catao 11 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Hallo Zusammen,durch einen Zusammenschluss zweier Unternehmen soll das AD umbenannt werden. Hierzu habe ich dieses HowTo "Windows Domain unter Server 2012 R2 umbenennen" gefunden. Zum testen habe ich die VM (2012 R2) kopiert und in einem dedizierten Bereich gestartet, bevor ich das AD umbenannt habe. Da noch kein Exchange vorhanden ist, war der Aufwand sehr überschaubar. Der Servername selbst ist geblieben.Nun muss ich jedoch den Member Servern verständlich machen, dass das AD nicht mehr exemplar.local, sondern ad.neuesunternehmen.de heißt. Da das gro der virtuellen Serverlandschaft ohnehin neu aufgebaut werden soll, habe ich nur mit zwei 2012 R2 und einem 2008 R2 Server die besagte Thematik. Bei den 2012er sind u.a. die Rollen Anwendungsserver etc. und auf dem 2008er ein Mailserver installiert.Hier wäre ADMT nach meinem Kenntnisstand mein Freund & Helfer. Wenn ich dies starte, muss ich das alte sowie neue AD angeben. Hier ist das Problem, dass es die alte AD namentlich ja nicht mehr gibt und das zu einem entsprechenden Fehler führt.Bin ich hier auf dem Holzweg? Habt ihr eine Idee, wie ich dieses Problem lösen kann, ohne das es zu problemen kommt?1000 Dank schon mal im Voraus.Gruß Sascha Ps. Die beiden betroffenen 2012er R2 virtuellen Server habe ich wie den DC kopiert, so das ich dort frei von dem Livesystem bin. Nur der 2008 R2 ist auf Hardware und muss auch auf dieser bleiben. Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Also eigentlich bekommen das die Memberserver selber beim Reboot mit. Oder hast du die gar nicht berücksichtigt? Das How To ist doch irgendwie sehr kurz verglichen mit dem hier: http://www.faq-o-matic.net/2008/09/02/umbenennen-einer-ad-domaene/ (das funktioniert, hab ich selbst durch) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Moin, pauschal würde ich mal sagen: Du bist auf dem Holzweg. Wenn sowieso der Großteil der Umgebung neu gemacht werden soll, wozu dann überhaupt den riskanten (und meines Wissens nur in engem Rahmen supporteten) Weg eines Domain Rename gehen? Gruß, Nils Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 31. März 2015 Autor Melden Teilen Geschrieben 31. März 2015 @NorbertInwiefern bekommen die Member das selbst mit? Wenn ich das von dir genannte HowTo anschaue sind in diesem der Zertifikatsserver, Exchange (...) noch berücksichtigt. Da beides nicht gegeben ist, scheinen sich beide HowTo's auf dem ersten Blick zu decken.@NilsEs gibt immer ein für und wieder. Hintergrund ist der, dass beiden 2012er Server erst vor kurzem neu aufgebaut wurden und das zu wiederholen und mit den ganzen Fachanwendungen, Berechtigungen etc. wäre ein enormer Aufwand (Wahnsinn). Hinzukommt, dass das Zeitfenster für die gesamte Umstellung sehr klein ist. Aus diesem Grund erschien/erscheint mir der Weg via Rename zu gehen, als "echte" Alternative - verglichen zum totalen Neuaufbau. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Hallo, Hier wäre ADMT nach meinem Kenntnisstand mein Freund & Helfer. Es wurde doch aber keine Migration -dafür ist ADMT- durchgeführt sondern ein Rename, das ist doch etwas wirklich anderes, oder? Memberserver verhalten such wie Clients, Workstationen. Falls das Ganze so nicht geklappt hat, dann wäre eine Möglichkeit, die Member aus der "alten Domäne" zu nehmen und der neuen hinzuzufügen. Hat es denn mit den Clientrechnern funktioniert? Fühlen die sich zur neuen Domäne gehörig? Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 31. März 2015 Autor Melden Teilen Geschrieben 31. März 2015 (bearbeitet) Stimmt, die AD soll umbenannt werden bzw. habe ich das in einer Demoumgebung auch bereits machen können. Nach dem was ich zuvor Rund um das Thema Rename gelesen bzw. verstanden habe, brauche ich ADMT für die Member, um ihnen den neuen AD Namen mit auf dem Weg zu geben.Habe rein weg zum testen einen Member einfach in die neue Domäne "gezogen". Das lief auch problemlos und anmelden konnte ich mich auch. In den Eventlogs konnte ich soweit auch keine Fehler feststellen und das Computerkonto wurde auch korrekt angepasst. Naja mit den Eventlogs passt nicht so kann, denn auf Security habe ich keine Berechtigung.Bei der Fehlersuche bin ich darauf gestoßen, dass meine Berechtigungen auf %SystemRoot%\System32\winevt\logs nicht mehr stimmen. Zwar stehen die Berechtigungen dort noch, nur greifen diese nicht. Schaue ich auf die Live Maschine ist alles gut. Nur scheint ein re-join zum neuen Domainnamen zumindest dieses Problem mit sich führen. Was darüber hinaus noch gegeben ist, kann ich aktuell noch nicht sagen.Was das re-join angeht, habe ich es einmal über Computer > Einstellungen für Computernamen, Domäne ... durchgeführt und bei einer anderen VM via netdom. Irgendwie muss es doch eine Möglichkeit geben .... :( Ob mein Rename der AD nicht sauber gelaufen sind, weil die Member nicht den Weg finden?! Die Evenlogs auf dem DC geben keinen Anlass, dort ist alles in Ordnung und auch auf den Members kann ich nicht wirklich einen entsprechenden Eintrag finden. Habe auf dem DC dcdiag und setspn angeworfen.... dcdiag /v /qGibt keine Fehlermeldung zurück. setspn -l pag-dc Registrierte Dienstprinzipalnamen (SPN) für CN=PAG-DC,OU=Domain Controllers,DC=ad,DC=neuesunternehmen,DC=de: HOST/PAG-DC/ad.neuesunternehmen.de ldap/PAG-DC/ForestDnsZones.ad.neuesunternehmen.de ldap/PAG-DC/DomainDnsZones.ad.neuesunternehmen.de GC/PAG-DC/ad.neuesunternehmen.de ldap/PAG-DC/ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /NEUESUNTERNEHMEN HOST/pag-dc.ad.neuesunternehmen.de /NEUESUNTERNEHMEN GC/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /ForestDnsZones.ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /DomainDnsZones.ad.neuesunternehmen.de HOST/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de DNS/pag-dc.ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de TERMSRV/pag-dc.ad.neuesunternehmen.de WSMAN/pag-dc.ad.neuesunternehmen.de NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/pag-dc.ad.neuesunternehmen.de RestrictedKrbHost/pag-dc.ad.neuesunternehmen.de HOST/pag-dc.ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/NEUESUNTERNEHMEN HOST/PAG-DC.exemplar.local/NEUESUNTERNEHMEN ldap/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.ad.neuesunternehmen.de ldap/PAG-DC/NEUESUNTERNEHMEN HOST/PAG-DC/NEUESUNTERNEHMEN RPC/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.ad.neuesunternehmen.de GC/PAG-DC.exemplar.local/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/ForestDnsZones.ad.neuesunternehmen.de E3514235-4B06-11D1-AB04-00C04FC2DCD2/46287903-8f52-41ad-89a0-559770abbf0f/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/DomainDnsZones.ad.neuesunternehmen.de HOST/PAG-DC.exemplar.local/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/ad.neuesunternehmen.de DNS/PAG-DC.exemplar.local RPC/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.exemplar.local ldap/PAG-DC ldap/PAG-DC.exemplar.local TERMSRV/PAG-DC.exemplar.local TERMSRV/PAG-DC Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/PAG-DC.exemplar.local WSMAN/PAG-DC WSMAN/PAG-DC.exemplar.local RestrictedKrbHost/PAG-DC HOST/PAG-DC RestrictedKrbHost/PAG-DC.exemplar.local HOST/PAG-DC.exemplar.local Wie man im unteren Bereich sehen kann, steht dort noch der alte AD Namen drin, weshalb ich vermute, das dort etwas nicht sauber gelaufen ist.Liegt es womöglich daran, das ich im DNS noch die alte Domäne drin habe???Was meint ihr?Da Nobert meinte die Member bekommen den neuen Namen mit, was auch in der von ihm genannten Anleitung steht, habe ich irgendwann nach mehrmaligen Neustart einer VM versucht mich direkt mit dem neuen Domainnamen "neuesunternehmen\administrator" anzumelden und bekam diese Fehlermeldung: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Schon klar, wenn ich mir das Computerkonto anschaue, dann steht dort ja auch noch der alte AD Name bearbeitet 31. März 2015 von catao Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Lies dir mein How To von vorn nach hinten durch bevor du anfängst zu arbeiten. Dann wirst du den Abschnitt finden, der für dich relevant ist. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Moin, weshalb ich vermute, das dort etwas nicht sauber gelaufen ist.[...]Was meint ihr? ich meine: Das ganze Verfahren ist "error-prone", d.h. es kann sehr leicht was schiefgehen. Wenn es keinen zwingenden Grund gibt, würde ich das in einer produktiven Umgebung immer vermeiden. Und "es ist so aufwändig, meine Applikationen neu einzurichten" würde ich zumindest nicht direkt auf der Liste zwingender Gründe sehen. Du kannst ja mal nach "rendom problem" oder ähnlich googeln. Ja, Domain Rename kann klappen. Aber es muss nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Im Allgemeinen ist das schon machbar. Nur darf man den Vorgang eben nicht einfach durchentern, sondern sollte sich anschauen, was genau da eigentlich passiert. Dazu gibt's genügend How Tos und in Marks sogar das riesenlange Whitepaper von MS. Für die die es ganz genau wissen wollen. Also erst lesen, dann verstehen, dann testen dann in der Produktionsumgebung ansetzen. Und vorher natürlich Backup haben. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.