Domain/Forest Prep

[NilsK 2.968]

Moin,

 

das Schema hat nichts mit dem Domain oder Forest Level zu tun. Das Schema ist immer das der neuesten Windows-Version, die als DC im Einsatz ist. Beim Modus ist es eher umgekehrt: Der Modus wird vorgegeben durch die älteste Windows-Version, die als DC im Einsatz ist.

 

Ein neueres Schema ändert funktional nichts. Ein höherer Modus schon.

 

Gruß, Nils

 

[goat82 2]

Hi Nils, der freundlichste Blogger

Wenn ich die das domain und forest functional level also den Modus von 2003 auf 2008R2 anhebe, dann sollte da doch nicht groß passieren oder?

Wie verhält es sich das Heraufsetzen mit Exchange und das manuelle Umstellen von syscol FRS auf DFS-R ? Kann das eine große Auswirkung haben?

 

 

 

LG Goat.

 

 

[NorbertFe 2.089]

Wenn du vor die Tür trittst kann auch ne Menge passieren. Die Wahrscheinlichkeit kommt halt auf diverse Faktoren an. ;)

die grösste Änderung die kaum sichtbar ist, von dfl/ffl von 2003 zu 2008 oder höher:

 

Changing the KRBTGT password is only supported by Microsoft once the domain functional level is Windows Server 2008 or greater. This is likely due to the fact that the KRBTGT password changes as part of the DFL update to 2008 to support Kerberos AES encryption, so it has been tested.

Von: https://adsecurity.org/?p=483

bearbeitet 15. Mai 2019 von NorbertFe

[goat82 2]

Vier`len Dank für die Ratschläge erstmal. Ich habe das zu Hause mal in einer Umgebung erfolgreich ausgeführt.

In einer erneuten Umgebung mit identischer Hardware funktioniert es jedoch nicht.

DC1: 2003R2, ADDS,DNS: 32 bit (64 bit hab ich nicht gefunden), forest/domain dddd.de

DC2: 2008R2: ADDS. Er findet den Forest dddd.de auch und DC2 ist auch richtig eingerichtet.

Bei DCPromo sagt er jedoch er benötigt ein Forestprep. Functional Level ist 2003.

adprep/forestprep von 2008R2 hab ich auf DC1 erfolgreicht durchgeführt, leider blickt das DC2 nicht.

Irgendeine Idee?

 

 

[NilsK 2.968]

Moin,

 

Idee 1: Abwarten, möglicherweise eine Replikationslatenz. Da sollte es aber eigentlich nur um Minuten gehen, wenn überhaupt.

Idee 2: Da läuft was falsch. 

 

Mehr kann man anhand der Informationen dazu nicht sagen.

 

Gruß, Nils

 

[4zap 17]

vor 25 Minuten schrieb goat82:

Vier`len Dank für die Ratschläge erstmal. Ich habe das zu Hause mal in einer Umgebung erfolgreich ausgeführt.

In einer erneuten Umgebung mit identischer Hardware funktioniert es jedoch nicht.

DC1: 2003R2, ADDS,DNS: 32 bit (64 bit hab ich nicht gefunden), forest/domain dddd.de

DC2: 2008R2: ADDS. Er findet den Forest dddd.de auch und DC2 ist auch richtig eingerichtet.

Bei DCPromo sagt er jedoch er benötigt ein Forestprep. Functional Level ist 2003.

adprep/forestprep von 2008R2 hab ich auf DC1 erfolgreicht durchgeführt, leider blickt das DC2 nicht.

Irgendeine Idee?

 

 

Ein nicht-offizielles MS Statement im AD Forest ist:

 

Machst du Änderungen im Forest drück auf ok, geh in die Küche mach dir Kaffee und geh eine rauchen. Wenn du wieder am Schreibtisch bist sind die Änderungen durch. Ist nicht gesund für die Lunge aber gut gegen Stress und Ungeduld. Geduld braucht man manchmal in der MS Server Administration.

[goat82 2]

also der ADDS Service stoppt unerwartet, keine Ahung was da schief läuft. Außerdem will er beim 2008R2 immer ein adprep obwohl ffl und dfl 2003 ist.

Ahc wenn ich das Adprep von 2008R2 oder 2012R2 cd ausführe klappt es nicht. Keine Ahung was hier anderst ist. DNS usw. läuft alles er akzeptiert nur den fll von 2003 nicht

[NilsK 2.968]

Moin,

 

das klingt nicht gut. Dann ist sicher das Eventlog voller Details dazu.

 

Ich wage mal zu vermuten, dass wir das in einem Forum nicht gelöst bekommen. Wenn es sich um eine Produktionsumgebung handelt, solltest du umgehend einen Case bei Microsoft eröffnen.

 

Gruß, Nils

 

[goat82 2]

Zum Glück erstmal nur in Virtualbox. Zu Hause hat es einwandfrei funktioniert. Hier habe ich allerdings auch nicht verstanden warum ich bei einem 2003r2 32 system mit ffl und dfl von 2003 ein adprep machen muss wenn ich einen 2008R2 DC hinzuhängen will.  Ich verstehe auch nicht warum es trotz adprep dann nicht funktioniert. die ADDS services müssen doch nach der Installation automatisch laufen oder laufen die nur wenn ich den Ziel Server auch zu einem DC mache?

[NilsK 2.968]

Moin,

 

ich glaube, du solltest dir noch ein paar Grundlagen aneignen. Sonst wirst du auf Basis fehlender Kenntnisse herumstochern und möglicherweise schwere Fehler erzeugen.

 

Ein AD läuft auf einem bestimmten Modus und hat ein bestimmtes AD-Schema. Beide werden von den vorhandenen DCs vorgegeben. Das Schema muss immer dann aktualisiert werden, wenn ein DC mit einem neueren Betriebssystem eingebunden werden soll, und zwar vorher. Das geschieht (in älteren Versionen) über das ForestPrep. Da noch weitere Anpassungen nötig sein können, gibt es auch noch das ADPrep. Erst dann kann man den "neueren" DC überhaupt als DC dazuinstallieren. Hast du also ein AD mit DCs unter 2003 R2 und willst einen DC mit 2008 dazuhaben - ist ForestPrep und ADPrep erforderlich. Seit Windows Server 2012 (meine ich) ist dieser Schritt direkt in die Installation integriert - er findet immer noch statt, aber nicht mehr separat.

 

Der Modus hingegen gibt an, welche neueren Funktionen im AD aktiv sind. Der mögliche Modus wird vom "ältesten" DC vorgegeben. Solange du also noch 2003-DCs hast, kannst du nicht vom 2003-Modus weg. Wenn du den letzten 2003-DC entfernt hast, hebt sich der Modus aber nicht von selbst an, das muss man manuell tun. Normalerweise ist das auch problemlos, aber es kann "theoretisch" Applikationen geben, die vorher geprüft werden müssen. Exchange ist da der einzige "typische" Fall, weil ältere Exchange-Versionen meist mit den neueren AD-Modi nicht klarkommen. 

 

Beide Aspekte (Schema und Modus) haben technisch aber nichts miteinander zu tun.

 

Die Probleme in deinem Lab werden nicht ursächlich damit zu tun haben, da stimmt etwas anderes nicht.

 

Gruß, Nils

 

bearbeitet 16. Mai 2019 von NilsK

[NorbertFe 2.089]

vor 50 Minuten schrieb goat82:

2008R2 DC hinzuhängen will.

Weil der 2008R2 DC das SChema erweitert. 

[daabm 1.366]

Am 15.5.2019 um 16:09 schrieb goat82:

nach dieser Liste: https://social.technet.microsoft.com/wiki/contents/articles/37395.active-directory-schema-versions.aspx

hätte ich den Wert 30 für Server 2003 erwartet und nicht 44 oder 45. Was stimmt denn nun ?

Die Schemaversion lebt nur im AD und hat weder mit dem OS der DCs noch mit Domain/Forestlevel irgendwas zu tun. Wir fahren 2008R2 Domänen mit 2016-Schema

Am 15.5.2019 um 16:25 schrieb NilsK:

Ein neueres Schema ändert funktional nichts. Ein höherer Modus schon.

Ganz kleine Korrektur: Ohne passendes Schema gibt es bestimmte Objekte nicht, dann kann das eine oder andere nicht möglich sein. Z.B. bei Drahtlosnetzwerk-Policies (sind AD-Objekte, Vista-Policies gehen erst mit dem 2008-Schema) oder Bitlocker Recovery Keys oder noch so ein paar Schmankerl (Certificate Roaming fällt mir noch ein, gibt aber bestimmt noch mehr). Für LAPS brauchts ja auch ne Schemaerweiterung, und "rein technisch" ist ein Schema-Update auch nur ne Schemaerweiterung.

Und nein, ich will jetzt keine große Diskussion darüber anzetteln