AD Backup mit NTBACKUP

[Darkmind 10]

ein freundliches hallo aus der Schweiz

 

ich möchte in nächster zeit meinen Webserver neu aufsetzen.

 

Da ich für jeden Kunden die Objekt und Ordner berechtigungen individuell angepasst habe, wäre es ein mega aufwand, Active Directory neu aufzubauen.

 

Daher meine Frage:

 

Hat jemand schon erfahrungen gemacht mit einer Active Directory Backup / wiederherstellung ?

Ich habe diese Systemwiederherstellung via NTBACKUP mal mit minimalen AD Anpassungen Simultan getestet und die Wiederhestellung übertraf all meine Erwartungen.

ausser die Verknüpfungen in der Verwaltungs Anzeige wurden alle Benutzer, Gruppen und OU's übernommen

 

Da dies aber nur eine Minimal Konfiguration war, frage ich mich ob beim Webserver die objekt berechtigungen für Benutzer, Gruppe und organisations einheiten übernommen werden. Wie sieht es aus mit den Gruppenrichtlinien ?

 

Was wird sonst noch alles übernommen ? eine Fehlgeschlagene Exchange 2000 deinstallierung besteht beim der jetzigen Active Directory. Werden auch diese fehl informationen übernommen ?

 

Ich denke Ordner berechtigungen werden nicht übernommen wenn man die Ordner nicht sichert. Habe dies aber nicht genau getestet, kann dies zu problemen führen ?

 

Wenn man nun eine andere Festplatte für die neu installation benutzt, ansonsten die Hardware aber die selbe ist, führt das zu Berechtigungs problemen? (GUID usw.)

 

Ist es irgendwie möglich auch die IIS einstellungen zu sichern und wieder herzusstellen ?

 

 

Aktuelle Konfiguration:

 

AD als PDC (letzter Domänen Controller der organisation)

kein exchange oder ähnliches vorhanden.

Backup wird erstellt mit NTBACKUP ( nur System Backup)

Daten und alle Kunden Ordner auf 1 festplatte, System auf einer 2 HDD.

 

 

über eine Antwort würde ich mich wirkich riesig freuen, und ich hoffe jemand hat schon erfahrungen mit solchen System Transfers.

 

Grüsse

 

Darkmind

[grizzly999 11]

Hat jemand schon erfahrungen gemacht mit einer Active Directory Backup / wiederherstellung ?

Ja, das geht normal problemlos. Einzige Probleme könnte eine unteschiedliche Hardware, dabei insbesondere unterschiedliche Plattencontroller machen (s.u.a Knowledge Base Q249694). Denn beim Systemstatus wird u.a. auch die Registry mitgesichert und zurückgespielt. Möchte man nur das ADS zurücksichern, den Rest nicht, geht das auf Umwegen (Zurücksichern in ein alternatives Verzeichnis und NTDS-Ordner und Sysvol-Ordner von Hand kopieren, weiss aber jetzt nicht, ob das supportet wird.)

Vorsicht bei Restores von AD-Sicherungen, die älter als 60 Tage sind (Stichwort Tombstone Lifetime).

 

Da dies aber nur eine Minimal Konfiguration war, frage ich mich ob beim Webserver die objekt berechtigungen für Benutzer, Gruppe und organisations einheiten übernommen werden. Wie sieht es aus mit den Gruppenrichtlinien

Für Webservices gibt es eine extra Sicherungsmöglichkeit im Internetdienstemanager (s.a. KB Q302573)

 

Gruppenrichtlinien werden automatisch mit dem Systemstatus zurückgesichert (aufpassen bei der oben beschriebenen manuellen Methode.

 

Was wird sonst noch alles übernommen ? eine Fehlgeschlagene Exchange 2000 deinstallierung besteht beim der jetzigen Active Directory. Werden auch diese fehl informationen übernommen ?

Ja, alles was im AD und in der Registry schon drin ist wird natürlich mitzurückgespielt.

 

 

Wenn man nun eine andere Festplatte für die neu installation benutzt, ansonsten die Hardware aber die selbe ist, führt das zu Berechtigungs problemen? (GUID usw.)

Nein, das macht kein Problem.

 

Ist es irgendwie möglich auch die IIS einstellungen zu sichern und wieder herzusstellen

siehe oben

 

 

grizzly999

[Darkmind 10]

wow..

 

danke vielmals fuer deine ausführliche Antwort.

 

Ich werde nächsten monat die neuinstallation ausführen.

Gerne werde ich meine erste ads backup/resotre erfahrungen hier rein posten :)

 

Das iis backup kenne ich bereits, ich hatte das auch mal getestet nur auf einem anderen system, danach lief leider nichts mehr :)

aber ich weis nicht genau ob es probleme macht, wenn man eine sicherung von iis macht und die virtuellen websites/verzeichne auf anderen partitionen abglelegt sind. zusätzlich lief IIS auf dem das backup gemacht wurde auf d:\ die des Restore Systems auf c:\

schade ist dies nicht mit NT backup möglich.

 

Ich danke dir für die hilfe

 

Grüsse

 

Darkmind

[Darkmind 10]

hallo grizzly

 

Mittlerweile läuft bei uns ein w2k3 Test server...

 

ich habe versucht acitve Directory mit NTBACKUP so draufzuspielen dass alle benutzer wieder vohanden sind.

 

Ich wollte mal fragen ob es überhaupt möglich ist.. eine w2k AD auf ein w2k3 server aufzuspielen.

 

Die vollautomatisch rückscherung hat nicht funktioniert.. da aber das neue System auch wie shcon erwähnt auf c:\ lief. ICh setze den Server grade neu auf. Diesmal aber mit d:\ als sys partition.

 

Ich habe nun noch eine frage... wie behandelt NTBackup die rücksicherung...

 

Sichert NTBACKUP das backup auf d:\%Systemroot% zurück oder erstellt es automatisch ein WINNT verzeichnis.!?!

Wenn ja, wie müsste ich das Backup so zurückspielen das alle Daten in d:\windows und eben nicht d:\WINNT zurückgesichert werden ?

müssen die systemstatus dateien überhaupt alle in dieses verzeichnis?

 

Ich hatte dieses Manuelle kopieren mal versucht.. aber leider hat dies nicht funktioniert.

ntds.dat im c:\windows verzeichnis ist logischerweise geöffnet... und kann nicht kopiert werden.. hmm. kann ich das vielleicht irgendwie umgehen ?

 

 

hast du oder sonst irgendjemand einen tip. ?!?

 

sorry das ich ständig solche dämlichen fragen stelle.. aber habe mich nie viel mit systemrückspielung bzw AD übernahme beschäftigt.

 

 

grüsse aus der kleinen Schweiz

 

Darkmind

[grizzly999 11]

Hallo Darkmind,

 

ein Windows 2000 AD kann man nicht auf einem Wwindows 2003 Server restoren (behaupte ich).

 

Eine Möglichkeit, die Benutzer und anderen Einstellungen zu übernehmen, wäre es, auf dem W2k3 Server mit adprep /forestprep das AD zu auf Windows 2003 AD zu erweitern, dann mit dcpromo den W2k3-Server als zusätzlichen DC in die Domäne aufzunehmen, dann den alten DC mit dcpromo "sauber" raus nehmen. (Ich habe dies aber noch nicht getestet)

 

Die bessere Möglichkeit finde ich diese: Ein zweites AD mit W2k3 parallel aufsetzen, die neue Domäne darf natürlich nicht so heißen wie die alte, auch Computernamen dürfen nicht gleich sein. Dann mit dem Migrationstool ADMT 2.0 Gruppen, Benutzer etc. zu migrieren.

 

grizzly999

[Darkmind 10]

hallo grizzly..

 

danke für deine schnelle antowort.. genau sowas habe ich gesucht..

ist admt ein bordmittel ? ich kenne es leider nicht.

 

Aber jetzt habe ich shcon mal einen anhalts punkt.

 

Vielen dank

 

grüsse

 

Darkmind

[grizzly999 11]

ADMT 2.0 ist auf der 2003-server CD enthalten. Ich habe gerade keine da, aber es müsste ein Unterordner ADMT im I386 sein, oder download heri: http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en

Da ist auch ein DOC drin, das etwas Hilfestellung gibt.

 

Ein klein enig Hilfestellung kann ich dir hier sofort geben: zuerst die globalen Grppen migrieren (keine vordefinierten). Dann die lokalen Gruppen (keine vordefinierten). Dann die Userkonten.

 

Aber es kostet ein bischen Übung, daher erst im Testlab testen.

 

Viel Erfolg

 

grizzly999

[Darkmind 10]

ok suupper.. danke vielmal !! :))

 

werde ein feedback geben obs geklappt hat.

 

grüsse

 

Darkmind

[Darkmind 10]

hallo an alle..

 

we versprochen schreibe ich hiermit das feedback zu admt

 

mit admt habe ich das hinbekommen wo ich wollte... zumindest teilweise. Aber ich denke das wo ich will geht wahrscheinlich gar nicht.

 

Ich wollte die Benutzer eigentlich übernehmen damit den Benutzern kein neues Passwort zugewiesen wird.

Aber genau das macht admt :( deshalb ist die ganze aktion eigentlich überflüssig.

Aber trotzdem konnte ich glaub einiges lernen.

 

 

zu admt.

 

Also zuerst mal zu meiner konfig

Server 1:

 

1 w2k adv. Server, Primärer Domänen Controller

 

alle Benutzer ind dieser Domäne müssen zu server 2 migriert werden

 

2 w2k3 standard server , Primärer Domänen Controller

 

 

Zuerst wusste ich nicht genau wie admt zu bedienen war.. aber da googlete ich mir schnell abhilfe

hier ein eingabe beispiel um ein Benutzerkonto zu migrieren(nicht von mir):

 

ADMT USER /N "Username" /SD:"DOMAIN" /TD:"newserverdomain.whatever"

/MSS:YES

 

 

Ohne grosse Konfiguration führte ich diesen befehl mit den entprechenden angaben aus.

 

Fehler 1:

 

RPC Server nicht verfügbar.

 

Daraufhin erstellte ich auf dem 2ten server eine vertrauensstellung zu dem 1ten server

 

nach einigen neustarts beider server führte ich den admt befehl nochmals aus.

 

Fehler 2:

ADMT USER /N "Username" /SD:"DOMAIN" /TD:"newserverdomain.whatever"

/MSS:YES

 

mit der option /MSS:YES .. keinen zugriff.

 

danach ohne diese option den befehl nochmals ausgeführt..

 

Fehler3:

Uhrzeit war nicht synchroniesiert... keinen zugriff.

 

Ich suchte nach dem fehler.. probierte einige net time befehle usw usw...

ohne erfolg...

danach hatte ich herausgefunden das server 2 die sommerzeit nicht automatisch umstellt. (häkchen nicht gesetzt) :eek:

 

War noch eine komische sache... da der server eigentlich die richtige uhrzeit anzeigte und diese auch mit 1 server synchron läuft. nur mit net time hatte ich die abweichung entdeckt.

 

Nach der umstellung musste ich server 2 neustarten. Nach einigen minuten laufzeit.. funktionierte schlussendlich die Benutzernamen Migration.

 

Aber eben.. so wie ich aus den befehlzeilen herauslesen konnte.. wird ein neues PW gesetzt.

 

wenn da jemand einen tipp hat.. ich wäre noch so froh.

 

Auf jeden fall finde ich das tool auch nach einigen schwierigkeiten eignetlich sehr gut.

 

vielen dank nochmals grizzly für deinen Tipp.

 

grüsse

 

Darkmind

[grizzly999 11]

Da hast du dir es aber nicht einfach gemacht, wenn du das admt aus Befehlszeile ausgeführt hast. Am einfachsten geht diese Tool mit der grafischen Oberfläche.

 

Zusammen mit ADMT wird ein Tool, der Password Export Server (PES) geliefert. Der kann auch Passwörter migrieren. Bisher habe ich das aber nur von NT 4.0 als Quelldomäne gemacht, behaupte aber, es geht auch mit Windows 2000.

Du musst den PES auf dem Quelldomänencontroller installieren. Auf dem Zieldomänencontroller rufst du dann den Befehl admt /key Ablegepfad Quelldomänenname [optional ein Kennwort] auf. Für die genauen Parameter noch mal nachschauen ;) Die erzeugte Key-Datei auf den Quelldomänencontroller ins selbe Verzeichnis kopieren. In der Anleitung steht auch noch ein Reg-Key, den man auf dem QuellDC manuell hinzufügen muss (AllowPassExport). Jetzt kann man im grafischen Tool beim Migrieren der Benutzer das Häkchen "Kennwort migrieren" setzen.

Wie gesagt, von NT 4.0 aus habe ich das schon mehrmals durchgeführt.

 

grizzly999

[Darkmind 10]

hallo grizzly... hehe naja.. hatte das anfangs nicht gesehen.. danach gab es noch probleme da admt mit der grafischen oberfläche die domäne des server 1 nicht gesehen hatte darum hatte ich gleich alles im dos modus geändert.

 

Doch ich habe das jetzt probiert.. ( 2 minuten bevor du deinen Beitrag geschrieben hast)

doch leider zickt admt etwas...

 

übrigens habe ich eine komplette anleitung fuer diesen kennwort export server gefunden. Windows hilfe :) ( wirklich gut beschrieben) aber natürlich nicht genau gelesen :)

 

Diese felhermeldung die erscheint:

 

Es konnte keine Sitzung mit dem Kennwortexportserver hergestellt werden. Nicht jeder Benutzer ist Mitglied der Prä-Windows 2000 Kompatiblen Zugriffsgruppe in der Zieldomäne "domäneserver2.ch"

Aber der Computername des server 1 wird in der Auswahl angezeigt.

 

ICh muss dazu aber sagen das der server 1 im Gemischten modus und server2 (w2k) im windows2000 pur Modus läuft.

 

Ich vermute es liegt daran.. da server 1 kein test server ist möchte ich dort nicht zu viel rumbasteln... aber was denkst du... könnte es funktionieren wenn ich den server 1

in den einheitlichen Domänenmodus wechsle ? :suspect: :)

 

Danke fuer deine Antwort.

 

GRuss Darkmind

[Darkmind 10]

ooh.. ich habe glaub deinen beitrag nicht richtig gelesen :shock:

 

sorry...

 

ich werde das auf jeden fall noch probieren...

 

Danke vielmal fuer deine Hilfreichen Tipps..

[grizzly999 11]

Die Quelldomäne muss nicht im einheitlichen Modus sein.

 

Es konnte keine Sitzung mit dem Kennwortexportserver hergestellt werden. Nicht jeder Benutzer ist Mitglied der Prä-Windows 2000 Kompatiblen Zugriffsgruppe in der Zieldomäne "domäneserver2.ch

Ich glaube, das ist auch in der Anleitung beschrieben, wie in der Zieldomäne die Gruppe Jeder aus der Kommandozeile in die Gruppe Prä....... gebracht wird, mit dem Kommando "net localgroup etc."

 

grizzly999

[Darkmind 10]

hallo grizzly und alle die auch mit admt rumbasteln :)

 

 

ein kleiner zwischenbericht :) ich sollte mal in die heija:)

 

 

hab eignetlich alles hingekriegt und nach anleitung gearbeitet.

 

key befehl: admt KEY "quelldomaene" c:\ (hoffe so ist es richtig)

 

auch die oben beschriebene Fehler meldung ist weg.

 

nur jetzt ist es so das mir der Zugriff auf den Kennwortexportserver verweigert wird :(

 

naja ich möchte dich nicht länger nerven damit... werde einfach noch ein bisschen rumprobieren..

falls es klappen sollte werde ich natürlich posten. :)

 

danke und gute nacht :)

 

gruss

 

Darkmind

[Darkmind 10]

hallo grizzly...

 

habs doch noch hinbekommen..

:D

Ich habe den user Administrator von zieldomäne in die Administratoren Gruppe von der quelldomäne eingefügt.

Und das problem war behoben.

 

Die obengenannten Regitry einträge mussten noch modifiziert werden und jetzt klappt das ganze :) *megafroi* :wink2:

 

 

vielen dank fuer deine Hilfe... allleine hätte ich das niemals hinbekommen. Das war auch das ziel das ich damals mit NTBACKUP erreichen wollte..

 

bist echt cool drauf... :cool: :D

 

und jetzt really gute nacht :)

 

Gruss

 

Darkmind