Whistleblower 45 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Hallo zusammen, wir haben ein kleine Domäne über zwei Standorte (ca. 20 Clients und 4 W2k3-Server), die wir aufgrund von zu viel Altlasten (der Domänencontroller exitsterte schon vor 5-6 Jahren unter Windows Server 2000, und wurde irgendwann mal auf 2003 hochgezogen) komplett ersetzen wollen. Mein bevorzugter Weg wäre: - Vorbereitung zweier neuer DCs (zwei Standorte) (vorerst in isoliertem Netz) - Beibehaltung des Domänennamens - Anmeldung der Clients in temp. Workgroup - Abschaltung alter DC - Inbetriebnahme neue DCs - Anmeldung der Clients an der Domäne Ursprünglich wollte ich den Domänennamen ändern, um beide Domänen temporär parallel betreiben zu können, aber dann müsste ich hinterher auf allen Clients die Profile sichern und wiederherstellen, was bei Beibehaltung des Domänennames ja entfallen dürfte... Wird das so tatsächlich klappen, oder mache ich irgendwo einen Denkfehler? Bin für alle Vorschläge offen! :) Der übliche Weg über dcpromo entfällt, da das alte ADS nicht mehr wirklich konsistent ist. Dcdiag hat mir schon diverse Fehler ausgeworfen, und auch dcpromo der Maschine in einer virtuellen Umgebung hat nur Probleme aufgeworfen - daher ist es Zeit für einen Neuanfang... :D Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Was sagen denn die Fehler von DCPromo, vl. lässt sich da was gerade biegen. Das mit den Profilen wird nicht so klappen. Auch wenn der Domänenname gleich bleibt ist es eine andere Domäne. Wenn, dann baue eine Vertrauensstellung zw. beiden auf und migriere alles via ADMT. Dabei ist aber ein andere Name als der jetzige zu bevorzugen. Dann klappts auch mit den Profilen. Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Also der Domainname ist meines Wissens nach nicht alles. Es gibt ja SIDs, Security Identification Number (glaube so übersetzt man das). Jedes Object in einem ADS hat sowas. Wenn die Domain SID sich ändert, ist alles andere auch hinfällig. Und Wenn du eine neue Domain mit neuen Servern installierst aber den Domainnamen beibehälst, dann ist diese anders. Interessieren würde mich aber ebenfalls ob Dein Weg klappt, aber mit korreter SID, also ob man mit selber SID neu anfangen kann, um eben die Domainclients nicht anfassen zu müssen. Gruß Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Wie bereits von Rudman und Rep angesprochen kannst du nicht einfach eine Domain mit gleichem Namen erzeugen, die Migration mit ADMT ist da die einzige Lösung. Aber ich denke der beste Weg die Migration reibungslos über die Bühne zu bringen ist die jetzige Domain zu flicken, und dann diese auf neue DCs zu migrieren. Meistens sind es nur Detailprobleme die ein dcpromo vom funktionieren abhalten. Erzähl doch mal was du beim dcpromo für konkrete Fehlermeldungen gekriegt hast, und was netdiag und dcdiag ausspucken. Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Moin, bevor du den steinigen Weg einer kompletten Domänenmigration gehst (das mit dem Domänennamen kannst du vergessen - der nützt dir nix), solltest du noch mal prüfen, ob sich die technischen Probleme nicht doch beheben lassen. Das ist ziemlich wahrscheinlich. Dann installierst du nur zwei neue DCs, demotest die anderen, und alles ist schön. Ein kompletter Neuaufbau würde u.a. genau das beinhalten, was du vermeiden willst - Profile migrieren, Berechtigungen "überall" anpassen usw. Wie "rep" schon richtich vermutet, hängt das nicht am Namen, sondern am SID. Also, Butter bei die Fische: Welche Fehler melden dcdiag und dcpromo? Gruß, Nils Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 Ich hab's ja befürchtet... Kein Quick&Dirty :D Werde also nochmal alles im Altsystem durchchecken, um dann evtl. zu migrieren. Was mir nur wichtig ist: Ich will keinen unnötigen Ballast vom Altsystem mitschleppen. Nicht mehr vorhandene User sind dabei das geringste Problem, aber u.A. wurde auch mal Exchange auf dem DC genutzt (ist mittlerweile deinstalliert). Zukünftig wird mittelfristig wohl auch wieder Exchange zum Einsatz kommen (auf eigenem Server), daher würde ich eine saubere Neuinstallation bevorzugen. Im Grunde brauche ich höchstens die User und Gruppen und Hosts aus dem ADS, weitere Funktionen wie z.B. servergespeicherte Profile o.ä. werden bisher eh nicht eingesetzt. Angenommen, die Migration klappt, nachdem ich die Fehler auf dem alten DC gefunden und beseitigt habe - wie stehen die Chancen, das das neue System danach so frisch und aufgeräumt ist, wie nach einer Neuinstallation? Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen... Versteht mich nicht falsch, ich will es nur wissen. Denn das ist mir sonst alles immer ein bisschen zu Virtuell. Zwar bin ich auch Fan von großen Aufräumaktionen, wenn es geht alles Aufräumen, doch das ist in der IT uns in den Firmen ja nicht immer so möglich. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 So, ich habe das Ereignisprotokoll und die Logs von dcdiag und netdiag mal durchforstet. Sieht nach einem DNS-Problem aus, was ich momentan aber noch nicht genau qualifizieren kann: Auszug netdiag /test:dns Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{D6E02AFC-30ED-42DA-BB29-94E20FD306EC} 1 NetBt transport currently configured. DNS test . . . . . . . . . . . . . : Failed [WARNING] The DNS entries for this DC are not registered correctly on DNS se rver '127.0.0.1'. Please wait for 30 minutes for DNS server replication. [FATAL] No DNS servers have the DNS records for this DC registered. The command completed successfully Desweiteren in dcdiag /c /v: (kommt für jeden Root-Server und die DNS-Server vom Provider vor) DNS server: 198.41.0.4 (a.root-servers.net.) 1 test failure on this DNS server This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.41.0.4 [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)] Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren. dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp Sollte auch informationen über DNS geben... Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert. Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten. Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin? Zitieren Link zu diesem Kommentar
NorbertFe 2.067 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 kann man die SID denn einspielen bei einer Installation, oder ihm sagen er soll diese nutzen Nein. Sonst wärs ja einfach ;) Einziger (mir bekannter) Weg um SIDs mit von einem alten in ein neues System zu nehmen sind diverse Migrationstools wie bspw. admt oder kostenpflichtiges bspw. von Quest. Bye Norbert Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 Welchen DNS Server nutzt dein DNS Server... mach mal ipconfig /all ->posten.Danach noch die Eigenschaften des DNS-Server anschauen-> Schnittstellen... welche stehen da drin? Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind: ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : domcon Primäres DNS-Suffix . . . . . . . : firma.lokal Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Ja DNS-Suffixsuchliste . . . . . . . : firma.lokal Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : 00-0C-29-25-EC-4B DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.10.1.3 Subnetzmaske . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : 10.10.1.1 DNS-Server . . . . . . . . . . . : 10.10.1.3 Primärer WINS-Server . . . . . . : 10.10.1.3 – dnslint /ad ADS_SERVER_IP /s DNS_SERVER_IP /test_tcp Sollte auch informationen über DNS geben... Sonst Manuell die Server Prüfen und schauen ob nur ein Name mit der IP vorhanden ist und auch Reverse korrekt Funktioniert. Gibt folgenden Fehler aus: Total number of CNAME records found on this server: 0 Total number of CNAME records missing on this server: 1 Total number of glue (A) records this server could not find: 0 CNAME records for forest GUIDs missing on server: GUID: 2c80c960-b607-4f76-8365-4f35cab3241e._msdcs.firma.lokal DC: domcon "netdiag /fix" und "dcdiag /fix" konnten den Fehler scheinbar nicht beheben "dnslint /ad /s localhost" wirft übrigens den gleichen Fehler raus Wie kann ich den CNAME Eintrag manuell vornehmen? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Ich schlage mal vor die normalen IP Adressen als DNS zu verwenden (also nciht die Localhost) und dann auf allen Servern "ipconfig /registerdns" auszuführen, dann sollten die sich korrekt im DNS registrieren. Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 24. November 2008 Autor Melden Teilen Geschrieben 24. November 2008 Sowie den Netlogon-Dienst neustarten, damit auch die AD-spezifischen SRV RRs registriert werden. IP-Adressen sind auf 10.10.1.3 geändert, registerdns ist ausgeführt und den Anmeldedienst habe ich neu gestartet... Bisher aber leider keine Änderung Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 24. November 2008 Melden Teilen Geschrieben 24. November 2008 Steht nur der Server selbst drin (jetzt nicht mehr über localhost), da keine weiteren internen DNS-Server vorhanden sind: Wie meinst du das? Jeder Domain-Controller sollte ein DNS-Server sein. Wo wurde denn die AD-Zone bisjetzt gehostet? Was siehst du denn im dnsmgmt.msc für Einträge? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.