Domänenumzug/Neuinst. ohne dcpromo

[Whistleblower 45]

Hallo zusammen,

 

wir haben ein kleine Domäne über zwei Standorte (ca. 20 Clients und 4 W2k3-Server), die wir aufgrund von zu viel Altlasten (der Domänencontroller exitsterte schon vor 5-6 Jahren unter Windows Server 2000, und wurde irgendwann mal auf 2003 hochgezogen) komplett ersetzen wollen.

 

Mein bevorzugter Weg wäre:

- Vorbereitung zweier neuer DCs (zwei Standorte)

(vorerst in isoliertem Netz)

- Beibehaltung des Domänennamens

- Anmeldung der Clients in temp. Workgroup

- Abschaltung alter DC

- Inbetriebnahme neue DCs

- Anmeldung der Clients an der Domäne

 

Ursprünglich wollte ich den Domänennamen ändern, um beide Domänen temporär parallel betreiben zu können, aber dann müsste ich hinterher auf allen Clients die Profile sichern und wiederherstellen, was bei Beibehaltung des Domänennames ja entfallen dürfte...

 

Wird das so tatsächlich klappen, oder mache ich irgendwo einen Denkfehler?

Bin für alle Vorschläge offen! :)

 

Der übliche Weg über dcpromo entfällt, da das alte ADS nicht mehr wirklich konsistent ist. Dcdiag hat mir schon diverse Fehler ausgeworfen, und auch dcpromo der Maschine in einer virtuellen Umgebung hat nur Probleme aufgeworfen - daher ist es Zeit für einen Neuanfang... :D

[Rudman 10]

Was sagen denn die Fehler von DCPromo, vl. lässt sich da was gerade biegen.

Das mit den Profilen wird nicht so klappen. Auch wenn der Domänenname gleich bleibt ist es eine andere Domäne.

Wenn, dann baue eine Vertrauensstellung zw. beiden auf und migriere alles via ADMT.

Dabei ist aber ein andere Name als der jetzige zu bevorzugen. Dann klappts auch mit den Profilen.

[rep 10]

Also der Domainname ist meines Wissens nach nicht alles. Es gibt ja SIDs, Security Identification Number (glaube so übersetzt man das). Jedes Object in einem ADS hat sowas.

 

Wenn die Domain SID sich ändert, ist alles andere auch hinfällig. Und Wenn du eine neue Domain mit neuen Servern installierst aber den Domainnamen beibehälst, dann ist diese anders.

 

Interessieren würde mich aber ebenfalls ob Dein Weg klappt, aber mit korreter SID, also ob man mit selber SID neu anfangen kann, um eben die Domainclients nicht anfassen zu müssen.

 

Gruß

[LukasB 10]

Wie bereits von Rudman und Rep angesprochen kannst du nicht einfach eine Domain mit gleichem Namen erzeugen, die Migration mit ADMT ist da die einzige Lösung.

 

Aber ich denke der beste Weg die Migration reibungslos über die Bühne zu bringen ist die jetzige Domain zu flicken, und dann diese auf neue DCs zu migrieren. Meistens sind es nur Detailprobleme die ein dcpromo vom funktionieren abhalten.

 

Erzähl doch mal was du beim dcpromo für konkrete Fehlermeldungen gekriegt hast, und was netdiag und dcdiag ausspucken.

[NilsK 2.930]

Moin,

 

bevor du den steinigen Weg einer kompletten Domänenmigration gehst (das mit dem Domänennamen kannst du vergessen - der nützt dir nix), solltest du noch mal prüfen, ob sich die technischen Probleme nicht doch beheben lassen. Das ist ziemlich wahrscheinlich. Dann installierst du nur zwei neue DCs, demotest die anderen, und alles ist schön.

 

Ein kompletter Neuaufbau würde u.a. genau das beinhalten, was du vermeiden willst - Profile migrieren, Berechtigungen "überall" anpassen usw. Wie "rep" schon richtich vermutet, hängt das nicht am Namen, sondern am SID.

 

Also, Butter bei die Fische: Welche Fehler melden dcdiag und dcpromo?

 

Gruß, Nils

[Whistleblower 45]

Ich hab's ja befürchtet... Kein Quick&Dirty :D

Werde also nochmal alles im Altsystem durchchecken, um dann evtl. zu migrieren.

Was mir nur wichtig ist: Ich will keinen unnötigen Ballast vom Altsystem mitschleppen. Nicht mehr vorhandene User sind dabei das geringste Problem, aber u.A. wurde auch mal Exchange auf dem DC genutzt (ist mittlerweile deinstalliert). Zukünftig wird mittelfristig wohl auch wieder Exchange zum Einsatz kommen (auf eigenem Server), daher würde ich eine saubere Neuinstallation bevorzugen.

Im Grunde brauche ich höchstens die User und Gruppen und Hosts aus dem ADS, weitere Funktionen wie z.B. servergespeicherte Profile o.ä. werden bisher eh nicht eingesetzt.

Angenommen, die Migration klappt, nachdem ich die Fehler auf dem alten DC gefunden und beseitigt habe - wie stehen die Chancen, das das neue System danach so frisch und aufgeräumt ist, wie nach einer Neuinstallation?

[rep 10]

kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen... Versteht mich nicht falsch, ich will es nur wissen. Denn das ist mir sonst alles immer ein bisschen zu Virtuell.

 

Zwar bin ich auch Fan von großen Aufräumaktionen, wenn es geht alles Aufräumen, doch das ist in der IT uns in den Firmen ja nicht immer so möglich.

[Whistleblower 45]

So, ich habe das Ereignisprotokoll und die Logs von dcdiag und netdiag mal durchforstet. Sieht nach einem DNS-Problem aus, was ich momentan aber noch nicht genau qualifizieren kann:

 

Auszug netdiag /test:dns

 

Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
   List of NetBt transports currently configured:
       NetBT_Tcpip_{D6E02AFC-30ED-42DA-BB29-94E20FD306EC}
   1 NetBt transport currently configured.


DNS test . . . . . . . . . . . . . : Failed
   [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '127.0.0.1'. Please wait for 30 minutes for DNS server replication.
   [FATAL] No DNS servers have the DNS records for this DC registered.


The command completed successfully

 

Desweiteren in dcdiag /c /v:

(kommt für jeden Root-Server und die DNS-Server vom Provider vor)

 

DNS server: 198.41.0.4 (a.root-servers.net.)
              1 test failure on this DNS server
              This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.41.0.4
              [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

[rep 10]

Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren.

 

dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp

 

Sollte auch informationen über DNS geben...

Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert.

[Rudman 10]

Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten.

Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin?

[NorbertFe 2.027]

kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen

 

Nein. Sonst wärs ja einfach ;)

Einziger (mir bekannter) Weg um SIDs mit von einem alten in ein neues System zu nehmen sind diverse Migrationstools wie bspw. admt oder kostenpflichtiges bspw. von Quest.

 

Bye

Norbert

[Whistleblower 45]

Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten.

Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin?

 

Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind:

 

ipconfig /all

Windows-IP-Konfiguration

  Hostname  . . . . . . . . . . . . : domcon
  Primäres DNS-Suffix . . . . . . . : firma.lokal
  Knotentyp . . . . . . . . . . . . : Unbekannt
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Ja
  DNS-Suffixsuchliste . . . . . . . : firma.lokal

Ethernet-Adapter LAN-Verbindung:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung  . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
  Physikalische Adresse . . . . . . : 00-0C-29-25-EC-4B
  DHCP aktiviert  . . . . . . . . . : Nein
  IP-Adresse. . . . . . . . . . . . : 10.10.1.3
  Subnetzmaske  . . . . . . . . . . : 255.255.0.0
  Standardgateway . . . . . . . . . : 10.10.1.1
  DNS-Server  . . . . . . . . . . . : 10.10.1.3
  Primärer WINS-Server  . . . . . . : 10.10.1.3

–

dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp

 

Sollte auch informationen über DNS geben...

Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert.

 

Gibt folgenden Fehler aus:

Total number of CNAME records found on this server: 0

 

Total number of CNAME records missing on this server: 1

 

Total number of glue (A) records this server could not find: 0

 

CNAME records for forest GUIDs missing on server:

GUID: 2c80c960-b607-4f76-8365-4f35cab3241e._msdcs.firma.lokal

DC: domcon

 

"netdiag /fix" und "dcdiag /fix" konnten den Fehler scheinbar nicht beheben

 

"dnslint /ad /s localhost"

wirft übrigens den gleichen Fehler raus

 

Wie kann ich den CNAME Eintrag manuell vornehmen?

[LukasB 10]

Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren.

 

Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden.

[Whistleblower 45]

Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden.

 

IP-Adressen sind auf 10.10.1.3 geändert, registerdns ist ausgeführt und den Anmeldedienst habe ich neu gestartet... Bisher aber leider keine Änderung

[LukasB 10]

Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind:

 

Wie meinst du das? Jeder Domain-Controller sollte ein DNS-Server sein. Wo wurde denn die AD-Zone bisjetzt gehostet? Was siehst du denn im dnsmgmt.msc für Einträge?