NT4-Maschinen aus Arbeitsgruppe in AD migrieren? (am besten noch per script... ;) )

[lupo45 10]

hi leute!

 

wir haben da draussen ca. 500-800 nt4-maschinen am laufen. die sind allerdings nicht per domäne angebunden, weil die an entfernten standorten stehen und früher nicht über router angebunden waren. ausserdem stand auch kein kapital für einen dc zur verfügung. dementsprechend gestaltet sich die wartung dieser maschinen. es gibt zeiten da kommen wir kaum hinterher die maschinen auf dem laufenden zu halten, weil oft neue applikationen oder neue hardware-spielereien, manchmal auch änderungen an os-settings o.ä. schnell verteilt werden müssen.

mittlerweile sind einige jahre ins land gegangen und entsprechend hat sich die infrastruktur verbesset. d.h. wir haben inzwischen alle standorte per isdn oder dsl in die zentrale angebunden. ausserdem sind auch schon maschinen mit xp dabei und ein dafür passender w2k-dc mit landesk-management und anderem schnickschnack. :)

tjo, und da kam mir irgendwie die schnaps-idee, könnte man nicht einfach die ganzen nt4-arbeitsgruppen-workstations mit einem schönen script (wir haben eine sehr excellente script-verteilung von unserem hauptadmin!!! über browser... 8-) ) in die bereits besetehende ad integrieren? vorrausgesetzt der dc wurde im mixed mode eingerichtet (weiss ich jetzt nicht) dann sollte das doch gehen, oder?

mann wenn ich mir überleg, was uns das für einen verwaltungsaufwand sparen würde...gerade bei der scriptverteilung...

[grizzly999 11]

Wenn das Script passt, geht das "problemlos". Der Domänenmodus ist dabei völlig egal, solange kein NT 4.0 BDC unterstützt werden muss. Die Clients spielen für den Modus keinen Geige.

BTW: wenn es mit dem Skript nicht so will, netdom.exe /join aus dem Resource Kit macht das sehr einfach ;)

 

grizzly999

[lupo45 10]

thx for the tip!

 

d.h. also ich kann eine ad-domain OHNE den NT4-kombatiblitätsunterstützung aufsetzen und nt4-clients in diese domain aufnehmen?? gibt das nicht stress mit wins? klingt jedenfalls genial einfach...

 

was hälst du als fachmann eigentlich von so einer aktion, die würd sich lohnen, oder?

[lupo45 10]

hehe, dabei ist mir gerade die nächste spielerei eingefallen:

 

wir haben auf den maschinen lokale user eingerichtet und die std.-user mit policies verriegelt. dann wär's natürlich auch fein, die policies und die user in die ad-struktur migrieren. kann man das irgendwie machen? (ggf. mit profil!)

[grizzly999 11]

Ja, ist ohne weiteres möglich und WINS ist gar kein Thema, meine das gibt auch kein Problem.

 

Zu deiner zweiten Frage, was ich davon halte: Nun, ich kenne die nähren Umstände und das Netzwerk nicht genauer, aber 500-800 MS-Rechner, die eigentlich zu einer Verwaltungseinheit gehören, also mehr oder weniger zentral verwaltet werden, ist die Domäne immer die beste Wahl, und wenn man das ganze mit Augenmaß, Tests und nicht alle auf einmal in einer Hauruck-Aktion macht, ist das nicht so der Act und auch aus Kostengründen der Administration zu befürworten.

 

HTH

 

grizzly999

[lupo45 10]

super, danke!!!

 

au mann, da fällt mir schon die nächste problematik dazu ein, hoffentlich kann ich gleich noch schlafen... ;]

aber egal, das klär ich bei gelegenheit mit dem kollega

 

ich bin halt mehr der client-spezi und hab was man serverseitig alles machen kann noch nicht allzu viel erfahrung...

[stkr 10]

Hi Lupo

 

zum Thema Policies...

 

also ich würde die NT-Policies (ntconfig.pol) per hand in GPOs umsetzen... falls Du mit Reg-Files gearbeitet hast, die Dinge einstellen die Du nicht per GPO abhandeln kannst, such mal nach reg2adm.exe ... das Ding baut aus Reg-Files AMD-Vorlagen für die GPOs. Falls Du nen Windows XP Rechner als Admin-PC dein eigen nennst empfehle ich Dir noch die GPMC (gibts bei MS)... die macht die Sache auch bei ner 2000-AD richtig easy...

[grizzly999 11]

Leider bringen GPOs bei NT 4.0 Clients gar nix, die werden erst ab W2k ausgewertet. Also auch bei NT 4.0 Clients in 2000/2003-Domänen muss die gute alte ntconfig.pol in die Netlogon-Freigabe ;)

 

grizzly999

[stkr 10]

jau... stimmt... hab ich wohl vergessen zu erwähnen.... ups :)

[lupo45 10]

so, ich hab das heute mal mit einer testmaschine getestet. also, arbeitsgruppen-nt4-kiste wie wir sie draussen rumstehen haben in die 2k-ad aufnehmen.

 

Ergebnis: Es konnte kein Domain-Controller gefunden werden!

 

hab dann mal versucht, den Namen des DC aufzulösen, also ping <hostname>. ergebnis:ungültige ip-adresse und unbekannter host, hatte einige kombinationen durch (nur nb-name, fqn...). dann hab ich's umgekehrt mal versucht mit ping -a <ip-adresse> und siehe da, er hat mir den namen des servers angezeigt. im netbios-, bzw. wins-format, also kein fqn, nur server-name.

 

weiter hab ich erstmal nicht probiert, bin ja auf arbeit und nicht bei jugend forscht! ;) (obwohl die übergänge fliessend sind... ;])

aber ich hab schon so eine idee, woran es liegen könnte. wir haben ein AUSGESPROCHEN heterogenes netzwerk und u.a. mehrere dns-server. für die ad ist halt der dns auf dem dc zuständig, alle anderen hosts bekommen dns über linux-karren...denke da werde ich mal ansetzen, muss mir mal die einstellungen von den bereits in der domain vorhandenen xp-maschinen anschauen...

[grizzly999 11]

Für NT-Rechner ist die NetBIOS-Namensauflösung hinsichtlich des Findens von DCs wichtig. Entweder läuft das über Broadcast, LMHOSTS, oder besser noch für dieses Vorhaben einen WINS aufsetzen und alle Rechner, insbesondere die NT-Clients und die DCs zu WINS-Clients machen.

 

 

grizzly999

[lupo45 10]

hi!

 

nachdem ich die dns-einstellungen auf dem nt4-client angepasst habe funktioniert es nun! habe den rechner in die domäne aufgenommen. bei WINS hab ich übrigens KEINE server eingetragen und stattdessen die option "dns für windows-auflösung aktivieren" aktiviert...mal sehen, wo es im weiteren verlauf holperig wird... ;)