User-Migration NT4 -> W2k3 Dömäne -> keine SID's ?!?

[SPHERE 10]

Hallo zusammen,

 

sitze hier gerade vor folgendem Problem:

 

Ich möchte die User/Groups unserer NT4-Domäne auf unseren neuen DC der W2k3-Domäne migrieren.

 

Die W2k3-Domäne läuft bereits im Native-Mode. Vertrauensstellung der Domänen sind in beiden Richtungen vorhanden.

 

Dazu benutze ich das Active Directory Migration Tool 2.0 welches ich auf dem W2k3-DC installiert habe. Ich setze einen Haken bei "Migrate user SIDs to target domain", danach erhalte ich folgenden Fehlermeldung:

"Could not verify auditing and TcpipClientSupport on domains. Will not be able to migrate Sid's. Zugriff verweigert."

 

Hatte vielleicht schon jemand von euch diese Fehlermeldung und kann mir sagen was ich falsch gemacht habe und wie ich die Users/Groups auf den W2k3-DC migrieren kann (inkl. SID's) ?

 

Nebenbei die Frage: Gibt es eine deutsche verständliche Schritt für Schritt Anleitung zu diesem Tool ?

 

Danke & Greetz

SPHERE

[Dr.Melzer 191]

Du musst in einer der beiden Domänen einen Key erzeugen, der dann in der anderen vorhanden sein muss. Ich kann dir aber jetzt nicht mehr sagen wie das genau war, habe das auch nur auf einem Microsoft Kongress gehört ohne es je selbst zu machen.

[spielkind675 10]

hallo,

 

das steht (wenn auch englisch) in der online-hilfe unter "how to..." (enable auditing und tcpipclientsupport).

norm. sollte admt das aber feststellen (testlauf gemacht), daß die einstellungen nicht vorhanden sind und das auf wunsch automatisch erledigen.

 

gruß

[grizzly999 11]

Ich habe bisher immer festgestellt, dass wenn man den Key setzt und den geforderten Reboot macht, der Key wieder auf 0 ist. Dann nochmal setzen, jetzt bleibt er auf 1.

 

grizzly999

[blub 115]

Hi Sphere,

Ich benutze zum Migrieren nicht das ADMT, daher weiss ich nicht, was es mit den erwähnten Schlüsseln auf sich hat. Jedenfalls musst du, um die SIDhistory rüber zu bekommen, dies machen

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;322970

 

- Success and failure auditing of account management for both source and target domains.

- An empty local group in the source domain that is named {SourceNetBIOSDom}$$$.

- The HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport registry key must be set to 1 on the source domain primary domain controller.

-You must restart the source domain primary domain controller after the registry configuration.

 

Ohne die $$$-Gruppe und ohne den Registrywert gehts definitiv schief.

Der Trust zwischen NT4.0 und 2003 muss natürlich auch laufen!

 

cu

blub

[SPHERE 10]

Hi,

 

danke schonmal für eure Tips, jetzt weiss ich zumindest schon mal wo ich anfangen soll, allerdings kam auch gleich wieder der Rückschlag :D

 

Leider kann ich den Registry-Eintrag "TcpipClientSupport" in der DC-NT4 Registry nicht finden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport , existiert nicht.

 

Die Locale Gruppe {SourceNetBIOSDom}$$$ habe ich angelegt.

 

Ich hoffe ihr habt mir noch ein paar Ideen was mein Problem betrifft, schonmal danke im voraus.

 

@blub, welche tool nimmst du zum migrieren ?

 

greetz,

SPHERE

[grizzly999 11]

Leider kann ich den Registry-Eintrag "TcpipClientSupport" in der DC-NT4 Registry nicht finden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport , existiert nicht.

Warum legst du ihn dann nicht an? Typ Reg_DWORD.

 

 

grizzly999

[blub 115]

Hi,

Ist hoffentlich auch klar, dass {SourceNetBIOSDom}$$$ für Domaenenname$$$ steht.

ich benutze den Migrator von http://www.Quest.com, der ist aber nicht frei, sondern kostet 9$ / User

 

cu

blub

[SPHERE 10]

hi,

 

ups, da hab ich euch wohl falsch verstanden :(

 

"Reg_DWORD TcpipClientSupport Wert 1" in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\ der NT4-DC Registry hab ich gesetzt,

die locale Gruppe "Domaenenname$$$" der Quell-Domäne angelegt, leider erhalte ich immer noch die selbe Fehlermeldung !?!?

 

Der Eintrag stand in der Registry nach dem ReBoot noch drin...habt ihr noch irgendwelche Einfälle oder Ratschläge ?

 

Greetz,

SPHERE

[SPHERE 10]

habt ihr keine ideen mehr ? bin sonst ziemlich aufgeschmissen, wäre euch sehr dankbar !

 

greetz,

SPHERE

[blub 115]

Mit welchem Account führst du die Migration durch? Du solltest die Domain Admins der AD-Domäne in die lokale Administratorengruppe der NT4.0 Domäne stecken.

Der Migrationsaccount muss auf beiden Seiten Administrative Rechte besitzen.

Weiter musst du aufpassen, dass dir deine GPOs (z.B. Mindestpasswortlänge, Minimale Lebensdauer eines Passworts) nicht die Migration behindern. Erstell dir am besten eine eigene Migrationspolicy, in der du die Account Policies sehr weit runterschraubst, und die du während der Migration an oberste Stelle setzt. Ausserdem noch im AD "Everyone" in die Gruppe "Pre-Windows 2000 compatiblen Access" aufnehmen.

 

Es gibt noch x andere Stellen, wo es haken kann. (Sind die Router wirklich offen, steht der Trust von jedem AD-DC aus..)

 

Wenns nicht klappt, untersuch mal deine Eventlogs auf beiden Seiten.

 

cu

blub

 

cu

blub

[SPHERE 10]

Du bist mein held des tages !!

 

es hat gefunzt, das problem waren die lokalen adminrechte der nt-domäne die wohl der w2k3-domäne zu fehlten !

 

finde es klasse dass ihr euch so mühe gegeben habt mir zu helfen !!

 

Klasse Board hier !!!