Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zusammenführen von 2 Gesamtstrukturen - Migration mit ADMT3.2

Mitglied: masiwpg

masiwpg (Level 1) - Jetzt verbinden

14.03.2012 um 16:17 Uhr, 5394 Aufrufe, 6 Kommentare

Hallo liebe wissenden,

ich bin neu in diesem Forum und habe folgende Problemstellung:
Ich möchte zwei Gesamtstrukturen zusammenführen. Die Dom1.local soll erhalten bleiben und das AD der Dom2.local in Dom1.local integriert werden.

Meine Testumgebung sieht wie folgt aus:

Name: DC01
BS: Windows 2003 r2 sp2
Domäne: dom1.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31


Name: DC02
BS: Windows 2003 sp2
Domäne: dom2.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31

Toolserver: ADMT
BS: Windows 2008 r2 64bit
Domäne: dom1.local

- Es besteht eine bidirektionale Vertrauensstellung zwischen dom1 und dom2
- DNS läuft
Die Migration der Gruppen & Benutzer habe ich erfolgreich abgeschlossen.

Wenn ich nun ein Computerkonte mittels ADMT migrieren möchte, erhalte ich beim Schritt für die Agentenvorprüfung nachstehende Fehlermeldung:
Auf den Serverdienst auf Computer "PC01.Dom2.local" kann nicht zugegriffen werden. Stellen Sie sicher, dass der Anmeldedienst und der Arbeitsstationsdienst ausgeführt werden und eine Authentifizierung am Computer möglich ist. hr=0x80070005. Zugriff verweigert

Folgende Dinge habe ich geprüft:
- Benutzer mit welchem ADMT ausgeführt wird, ist Mitglied der lokalen Admingruppe auf dem Client
- Anmeldedienst & Arbeitsstationsdienst am Client sind gestartet
- Pc01\admin$ <-- ergibt Zugriff verweigert! <-- Scheinbar ist der User nicht wirklich admin, aber war kann ich da falsch gemacht haben?
- DNS läuft

Für Bemerkungen und Anregungen wäre ich sehr dankbar.

Gruß
Mitglied: emeriks
14.03.2012 um 21:08 Uhr
Der Serverdienst läuft auf den Clients?
Die Uhrzeiten sind (nahezu) synchron?
Der Migrationsuser kann sich am Client anmelden?
Der Migrationuser kann auf C$ des Clients zugreifen?
Firewall?
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 08:26 Uhr
Hallo emeriks,

vielen Dank für Deine Antwort:

Der Serverdienst läuft auf den Clients?
Es laufen Anmeldedienst und Arbeitsstationsdienst, sowie der Dienst Server, falls Du diesen meintest.

Die Uhrzeiten sind (nahezu) synchron?
Ja

Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt, kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?

Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?

Firewall?
Die Firewall ist am Client, sowie auch am Server deaktiviert
Bitte warten ..
Mitglied: emeriks
15.03.2012 um 08:55 Uhr
Zitat von masiwpg:
> Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt,
kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?

Hört sich so an, als wenn die Migration auf halben Weg fehlgeschlagen ist. Also der Computer ist aus der alten Domäne bereits raus und noch nicht in der neuen.

> Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?

Das hat jetzt was damit zu tun, dass der Client wahrscheinlich nicht mehr Mitglied einer Domäne ist. Somit kannst Du mit dem Domänenkonto auch kein lokaler Admin mehr sein.

Der Migrationsuser muss in beiden Domänen das Recht haben, Computer der Domäne hinzuzufügen bzw. zu entfernen. Weiterhin braucht er lokale Adminrechte auf allen Clients - während sie noch in der alten Domäne sind und wenn sie dann in der neuen sind.
Egal, ob Du Dir dafür einen neuen User schaffst oder einen der Administratoren nimmst, musst Du dafür sorgen, dass dieser User entweder direkt oder über einer seiner Gruppen Mitglied der lokalen Adminsitratoren ist und nach Domänenwechsel bleibt bzw. wieder wird. Weil der User nicht gleichzeitig Mitglied beider "Domänen-Admins" sein kann, kannst Du Dich da also nicht auf das Standardverhalten verlassen. Am einfachsten erstellst Du in der alten Domäne eine GPO, die die loaklen Administratorgruppen befüllt. U.a. mit deinem Migrationsuser (oder Gruppe). Falls Du in der neuen Domäne auch schon so eine GPo hast, musst Du diese natürlich auch anpassen, dass da auch der Migrationsuser enthalten ist, weil sonst nach dem Beitritt und dem ersten Booten die lokale Gruppe der Adminstartoren neu geschrieben wird.

Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch von Hand. Aufwand-Nutzen-Verhältnis.
Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile löschen und bei Anmeldung neu laden lassen.

Edit:
Beim zweiten Lesen aufgefallen: Oder der Client ist doch bereits in der neuen Domäne und Du bist mit Deinem Mig-User jetzt doch klein lokaler Admin mehr. (s.o.)
Melde Dich doch mal mit dem lokalen Admin an und schau Die die Gruppe der loaklen Administratoren an.
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 12:45 Uhr
Sobald ich im ADMT Computermigration für den Client PC01 erstmalig gestartet habe, wird PC01im AD in dom1.local angelegt und eine Anmeldung in dom2.local vom Client PC01 ist nicht mehr möglich, obwohl es bei der Agenteninst. vom ADMT zu einem Fehler kommt und der Client nicht in die neue Domäne genommen wird.

Ich kann mich dann nur lokal am Client anmelden und den Client manuell in die neue dom1.local schieben.

Die lokalen Adminrechte werden per GPO in der alten (dom2.local), sowie der neuen (dom1.local) gesetzt.


>Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch >von Hand. Aufwand-Nutzen-Verhältnis.
>Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile >löschen und bei Anmeldung neu laden lassen.

Es werden keine Roamingprofiles eingesetzt und die Anforderung ist leider Migration ohne "Turnschuh-Aktion".


Hat vielleicht jemand mit ADMT Computerkonten migriert und hat evtl. ein howto?
Bitte warten ..
Mitglied: emeriks
15.03.2012 um 14:17 Uhr
Ja, tausende (kein Witz!). Wir haben mehrere große Häuser in einem AD zusammengefasst, mit je 100-600 Clients. Und das größte Problem waren dabei eigentlich bloß die ausgeschalteten PC, welche nicht per WOL gestartet werden konnten. Da half nur der Turnschuh ....

Clients, die jetzt schon nicht mehr in der Domäne sind (ich hoffe es war bisher nur der eine zum Test) müsste man demnach erstmal wieder in die alte aufnehmen, um sie dann nochmal mit ADMT zu migrieren. Das obsolete Objekt dafür in der neuen Domäne wieder löschen.

Wenn Du keine Roamingprofiles hast, dann müssen(!) die mit ADMT konvertiert werden, sonst haste echt ein Problem.

So wie ich es bereits beschrieben habe, funktioniert es. Was mich wundert: Der Client wird meines Wissens direkt von Domain zu Domain geschwenkt, ohne den Umweg über eine "Arbeitsgruppe". Wie kann dann der Client Nicht-Mitglied einer Domain werden? Ist schon komisch ...

Wenn der Agent nicht installiert werden kann, dann ist klar. Der ist das A und O für diese Aktion.Da musst Du einhaken. Bekomme raus, warum der nicht installiert werden kann. Dann kommst Du weiter.
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 16:09 Uhr
Habe des Client nochmal neu in die Domäne aufgenommen und die Migration mit ADMT erneut durchgeführt, und es hat funktioniert. Auch die Migration weiterer Clients verlief Problemlos.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

2 Netze mit Forefront zusammenführen?

Frage von xXEddiXxNetzwerkmanagement6 Kommentare

Hi, ich habe folgendes Problem, ich möchte bei uns in der Firma ein neuses Netz erstellen und dieses mit ...

Windows Server

DSF Fehler auf Gesamtstruktur

Frage von osze90Windows Server9 Kommentare

Hallo Ähnlich wie beim Thema Habe ich folgender Fehler, bei mir ist es jedoch die Gesamtstruktur der den Fehler ...

Batch & Shell

2 PDFs per Batch zusammenführen und bearbeiten

Frage von jehlencoBatch & Shell4 Kommentare

Hallo liebe Community, ich habe mich vorab schon etwas belesen, leider gab es keine Maßgeschneiderte Problemlösung für mich und ...

Exchange Server

Dedizierte Exchange Gesamtstruktur

Frage von Sven-ESHExchange Server7 Kommentare

Hallo, mich beschäftigt gerade etwas. Folgende Konstellation: 3 Autohäuser mit 3 separaten Domänen und Gesamtstrukturen über Site-to-Site VPN mit ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 23 StundenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...