Jump to content

Domain/Forest Prep


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

das Schema hat nichts mit dem Domain oder Forest Level zu tun. Das Schema ist immer das der neuesten Windows-Version, die als DC im Einsatz ist. Beim Modus ist es eher umgekehrt: Der Modus wird vorgegeben durch die älteste Windows-Version, die als DC im Einsatz ist.

 

Ein neueres Schema ändert funktional nichts. Ein höherer Modus schon.

 

Gruß, Nils

 

Link zu diesem Kommentar

Wenn du vor die Tür trittst kann auch ne Menge passieren. Die Wahrscheinlichkeit kommt halt auf diverse Faktoren an. ;)

die grösste Änderung die kaum sichtbar ist, von dfl/ffl von 2003 zu 2008 oder höher:

 

Changing the KRBTGT password is only supported by Microsoft once the domain functional level is Windows Server 2008 or greater. This is likely due to the fact that the KRBTGT password changes as part of the DFL update to 2008 to support Kerberos AES encryption, so it has been tested.

Von: https://adsecurity.org/?p=483

bearbeitet von NorbertFe
Link zu diesem Kommentar

Vier`len Dank für die Ratschläge erstmal. Ich habe das zu Hause mal in einer Umgebung erfolgreich ausgeführt.

In einer erneuten Umgebung mit identischer Hardware funktioniert es jedoch nicht.

DC1: 2003R2, ADDS,DNS: 32 bit (64 bit hab ich nicht gefunden), forest/domain dddd.de

DC2: 2008R2: ADDS. Er findet den Forest dddd.de auch und DC2 ist auch richtig eingerichtet.

Bei DCPromo sagt er jedoch er benötigt ein Forestprep. Functional Level ist 2003.

adprep/forestprep von 2008R2 hab ich auf DC1 erfolgreicht durchgeführt, leider blickt das DC2 nicht.

Irgendeine Idee?

 

 

Link zu diesem Kommentar
vor 25 Minuten schrieb goat82:

Vier`len Dank für die Ratschläge erstmal. Ich habe das zu Hause mal in einer Umgebung erfolgreich ausgeführt.

In einer erneuten Umgebung mit identischer Hardware funktioniert es jedoch nicht.

DC1: 2003R2, ADDS,DNS: 32 bit (64 bit hab ich nicht gefunden), forest/domain dddd.de

DC2: 2008R2: ADDS. Er findet den Forest dddd.de auch und DC2 ist auch richtig eingerichtet.

Bei DCPromo sagt er jedoch er benötigt ein Forestprep. Functional Level ist 2003.

adprep/forestprep von 2008R2 hab ich auf DC1 erfolgreicht durchgeführt, leider blickt das DC2 nicht.

Irgendeine Idee?

 

 

Ein nicht-offizielles MS Statement im AD Forest ist:

 

Machst du Änderungen im Forest drück auf ok, geh in die Küche mach dir Kaffee und geh eine rauchen. Wenn du wieder am Schreibtisch bist sind die Änderungen durch. Ist nicht gesund für die Lunge aber gut gegen Stress und Ungeduld. Geduld braucht man manchmal in der MS Server Administration.

Link zu diesem Kommentar

Zum Glück erstmal nur in Virtualbox. Zu Hause hat es einwandfrei funktioniert. Hier habe ich allerdings auch nicht verstanden warum ich bei einem 2003r2 32 system mit ffl und dfl von 2003 ein adprep machen muss wenn ich einen 2008R2 DC hinzuhängen will.  Ich verstehe auch nicht warum es trotz adprep dann nicht funktioniert. die ADDS services müssen doch nach der Installation automatisch laufen oder laufen die nur wenn ich den Ziel Server auch zu einem DC mache?

Link zu diesem Kommentar

Moin,

 

ich glaube, du solltest dir noch ein paar Grundlagen aneignen. Sonst wirst du auf Basis fehlender Kenntnisse herumstochern und möglicherweise schwere Fehler erzeugen.

 

Ein AD läuft auf einem bestimmten Modus und hat ein bestimmtes AD-Schema. Beide werden von den vorhandenen DCs vorgegeben. Das Schema muss immer dann aktualisiert werden, wenn ein DC mit einem neueren Betriebssystem eingebunden werden soll, und zwar vorher. Das geschieht (in älteren Versionen) über das ForestPrep. Da noch weitere Anpassungen nötig sein können, gibt es auch noch das ADPrep. Erst dann kann man den "neueren" DC überhaupt als DC dazuinstallieren. Hast du also ein AD mit DCs unter 2003 R2 und willst einen DC mit 2008 dazuhaben - ist ForestPrep und ADPrep erforderlich. Seit Windows Server 2012 (meine ich) ist dieser Schritt direkt in die Installation integriert - er findet immer noch statt, aber nicht mehr separat.

 

Der Modus hingegen gibt an, welche neueren Funktionen im AD aktiv sind. Der mögliche Modus wird vom "ältesten" DC vorgegeben. Solange du also noch 2003-DCs hast, kannst du nicht vom 2003-Modus weg. Wenn du den letzten 2003-DC entfernt hast, hebt sich der Modus aber nicht von selbst an, das muss man manuell tun. Normalerweise ist das auch problemlos, aber es kann "theoretisch" Applikationen geben, die vorher geprüft werden müssen. Exchange ist da der einzige "typische" Fall, weil ältere Exchange-Versionen meist mit den neueren AD-Modi nicht klarkommen. 

 

Beide Aspekte (Schema und Modus) haben technisch aber nichts miteinander zu tun.

 

Die Probleme in deinem Lab werden nicht ursächlich damit zu tun haben, da stimmt etwas anderes nicht.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Am 15.5.2019 um 16:09 schrieb goat82:

nach dieser Liste: https://social.technet.microsoft.com/wiki/contents/articles/37395.active-directory-schema-versions.aspx

hätte ich den Wert 30 für Server 2003 erwartet und nicht 44 oder 45. Was stimmt denn nun ?

Die Schemaversion lebt nur im AD und hat weder mit dem OS der DCs noch mit Domain/Forestlevel irgendwas zu tun. Wir fahren 2008R2 Domänen mit 2016-Schema :-)

Am 15.5.2019 um 16:25 schrieb NilsK:

Ein neueres Schema ändert funktional nichts. Ein höherer Modus schon.

Ganz kleine Korrektur: Ohne passendes Schema gibt es bestimmte Objekte nicht, dann kann das eine oder andere nicht möglich sein. Z.B. bei Drahtlosnetzwerk-Policies (sind AD-Objekte, Vista-Policies gehen erst mit dem 2008-Schema) oder Bitlocker Recovery Keys oder noch so ein paar Schmankerl (Certificate Roaming fällt mir noch ein, gibt aber bestimmt noch mehr). Für LAPS brauchts ja auch ne Schemaerweiterung, und "rein technisch" ist ein Schema-Update auch nur ne Schemaerweiterung.

Und nein, ich will jetzt keine große Diskussion darüber anzetteln :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...