Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zusammenführen von 2 Gesamtstrukturen - Migration mit ADMT3.2

Frage Microsoft Windows Server

Mitglied: masiwpg

masiwpg (Level 1) - Jetzt verbinden

14.03.2012 um 16:17 Uhr, 5002 Aufrufe, 6 Kommentare

Hallo liebe wissenden,

ich bin neu in diesem Forum und habe folgende Problemstellung:
Ich möchte zwei Gesamtstrukturen zusammenführen. Die Dom1.local soll erhalten bleiben und das AD der Dom2.local in Dom1.local integriert werden.

Meine Testumgebung sieht wie folgt aus:

Name: DC01
BS: Windows 2003 r2 sp2
Domäne: dom1.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31


Name: DC02
BS: Windows 2003 sp2
Domäne: dom2.local
Dienste: DNS, DHCP, WINS, alle FSMO Rollen
schema: 31

Toolserver: ADMT
BS: Windows 2008 r2 64bit
Domäne: dom1.local

- Es besteht eine bidirektionale Vertrauensstellung zwischen dom1 und dom2
- DNS läuft
Die Migration der Gruppen & Benutzer habe ich erfolgreich abgeschlossen.

Wenn ich nun ein Computerkonte mittels ADMT migrieren möchte, erhalte ich beim Schritt für die Agentenvorprüfung nachstehende Fehlermeldung:
Auf den Serverdienst auf Computer "PC01.Dom2.local" kann nicht zugegriffen werden. Stellen Sie sicher, dass der Anmeldedienst und der Arbeitsstationsdienst ausgeführt werden und eine Authentifizierung am Computer möglich ist. hr=0x80070005. Zugriff verweigert

Folgende Dinge habe ich geprüft:
- Benutzer mit welchem ADMT ausgeführt wird, ist Mitglied der lokalen Admingruppe auf dem Client
- Anmeldedienst & Arbeitsstationsdienst am Client sind gestartet
- Pc01\admin$ <-- ergibt Zugriff verweigert! <-- Scheinbar ist der User nicht wirklich admin, aber war kann ich da falsch gemacht haben?
- DNS läuft

Für Bemerkungen und Anregungen wäre ich sehr dankbar.

Gruß
Mitglied: emeriks
14.03.2012 um 21:08 Uhr
Der Serverdienst läuft auf den Clients?
Die Uhrzeiten sind (nahezu) synchron?
Der Migrationsuser kann sich am Client anmelden?
Der Migrationuser kann auf C$ des Clients zugreifen?
Firewall?
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 08:26 Uhr
Hallo emeriks,

vielen Dank für Deine Antwort:

Der Serverdienst läuft auf den Clients?
Es laufen Anmeldedienst und Arbeitsstationsdienst, sowie der Dienst Server, falls Du diesen meintest.

Die Uhrzeiten sind (nahezu) synchron?
Ja

Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt, kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?

Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?

Firewall?
Die Firewall ist am Client, sowie auch am Server deaktiviert
Bitte warten ..
Mitglied: emeriks
15.03.2012 um 08:55 Uhr
Zitat von masiwpg:
> Der Migrationsuser kann sich am Client anmelden?
Der Miguser ist dom1\administrator und kann sich nicht am Client anmelden. Seit Übernahme des Computerkonto mittels admt,
kann sich am Client nur noch lokal und nicht mit dem Domänenkonto angemeldet werden.
Was ist hier zu tun?

Hört sich so an, als wenn die Migration auf halben Weg fehlgeschlagen ist. Also der Computer ist aus der alten Domäne bereits raus und noch nicht in der neuen.

> Der Migrationuser kann auf C$ des Clients zugreifen?
Der Migrationsuser kann vom Toolserver nicht auf den Client zugreifen, obwohl der User Mitglied der lokalen Admingruppe ist.
Was ist hier zu tun?

Das hat jetzt was damit zu tun, dass der Client wahrscheinlich nicht mehr Mitglied einer Domäne ist. Somit kannst Du mit dem Domänenkonto auch kein lokaler Admin mehr sein.

Der Migrationsuser muss in beiden Domänen das Recht haben, Computer der Domäne hinzuzufügen bzw. zu entfernen. Weiterhin braucht er lokale Adminrechte auf allen Clients - während sie noch in der alten Domäne sind und wenn sie dann in der neuen sind.
Egal, ob Du Dir dafür einen neuen User schaffst oder einen der Administratoren nimmst, musst Du dafür sorgen, dass dieser User entweder direkt oder über einer seiner Gruppen Mitglied der lokalen Adminsitratoren ist und nach Domänenwechsel bleibt bzw. wieder wird. Weil der User nicht gleichzeitig Mitglied beider "Domänen-Admins" sein kann, kannst Du Dich da also nicht auf das Standardverhalten verlassen. Am einfachsten erstellst Du in der alten Domäne eine GPO, die die loaklen Administratorgruppen befüllt. U.a. mit deinem Migrationsuser (oder Gruppe). Falls Du in der neuen Domäne auch schon so eine GPo hast, musst Du diese natürlich auch anpassen, dass da auch der Migrationsuser enthalten ist, weil sonst nach dem Beitritt und dem ersten Booten die lokale Gruppe der Adminstartoren neu geschrieben wird.

Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch von Hand. Aufwand-Nutzen-Verhältnis.
Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile löschen und bei Anmeldung neu laden lassen.

Edit:
Beim zweiten Lesen aufgefallen: Oder der Client ist doch bereits in der neuen Domäne und Du bist mit Deinem Mig-User jetzt doch klein lokaler Admin mehr. (s.o.)
Melde Dich doch mal mit dem lokalen Admin an und schau Die die Gruppe der loaklen Administratoren an.
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 12:45 Uhr
Sobald ich im ADMT Computermigration für den Client PC01 erstmalig gestartet habe, wird PC01im AD in dom1.local angelegt und eine Anmeldung in dom2.local vom Client PC01 ist nicht mehr möglich, obwohl es bei der Agenteninst. vom ADMT zu einem Fehler kommt und der Client nicht in die neue Domäne genommen wird.

Ich kann mich dann nur lokal am Client anmelden und den Client manuell in die neue dom1.local schieben.

Die lokalen Adminrechte werden per GPO in der alten (dom2.local), sowie der neuen (dom1.local) gesetzt.


>Tip: Wenn es sich nur um eine überschaubare Anzahl an Clients und Memeberserver handelt, und Du nicht darauf angewiesen bist, dass die NTFS-Berechtigungen auf diesen Computern konvertiert werden, dann switche die Computer doch >von Hand. Aufwand-Nutzen-Verhältnis.
>Falls Ihr Roamingprofiles einsetzt, dann hast Du diese doch sicherlich bei der Usermigration bereits konvertieren lassen? Falls ja: Wenn Du die Clients manuell umziehst, dann solltest Du bei vorhandenen Roamingprofiles, die lokalen Profile >löschen und bei Anmeldung neu laden lassen.

Es werden keine Roamingprofiles eingesetzt und die Anforderung ist leider Migration ohne "Turnschuh-Aktion".


Hat vielleicht jemand mit ADMT Computerkonten migriert und hat evtl. ein howto?
Bitte warten ..
Mitglied: emeriks
15.03.2012 um 14:17 Uhr
Ja, tausende (kein Witz!). Wir haben mehrere große Häuser in einem AD zusammengefasst, mit je 100-600 Clients. Und das größte Problem waren dabei eigentlich bloß die ausgeschalteten PC, welche nicht per WOL gestartet werden konnten. Da half nur der Turnschuh ....

Clients, die jetzt schon nicht mehr in der Domäne sind (ich hoffe es war bisher nur der eine zum Test) müsste man demnach erstmal wieder in die alte aufnehmen, um sie dann nochmal mit ADMT zu migrieren. Das obsolete Objekt dafür in der neuen Domäne wieder löschen.

Wenn Du keine Roamingprofiles hast, dann müssen(!) die mit ADMT konvertiert werden, sonst haste echt ein Problem.

So wie ich es bereits beschrieben habe, funktioniert es. Was mich wundert: Der Client wird meines Wissens direkt von Domain zu Domain geschwenkt, ohne den Umweg über eine "Arbeitsgruppe". Wie kann dann der Client Nicht-Mitglied einer Domain werden? Ist schon komisch ...

Wenn der Agent nicht installiert werden kann, dann ist klar. Der ist das A und O für diese Aktion.Da musst Du einhaken. Bekomme raus, warum der nicht installiert werden kann. Dann kommst Du weiter.
Bitte warten ..
Mitglied: masiwpg
15.03.2012 um 16:09 Uhr
Habe des Client nochmal neu in die Domäne aufgenommen und die Migration mit ADMT erneut durchgeführt, und es hat funktioniert. Auch die Migration weiterer Clients verlief Problemlos.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Migration auf Exchange 2016 wegen Firmenübernahme (5)

Frage von IT666IT zum Thema Exchange Server ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...