Univ. Gruppen, AD Win. 2000

[Christoph35 10]

Hallo, zusammen,

 

habe ein Problem mit universellen Gruppen in W2K Domains.

 

Folgende Situation:

 

Server01:

W2K SP4 m. Update Rollup,

DC für AD W2K native Mode (litwareinc.com),

DNS Server AD-int. für litware, sec. für fabrikam.com

IP 192.168.10.1

Exch. 5.5 SP4

NetBIOS aktiviert

 

Server02

Member Domain litwareinc.com

IP 192.168.10.2

W2K3 SP1

DNS Server 192.168.10.1

Ex 2k3

NetBIOS aktiviert

 

Server03

W2K SP4 m. Upd. Rollup

DC für AD W2K native mode (fabrikam.com)

DNS Server AD integr für Zone fabrikam.com und sec. für litwareinc.com

IP 192.168.10.3

Exchange 2000

 

Habe einen 2-seitigen externen Trust eingerichtet und bestätigt, bevor ich den Domain-Mode in beiden Domains umgeschaltet habe.

 

In der Anmeldemaske werden beide Domains angezeigt, für Shares kann ich NTFS und Shareberechtigungen an User beider Domains vergeben.

In AD kann ich DL-Gruppen User aus beiden Domains hinzufügen, für globale Gruppen natürlich nur aus der eigenen Domain.

NSLookup und Ping mit FQDN und NetBIOS Namen: funktioniert alles.

 

Soweit so gut.

 

Versuche ich nun einer universellen Gruppe User aus der anderen Domain hinzuzufügen, sehe ich in der Liste "Suchen in" nur die lokale Domain. Das ist in beiden Domains so.

Sollte ich nicht einer univ. Gruppe Mitglieder aus allen Domains hinzufügen können

 

Warum behandelt er die univ. Gruppen sowie eine globale?!

 

Vielleicht ist es auch nur igendwas banales, was ich vergessen habe, aber manchmal sieht man den Wald vor lauter Bäumen nicht...

 

Das Szenario entnehme ich einem Übungsbuch für die 70-284.

 

Christoph

[grizzly999 11]

Versuche ich nun einer universellen Gruppe User aus der anderen Domain hinzuzufügen, sehe ich in der Liste "Suchen in" nur die lokale Domain. Das ist in beiden Domains so.

Sollte ich nicht einer univ. Gruppe Mitglieder aus allen Domains hinzufügen können

Universelle Gruppen können Miglieder aus dem gesamten Forest beinhalten, nicht aber Mitglieder aus anderen Forests.

Hier nochmal zum Nachlesen:

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/deploy/dgbf_upg_jcik.asp

 

 

grizzly999

[Christoph35 10]

Hi, Grizzly,

 

danke für den Link und die Unterstützung beim Klardenken ;). Ich sag ja, ist was banales ... :rolleyes:

 

Jetzt frag ich mich nur eins: das Übungsszenario besagt, dass User aus der Domain litware in die domain fabrikam via admt migriert werden sollen. Vorher sollte dafür ein Trust eingerichtet werden und dann der Fabrikam-Admin der litware Domain als schema-admin, org.-admin und domain admin hinzugefügt werden und umgekehrt (litware admin mit entsprechenden rechten in der fabrikam domain). Das Szenario besagt nicht, dass die Fabrikam Domain mitglied des Litware Forests sein soll (sonst bräuchte ja auch nicht extra ein Trust eingerichtet werden). Das kann ja dann gar nicht so funktionieren, wie es im SelfPacedTrainingKit für Exchange 2003, Kap. 5, Lektion1, Übung 1 beschrieben steht.

 

Ich zitiere mal Schritt 7 der Übung:

On Server01, user the Active Directory Users & Computers Console to add the Fabrikam\Administrator user account to the Schema Admins, Enterprise Admins, and Domain Admins security groups in the Litwareinc.com domain

 

Muß ich stattdessen mit dem Delegation Wizard arbeiten? Oder kann ich mir das mit den Gruppenmitgliedschaften sparen um die User-migration durchzuführen?

 

Christoph

[grizzly999 11]

Ja, das geht so nicht. Der Artikel hat Recht, deine Erfahrung belegt das, das Buch hat hier einen falschen Step.

Für die Benutzermigration braucht man aber auch diese ganzen Gruppenmitgliedschaften nicht. Ausser eigener Domänenadmin zu sein, Mitglied in der Administratorengruppe der anderen Domäne zu sein, genügt. Falls Berechtigungen nicht reichen sollten, kann man da nachbessern.

 

Schema-Admin brauche ich sowieso nicht zu sein.

 

grizzly999

[Christoph35 10]

Ok, ich habe also den Admin. account von Litware in die gruppe builtin/Administratoren der Fabrikam Domain hinzugefügt.

 

Dann habe ich auf dem Server02 das ADMT installiert und mit "admt key litwareinc c:\" ein pes-file für die Password-Migration erstellt. Das File habe ich auf den Server01 kopiert (ohne Diskette, falls das eine Rolle spielt).

 

Dann habe ich auf dem Server01 die password migration dll installiert und das auf dem server01 befindliche pes-File benutzt. Anschließend habe ich server01 rebootet, dort den registry-eintrag auf 1 gesetzt (allowpasswordexport) und den server01 noch mal rebootet.

 

Dann auf Server02 den ADMT User account migration wizard gestartet, source und target domains ausgewählt, user konten ausgewählt, target ou ausgewählt, die option password migration gewählt und den "password migraton source dc" als server01 gesetzt.

 

Klicke ich jetzt auf weiter, sagt er mir:

 

Unable to establish a session with the password export server. There is no such object on the server.

 

Was habe ich falsch gemacht, und welches Objekt ist überhaupt gemeint

 

Kann es daran liegen, dass der DC server01 deutsch ist und ich ein englisches ADMT installiert habe?

 

 

Christoph

[grizzly999 11]

Schau noch mal nach, ob die Reg-Werte auf ein 1 ich meine den, für das Password-Tool. Hatte ich auch schon, dass der beim (vor?) dem ersten Rebbot wieder auf 0 gesetzt wurde. Nach neuerlichem Setzen gings dann.

 

 

grizzly999

[Christoph35 10]

Bin leider erst heute abend dazu gekommen, dass nachzusehen.

 

Also, der Reg.-Key war noch auf 1 gesetzt, trotzdem bekomme ich die Fehlermeldung. Hast Du noch eine Idee, wo ich mit der Fehlersuche beginnen könnte?

 

Christoph