain", danach erhalte ich folgenden Fehlermeldung:

"Could not verify auditing and TcpipClientSupport on domains. Will not be able to migrate Sid's. Zugriff verweigert."

 

Hatte vielleicht schon jemand von euch diese Fehlermeldung und kann mir sagen was ich falsch gemacht habe und wie ich die Users/Groups auf den W2k3-DC migrieren kann (inkl. SID's) ?

 

Nebenbei die Frage: Gibt es eine deutsche verständliche Schritt für Schritt Anleitung zu diesem Tool ?

 

Danke & Greetz

SPHERE

Link zu diesem Kommentar

Hi Sphere,

Ich benutze zum Migrieren nicht das ADMT, daher weiss ich nicht, was es mit den erwähnten Schlüsseln auf sich hat. Jedenfalls musst du, um die SIDhistory rüber zu bekommen, dies machen

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;322970

 

- Success and failure auditing of account management for both source and target domains.

- An empty local group in the source domain that is named {SourceNetBIOSDom}$$$.

- The HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport registry key must be set to 1 on the source domain primary domain controller.

-You must restart the source domain primary domain controller after the registry configuration.

 

Ohne die $$$-Gruppe und ohne den Registrywert gehts definitiv schief.

Der Trust zwischen NT4.0 und 2003 muss natürlich auch laufen!

 

cu

blub

Link zu diesem Kommentar

Hi,

 

danke schonmal für eure Tips, jetzt weiss ich zumindest schon mal wo ich anfangen soll, allerdings kam auch gleich wieder der Rückschlag :D

 

Leider kann ich den Registry-Eintrag "TcpipClientSupport" in der DC-NT4 Registry nicht finden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport , existiert nicht.

 

Die Locale Gruppe {SourceNetBIOSDom}$$$ habe ich angelegt.

 

Ich hoffe ihr habt mir noch ein paar Ideen was mein Problem betrifft, schonmal danke im voraus.

 

@blub, welche tool nimmst du zum migrieren ?

 

greetz,

SPHERE

Link zu diesem Kommentar

hi,

 

ups, da hab ich euch wohl falsch verstanden :(

 

"Reg_DWORD TcpipClientSupport Wert 1" in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\ der NT4-DC Registry hab ich gesetzt,

die locale Gruppe "Domaenenname$$$" der Quell-Domäne angelegt, leider erhalte ich immer noch die selbe Fehlermeldung !?!?

 

Der Eintrag stand in der Registry nach dem ReBoot noch drin...habt ihr noch irgendwelche Einfälle oder Ratschläge ?

 

Greetz,

SPHERE

Link zu diesem Kommentar

Mit welchem Account führst du die Migration durch? Du solltest die Domain Admins der AD-Domäne in die lokale Administratorengruppe der NT4.0 Domäne stecken.

Der Migrationsaccount muss auf beiden Seiten Administrative Rechte besitzen.

Weiter musst du aufpassen, dass dir deine GPOs (z.B. Mindestpasswortlänge, Minimale Lebensdauer eines Passworts) nicht die Migration behindern. Erstell dir am besten eine eigene Migrationspolicy, in der du die Account Policies sehr weit runterschraubst, und die du während der Migration an oberste Stelle setzt. Ausserdem noch im AD "Everyone" in die Gruppe "Pre-Windows 2000 compatiblen Access" aufnehmen.

 

Es gibt noch x andere Stellen, wo es haken kann. (Sind die Router wirklich offen, steht der Trust von jedem AD-DC aus..)

 

Wenns nicht klappt, untersuch mal deine Eventlogs auf beiden Seiten.

 

cu

blub

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...