Parallelmigration von NT4 auf 2003 AD

[martin80 10]

Mahlzeit,

 

sagmal...wie hast du das mit dem DNS-Server gemacht...hast du wärend der migration 2 DNS server laufen lassen?? ja eigentlich gehtd as ja net anders...

 

ich hatte nämlich auch schon die benutzermigration gemacht aber irgendwie dann zu viel gespielt und nun findet keiner mehr die domaine...echt

 

wie hast du denn dann den NT-DNS-Server mit dem AD-DNS-Server zusammenbekommen???

 

grüße

 

martin

[Sigma 10]

Hi,

 

die NT4-Server haben die erforderlichen Einträge in ihrer hosts-Datei.

Beim W2k3-Server habe ich noch gar nichts eingestellt.

 

Tschau,

 

Sigma

[Sigma 10]

Hi,

 

hab jetzt die Migration der Benutzer samt Kennwort geschafft. :cool:

 

Ich mußte dazu noch Folgendes machen:

 

Die Domainpolicy, welche das anonyme Aufzählen der SAM verbietet, habe ich deaktiviert.

Außerdem habe ich in der Registry des W2k3-Servers unter HKLM\System\Control\CurrentControlSet\LSA den Schlüssel restrictanonymous auf 0 gesetzt und dann den Server neugestartet.

 

Tschau,

 

Sigma

[Batto 10]

Habe nun auch mit meiner Migration begonnen. Sah alles gut aus, bis ich zur Migration der Benutzer bzw der Übernahme der Passwörter gekommen bin. Dort meckert ADMT, dass das auditing bzw das Tcpdingens nicht auf beiden Domänen überprüft werden konnte. Nach Überprüfung aller notwendiger Schritte bin ich auf ein Phänomän gestossen, das ich mir einfach nicht erklären kann.

 

Und zwar scheint es nicht an Registry-Einträgen oder sonst was zu liegen, sondern am Trust, welchen ich eigentlich für funktionierend befunden hatte.

 

Der Zugriff ins AD funktioniert einwandfrei (sprich Zugriff auf \\SM3\c$), aber beim Zugriff auf die NT Domäne haperts irgendwie. Will ich auf \\SM1\c$ zugreifen, kommt die Benutzeranmeldung.

Also schwupps ein Testdirectory erstellt und folgendes ausprobiert:

Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen lokale Gruppe Administratoren Vollzugriff: Geht nicht.

Berechtigung der Freigabe auf Jeder mit Vollzugriff, in den Sicherheitseinstellungen direkt den Administrator der neuen Domäne Vollzugriff: Geht!

 

wtf?

 

Ich bin mir sicher, alle Einstellungen überprüft zu haben und auch die AD-Domain Admins sind in der lokalen nt4.0 Admingruppe.

Weiss echt nicht, woran das liegen könnte. Und die Standardfreigabe c$ kann man natürlich nicht anpassen.

 

Edit: Arrr, nach weiterem Pröbeln, keiner wirklichen Anpassung der Konfiguration und einem letzten verzweifelten Neustart funktionierts einwandfrei. Ich mach Essenspause ^^

[Batto 10]

So, die Umstellung in MA ist grösstenteils vollzogen (SM1 und SM2 sind noch in der alten Domäne). Zusammen mit der Anleitung von Schroeder und einem PDF aus dem Netz hat es ganz gut geklappt.

 

Im Moment beiss ich aber noch an folgendem Problem:

Auf einem Windows XP Rechner läuft ein IIS 5.1 und ein Apache Tomcat Server mit einigen Websites für interne Zwecke. Nach dem Test auf dem PC schien alles zu funktionieren. Sprich lokal auf dem Gerät die Seiten ansprechen geht.

 

Doch will man von einer andern Station innerhalb des selben Subnets den Rechner ansprechen, kommt "Fehler: Server oder DNS kann nicht gefunden werden

Internet Explorer"

Unter Firefox kommt ein Timeout.

Egal ob über http://IP oder http://GERÄTENAME

Egal ob IIS oder Tomcat Webseiten.

 

Zuerst dachte ich natürlich tatsächlich an ein DNS Problem. Aber alle Tests mit Ping, Tracert und alternativer DNS sehen positiv aus.

 

 

Edit: Das Wochenende war wohl zu lang für mein sanftes Gemüt. Oder hier meine Probleme niederzuschreiben ist einfach mein ultimativer Gedächnisboost. Wie auch immer: Bei der Umstellung wurde die Windows Firewall von selbst aktiviert, hat aber selbstsamerweise ICMP doch zugelassen, was sonst eigentlich ein sicherer Indikator für die Aktivheit der FW ist.

[martin80 10]

na erstmal herzlichen Glückwünsch...

 

leider kann ich das noch nicht behaupten..:-(

 

aber vielleicht kannst du mri weiterhelfen...

 

Wie hast du denn die File- bzw. Printermigration von der alten domain auf die neue gemacht...hast du tools benutzt die mir helfen könnten???

 

 

mfg

 

martin

[EazyAdm 10]

Ganz besonders dir Schroeder.

 

Jetzt habe ich nur noch ein ganz kleines Problem welches ich nicht gebacken bekomme.

 

Wenn ich nun meine Benutzer umziehe auf die neue W2k3 Domäne und sich meine User Anmelden habe ich neue Profile, wie bekomme ich die originalen Benutzerprofile welche nicht servergespeichert sind so hin das diese auch auf der "neuen" Domäne die alten lokalen Profile geladen werden ?

 

Aktuelle erstellt er mir in Dokumente und Einstellungen jeweils ein neues Verzeichnis für den Benutzer "USER.DOMÄNENNAME".

 

Vielen Dank

 

bye

eazy

 

p.s. ich werde im laufe der nächsten Woche alle Schritte um die NT4 Domäne auf W2k3 zu migireren nocheinmal zusammenfassen das man nicht immer durch den ganzen Thread springen muss.

[Batto 10]

na erstmal herzlichen Glückwünsch...

Hehe, danke. Aber durchgestanden ist es noch nicht ;)

Wie hast du denn die File- bzw. Printermigration von der alten domain auf die neue gemacht...hast du tools benutzt die mir helfen könnten???

Das war bisher noch nicht nötig. Dank ADMT wurde ja die SID History übernommen (einerseits bei der Benutzermigration, andererseits bei der Migration der Computer), zusätzlich sind die beiden Fileserver noch in der alten Domäne, wo der Zugriff via Trust erfolgt.

Wenn alles klappt, werde ich aber dieses WE auch die verbleibenden Server und Standort RU migrieren, dann kann ich bestimmt mehr erzählen.

 

Aus einer anderen Anleitung habe ich folgenden Schritt:

Für diese Durchführung wird ein Tool namens Subinacl benötigt, das sich im Resourcekit zu

Windows Server 2003 oder auf der Windows Webseite befindet.

Verwendung:

Subinacl /subdirectories \\fileserver\share\*.* /changedomain=alte_dom=neue_dom

Naja, mal schauen ob ich das brauche. Die Umstellung des DCs und der PCs ging jedenfalls ohne. Auch mit den Druckern hatte ich keine Probleme...

 

Q 7.6: We have a lot of Windows NT file servers that have a lot of very

specific NTFS permissions. What do we need to do to migrate these

permissions to Active Directory?

A: If you migrate your NT domain carefully, you don’t need to do anything to your NT file

servers. If you use a migration tool capable of migrating NT security identifiers (SIDs) into

Active Directory’s (AD’s) SID history, all your file servers’ NTFS permissions will continue to

work fine.

Eventually, though, you’ll want to repermission your file servers’ NTFS permissions to use your

new AD SIDs.[...]

Microsoft’s ADMT

ADMT is a free download from http://www.microsoft.com/download. The tool is designed to

migrate user and group accounts as well as computers, and provides basic functionality for

repermissioning a computer’s NTFS file permissions during a migration.

Basically, ADMT searches the access control list (ACL) on every file and folder on a computer’s

hard drive. ADMT examines every SID on each ACL, and looks for each SID in the SID history

of AD. When a match is found, ADMT replaces the SID on the ACL with the primary SID from

the AD account. When ADMT finishes, all the NTFS permissions on the computer use new AD

SIDs instead of the older NT SIDs stored in AD’s SID history.

ADMT doesn’t reach out and perform a computer migration all by itself, though. Scanning

through all of a computer’s files and folders is a time-consuming process. Instead, ADMT

installs an agent on each computer it migrates. That agent runs in the background, fixing all the

computer’s file and folder permissions. You can use the ADMT management console to monitor

the status of the agents that ADMT has deployed.

 

Wenn ich nun meine Benutzer umziehe auf die neue W2k3 Domäne und sich meine User Anmelden habe ich neue Profile, wie bekomme ich die originalen Benutzerprofile welche nicht servergespeichert sind so hin das diese auch auf der "neuen" Domäne die alten lokalen Profile geladen werden ?

Das Problem hatte ich auch. Bei 20 -30 Usern aber nicht so schlimm, da die Profile einfach per XP Funktion "Benutzerprofile kopieren" gefixt werden konnten. Das Problem ist, dass sich die lokalen Benutzerprofile nicht um die SID History kümmern. Ein Freund von mir, welcher in einer andern Firma auch schon an AD-Umstellungen beteiligt war, meinte bei ihnen wäre das ohne Probleme möglich gewesen. Allerdings habe ich schon an verschiedenen Stellen gelesen, dass es mit ADMT nicht möglich sei, was ich selber auch feststellen musste... Vermutlich hatten sie Roaming Profiles im Einsatz.

Um wie viele Benutzer handelt es sich denn?

[EazyAdm 10]

Guten Morgen Mädls und Männers,

 

ich habe nun eine komplett erfolgreiche Migration am WE hintermich gebracht.

 

Die Profile musste ich leider zufuss machen, aber alles andere hat geklappt.

 

Fileserver, Exchange Server, Domäne.

 

Die genaue Beschreibung gibt es die nächsten Tage.

 

Vielen Dank an alle die sich an diesem Thread beteiligt haben.

 

bye

eazy

[Grobiii 10]

ich hab da im Zuge eines Migrationstests ein kleines Problem mit dem Password Export Server. Mit dem der neuen ADMT Version sieht ja der CommandoZeilenBefehl eh etwas anders aus.

 

z.b.

 

admt.exe key /option:create /sourcedomain:adstest /keyfile:c:\

 

leider bekomme ich immer, egal welche Domaine ich angebe, diesen Fehler:

Invalid pointer (0x80004003)

 

Der Test besteht zwischen 2 W2k3 Domainen.

 

Jemand eine Idee was da los ist? Trusts und Rechte sind eigentlich soweit vorhanden.

 

EDIT: okay, hat sich erledigt

 

Lag wohl am ADMT selber, habs runter gehaun, und neu drauf, tadaaaa! :)

 

EDIT2: nächstes momentane Problem. Password Export Server läuft, aber bei der Usermigration mecker der Ziel Server an, dass er den Key nicht hätte. o_O den PES auf dem Source Server erkennt er.

[Grobiii 10]

die Frage ist, woher weiss der PES wo das Key File auf dem Server liegt?! Wärend der Installation kam keine Abfrage.