TS zum AD Domaincontroller+DNS heraufstufen

[hochfrequenzG5 10]

Hallo!

 

Ich habe einen win 2003 std. server u.a. mit freigegebenen Ordnern fürs LAN und dem TS Dienst für einige Außenstellen laufen. Ich möchte auf diesem Server nun zusätzlich AD DC+DNS installieren. Ich habe dieses Update bereits auf einem Testserver ausprobiert. Nach dem Installieren vom AD DC mit DNS mußte ich jedoch dort die Terminallizenzierung deinstallieren und erneut aufspielen, da der Lizenzserver nicht mehr gefunden werden konnte. Auf dem Produktivserver sollte dies nun aber besser laufen, wie soll ich am besten vorgehen? Ich will nicht die gekauften TS CALs verlieren. Muß ich den Term.lizenzserver abmelden, dann deinstallieren und nach dem AD install den Lizenzserver neu aufsetzen und neu registrien?

 

Ich habe gehört, dass sich nach der AD DC Installation keine normalen Benutzer mehr am Terminalserver anmelden können. Es soll eine Richtlinie geben, die es normalen Benutzern erlaubt sich wieder am Terminalserver anzumelden? Ist dies richtig und wo finde ich diese in der gpedit.msc? Ich verwende für die Terminaluser jedoch Remotedesktopbenutzer, trifft dies dort auch zu ? oder betrifft dies die Benutzer bei freigegebenen Ordnern im LAN ?

 

Bei den AD Benutzern gibt es die Möglichkeit Benutzern und Gruppen Anmeldezeiten verbindlich zu vergeben. Wo finde ich die Richtlinie, dass nach Ende bzw. außerhalb der Anmeldezeit alle Terminalbenutzer und Windows clients der Domäne per Gewalt gezwungen werden sich abzumelden ?

 

Ich werde die Windows 2000 Workstations wohl erst später in die 2003 AD Domäne einbinden können. Zur Zeit gibt es die gleichen Benutzer wie auf dem Clients auch auch dem Server, damit sich die Clients per lokalem Login Script mit Netzlaufwerken des 2003 Servers verbinden. Ich möchte dies nun alles ändern und besser verwaltbar machen, muß nun aber einen reibungslosen Übergang zur AD machen. Kommen nach dem AD install die normalen Benutzer noch auf ihre Laufwerke ohne die PCs in die Domain einzubinden (will dies später machen) ?

Wie kann ich die Benutzerprofile von den Clients auf den Server kopieren?

Kann ich dann alle (auch den lokalen Admin) lokalen Benutzer löschen?

Wenn ein neuer PC in die Domän kommt gibt es dann dort keine lokalen User?

Muß ich zur Einbindung der Clients in die Domain nur den PC über System in die Domäne hängen?

Wichtig ist ja dass überall auch auf dem Server bei DNS Server die IP der Servers eingetragen ist, damit alle die Anmeldeinfos für die AD finden, internet anfragen werden dann vom DNS Server an einem externen des Providers weitergeleitet.

 

Was ist noch wichtig zu wissen?

ok auf dem server vor dem upgrade bei 1.dns die eingene IP eintragen.

Ist es richtig, dass der NetBios Name später der Name der Domäne ist, die man im Anmeldefenster sieht ?

Kann ich dass suffix des DNS Namens frei wählen z.b. statt .local .lan benutzen ?

 

Gruß Björn

[hochfrequenzG5 10]

Hallo,

 

ich würde mich über Tipps und Antworten zum Thema oben echt freuen.

 

Gruß Björn

[Ritchie 10]

Hallo

 

wenn Du im Board ein bisschen gesucht hast, so würdest Du feststellen, dass davon abgeraten wird einen DC auf einem TS zu installieren. Du wirst Dir da nur viele Probleme einhandeln. Gerade die Policies von einem Domain Controller und einem Terminalserver beissen sich.

 

Und noch ein Tipp, damit Du antworten auf Deinen Post bekommst. Stelle nicht 100 Fragen aufs mal. Denn das liest niemand.

 

Gruss

Ritchie

[Dr.Melzer 191]

Warum lässt du den DC und den DNS nicht auf dem Server der den Job jetzt macht?

[hochfrequenzG5 10]

Hi,

 

leider habe ich nur einen Server zu Verfügung. Es ist ein P4 3,06 Ghz HT, 2 GByte EEC RAM, Dual Gigabit Ethernet, SCSI Controller für 800 euro mit 128 Mbyte extra Speicher, SCSI Platten mit 15K Upm sowie RAID 1.

 

Ich habe max. nur 8 gleichzeitige Benutzer auf dem Server 2003std. Terminalserver. Der Server ist trotz großer Branchensoftware mit 0-10% CPU Last kaum ausgelastet.

 

Nur Nachts läuft Retrospect Server Backup macht auf andere HDs sowie Tape Kopien. Ende der Woche und jede Nacht läuft Norton AntiVirus Business Cooperate Server. Dann wird also auf dem Terminal nicht gearbeitet. Nebenbei läuft noch eine APC USV ServerSoftware. Fileserver+Lizenzserver laufen auch. Alles läuft super schnell.

 

Ich würde sehr gerne wegen ausreichender Power und wegen Features wie zentrale User Profile+Gruppenrichtlinien auf diesem Terminal server noch eine AC DC mit DNS installieren. Mache ich mir da alles kaputt oder geht es mit TS und DC auf einer Maschine im Prinzip schon ? Klar wenn noch mehr User auf den Terminalserver zugreifen würden (was nicht der Fall ist) dann braucht man mehrere Server für unterschiedliche Aufgaben.

In den Gruppenrichtlinien muß ich doch nur Remotebenutzern wieder erlauben sich am DC anmelden zu können- dann sollte doch alles laufen.

 

Kann ich auf dem TS 2003 zusätzlich einen AC-DC mit DNS installieren?

 

Gruß Björn

[Dr.Melzer 191]

Technisch ist das kein Problem, wobei ich es als Sicherheitsrisiko ansehe, wenn sich Benutzer lokal am Dc anmelden dürfen. Aber dass müsst ihr selbst entscheiden.

 

Nochmal meine frage, wer ist denn jetzt DC und DNS und warum willst du das ändern?

[hochfrequenzG5 10]

sorry wegen der Unklarheiten,

 

Es gibt bis jetzt weder AD DC noch DNS im Netzwerk. Es gibt nur diesen einen Produktiv-Server und ein Testserver (soll aber zum Testen bleiben). Es gibt noch lokale Profile bei den Workstations. Ich möchte es nun in kürze umstellen auf serverprofile+gruppenrichtlinien.

 

Was meinst du mit lokal am DC anmelden? Am DC direkt soll sich natürlich niemand außen den Administratoren anmelden dürfen. Es sollen sich aber am TS per Remoteclient Remotedesktopbenutzer anmelden dürfen. Das dürfen diese User jetzt auch und in deren TS Session sehen sie nur ihr Branchensoftprogramm mit Warenwirtschaft. Sie haben keinen Desktop und kommen nirgends drauf.

 

Ein DC erzeugt doch nur beim Login der User etwas CPU last und das auch nur kurz.

Der Server sollte schnell genug sein und die USER Remotesitzungen sind alle eingeschränkt.

 

Würde auch gerne noch darauf einen SUS sowie einen RIS Server mit DHCP installieren. Spricht etwas dagegen ? Ziehen diese Dienste im idle viel CPU Last? SUS zieht halt in bestimmten Zeiten etwas CPU und RIS will ich halt nur mal laufen haben. Verbraucht doch keine ständige Last und bei den wenigen Benutzern sollte dieser eine Server das doch alles schaffen.

 

Gruß Björn

[Wolke2k4 11]

Wenn ich es richtig mitbekommen habe haben wir hier den umgekehrten Fall, nämlich einen TS der ohne Domain arbeitet. Bei einer Nutzerzahl dieser Größenordnung sicher nicht ungewöhnlich.

 

Aus Erfahrung kann ich meinen Vorrednern nur zustimmen. Wenn Dein Server läuft dann lass ihn laufen. Glaub mir, Du wirst Dir sonst recht schnell die Zeiten der geringen CPU Auslastung zurückwünschen... Und die CPU Auslastung wird dann Dein kleinstes Problem sein.

 

Du hast zwei Alternativen, von denen eine nur wirklich zu empfelen ist:

 

1. Du machst den TS zum DC und freust Dich auf das was da kommt. Wobei Du Dir unbedingt vorher ein Image vom Server ziehen solltest, es sei denn Du hast die nächsten Tage nichts vor.... ;)

2. Du stellst Dir einen besseren PC hin, den du zum DC machst. Vergiss dann aber nicht die Terminalserverlizenzierung... die muss dann auf den neuen DC.

 

Die erste Möglichkeit ist die mit der Du den "meisten Spass" haben wirst. Die zweite die teurere, da das Serverbetriebssystem und ggf. die Hardware angeschafft werden muss.

 

An Deiner Stelle würde ich mir noch mal überlegen ob es nicht auch ohne DC geht...

[Operator 10]

Hi,

 

wenn Du schon so'n netten Server hast und mit der Leistung nichts anzufangen weißt UND das Teil auch noch ordentlich nutzen willst, kannst Du ja mal VMWare GSX Server in Betracht ziehen.

 

Kostet zwar auch Geld, ist aber im Endeffekt billiger als ein weiterer Server.

Damit kannst Du dann mehrere virtuelle Server auf dem einen Server fahren.

Preis ca. 1000€ für Server bis 2 CPU.

 

Leider ist dieser Server dann ein Single Point of Failure, so daß eine hardware-redundante Lösung (sprich ein zweiter Server) sicherlich die bessere Lösung wäre.

 

Gruß

Andre

[Dr.Melzer 191]

Was meinst du mit lokal am DC anmelden? Am DC direkt soll sich natürlich niemand außen den Administratoren anmelden dürfen. Es sollen sich aber am TS per Remoteclient Remotedesktopbenutzer anmelden dürfen.

 

Das ist ein lokales Anmelden auf dem Server!

[hochfrequenzG5 10]

Hat denn jemand von euch einen TS mit DC auf einer Maschine laufen?

 

Gruß Björn

[Ritchie 10]

Wie schon gesagt, suche im Board mal, da hat es Dutzende die das gemacht haben und dann Hilfe suchen :(

 

Wieso glaubst Du den vielen netten Leuten nicht, die Dich hier beraten ?

 

Gruss

Ritchie

[Wolke2k4 11]

Einer unserer Kunden hat momentan noch diese "tolle Umgebung". Und dort lief bis vor kurzem wirklich nur dieser eine Server zusammen mit zwei alten Novell Maschinen. Dann noch Citrix MetaFrame oben drauf und perfekt ist die heisse Kiste.

 

Der verantwortliche EDV Betreuer konnte erst dann einigermaßen schlafen als wir das erste mal ein Image von seine Kiste gezogen haben. Wie er es so lange geschaft hat das Ding am laufen zu halten ist mir zwar bis heute noch nicht ganz klar aber es ist das perfekte Beispiel dafür warum man es so nicht macht.

 

Als wir später mal das Feature Release 3 für MetaFrame installiert haben war das Erste was wir nach dem Neustart sehen durften ein dicker fetter blue Screen, nachdem wir die CMC öffnen wollten...

Das Image war unsere Rettung.

 

Im übrigen werden auch bei VMWare die Lizenzkosten für das Serverbetriebssystem und die CALs anfallen. Von daher ist die Ersparnis minimal und die Ausfallsicherheit kein Bisschen besser...

[hochfrequenzG5 10]

Wir verwenden aber kein Citrix und sonst ist der Server perfekt aufgesetzt und super am laufen. Um ganz sicher zu sein wir er per script jede Nacht rebootet. Er hat nach einem Jahr nur einen Absturz wegen Stromausfall (jetzt haben wir eine USV)

 

Ist TS+DC denn so eine schlechte Konfig bei < 10 usern ?

Mit welchem Image Programm habt ihr gute Erfahrungen gemacht?

[rablu 10]

TS+DC bedeutet, dass Du nur zwei Moeglichkeiten hast:

 

Entweder Du machst alle Benutzer zu Domain-Admins oder Du verbiegst die Default Domain Controller Policy.

Beides traegt nicht gerade zur Sicherheit bei.

Bei Fehlern in der o.g. GPO kannst Du im schlimmsten Fall den DC (und bei einem einzigen DC die gesamte Domaene neu aufsetzen).

 

Deshalb die ausdrueckliche Empfehlung:

Ein Terminalserver nicht auf einen DC installieren (oder umgekehrt), sondern immer eine separate Kiste als Memberserver nehmen.

 

Wenn Dein TS ordentlich laeuft, lass ihn so wie er ist. If you have not a problem, don't try to fix it.