Joe 10 Posted February 13, 2004 Report Share Posted February 13, 2004 Hi ich bin gerade voll im Migrationsprozess von NT 4 auf Win2k3 SBS und stehe vor folgendem großen Problem: laut Doku von MS muss zur MIgration mittels ADMT eine Vertrauensstellung zwischen den beiden Domänen hergestellt werden. Problem: die beiden Domänen sehen sich nicht! Jetzt habe ich festgestellt, dass Win2k3 verschiedene Domänenfunktionsebenen bietet. So wie es aussieht steht der bei mir auf Windows 2000 pur (standard, ich wurde während der Installation nach nichts dergleichen gefragt). Frage: wie schaffe ich es, eine Vertrauensstellung herzustellen? Wie bringe ich Win2k3 dazu, im Windows 2000 gemischt-Modus zu arbeiten? Für eine schnelle Hilfe wäre ich dankbar. Jochen Quote Link to comment
schroeder750 10 Posted February 13, 2004 Report Share Posted February 13, 2004 Hy Jochen, das Schalten der Domäne in den native mode ( hier windows 2000 Pur ) ist eine Einbahnstrasse. Da ist nix mit zurück in den mixed mode. Wenn eine W2K3 Domäne standardmäßig aufgebaut wird, ohne irgendwelche NT4 BDCs drin, kommt die automatisch im Win2000 pur-modus hoch ... Das hat aber mit Deinem Trust nix zu tun... Kannst Du vom PDC der NT4-Domäne auf den W2K3-DC pingen und umgekehrt ? Schlimmstenfalls für die Zeit der Migration, bis die NT4-Domäne endgültig vom Kabel genommen wird, auf die beiden Netzwerkkarten der Server zusätzliche IPs aus den gleichen Ranges festnageln... Alternative wäre eine Eintrag des W2K3-DCs in der lmhosts des NT4 PDCs und eine Eintrag des NT4 PDCs im DNS der W2K3-Domäne ... Wenn die Dinger sich physikalisch anpingen können, müsste der Trust dann auch funktionieren... Viel Glück !! schroeder750 Quote Link to comment
Joe 10 Posted February 13, 2004 Author Report Share Posted February 13, 2004 Wenn eine W2K3 Domäne standardmäßig aufgebaut wird, ohne irgendwelche NT4 BDCs drin, kommt die automatisch im Win2000 pur-modus hoch ... Das ist ja mein Problem! Die NT4 Domäne war an (sprich der PDC der Domäne war mit dem Win2k3-Server verbunden). Trotzdem kommt er im Pur-Modus hoch. Kannst Du vom PDC der NT4-Domäne auf den W2K3-DC pingen und umgekehrt ? Ja. Sowohl mit der IP als auch mit dem Computer-Namen der jeweiligen Rechner. Schlimmstenfalls für die Zeit der Migration, bis die NT4-Domäne endgültig vom Kabel genommen wird, auf die beiden Netzwerkkarten der Server zusätzliche IPs aus den gleichen Ranges festnageln... Versteh ich nicht. Beide haben eine IP-Adresse aus dem gleichen Subnet. Warum noch eine andere zuweisen? Alternative wäre eine Eintrag des W2K3-DCs in der lmhosts des NT4 PDCs und eine Eintrag des NT4 PDCs im DNS der W2K3-Domäne ... Das mit der lmhosts müsste machbar sein. Wie trage ich ihn in den DNS des W2k3 ein? Bzw. ist das überhaupt notwendig, wenn sich die Dinger anpingen können? WIe gesagt: sobald ich eine Vertrauensstellung aufbauen will (egal ob von W2k3 aus oder von NT aus) bekomme ich immer die Meldung "Zugriff verweigert"... Bin mit meinem Latein am Ende, muss aber zwingend das alte Zeugs (Useraccounts, Computer, usw.) auf den neuen Server migrieren und benötige deshalb diesen Trust... Hast du noch eine Idee? Jochen Quote Link to comment
schroeder750 10 Posted February 13, 2004 Report Share Posted February 13, 2004 Hmmmm... ob der NT4-PDC zum Zeitpunkt des Aufbaus der W2K3-Domäne angeschaltet und erreichbar war oder nicht, ist dem neuen W2K3-DC eigentlich ziemlich egal. Was ich meinte ist, bei einer InPlace-Migration beispielsweise, bemerkt der erste DC, auf dem das AD konfiguriert wird, das in seiner Domäne noch NT4 BDCs vorhanden sind und schaltet dann erstmal in den mixed mode. Wenn er beim Aufbau der AD-Strukturen keine vorhandenen Controller für seine Domäne vorfindet ( Und das sagst Du ihm ja beim erstellen der neuen Strukturen, daß er der erste Controller für eine neue Gesamtstruktur ist), gibt es keinen Grund, noch in den mixed mode zu gehen... die rein physikalische Verbindung zu irgend einem NT4-PDC interessiert dabei nicht... Aber glaub mir, das hat mit dem Trust nix zu tun. Ich habe schon mehrere Domänen so migriert. Du kannst zwischen einer NT4-Domäne und einer W2K / W2K3-Domäne im native mode ohne Probleme trusts aufbauen ... Mir fiel gerade ein, daß ich eigentlich immer in der neuen Domäne das gleiche Administratorpassword vergeben habe, wie in der alten Domäne ... vielleicht hat es bei mir daher immer problemlos funktioniert... teste das doch mal... Ich habe gerade erst Unterlagen für eine Schulung, die ich gehalten habe, erstellt und habe diese neben mir liegen... Finde aber irgendwie keinen Hinweis ... Im W2k3-AD-Snap-In Domänen und Vertrauensstellungen => Eigenschaften der Domäne => Vertrauensstellungen => Neue Vertrauensstellung => Assistent erscheint => NETBIOS-Name der NT4-Domäne eingeben => Bidirektional => Domänenweite Authentifizierung => Kennwort eingeben (und merken) => Wechseln zur NT4-Domäne => Trust hinzufügen, (NetBIOS)Name der W2K3-Domäne eingeben, gleiches Passwort eingeben => Bestätigen lassen und es funktioniert... Bist Du so vorgegangen ? Kann ich leider momentan auch nicht wesentlich mehr zu sagen... Wenn Du das mit dem Trust hinbekommen hast, denk bitte dran, daß der SID-Filter noch ausgeschaltet werden muss, sonst bekommst Du keine SID-History rüber ... Am W2K3 DC in der Eingabeaufforderung: "netdom trust w2k3dom /domain:nt4dom /quarantine:No /usero:administrator /passwordo:password Für die entsprechenden Parameter (w2k3dom, nt4dom, password) natürlich Deine "echten" Parameter einsetzen... Sorry, wenn ich da jetzt zu Deinem Trust auch keine Idee mehr habe ... Trotzdem noch viel Erfolg !!! Grüsse schroeder750 Quote Link to comment
schroeder750 10 Posted February 13, 2004 Report Share Posted February 13, 2004 Ach ja, und das mit der zusätzlichen IP oder den DNS-Eintragungen ist natürlich überflüssig, wenn die beiden Domänen vom Subnet her eh gleich sind. Ich war jetzt mal davon ausgegangen, daß Du da komplett andere Subnets aufgesetzt hast... Grüsse Quote Link to comment
grizzly999 11 Posted February 13, 2004 Report Share Posted February 13, 2004 Ui, ganz schon viel geschrieben dafür, dass das nicht geht. SBS 2003 unstützt keine Vertrauensstellugen, nirgendwohin. grizzly999 Quote Link to comment
schroeder750 10 Posted February 13, 2004 Report Share Posted February 13, 2004 ... wirst lachen, aber genau das wollte ich gerade auch noch posten... hatte das gerade mit Kollegen durchgesprochen ... naja, wenigstens ne klare Aussage !! Grüsse schroeder750 Quote Link to comment
Joe 10 Posted February 13, 2004 Author Report Share Posted February 13, 2004 Sorry, die Frage stellte ich schon in einem anderen Thread... Bedeutet das, dass ich mittels ADMT keine Computermigration machen kann, da ich nicht den neuen Server (bzw. Admin) zur Gruppe der Domänen-Admins des alten Servers machen kann? Warum schreibt MS dann genau das in Ihrem Paper "Migrating from SBS 4.5 or WIn NT Server 4.0 to Win SBS 2003"??? Gibt es eine andere Möglichkeit, die Computerkonten zu migrieren? (Antwort evtl. im anderen Thread) Jochen Quote Link to comment
grizzly999 11 Posted February 13, 2004 Report Share Posted February 13, 2004 Ich gestehe: ich habe es noch keinen NT 4.0 auf SBS 2003 upgedated. Ich habe aber mal das Paper schnell überflogen (nicht gelesen!). Auffällig dabei ist, dass trotz Einsatz des ADMT nicht einmal das Wort 'trust' in dem Paper vorkommt. Es muss also auch ohne die Vertrauensstellung gehen. Übrigens, deine Frage nach einer anderen Möglichkeit, Computerkonten zu migrieren: netdom /move aus dem Resource Kit kann das. grizzly999 Quote Link to comment
Joe 10 Posted February 13, 2004 Author Report Share Posted February 13, 2004 Übrigens, deine Frage nach einer anderen Möglichkeit, Computerkonten zu migrieren: netdom /move aus dem Resource Kit kann das. Puh. Wenn du mir jetzt noch sagst, wo ich das auf meinen 6 Win2k3 SBS Premium-CDs finde... Ich habe nämlich schon nach dem Ressourcekit gesucht, aber nix gefunden... Imo habe ich zur erfolgeichen Migration eben noch die 2 Probleme zu lösen: - vorhandene Win2k-Arbeitsstationen an die neue Domäne anhängen (und das sollte mit ADMT auch bei Backoffice 4.5 auf Win2k3 SBS gehen) - Exchange-Daten übernehmen (da bekomme ich beim Migrationsassistenten komische Warnungen... mal mehr mal weniger) /Nachtrag: Ich habe jetzt das Resource-Kit bei MS auf der Downloadseite gefunden (http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en) nur ist in dem Paket kein netdom-Befehl aufgelistet. Wo ist der dabei? Jochen Quote Link to comment
grizzly999 11 Posted February 13, 2004 Report Share Posted February 13, 2004 Sorry, heute ist Freitag der XXte Das Tool ist auf einer der CDs in den Support Tools zu finden. grizzly999 Quote Link to comment
Joe 10 Posted February 13, 2004 Author Report Share Posted February 13, 2004 Sorry, heute ist Freitag der XXte Frag mich mal... :( Ich hab das Tool gefunden. Nur wenn ich es aufrufe, dann bekomme ich nach der Passworteingabe für den object-user die Meldung: Windows kann den Netzwerkpfad nicht finden. Überprüfen Sie, ... Gestartet habe ich so: netdom computername move /domain:neuedomain /userd:administrator /passwordd:* /usero:altedomain\administrator /passwordo:* /userf:altedomain\administrator /passwordf:* /reboot Ich habe anstatt /usero:altedomain\administrator auch schon /usero:administrator und dann mit dem lokalen Passwort des W2k probiert: ohne Erfolg. Ich kann sowohl den DC der alten Domäne als auch die W2k-Arbeitsstation anpinken (unter ihrem Namen). Aufrufen tue ich das Programm an dem Win2k3-Server. Wie bekomme ich auch an einem Freitag, 13. die doofen Win2k-Rechner rüber in die WIn2k3-Domäne (AD)? /Nachtrag: Oder muss ich an der Win2k-Station etwas besonderes einrichten? Denn beim ADMT jammert er auch über eine fehlende ADMIN$-Freigabe. /Nachtrag2: ADMIN$-Freigabe existiert, nur habe ich festgestellt, dass ich mit net use z: \\computername\admin$ /user:computername\administrator auch den Fehler bekomme: Netzwerkpfad nicht gefunden. Braucht der da noch etwas zusätzliches? Jochen Quote Link to comment
Joe 10 Posted February 13, 2004 Author Report Share Posted February 13, 2004 Alles nichts oder habe ich das Kommando mal lokal am W2k-PC ausprobiert und da hat es anscheinend auch etwas gemacht. ABER: Wenn ich mich jetzt unter dem alten Benutzernamen an der neuen Domäne anmelde, dann erkennt er diesen als einen neuen Benutzer. Sprich: es ist kein Unterschied zwischen netdom und der Methode über Arbeitsplatz/Domäne beitreten. Ergo ist damit mein Problem nicht gelöst. In der neuen Domäne sind die alten Benutzer korrekt mit ADMT übernommen worden. Das sehe ich z.B. daran, dass bei der Wiederherstellung der Daten von Band die ursprünglichen Benutzer wieder Zugriff erhalten. Ich hoffe du verstehst, was ich eigentlich will: Ich habe viele WIn2k-PC an einer NT4-Domäne hängen. Die Benutzer der NT4-Domäne habe ich übernommen und jetzt muss ich die Win2k-Rechner auf die neue Win2k3-Domäne umhängen, ohne dass die Benutzereinstellungen verloren gehen. Any ideas? Jochen Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.