4
Umstellung 2003 auf 2008 R2 - Probleme bei Anmeldung am AD
Hallo,
ich plane eine Umstellung von einem Windows Server 2003 auf einen Windows Server 2008 R2. Testhalber habe ich ein frisches AD (selber Domänenname, selbe Netzwerkkonfiguration) auf dem neuen Server angelegt und ein paar Benutzer analog zum alten Server eingerichtet.
Wenn ich mich nun einen der XP-Clients an den Switch des Server hänge (an dem sonst nur der Server angeschlossen ist), den Rechner neu starte und versuche, mich am neuen Server anzumelden, kommen verschiedene Fehlermeldungen:
- Fehler in der Vetrauensstellung zwischen der Arbeitsstation und der primären Domäne.
- Kein Domänen-Controller für die angegebene Domäne gefunden.
Wenn ich auf dem Client von der Domäne in eine Arbeitsgruppe wechsele und anschließend wieder der Domäne beitrete, klappt der Login fehlerfrei, allerdings legt er mit dann einen neuen User an, mit neuem Desktop-Profil etc.. Das will ich natürlich vermeiden.
Nun meine Fragen:
a) Woran scheitert die Anmeldung?
b) Ist dieses Vorgehen grundsätzlich machbar oder funktioniert es nur über eine Replikation des AD?
Anlass dafür, das AD nicht auf den neuen Server zu replizieren, war die Überlegung, unnötigen Ballast über Bord zu werfen und alte/fehlerhafte/überflüssige Einträge und Konfigurationen nicht auf den neuen Server zu übernehmen.
Für Hilfe wäre ich sehr dankbar!
Viele Grüße,
Lena
Hier noch alle Fehlermeldungen:
ID 15: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.
Die Registrierung wird nicht durchgeführt.
ID 1054: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
ID 5719: Es steht kein Domänencontroller für die Domäne XXX aus folgendem Grund zur Verfügung:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. .
Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist, und versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.
ID 5721: Die Sitzung mit dem Windows NT- oder Windows 2000-Domänencontroller \\XXXXXXXXXXXX der Domäne XXX konnte nicht eingerichtet werden, da auf dem Domänencontroller kein Konto für Computer XXXXXXXX besteht.
ich plane eine Umstellung von einem Windows Server 2003 auf einen Windows Server 2008 R2. Testhalber habe ich ein frisches AD (selber Domänenname, selbe Netzwerkkonfiguration) auf dem neuen Server angelegt und ein paar Benutzer analog zum alten Server eingerichtet.
Wenn ich mich nun einen der XP-Clients an den Switch des Server hänge (an dem sonst nur der Server angeschlossen ist), den Rechner neu starte und versuche, mich am neuen Server anzumelden, kommen verschiedene Fehlermeldungen:
- Fehler in der Vetrauensstellung zwischen der Arbeitsstation und der primären Domäne.
- Kein Domänen-Controller für die angegebene Domäne gefunden.
Wenn ich auf dem Client von der Domäne in eine Arbeitsgruppe wechsele und anschließend wieder der Domäne beitrete, klappt der Login fehlerfrei, allerdings legt er mit dann einen neuen User an, mit neuem Desktop-Profil etc.. Das will ich natürlich vermeiden.
Nun meine Fragen:
a) Woran scheitert die Anmeldung?
b) Ist dieses Vorgehen grundsätzlich machbar oder funktioniert es nur über eine Replikation des AD?
Anlass dafür, das AD nicht auf den neuen Server zu replizieren, war die Überlegung, unnötigen Ballast über Bord zu werfen und alte/fehlerhafte/überflüssige Einträge und Konfigurationen nicht auf den neuen Server zu übernehmen.
Für Hilfe wäre ich sehr dankbar!
Viele Grüße,
Lena
Hier noch alle Fehlermeldungen:
ID 15: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.
Die Registrierung wird nicht durchgeführt.
ID 1054: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
ID 5719: Es steht kein Domänencontroller für die Domäne XXX aus folgendem Grund zur Verfügung:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. .
Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist, und versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.
ID 5721: Die Sitzung mit dem Windows NT- oder Windows 2000-Domänencontroller \\XXXXXXXXXXXX der Domäne XXX konnte nicht eingerichtet werden, da auf dem Domänencontroller kein Konto für Computer XXXXXXXX besteht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151492
Url: https://administrator.de/contentid/151492
Printed on: April 26, 2024 at 23:04 o'clock
4 Comments
Latest comment
Servus,
wenn du mit einem neuen Server eine --> neue Domäne <-- erstellst und dabei den gleichen Domänennamen verwendest wie die bereits bestehende,
so handelt es sich bei der neuen Domäne immer noch um eine *andere* Domäne! Denn Namen sind in der IT "Schall und Rauch"!
Hinter dem Namen steckt die SID und die ist einmalig.
Deshalb bringt es herzlich wenig, wenn du versuchst dich von einem Client aus der alten Domäne an der neuen Domäne anzumelden. Das Verhalten ist völlig normal und korrekt.
Du müsstest den Client, wie du es bereits getan hast, zur neuen Domäne hinzufügen. Dann bekommst du selbstverständlich auch ein neues Profil.
Es handelt sich schließlich um eine neue/andere Domäne.
Ich vermute, dass du die bestehende Domäne beihalten und lediglich auf Windows Server 2008 R2 aktualisieren möchtest.
Dann genügt es, wenn du das AD-Schema aktualisierst und den neuen Server lediglich als zusätzlichen DC zur Domäne hinzufügst.
Dadurch bleiben die alle Benutzer, Gruppen Clients usw. erhalten und die Benutzer nutzen weiterhin ihr Profil.
Halte dich an diesen Artikel:
[LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen]
http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+R2+DC+Zur+Gesa ...
Wenn du aber die bestehende Domäne nicht behalten und in eine neue Domäne migrieren möchtest, dann benötigst du das ADMT.
Denn damit kannst du die Objekte (Benutzer, Gruppen, Clients...) in die neue Domäne migrieren und behälst dank der SIDHistory ebenfalls die Profile bei.
Viele Grüße
/ > Yusuf Dikmenoglu
a) Woran scheitert die Anmeldung?
wenn du mit einem neuen Server eine --> neue Domäne <-- erstellst und dabei den gleichen Domänennamen verwendest wie die bereits bestehende,
so handelt es sich bei der neuen Domäne immer noch um eine *andere* Domäne! Denn Namen sind in der IT "Schall und Rauch"!
Hinter dem Namen steckt die SID und die ist einmalig.
Deshalb bringt es herzlich wenig, wenn du versuchst dich von einem Client aus der alten Domäne an der neuen Domäne anzumelden. Das Verhalten ist völlig normal und korrekt.
Du müsstest den Client, wie du es bereits getan hast, zur neuen Domäne hinzufügen. Dann bekommst du selbstverständlich auch ein neues Profil.
Es handelt sich schließlich um eine neue/andere Domäne.
b) Ist dieses Vorgehen grundsätzlich machbar oder funktioniert es nur über eine Replikation des AD?
Ich vermute, dass du die bestehende Domäne beihalten und lediglich auf Windows Server 2008 R2 aktualisieren möchtest.
Dann genügt es, wenn du das AD-Schema aktualisierst und den neuen Server lediglich als zusätzlichen DC zur Domäne hinzufügst.
Dadurch bleiben die alle Benutzer, Gruppen Clients usw. erhalten und die Benutzer nutzen weiterhin ihr Profil.
Halte dich an diesen Artikel:
[LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen]
http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+R2+DC+Zur+Gesa ...
Wenn du aber die bestehende Domäne nicht behalten und in eine neue Domäne migrieren möchtest, dann benötigst du das ADMT.
Denn damit kannst du die Objekte (Benutzer, Gruppen, Clients...) in die neue Domäne migrieren und behälst dank der SIDHistory ebenfalls die Profile bei.
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo,
ich kann Yusuf nur zustimmen, das Verhalten ist zu 100% korrekt.
Wenn es dir allerdings nur um die Desktop Profile geht kannst du diese ja via Script bei der ersten Anmeldung kopieren lassen, genau wie Favoriten uns sonstige User Einstellungen.
Das Hauptproblem das ich sehe, deine gesamten Freigaben bzw Dateiberechtigungen gehen den Bach runter wenn du die alte "Domain" abschaltest. Auch die Sicherheitsgruppen haben intern SIDs. D.h. du musst jede Dateiberechtigung wieder von Hand pflegen. Von dem her ist der weg über ADMT nur wärmstens zu empfehlen.
Grüße Lenny
ich kann Yusuf nur zustimmen, das Verhalten ist zu 100% korrekt.
Wenn es dir allerdings nur um die Desktop Profile geht kannst du diese ja via Script bei der ersten Anmeldung kopieren lassen, genau wie Favoriten uns sonstige User Einstellungen.
Das Hauptproblem das ich sehe, deine gesamten Freigaben bzw Dateiberechtigungen gehen den Bach runter wenn du die alte "Domain" abschaltest. Auch die Sicherheitsgruppen haben intern SIDs. D.h. du musst jede Dateiberechtigung wieder von Hand pflegen. Von dem her ist der weg über ADMT nur wärmstens zu empfehlen.
Grüße Lenny
Vielen Dank für eure Antworten! 
Nun tun sich ein paar weitere Fragen auf:
a) Migration des AD: Was sagt die Erfahrung: Sollte man die Windows Server Migration Tools verwenden oder nicht?
b) DNS: Muss DNS migriert werden? Der 2003er-Server ist als primärer DNS auf den Clients eingetragen, wobei für Internet-DNS-Requests der sekundäre DNS-Server außerhalb unseres Subnetzes verwendet wird. Würde es reichen, die DNS-Rolle auf dem neuen Server zu installieren und Standardeinstellungen zu verwenden? Der DNS wird nur verwendet, um den DC zu finden.
c) Nach dem AD-Schema-Upgrade: Ist der DC dann noch voll funktionsfähig? Ich würde gerne unter der Woche abends das Schema-Upgrade machen und das AD migrieren, den neuen Server aber erst am WE in Betrieb nehmen wollen (bis dahin wird das AD auf dem alten Server nicht modifiziert werden).
d) Was die FSMO-Rollen (Schemamaster, Domänennamenmaster, RID-Master ...) angeht: Muss ich Rollen migrieren oder reicht es, nach Abschluss der AD-Migration den neuen Server zum primären DC zu machen?
Die Nutzung des bisherigen 2003er-Servers ist sehr beschränkt: Es wird derzeit nur das AD genutzt, zur zentralen Authentifizierung und zum Bereitstellen von Druckern. Wichtig wäre mir daher nur, dass die Authentifizierung wieder funktioniert (ohne dass neue User/Profile auf den Clients angelegt werden müssen). Die Druckerfreigaben würde ich ohnehin neu auf dem neuen Server anlegen wollen.
Vielen Dank & Grüße,
Lena
Nun tun sich ein paar weitere Fragen auf:
a) Migration des AD: Was sagt die Erfahrung: Sollte man die Windows Server Migration Tools verwenden oder nicht?
b) DNS: Muss DNS migriert werden? Der 2003er-Server ist als primärer DNS auf den Clients eingetragen, wobei für Internet-DNS-Requests der sekundäre DNS-Server außerhalb unseres Subnetzes verwendet wird. Würde es reichen, die DNS-Rolle auf dem neuen Server zu installieren und Standardeinstellungen zu verwenden? Der DNS wird nur verwendet, um den DC zu finden.
c) Nach dem AD-Schema-Upgrade: Ist der DC dann noch voll funktionsfähig? Ich würde gerne unter der Woche abends das Schema-Upgrade machen und das AD migrieren, den neuen Server aber erst am WE in Betrieb nehmen wollen (bis dahin wird das AD auf dem alten Server nicht modifiziert werden).
d) Was die FSMO-Rollen (Schemamaster, Domänennamenmaster, RID-Master ...) angeht: Muss ich Rollen migrieren oder reicht es, nach Abschluss der AD-Migration den neuen Server zum primären DC zu machen?
Die Nutzung des bisherigen 2003er-Servers ist sehr beschränkt: Es wird derzeit nur das AD genutzt, zur zentralen Authentifizierung und zum Bereitstellen von Druckern. Wichtig wäre mir daher nur, dass die Authentifizierung wieder funktioniert (ohne dass neue User/Profile auf den Clients angelegt werden müssen). Die Druckerfreigaben würde ich ohnehin neu auf dem neuen Server anlegen wollen.
Vielen Dank & Grüße,
Lena
Also grundsätzlich kannst du den neuen DC in die Domain nehmen. Die Strukur hochstufen.
Das kannst du eigentlich im laufenden Betrieb machen.
Danach würde ich die Userverzeichnisse umziehen (müssen natürlich auch im AD geändert werden). (Pass auf das du die Berechtigungen mit kopierst).
Danach den "alten" DC herausstufen. Dabei überträgt adprep die FSMO Rollen automatisch.
Bis auf eine DNS Schema-Master Rolle. Wie das funktionier steht HOWTO Active Directory : Umzug der Betriebsmaster - FSMO-Rollen auf einen anderen Domänencontroller
Danach sollte die Anmeldung eigentlich Problemlos möglich sein. Achte halt darauf das, wenn du ein DNS hast das im AD integriert ist, das du die neue IP des DNS Servers über DHCP verteilst.
Aber generell: halte Dich an die Anleitung von Yusuf dann kann Dir nichts passieren :D
Grüße Lenny
Das kannst du eigentlich im laufenden Betrieb machen.
Danach würde ich die Userverzeichnisse umziehen (müssen natürlich auch im AD geändert werden). (Pass auf das du die Berechtigungen mit kopierst).
Danach den "alten" DC herausstufen. Dabei überträgt adprep die FSMO Rollen automatisch.
Bis auf eine DNS Schema-Master Rolle. Wie das funktionier steht HOWTO Active Directory : Umzug der Betriebsmaster - FSMO-Rollen auf einen anderen Domänencontroller
Danach sollte die Anmeldung eigentlich Problemlos möglich sein. Achte halt darauf das, wenn du ein DNS hast das im AD integriert ist, das du die neue IP des DNS Servers über DHCP verteilst.
Aber generell: halte Dich an die Anleitung von Yusuf dann kann Dir nichts passieren :D
Grüße Lenny