Domaincontroller neu aufsetzen - Clients neu in die Domäne heben?

[speedcOre]

Hallo liebe ForumBase!

Unglücklicherweise hat sich heute unser Domaincontroller verabschiedet. In der Domäne sind ca. 20 PCs aktiv.
Morgen werden wir einen neuen DC aufsetzen.

Meine Frage ist nun, ob an den Clients alles so bleiben kann wie es ist, wenn der Domänenname gleich bleibt, oder ob man sie neu in die Domäne heben muss, und somit die lokalen Benutzerprofile verloren gehen.

Kann mir hierzu jemand etwas sagen?

Vielen Dank im Voraus!

Beste Grüße
Sebastian

 

[SpiII]

DC aufsetzen, Benutzer anlegen und fertig. Klappt ohne an den Clients was zu machen, sofern man die PW's weiß, falls vorhanden.

Habe ich vor 2 Tagen zuhause auch gemacht. Benutzer angelegt inkl. den Passwörtern und keiner hat was gemerkt

 

[Gulp]

Auch wenn der Domänenname gleich gewählt wird, muss man alle Rechner aus der alten Domäne entfernen und in die neue Domäne aufnehmen, da sich die SID der Domäne ändert (die wird zufällig bei der Installation des Servers und während der AD Erstellung festgelegt).

Damit verbunden ist in der Regel eine Neuerstellung von Benutzerprofilen, da in den alten zuviele Informationen der alten Domäne herumfliegt, zumindest kann man mit den alten Profilen sich ähnliche neue Profile erstellen/anpassen.

Grüsse

Gulp

 

[Cat Toaster]

So wie Gulp es sagt.

So wie Spillunke es schildert scheinen seine Clients keine AD-Mitglieder zu sein.

 

[TheCadillacMan]

Nicht nur die SID der Domäne ist neu, auch die aller anderen Objekte (Benutzer, Gruppen, Computer etc.).

Ich würde erst mal versuchen, ob man dem alten DC nicht doch noch mal kurzzeitig Leben einhauchen kann und die Domäne umziehen. Alles andere ist eine (möglicherweise unvermeidbare) Bastelei.

 

[phi]

was bedeutet "verabschiedet"? Nur Blech oder auch Raid defekt? Gibt es eine AD-Sicherung, evtl per ntbackup? du willst nicht wirklich die domäne komplett neu aufbauen

 

[Gulp]

Wieso will soll man nicht bei lediglich 20 PC's die Domäne neu machen, das Rückspielen einer Datensicherung, die ohnehin auf anderer Hardware nur mit Mühe lauffähig zu bekommen ist, wird meist deutlich länger dauern.

Grüsse

Gulp

 

[firexs]

Gulp, dann hat man aber das Prinzip der Hochverfügbarkeit mit Füßen getreten

Wenn mir der DC abraucht, boote ich entweder übergangsweise die gesicherte VM vom NAS (yeah, Geschwindigkeit im Rückwärtsgang), oder ich boote die VM auf einem anderen Server, feddich.

@TE: macht euch mal Gedanken zur Datensicherung & Hochverfügbarkeit.

lg
fire

 

[speedcOre]

Hallo Allemann!

Vielen Dank für die Antworten!

Gesichert wurden übrigens nur die Daten, nicht aber die Domäne oder gar ein Serverimage. Sehr schade.

 

[Gulp]

Gulp, dann hat man aber das Prinzip der Hochverfügbarkeit mit Füßen getreten

Wenn mir der DC abraucht, boote ich entweder übergangsweise die gesicherte VM vom NAS (yeah, Geschwindigkeit im Rückwärtsgang), oder ich boote die VM auf einem anderen Server, feddich.

@TE: macht euch mal Gedanken zur Datensicherung & Hochverfügbarkeit.

lg
fire

Das was Du da aufzählst hat mit Hochverfügbarkeit nichts zu tun, das ist Desaster Recovery und das muss immer von den Kosten des Aufwandes abhängen.

Echte Hochverfügbarkeit wäre in seinem Fall minmal ein zweiter DC oder beispielsweise ein Cluster im anderen Stromnetz inklusive redundanter Netzwerkstruktur gewesen, aber sind wir doch mal ehrlich, bei 20 Clients bist Du mit dem Server nach der OS Installation in 30 Minuten durch, da suchen die meisten noch nach dem richtigen Band oder der Sicherungsplatte.

Grüsse

Gulp

 

[TheCadillacMan]

aber sind wir doch mal ehrlich, bei 20 Clients bist Du mit dem Server nach der OS Installation in 30 Minuten durch, da suchen die meisten noch nach dem richtigen Band oder der Sicherungsplatte.

Naja, einen DC auf diese (hier nötige) Art zu ersetzen ist nicht unbedingt die "feine Englische Art". Mit AD sollte man zumindest im professionellen Umfeld nicht leichtfertig umgehen.
Nach 30 Minuten läuft der Server vermutlich wieder, aber bis du sicher sein kannst, dass alles läuft (Berechtigungen prüfen, evtl. Anpassungen an den Clients) hab ich auch das Band gefunden. Der Zeitvorteil ein Neuinstallation (wenn man auch die Nacharbeiten berücksichtigt) dürfte auch bei 20 Clients nicht übermäßig groß sein.

Beim TE geht's halt nicht anders, weil keine Sicherung da ist. Das sollte er ändern.
Wobei hier schon ein zweiter DC (z. B. auf einer VM auf einem zweiten Server) gereicht hätte. Damit wäre das AD erhalten geblieben und man hätte nur die FSMO-Rollen übertragen müssen bis der Haupt-DC wieder läuft. Jetzt ist es halt eine Bastelei.

 

[speedcOre]

Liebe Leute,

zum Thema nochmal ein Nachtrag:

- denkt ihr, dass die Clients denn die aktuell benutzten Benutzerprofile laden werden, auch wenn der PC in die "neue Domäne" (die jedoch den gleichen Namen wie ihr Vorgänger trägt) gehoben wurden? Benutzernamen sind natürlich auch gleich


- Ich kann aktuell keine PCs in die Domäne heben, ohne sie zuvor händisch im AD anzulegen - gibt es hierzu eine schnelle Lösung?

- Im alten AD hatten wir eine Ebene innerhalb der Domäne, die "Verwaltungsstandort" hieß (sie wurde jedoch nicht mit dem blauen Symbol als Standort angezeigt), und in der sich verschiedene Ordner ("Benutzer, "Computer") befanden - in den Ordner "Computer" schob man dann die frisch hinzugefügten Computer aus dem standardmäßig im AD erstellten Ordner "Computers" rein - im neuen AD ist diese "obere Ebene" mit Beispielnamen "Verwaltungsstandort" nicht mehr da - wie erstelle ich diese? (Über AD Standorte und Dienste nicht, es handelte sich offenbar nicht um einen STANDORT, den ich damals hinzugefügt hatte)

Danke im Voraus für Eure Mühe!

Viele Grüße
Sebastian

 

[TheCadillacMan]

- denkt ihr, dass die Clients denn die aktuell benutzten Benutzerprofile laden werden, auch wenn der PC in die "neue Domäne" (die jedoch den gleichen Namen wie ihr Vorgänger trägt) gehoben wurden? Benutzernamen sind natürlich auch gleich

Noch nie probiert, aber ich schätze nicht.
Im Zweifel Profil wegsichern und probieren.

- Ich kann aktuell keine PCs in die Domäne heben, ohne sie zuvor händisch im AD anzulegen - gibt es hierzu eine schnelle Lösung?

Fehlermeldung?

- Im alten AD hatten wir eine Ebene innerhalb der Domäne, die "Verwaltungsstandort" hieß (sie wurde jedoch nicht mit dem blauen Symbol als Standort angezeigt), und in der sich verschiedene Ordner ("Benutzer, "Computer") befanden - in den Ordner "Computer" schob man dann die frisch hinzugefügten Computer aus dem standardmäßig im AD erstellten Ordner "Computers" rein - im neuen AD ist diese "obere Ebene" mit Beispielnamen "Verwaltungsstandort" nicht mehr da - wie erstelle ich diese? (Über AD Standorte und Dienste nicht, es handelte sich offenbar nicht um einen STANDORT, den ich damals hinzugefügt hatte)

Vermutlich eine "Organisationseinheit" (OU). Kannst du über das Kontextmenü erstellen.

 

[speedcOre]

Hi!

Danke für Deine Antwort!

1) Schade. Wie sichere ich denn ein ganzes Profil weg bzw. übernehme es? Einfach den gesamten Benutzerordner (unter C:\Benutzer\<Benutzername> sichern und dann später einfach einfügen? (Dumme Frage, aber ich steh' auf dem Schlauch, sorry!)

2) Hat sich erledigt - danke Dir!

3) Das hab' ich probiert, aber die OU ist ja, wie ich das sehe, nur ein Ordner, oder? Innerhalb dieses Ordners sehe ich dann keine Unterordner (Benutzer, Computer etc.) - oder sind das auch wieder Sub-OUs, die man alle händisch anlegen muss?

Vielen Dank für die Hilfe!

VG
Sebastian

 

[TheCadillacMan]

1) Schade. Wie sichere ich denn ein ganzes Profil weg bzw. übernehme es? Einfach den gesamten Benutzerordner (unter C:\Benutzer\<Benutzername> sichern und dann später einfach einfügen?

Ja, sollte reichen.
Damit werden die Benutzerdaten und auch die Benutzer-Registry gesichert.

oder sind das auch wieder Sub-OUs, die man alle händisch anlegen muss?

Genau so ist es.
Wie du die Sub-OU-Hierarchie strukturierst, kannst du frei entscheiden. OUs erkennst du auch an dem leicht anderen Ordner-Symbol (im Vergleich zu z. B. Computers).

 

[speedcOre]

Super, vielen Dank bis hierher. Du hast sehr geholfen.

Nun wollte ich zum testen schonmal einen PC aus der Domäne nehmen, und ihn neu hinzufügen. Das "aus der Domäne nehmen" hat gut geklappt, beim hinzufügen wird mir gesagt, dass der Domaincontroller nicht gefunden wurde. En detail findet sich folgender Fehler wieder:

"Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.

Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "domainname.com" verwendet wird, wurde erfolgreich abgeschlossen:

Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.domainname.com.

Die folgenden Domänencontroller wurden von der Abfrage identifiziert:
acesvr01.domainname.com


Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.

Die häufigsten Ursachen dieses Fehlers sind:

- Hosteinträge (A oder AAAA), die die Namen der Domänencontroller deren IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.

- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt."

Gibt es hiermit Erfahrungen? Der DC wurde ja identifiziert, bloß konnte die Verbindung nicht korrekt hergestellt werden. Scheint also keine weltbewegende Sache zu sein, ich wüsste bloß gerne, was zu tun ist. Vielleicht weißt Du ja auch hier nochmal weiter!

Danke und VG! :-)



EDIT: Problem hat sich erledigt. Hatte den DC der neuen Domäne noch nicht als DNS am Client hinzugefügt. Als ich das getan habe, hat er dann auch den Domänenbeitritt mitgemacht. Danke bis hierher!

 

[nubi80]

hat der "neue" DC eine neue IP-Adresse bekommen und sind die PCs zufällig statisch adressiert?
dann korrigiere die DNS Server Einstellungen auf den neuen DC oder betreibe einen DHCP der die korrekten DHCP Optionen verteilt auf dem DC.

Die Fehlermeldung deutet ziemlich unmissverständlich auf DNS Probleme hin

so long
nubi