domäne – SystemTechnics

Merker: AD Migration

knut — Sat, 12 Feb 2022 15:14:07 +0000

Hier möchte ich mir in Kurzform die notwendigen Schritte zur AD Migration notieren. Ein gewisses Verständnis für Windows 20xx Server sollte man schon mitbringen.

Zuerst starten wir den „Active Director Benutzer und Computer“ und werden die Domänenfunktionsebene heraufstrufen. Je nachdem welche Version man von Windows Server verwendet, sollte man schauen welche Mindestvorraussetzung von Nöten ist.

Ist dies getan starten wir „Active Directory Domänen und Vertrauensstellungen“ sind stufen die Gesamtfunktionsebene herauf.

Nun geht es mit der Powershell (als Administrator) weiter. Neuere Windows Versionen verwenden DFS. Ob dies bei Deinem verwendeten System schon so ist kann Du mit folgendem Befehl prüfen:

dfsrmig /getglobalstate

Sollte dies nicht der Fall sein, musst Du folgende 4 Stufen (0-3) mit den unten stehenden Befehlen aktivieren. Dabei bitte immer mit dem zweiten Befehl prüfen ob die jeweilige Stufe auch erfolgreich beendet ist. Dies kann schon mal pro Stufe 10-30 Minuten andauern.

dfsrmig /setglobalstate 0
dfsrmig /getmigrationstate

dfsrmig /setglobalstate 1
dfsrmig /getmigrationstate

dfsrmig /setglobalstate 2
dfsrmig /getmigrationstate

dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate

Gibt der jeweilige Migrationstate keine Fehlermeldung aus prüfen wir das DFS endgültig nochmal mit:

dfsrmig /getglobalstate

Die Vorarbeiten sind nun getan. Nun können wir auf dem neuen Server die Notwendigen Rollen installieren. „Active Directory-Domänendienste„. DNS wird automatisch installiert, evtl. sollte man noch DHCP oder weitere Rollen auswählen. Dieser Vorgang ist nicht weiter aufwändig und nach dem Boot der Servers auch abgeschlossen.

Nach dem Neustart kann man sich wieder am Server anmelden und muss nun die einzelnen Rollen übertragen. Dazu starten wir „Active Director Benutzer und Computer“ und klicken mit der rechten Maustaste auf die Domäne.
Unter dem Punkt „Betriebsmaster“ können wir die Rollen RID, PDC und Infrastruktur auf den neuen Server umstellen. Prüfen kann man das über folgenden Befehl kontrollieren:

netdom query fsmo

Drei von fünf Rollen sind schonmal verschoben. Um die nächste Rolle zu verschieben starten wir „Active Directory Domänen und Vertrauensstellungen“ und klicken ganz oben (nicht auf die Domäne) mit der rechten Maustaste auf Betriebsmaster. Nun kann dieser „Domänennamen-Betriebsmaster“ auch verschoben werden.

Für die letzte Rolle (Schemamaster) müssen wir (vermutlich) zuerst das Schema-Management registrieren um es via MMC öffnen zu können. Dies geht mit:

regsvr32 schmmgmt.dll

Nun können wir die MMC starten und das Swap-in „Active Directory-Schema“ einblenden. Zuerst müssen wir die Verbindung zu einem anderen Domain-Controller herstellen. Sonst kann diese Rolle nicht auf sich selbst verschoben werden. Ist dies getan geht es wie gewohnt mit der rechten Maustaste auf „Betriebsmaster“ und können diese ändern.

Zum Abschluss der Rollen können wir nochmal mit folgendem Befehl die Rollen kontrollieren.

netdom query fsmo

Bevor man nun auf die Idee kommt den alten Server zu entfernen, sollte man noch schauen ob der neue Server den Global Katalog hat. Dies geht über „Active Director Benutzer und Computer“ und schaut ob bei dem neuen AD ein [GC] bei steht. Falls nicht, einfach doppelt auf die Maschine drauf klicken und den Haken wie gewünscht setzen.

MS SQL Server Zugriffe ausserhalb einer Domänenstruktur

knut — Fri, 27 Aug 2021 13:21:21 +0000

Bei einer normalen Installation eines MS SQL – Servers ist als Standard der „Windows-Authentifizierungsmodus“ eingestellt. Dies hat zur Folge, dann nur Windows Gruppen oder Benutzer aus dem AD auf diesen zugreifen können. Selbst dann, wenn man einen Benutzer mit Option „SQL Server-Authentifizierung“ angelegt hat.

Nun eine kleine Bilderstrecke, wie man es am einfachsten mit dem SQL Server Management Studio einstellen kann.

Mehr ist auf Seite des Server erstmal nicht zu tun. Wenn man anschließend von einem „normalen“ PC eine ODBC Einrichtung vornimmt, muss man entsprechend auch die SQL Server Authentifizierung auswählen und die oben angelegten Credentials verwenden.

SMBv1 und Windows 10

knut — Fri, 31 Aug 2018 04:27:13 +0000

Sollte man sich bei einem älteren Windows Server anmelden wollen, der noch SMBv1 unterstützt, dann muss man Windows 10 (ab Version 1703) dazu bringen dieses wieder zu nutzen.
Dies funktioniert wie folgt:

Zuerst öffnet man eine Powershell als Administrator. Anschliessend gibt man folgende Zeile ein und bestätigt den Neustart.

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Nun funktioniert es auch wieder z.B. mit dem Domänenbeitritt oder Freigabe eines älteren Servers. Besser wäre es natürlich auf einen neueren Server zu wechseln falls möglich.

Workstation in Domäne aufnehmen

knut — Mon, 19 Oct 2015 15:49:39 +0000

Um einen neuen PC in eine Windows Domänenstruktur aufnehmen zu können, bedarf es im Normalfall keinerlei Administratorenrechte. Ohne Anpassungen kann ein normaler Domänenbenutzer 10 Workstations in die Domäne aufnehmen. Will man das nur Administratoren vorbehalten, so sollte man den Wert ms-ds-MachineAccountQuota mittels adsiedit ändern.

1. Auf dem ADC eine Eingabeaufforderung starten und asdiedit.msc eingeben.

adsiedit.msc

Sollte die Domänenstruktur noch nicht vorhanden sein, so sollte man sich zuerst mit dieser über das Menü „Aktion“ verbinden.

2. Mit der rechten Maustaste auf die AD-OU klicken und „Eigenschaften“ auswählen. Es öffnet sich ein Fenster mit den Attributen der Domänenstruktur.

3. Die Variable ms-ds-MachineAccountQuota suchen und den vorhandenen Wert (Standard dürfte 10 sein) auf 0 ändern.

FERTIG !