gardsen 10 Geschrieben 6. Mai 2008 Autor Melden Geschrieben 6. Mai 2008 Sicher: ExportServer: C:\>LDIFDE -m -f test.ldf -s testserver -d "dc=testdomaene" -p subtree -r "(&(objectCategory=person)(objectClass=User))" Verbindung mit "testserver" hergestellt .... .... schlussendlich 133 Einträge exportiert, Rest ist unwichtig denke ich. (Befehl einwandfrei durchgeführt) Dann der Import (anderer Rechner): C:\>LDIFDE -i -f Z:Export.ldf Verbindung mit "w08.test.abteilung.standort" wird hergestellt. Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "Z:Export.ldf" importiert. Die Einträge werden geladen.. Fehler für Eintrag mit Beginn in Zeile 2: Weiterleitung Serverseitiger Fehler: 0x202b Eine Referenzauswertung wurde vom Server zurückgesendet. Erweiterter Serverfehler: 0000202B: RefErr: DSID-03100768, data0, 1 access points ref1: 'testdomaene' 0 Einträge wurden erfolgreich geändert. Fehler im Programm dn: CN=Administrator,CN=Users,DC=testdomaenechangetype: add accountExpires: 9223372036854775807 adminCount: 1 cn: Administrator codePage: 0 countryCode: 0 description:: Vm9yZGVmaW5pZXJ0ZXMgS29udG8gZsO8ciBkaWUgVmVyd2FsdHVuZyBkZXMgQ29tcHV0ZXJzIGJ6dy 4gZGVyIERvbcOkbmU= distinguishedName: CN=Administrator,CN=Users,DC=testdomaene instanceType: 4 lockoutTime: 0 name: Administrator objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=testdomaene objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user sAMAccountName: Administrator userAccountControl: 66048 uSNChanged: 419381 uSNCreated: 8194 whenChanged: 20080428082356.0Z whenCreated: 20060829062043.0Z Ein bischen was haben wir bzw. ich dann aber trotzdem noch "geschafft": Ich hab mich gestern mal mit jemandem zusammengesetzt der mir schon erklärt hat, dass man die Passwörter nicht mitnehmen kann, worauf hin ich das ganze schon fast wieder verwerfen wollte. Es muss nämlich eine Synchronisation von und auf einen Server erfolgen, dass jemand, der im "Lokalen" DC sein Passwort ändert, dass auch für den "Globalen" DC geändert bekommt und dass wäre in dem Fall ja unmöglich - kann auch sein dass wir da total falsch liegen. Dann hab ich noch rausgefunden, dass wenn man mit Search and Replace jeweils das "testdomaene" in den Einträgen korrekt auf die neue Domäne ändert, man andere Fehler bekommt, da sind's dann statt 100 Fehlern nur 3. Gemacht hab ich das ganze ganz simpel mit einem Ex/Import mit Apache Directory Studio: Server mit Usertables -> Users -> Exportiert als LDIF Dann Search and Replace, DC's angepasst und fuchsiger Weise noch Administrator und allen anderen "Müll" rausgelöscht, der auf dem 2. Server eh schon vorhanden ist (damit hab ich mir die Fehler zunächst erklärt). Import der LDIF Datei auf Server 2 bringt dann folgendes - was ich leider in der Konsole nicht reproduzieren kann - im Apache Directory Studio: Error while importing LDIF [LDAP: error code 53 - 00002077: SvcErr: DSID-031907BF, problem 5003 (WILL_NOT_PERFORM), data 0 Dieses "WILL_NOT_PERFORM" ist mir schonmal über den Weg gelaufen kann aber nicht mehr sagen wo - dieser Fehler kommt dann 3 Mal (und es tut sich trotzdem nichts). So, das war mal ein kleiner Roman, ich hoffe es ist alles benötigte dabei... Zitieren
Daim 12 Geschrieben 6. Mai 2008 Melden Geschrieben 6. Mai 2008 dn: CN=Administrator,CN=Users,DC=testdomaenechangetype: add Abgesehen von dem gemeldeten Fehler, versuchst du hier einen Administrator auf dem Ziel-DC zu importieren. Aber standardmäßig existiert ohnehin bereits ein Benutzer Namens "Administrator" im Container USERS. Daher solltest du dieses Objekt entfernen. Ansonsten sieht das Export ok aus. Ich könnte mir nur vorstellen, dass sich an der Bedienung von LDIFDE im Windows Server 2008 etwas geändert hat. Ich habe mir das noch nicht angeschaut. Sehe aber zu, dass ich es mir die Tage anschaue. ...dass man die Passwörter nicht mitnehmen kann, worauf hin ich das ganze schon fast wieder verwerfen wollte. Na das wäre ja auch noch schöner, wenn man die Kennwörter exportieren könnte. Das geht natürlich nicht, sonst wäre es ein großes Sicherheitsloch. Es muss nämlich eine Synchronisation von und auf einen Server erfolgen, dass jemand, der im "Lokalen" DC sein Passwort ändert, dass auch für den "Globalen" DC geändert bekommt und dass wäre in dem Fall ja unmöglich - kann auch sein dass wir da total falsch liegen. Synchronisation? Wer mit wem? Dein neuer DC, der in einer eigenen Gesamtstruktur steht, also mit dem anderen DC nichts zu tun hat, kann sich mit diesem auch nicht replizieren. Abgesehen davon, werden in den GC auch keine Kennwörter repliziert. Dann hab ich noch rausgefunden, dass wenn man mit Search and Replace jeweils das "testdomaene" in den Einträgen korrekt auf die neue Domäne ändert, man andere Fehler bekommt, da sind's dann statt 100 Fehlern nur 3. Natürlich müssen die Daten der Export-Datei entsprechend der Ziel-Domäne angepasst werden. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.