6
Zusammenführen von 2 Gesamtstrukturen - Migration mit ADMT3.2
Hallo liebe wissenden,
ich bin neu in diesem Forum und habe folgende Problemstellung:
Ich möchte zwei Gesamtstrukturen zusammenführen. Die Dom1.local soll erhalten bleiben und das AD der Dom2.local in Dom1.local integriert werden.
Meine Testumgebung sieht wie folgt aus:
Name: DC01
BS: Windows 2003 r2 sp2
Domäne: dom1.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31
Name: DC02
BS: Windows 2003 sp2
Domäne: dom2.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31
Toolserver: ADMT
BS: Windows 2008 r2 64bit
Domäne: dom1.local
- Es besteht eine bidirektionale Vertrauensstellung zwischen dom1 und dom2
- DNS läuft
Die Migration der Gruppen & Benutzer habe ich erfolgreich abgeschlossen.
Wenn ich nun ein Computerkonte mittels ADMT migrieren möchte, erhalte ich beim Schritt für die Agentenvorprüfung nachstehende Fehlermeldung:
Auf den Serverdienst auf Computer "PC01.Dom2.local" kann nicht zugegriffen werden. Stellen Sie sicher, dass der Anmeldedienst und der Arbeitsstationsdienst ausgeführt werden und eine Authentifizierung am Computer möglich ist. hr=0x80070005. Zugriff verweigert
Folgende Dinge habe ich geprüft:
- Benutzer mit welchem ADMT ausgeführt wird, ist Mitglied der lokalen Admingruppe auf dem Client
- Anmeldedienst & Arbeitsstationsdienst am Client sind gestartet
- Pc01\admin$ <-- ergibt Zugriff verweigert! <-- Scheinbar ist der User nicht wirklich admin, aber war kann ich da falsch gemacht haben?
- DNS läuft
Für Bemerkungen und Anregungen wäre ich sehr dankbar.
Gruß
ich bin neu in diesem Forum und habe folgende Problemstellung:
Ich möchte zwei Gesamtstrukturen zusammenführen. Die Dom1.local soll erhalten bleiben und das AD der Dom2.local in Dom1.local integriert werden.
Meine Testumgebung sieht wie folgt aus:
Name: DC01
BS: Windows 2003 r2 sp2
Domäne: dom1.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31
Name: DC02
BS: Windows 2003 sp2
Domäne: dom2.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31
Toolserver: ADMT
BS: Windows 2008 r2 64bit
Domäne: dom1.local
- Es besteht eine bidirektionale Vertrauensstellung zwischen dom1 und dom2
- DNS läuft
Die Migration der Gruppen & Benutzer habe ich erfolgreich abgeschlossen.
Wenn ich nun ein Computerkonte mittels ADMT migrieren möchte, erhalte ich beim Schritt für die Agentenvorprüfung nachstehende Fehlermeldung:
Auf den Serverdienst auf Computer "PC01.Dom2.local" kann nicht zugegriffen werden. Stellen Sie sicher, dass der Anmeldedienst und der Arbeitsstationsdienst ausgeführt werden und eine Authentifizierung am Computer möglich ist. hr=0x80070005. Zugriff verweigert
Folgende Dinge habe ich geprüft:
- Benutzer mit welchem ADMT ausgeführt wird, ist Mitglied der lokalen Admingruppe auf dem Client
- Anmeldedienst & Arbeitsstationsdienst am Client sind gestartet
- Pc01\admin$ <-- ergibt Zugriff verweigert! <-- Scheinbar ist der User nicht wirklich admin, aber war kann ich da falsch gemacht haben?
- DNS läuft
Für Bemerkungen und Anregungen wäre ich sehr dankbar.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181963
Url: https://administrator.de/contentid/181963
Printed on: April 23, 2024 at 23:04 o'clock
6 Comments
Latest comment
Der Serverdienst läuft auf den Clients?
Die Uhrzeiten sind (nahezu) synchron?
Der Migrationsuser kann sich am Client anmelden?
Der Migrationuser kann auf C$ des Clients zugreifen?
Firewall?
Die Uhrzeiten sind (nahezu) synchron?
Der Migrationsuser kann sich am Client anmelden?
Der Migrationuser kann auf C$ des Clients zugreifen?
Firewall?
Hallo emeriks,
vielen Dank für Deine Antwort:
Was ist hier zu tun?
Was ist hier zu tun?
vielen Dank für Deine Antwort:
Der Serverdienst läuft auf den Clients?
Es laufen Anmeldedienst und Arbeitsstationsdienst, sowie der Dienst Server, falls Du diesen meintest.Die Uhrzeiten sind (nahezu) synchron?
JaDer Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt, kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.Was ist hier zu tun?
Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.Was ist hier zu tun?
Firewall?
Die Firewall ist am Client, sowie auch am Server deaktiviertZitat von @masiwpg:
> Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt,
kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?
> Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt,
kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?
Hört sich so an, als wenn die Migration auf halben Weg fehlgeschlagen ist. Also der Computer ist aus der alten Domäne bereits raus und noch nicht in der neuen.
> Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?
Das hat jetzt was damit zu tun, dass der Client wahrscheinlich nicht mehr Mitglied einer Domäne ist. Somit kannst Du mit dem Domänenkonto auch kein lokaler Admin mehr sein.
Der Migrationsuser muss in beiden Domänen das Recht haben, Computer der Domäne hinzuzufügen bzw. zu entfernen. Weiterhin braucht er lokale Adminrechte auf allen Clients - während sie noch in der alten Domäne sind und wenn sie dann in der neuen sind.
Egal, ob Du Dir dafür einen neuen User schaffst oder einen der Administratoren nimmst, musst Du dafür sorgen, dass dieser User entweder direkt oder über einer seiner Gruppen Mitglied der lokalen Adminsitratoren ist und nach Domänenwechsel bleibt bzw. wieder wird. Weil der User nicht gleichzeitig Mitglied beider "Domänen-Admins" sein kann, kannst Du Dich da also nicht auf das Standardverhalten verlassen. Am einfachsten erstellst Du in der alten Domäne eine GPO, die die loaklen Administratorgruppen befüllt. U.a. mit deinem Migrationsuser (oder Gruppe). Falls Du in der neuen Domäne auch schon so eine GPo hast, musst Du diese natürlich auch anpassen, dass da auch der Migrationsuser enthalten ist, weil sonst nach dem Beitritt und dem ersten Booten die lokale Gruppe der Adminstartoren neu geschrieben wird.
Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch von Hand. Aufwand-Nutzen-Verhältnis.
Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile löschen und bei Anmeldung neu laden lassen.
Edit:
Beim zweiten Lesen aufgefallen: Oder der Client ist doch bereits in der neuen Domäne und Du bist mit Deinem Mig-User jetzt doch klein lokaler Admin mehr. (s.o.)
Melde Dich doch mal mit dem lokalen Admin an und schau Die die Gruppe der loaklen Administratoren an.
Sobald ich im ADMT Computermigration für den Client PC01 erstmalig gestartet habe, wird PC01im AD in dom1.local angelegt und eine Anmeldung in dom2.local vom Client PC01 ist nicht mehr möglich, obwohl es bei der Agenteninst. vom ADMT zu einem Fehler kommt und der Client nicht in die neue Domäne genommen wird.
Ich kann mich dann nur lokal am Client anmelden und den Client manuell in die neue dom1.local schieben.
Die lokalen Adminrechte werden per GPO in der alten (dom2.local), sowie der neuen (dom1.local) gesetzt.
Es werden keine Roamingprofiles eingesetzt und die Anforderung ist leider Migration ohne "Turnschuh-Aktion".
Hat vielleicht jemand mit ADMT Computerkonten migriert und hat evtl. ein howto?
Ich kann mich dann nur lokal am Client anmelden und den Client manuell in die neue dom1.local schieben.
Die lokalen Adminrechte werden per GPO in der alten (dom2.local), sowie der neuen (dom1.local) gesetzt.
Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch >von Hand. Aufwand-Nutzen-Verhältnis.
Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile >löschen und bei Anmeldung neu laden lassen.
Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile >löschen und bei Anmeldung neu laden lassen.
Es werden keine Roamingprofiles eingesetzt und die Anforderung ist leider Migration ohne "Turnschuh-Aktion".
Hat vielleicht jemand mit ADMT Computerkonten migriert und hat evtl. ein howto?
Ja, tausende (kein Witz!). Wir haben mehrere große Häuser in einem AD zusammengefasst, mit je 100-600 Clients. Und das größte Problem waren dabei eigentlich bloß die ausgeschalteten PC, welche nicht per WOL gestartet werden konnten. Da half nur der Turnschuh ....
Clients, die jetzt schon nicht mehr in der Domäne sind (ich hoffe es war bisher nur der eine zum Test) müsste man demnach erstmal wieder in die alte aufnehmen, um sie dann nochmal mit ADMT zu migrieren. Das obsolete Objekt dafür in der neuen Domäne wieder löschen.
Wenn Du keine Roamingprofiles hast, dann müssen(!) die mit ADMT konvertiert werden, sonst haste echt ein Problem.
So wie ich es bereits beschrieben habe, funktioniert es. Was mich wundert: Der Client wird meines Wissens direkt von Domain zu Domain geschwenkt, ohne den Umweg über eine "Arbeitsgruppe". Wie kann dann der Client Nicht-Mitglied einer Domain werden? Ist schon komisch ...
Wenn der Agent nicht installiert werden kann, dann ist klar. Der ist das A und O für diese Aktion.Da musst Du einhaken. Bekomme raus, warum der nicht installiert werden kann. Dann kommst Du weiter.
Clients, die jetzt schon nicht mehr in der Domäne sind (ich hoffe es war bisher nur der eine zum Test) müsste man demnach erstmal wieder in die alte aufnehmen, um sie dann nochmal mit ADMT zu migrieren. Das obsolete Objekt dafür in der neuen Domäne wieder löschen.
Wenn Du keine Roamingprofiles hast, dann müssen(!) die mit ADMT konvertiert werden, sonst haste echt ein Problem.
So wie ich es bereits beschrieben habe, funktioniert es. Was mich wundert: Der Client wird meines Wissens direkt von Domain zu Domain geschwenkt, ohne den Umweg über eine "Arbeitsgruppe". Wie kann dann der Client Nicht-Mitglied einer Domain werden? Ist schon komisch ...
Wenn der Agent nicht installiert werden kann, dann ist klar. Der ist das A und O für diese Aktion.Da musst Du einhaken. Bekomme raus, warum der nicht installiert werden kann. Dann kommst Du weiter.
Habe des Client nochmal neu in die Domäne aufgenommen und die Migration mit ADMT erneut durchgeführt, und es hat funktioniert. Auch die Migration weiterer Clients verlief Problemlos. 
