none
Domäne sichern und im neuen AD Forest neu aufbauen RRS feed

  • Frage

  • Hallo,

    ich habe viele Probleme mit einer Domäne die scheinbar hoffnungslos aus dem AD Forest raus geflogen ist. Einige Partitionen sind tombstoned und die Replikation zwischen Forest und Domäne funktioniert schon lange nicht mehr. Ich habe mehrere How-To-s schon durch, ohne Erfolg.

    Hier möchte ich ein Schnitt machen und die Domäne aus dem Forest Löschen und mit dem gleichen Namen wieder neu aufbauen. Dafür müssen aber Konten, Gruppen, Gruppenmitgliedschaften, OUs und Gruppenrichtlinien gesichert und in der "neuen" Domäne wieder hergestellt werden. Das sollte doch möglich sein.

    Gibt es Tools dafür die oben genannten Objekte und Eigenschaften aus der kaputten Domäne zu exportieren und in eine andere wieder zu importieren?

    Ich vermute mal ein System State Backup eines der DCs aus der kaputten Domäne wäre nicht das richtige dafür, oder?

    Dienstag, 6. August 2013 08:20

Antworten

Alle Antworten

  • > Gibt es Tools dafür die oben genannten Objekte und Eigenschaften
    > aus der kaputten Domäne zu exportieren und in eine andere wieder zu importieren?
    >
    > Ich vermute mal ein System State Backup eines der DCs aus der kaputten Domäne
    > wäre nicht das richtige dafür, oder?

    Du stellst es Dir evtl. ein wenig zu einfach vor - mit einem Tool oder einem Schritt ist es hier sicherlich nicht getan.

    Lies Dich bitte in folgenden Artikel ein:

    ADMT Guide: Migrating and Restructuring Active Directory Domains
    http://technet.microsoft.com/en-us/library/cc974332.aspx

    HOW TO: Remove Orphaned Domains from Active Directory Without Demoting the Domain Controllers
    http://support.microsoft.com/kb/251307/en-us

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    • Als Antwort vorgeschlagen Meinolf Weber Dienstag, 6. August 2013 09:43
    • Als Antwort markiert dasiggo Dienstag, 6. August 2013 13:25
    Dienstag, 6. August 2013 08:55
  • Hallo,

    danke für die Anleitung. Ich habe mich etwas eingelesen, doch habe ich noch einige Fragen.

    Ich vermute wenn ich die Domänenmigration innerhalb des Forests machen möchte, müssen die Domänen unterschiedliche Namen haben. Somit würde das so auskommen das ich erst von SourceDomain zu TempDomain migrieren muss, dann SourceDomain löschen und dann von TempDomain zu TargetDomain(mit dem selben Namen wie SourceDomain) migrieren muss, oder?

    Es ist eine virtuelle Umgebung. Sollte etwas schief gehen, könnte ich dem nicht mit einem Snapshot von den DCs entgegenwirken? Dann wären nach Snapshotrücksetzung alle AD Objekte wieder da mit ihren originalen SIDs und ich müsste nur noch die Sicherheitseinstellungen der Member Server und Clients zurück übersetzen, die ich bereits in die TargetDomain übersetzt habe, oder?

    Dienstag, 6. August 2013 11:54
  • Hallo,

    für die Namensänderung, stimmt, ohne temporären Umweg geht es nicht wenn der alte wieder verwendet werden soll.

    Snapshots von DCs sind NICHT als AD anerkannte Datensicherung von Microsoft unterstützt. Oder nutzt Ihr schon Hyper-V 2012 und habt somit VMGeneration-ID verfügbar mit Windows server 2012 DCs? http://technet.microsoft.com/en-us/library/hh831734.aspx

    Ansonsten bitte NUR nach http://technet.microsoft.com/en-us/library/cc753359(WS.10).aspx verfahren.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.


    • Als Antwort markiert dasiggo Dienstag, 6. August 2013 13:25
    • Bearbeitet Meinolf Weber Dienstag, 6. August 2013 13:43 typo
    Dienstag, 6. August 2013 12:43
  • Nein, wir haben VMware vSphere und Windows Server 2008 SP2.

     

    Dann bleibt wohl nur noch der umständliche Weg.

    Erst mal danke an Meinnolf und Tobias.

    Mal sehen wie weit ich mit ADMT komme.

    Dienstag, 6. August 2013 13:25
  • Hallo,

    anscheinend ist ADMT nicht das richtige Tool da es wohl eine funktionierende AD Umgebung braucht.

    Ich habe eine TempDomain eingerichtet. Ich habe jeweils eine secondary zone der primary zones der SourceDomain und TempDomain in den jeweils entgegengesetzten DNS der DCs eingefügt. Somit können die DCs sich sowohl mit IP als auch mit FQDN anpingen. Der Account mit dem ich die Migration durchführe ist in beiden Domänen Domain Admin der sich auf beiden DCs anmelden und beide ADs verändern kann.

     

    Letztlich bricht die Migration mit dem Fehler: ERR2:7422 Failed to move source object 'CN=....'. hr=0x800720e4 The naming context could not be found.

     

    Ich denke das der Fehler bei der kaputten SourceDomain liegt. Da der AD Forest sich mit ihr nicht mehr unterhalten will, weiß sie nichts von einer neuen TempDomain und daher der Fehler.

     

    Da bleibt mir wohl nur noch ldifde übrig.

    Mittwoch, 7. August 2013 09:15