none
Eure Meinung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo.

    Ein Kunde, den ich zur Administration übernommen habe, hat derzeit 2 Windows 2003 Server. Beide sind DC's mit DNS. Kein DHCP. Insgesamt 67 User in der Domäne. Auf beiden Servern herrscht ein gewisses Chaos. Viele Programme installiert, die auf einem DC nichts verloren haben. Administratorkennwort ist tw. bei den Mitarbeitern bekannt !!! Auf einem DC läuft ein Warenwirtschaftssystem, dass ich unbedingt auf einen eigenen Rechner bringen möchte, der keine Domänenfunktionalität hat.

    Ich möchte dort neue Win2012 Server installieren (ca. 3 Stk) wobei einige Programme die derzeit auf den DC's laufen dann in VM's laufen sollen. Es kommt nämlich immer wieder vor, dass diese Programme den DC zum Absturz bringen.

    Nun überlege ich eben, ob ich migrieren soll, oder das ganze System komplett neu aufbaue. Also eine neue Domäne parallel hochziehen. Dort die User neu anlegen, Die PC's nacheinander in die neue Domäne hänge usw. (Wochenendsaktion). Damit hätte ich ein sauberes neues System. (Eventuell gibt es ja ein Tool, dass mir die Userkonten transferieren kann- ohne hier groß mit Vertrauensstellungen zu arbeiten)

    Ich wollte mal eure Meinung dazu hören.

    Freitag, 21. Dezember 2012 10:21
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo.

    Nein, ein Umbenennen der Domäne ist nicht notwendig. Ich hatte nun Zeit mir die AD genau anzusehen. Schau nicht sehr schlimm aus. Spezielle Gruppen, etc. gibt es nicht. Ist ganz einfach aufgebaut worden. Gibt nur 3 Administratoren, alle anderen sind "normale" User. Es gibt auch sonst keine "Specials". Also werde ich migrieren.

    Die "Müllsoftware" auf den Servern bringe ich damit weg, habe keine verwaisten SID's auf den PC's (denn dort sind doch einige Einträge drinnen) und erspare mir meiner Meinung nach auch Arbeit.

    Vielen Dank für eure rege Diskussion - hat mir sehr geholfen.


    Donnerstag, 27. Dezember 2012 06:38
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Peter,

    Ich denke du wärst in unserem AD Forum etwas besser aufgehoben.

    Was dein Problem anbelangt, es kommt natürlich darauf an wie sehr dein jetztiges AD verbogen ist.
    Da es ja scheinbar hauptsächlich an den Installations-Wirrwarr deiner DCs scheitert,
    hättest du ja dieses Problem schon einmal mit neuen DCs erledigt.

    Zusätzlich würde ich alle Kennwörter zurücksetzen (aller Accounts die administrative Berechtigungen besitzen).
    Wenn du eine neue Domäne aufbaust, musst du natürlich mit den jeweiligen Folgen leben.
    (den Mehraufwandt, die verwaisten SIDs in irgendwelchen Verzeichnissen etc ..).

    Solltest du dich dennoch für eine Migration entscheiden, schau dir einmal diese Artikel an:
    http://www.windowsitpro.com/content1/topic/comparative-review-ad-migration-tools-141928/catpath/product-review

    http://blog.dikmenoglu.de/Eine+Dom%C3%A4nenmigration+Durchf%C3%BChren.aspx

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 21. Dezember 2012 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für die Info.

    Warum sollte ich verwaiste SID's haben, wenn ich alles neu aufbaue?

    Freitag, 21. Dezember 2012 12:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Warum sollte ich verwaiste SID's haben, wenn ich alles neu aufbaue?

    Gemeint ist die Clientseite.
     
    Du kannst ja nie wissen, wo evtl. Domänenbenutzer in irgendwelchen NTFS ACLs oder anderen
    ACLs eingetragen sind (Registry, Drucker, Dienste etc.).

    Das Gleiche würde natürlich für deine (vor allem File-) Server gelten.
    Die wirst du allerdings ja ohnehin ersetzen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Freitag, 21. Dezember 2012 12:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok.

    Also was ich bis jetzt aus deiner Antwort rauslese - MACH ES NEU.

    Richtig?

    Freitag, 21. Dezember 2012 12:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.12.2012 11:21, schrieb Peter Putz LGH:

    Nun überlege ich eben, ob ich migrieren soll, oder das ganze System
    komplett neu aufbaue.

    Migrieren.
    Der Aufräumprozess in der neuen Domäne ist genausogroß wie in der alten.
    Es gibt kein "kaputtes" AD.

    - Kennworte ändern
    - Neue Server aufbauen
    - Namenskonvention einführen
    - Klare Aufteilung der Gruppen nach  "Ressource_Recht"
    - Dateien/Daten/Datenbanken etc. transferieren und Berechtigungen immer nur mit "nagelneuen" Gruppen neu vergeben.
    - Am Ende die alten Server demoten und abschalten
    - Alte Gruppen und deren Mitglieder dokumentieren, danach alle Mitglieder entfernen, wenn sich nach 3 Wochen keiner beschwert: Gruppe löschen

    Was bleibt:
    - du hast aufgeräumt genau wie in der neuen Domäne
    - du hast keine neuen SIDs. macht vieles einfacher

    Ist wie "neu" nur eben aufgeräumt.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 21. Dezember 2012 12:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Mark.

    So gesehen ist eine Migration natürlich auch überlegenswert. Ich werde mir die Artikel von Matthias mal "reinziehen".

    Euch allen Danke und ein frohes Fest.

    Freitag, 21. Dezember 2012 13:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.12.2012 14:23, schrieb Peter Putz LGH:

    So gesehen ist eine Migration natürlich auch überlegenswert. Ich
    werde mir die Artikel von Matthias mal "reinziehen".

    Die für mich einzigen Argumente für neu sind:
    - Schema Erweiterungen, zB von Drittannbietern entfernen die man sonst nicht los wird
    - Name der Domäne SOLL geändert werden, idR politisch motiviert
    - AD Layout Root/Subdomänen müssen anders organisiert werden, idR durch Firmenzusammenschlüsse bedingt. Das ist auch der Moment, wo der Name nicht mehr stimmt :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 21. Dezember 2012 14:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Also was ich bis jetzt aus deiner Antwort rauslese - MACH ES NEU.

    Nein, das hast du falsch herausgelesen :-)

    Ich sehe ebenso wie Mark wenig Sinn in einer komplett neuen Domäne.

    Was dein Problem anbelangt, es kommt natürlich darauf an wie sehr dein jetztiges AD verbogen ist.
    Da es ja scheinbar hauptsächlich an den Installations-Wirrwarr deiner DCs scheitert,
    hättest du ja dieses Problem schon einmal mit neuen DCs erledigt.

    Zusätzlich würde ich alle Kennwörter zurücksetzen (aller Accounts die administrative Berechtigungen besitzen).

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 21. Dezember 2012 14:32
    |
  • Question
    Anmelden
    0
    Anmelden

    - Name der Domäne SOLL geändert werden, idR politisch motiviert

    Solltest du kein Exchange benutzen, wäre das Umbennen technisch machbar.

    Der Aufwand würde sich jedoch auch hier nicht lohnen.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 21. Dezember 2012 14:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.12.2012 15:36, schrieb Matthias Wolf [MVP]:

    Solltest du kein Exchange benutzen, wäre das Umbennen technisch machbar.
    Der Aufwand würde sich jedoch auch hier nicht lohnen.

    Hm ... ich habs jetzt ein paar mal gemacht auch in Mittelständischen Grössen (700 User), das ist nicht so aufwendig.
    Das Lästige ist nur, daß alle Member (Clients/server/DCs) 2mal neustarten müssen und das ist ohne funktionierendes WOL und andere Strapazen eine Qual.

    Der Rename selbst ist in 5 Minuten erledigt ... nagut 20 Minuten, um in die andere Site zu replizieren :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 21. Dezember 2012 18:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Der Rename selbst ist in 5 Minuten erledigt ..

    Das glaubst du doch selbst nicht :-)

    Sonst gäbe es doch keine 9-seitigen PDF Dateien dafür :-)
    how-to

    Spätestens wenn einer oder mehrere der genannten Sonderfälle auftreten, kann es zeitintensiv werden...

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Freitag, 21. Dezember 2012 22:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.12.2012 23:54, schrieb Matthias Wolf [MVP]:

    Der Rename selbst ist in 5 Minuten erledigt ..
    Das glaubst du doch selbst nicht :-)

    Mach das mal in deiner Ideal Standard VM, Blanko Install, ohne Drittanbieter. Ok, 5 Minuten ist etwas übertrieben, aber es dauert keine 30 Minuten.

    Sonst gäbe es doch keine 9-seitigen PDF Dateien dafür :-)
    how-to <http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&ved=0CEIQFjAB&url=http%3A%2F%2Fwww.faq-o-matic.net%2Fdownload%2F30%2F&ei=GOjUUJKNB4SD4ATzkYCwBA&usg=AFQjCNEC32XDMoTRtXNN8MqIOec5ChfsxA&bvm=bv.1355534169,d.bGE>

    Das gibt es nur, um einen Dienstleister zu beauftragen, denn wenn es eng wird, machst du ein Authoritative Restore, oder wenn einer der genannten Problemfälle auftritt, dann musst du schon wissen, was du tust.

    Der Stress ist das sammeln der Information und das Sammeln der Erfahrung, wenn man es noch nie gemacht hat. Wie immer. Wenn man weiss was man tut, geht es schnell und einfach.

    Aber am Ende sind es nur die paar Befehle und das Edit vom XML.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Samstag, 22. Dezember 2012 14:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo.

    Nein, ein Umbenennen der Domäne ist nicht notwendig. Ich hatte nun Zeit mir die AD genau anzusehen. Schau nicht sehr schlimm aus. Spezielle Gruppen, etc. gibt es nicht. Ist ganz einfach aufgebaut worden. Gibt nur 3 Administratoren, alle anderen sind "normale" User. Es gibt auch sonst keine "Specials". Also werde ich migrieren.

    Die "Müllsoftware" auf den Servern bringe ich damit weg, habe keine verwaisten SID's auf den PC's (denn dort sind doch einige Einträge drinnen) und erspare mir meiner Meinung nach auch Arbeit.

    Vielen Dank für eure rege Diskussion - hat mir sehr geholfen.


    Donnerstag, 27. Dezember 2012 06:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Darf ich mich noch mal wegen der Angelegenheit melden?

    Ich dachte auch noch an folgendes Prozedere, da derzeit ja 2 DC's im Einsatz sind.

    1. Herausnehmen des 2. DC's aus der Domäne.

    2. Eingliedern eines Win2012 Servers in die Domäne als DC.

    3. Übertragen der FSMO Rollen an den 2012er Server.

    4. Herausnehmen des ersten DC aus der Domäne und heraufstufen der Domänenfunktionsebene.

    5. Integration der weiteren 2012er DC's

    6. eventuell transfer der FSMO Rollen auf andere Server

    So müsste es ja auch gehen ohne mit Migration zu arbeiten - oder habe ich da was nicht bedacht?


    Donnerstag, 3. Januar 2013 12:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 03.01.2013 13:55, schrieb Peter Putz LGH:

    1. Herausnehmen des 2. DC's aus der Domäne.
    2. Eingliedern eines Win2012 Servers in die Domäne als DC.
    3. Übertragen der FSMO Rollen an den 2012er Server.
    4. Herausnehmen des ersten DC aus der Domäne und heraufstufen der Domänenfunktionsebene.
    5. Integration der weiteren 2012er DC's
    6. eventuell transfer der FSMO Rollen auf andere Server

    Bis auf Punkt 6. würde ich es auch so machen. Mach beide DC zum Globalen Catalog Server und du musst die Rollen nicht mehr verteilen.

    Zwischen Punkt 3 und 4 würde ich auf jeden Fall allen beteiligten Rechner und auch dem abzuschaltenden DC diesen 2012 Server als 1ten DNS mitgeben.

    Aufräumen des DNS/WINS etc- wirst du per Hand müssen.

    http://support.microsoft.com/kb/216498/en-us

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 3. Januar 2013 16:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Aufräumen des DNS/WINS etc- wirst du per Hand müssen.

    Falls das Chaos auch bez. der Forest/-Domänenrelevanten DNS-einträge besteht, einfach alle löschen..
    Die erstellt nämlich jeder DC bei der Anmeldung (jeweils nur für sich selbst) neu auf dem DNS.. also alles UNTERHALB der _msdcs.contoso.com (die _msdcs.contoso.com selbst NICHT löschen, der rest kann weg - SOA bleibt ja. NS musst in der liste pflegen..)
    ..ebenfalls die Subs unterhalb der Domain, also _sites, _tcp, _udp, DomainDnsZones, ForestDnsZones   (nur die Delegierung "_msdcs" kann/soll bleiben..

    danach den Anmeldedienst (net stop netlogon / net start netlogon) und taddaaa, 10sec. warten, F5, da kommen die Einträge wieder...
    sicherheitshalber würd ich´s on der Nacht machen aber klappt tausend pro!!!
    Danach noch die Replikation anstoßen und kuuurz warten :)) dann sollten sich die Zonen auf dem anderen DNS (hast ja bestimmt 2) langsam wieder füllen!

    Eigentlich geht das auch nit den A und AAAA records der member/Clients, sofern dynamische DNS-Updates aktiv sind und die DNS-Einstellungen am Client Standard registriert sich jeder Client selbst, glaub sogar mit jeder übernahme von neuen IP-Einstellungen..

    In meinem Wohnzimmer-Lab bastel ich viel, lösche auch nen dc´s wenn die platten der vms vollaufen.. aaber mein AD-DNS ist sauber ;))

    Grüüße,

    Stephan :)

    Stephan Ertel - MCITP/MCSA -

    • Als Antwort vorgeschlagen Stephan Ertel Sonntag, 3. Februar 2013 15:35
    • Nicht als Antwort vorgeschlagen Stephan Ertel Sonntag, 3. Februar 2013 15:36
    • Bearbeitet Stephan Ertel Sonntag, 3. Februar 2013 15:36
    Sonntag, 3. Februar 2013 15:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Stefan.

    Tolle Info.

    Montag, 4. Februar 2013 06:54
    |