Active Directory sichern?

[sabine_cramers]

Hallo!

Ich muss in den nächsten Tagen einen Windows 2000 Server neu

aufsetzen und möchte nicht die ganzen Benutzerkonten neu einrichten.

Ich habe gehört das man das Active Directory unter Windows 2000

Server kopieren bzw. sichern kann.

Wie geht dass? Gibt es evtl. ein Programm dass bei diesem Problem

hilft?

Vielen Dank für die Antworten im voraus!

[Horse]

ja mit ntbackup geht das steht in der Hilfe zu Windows 2000 Server. Systemstatus sichern, in der wiederherstellungskonsole zurücksichern

Gruß

[projectz]

Die Frage ist, welche Rolle der Server übernehmen soll. Wenn der neue Server ein Domänencontroller wird, holt er sich die Benutzerkonten usw. per Replikation von einem anderen Domeänencontroller. Wenn der Server eine andere Rolle übernehmen soll, und Du ein Active Directory hast, wird der Server nur im AD veröffentlicht, und die User haben gemäss ihrer Berechtigungen Zugriff, weil die Authentifizierung der Benutzer schon vorher bei der Anmeldung an die W2K Domäne geschieht.

Was soll der Server denn genau machen?:confused:

C Ya

projectz

[sabine_cramers]

Hallo "projectz"!

Also - es gibt natürlich schon einen W2K Domänencontroller dieser Server soll durch den neuen komplett ersetzt werden d.h. der neue W2k Server wird alleiniger Domänencontroller.

>Wenn der neue Server ein Domänencontroller wird, holt er sich >die Benutzerkonten usw. per Replikation von einem anderen >Domeänencontroller.

Wie wird dann der neue Server eingrichtet als zusätzlicher Domänencontroller? Ich möchte das ganze so einfach wie möglich erledigen d.h. nicht zu jedem Client hingehen müssen - und einmal raus aus der Domäne und wieder rein !!! -

Deswegen wäre es am besten ein Kopie des Active Directory zu machen und diese dann einfach auf dem neuen Server einspielen dann könnte ich ja theoretisch den alten Server ausschalten und alle Clients kurz neu anmelden und dass wars dann oder?

[Fiesek]

Grüß Euch!

Also, ich bin nicht der Meinung, dass das so einfach geht und Du Dir keine transportable Domäne bauen kannst.

Leider ist eine Domäne einmalig und meines Wissens nicht übertragbar!

Wenn der Betriebsmaster seine Pforten schließt, war es das mit der Domäne!

Wichtig ist:

Der Server, welcher zuerst das zum DC heraufgestuft wird ist automatisch Betriebsmaster!

Alle anderen, die da vieleicht noch folgen sind zwar gleichberechtigt bei der Benutzerverwaltung der Domäne, haben aber kein Recht an ihr Veränderungen vor zu nehmen!

Sollte es da doch eine Möglichkeit geben das gesamte Active Directory von einem Server zum anderen zu übertragen (im Sinne des Problems) dann postet es bitte.

GREETZ

********

* Fiesek *

********

[micja]

Hallo,

jeder DC innerhalb einer Domäne hält eine Kopie der ADS-Datenbank und jede Kopie kann gelesen und geschrieben werden, d.h. jeder DC hat die Möglichkeit Änderungen zu verarbeiten und die Daten auch zu ändern. Die ADS Replikation stellt sicher das die anderen DC die Änderungen erhalten.

Mein Vorschlag wäre den neuen DC einzurichten , die Replikation abzuwarten und später ohne den alten DC das Netzwerk zu starten. Wenn das funtioniert hätte man den geringsten Aufwand .

[Fiesek]

@micja

Da bin ich ja mal gespannt, wie Du das anstellen willst!

Es ist zwar richtig, das das AD repliziert wird innerhalb der DC in der DOM, aber Veränderungen in ihr kann nur der BM erlauben.

So einfach, wie Du denkst ist das leider nicht.

Wenn Du es nicht glaubst, probier es doch mal aus!!!

GREETZ

********

* Fiesek *

********

[Drache_back]

Es gibt doch bei den DM ein notfallsystem das dafür sorgt das ein sekundärer DC einspringen kann, oder? (ansonsten hätte ein zweiter DC auch gar keinen sinn, da eh immernur einer wirklich arbeitet, weil ja auch nur einer wirklich änderungen vollführen kann).

Richte doch einfach so einen ein, und simuliere den Ausfall des MAIN DC. Dann haste es unter dem zweiten laufen

soweit ich weiss musst du dann nicht mal die clients neu anmelden, aber die Replikation musst du trotzdem abwarten.

Ansonsten hört sich erster Weg auch ganz gut an, einfach ne Sicherung zu machen, und diese auf dem zweiten Server einsetzen. Vorraussetzung ist hier das der DM auf dem Server schon konfiguriert ist und fraglich ist ob der zweite die Sicherungsdateien annimmt.

Ich selber hab noch nie wirklich mit DM´s gearbeitet, nur mal ein wenig experimentiert, deshalb sind meine Vermutungen sehr theoretisch Aber bisher waren *** Produkte immer sehr einfach konzipiert, deshalb denke ich gibt es für dieses Problem sehr wohl den ein oder anderen kniff in der art, und wenn nicht gibt es sicher einen kommerziellen anbieter der das irgendwie möglich gemacht hat.

[gurkenpapst]

@ Fiesek:

das P(rimary)DC - B(ackup)DC Prinzip ist Thematik von NT4

@all

micjas vorgehensweise ist die richtige, da in einer 2000 Domäne alle DC gleich gestellt sind, werden Änderungen durch Replikation auf allen wirksam. Sollte dies nicht so sein wäre ja eine wichtige Neuerung von 2000 gegenüber NT4 ja nur ein Märchen.

[kleinesk]

Hallo,

des müste so funktionieren:

Neuen Server als 2. DC aufsetzen, dieser ist dann bei w2k gleichberechtigt wie der erste.

Danach müssten noch die verschieden Betriebsmasterfunktionen dem neuen Server übertragen werden, und dann kann der alte DC abgeschalten werden.

Bei 2000 gibt es keinen PDC und BDC mehr. Es gibt nur die verschiedenen Betriebsmaster:

Schema-Master (1x im Forest) , Domain Naming Master (1x im Forest), PDC Emulator (1 x Domäne), RID Pool Master (1 x Domäne), Infrastruktur Master (1 x Domäne).

Gruß

kleinesk

[Fiesek]

@gurkenpapst

Ich glaub, ich muss Dir widersprechen!

Die DC (Domänen-Controller - so heißen die bei Win2kSrv nämlich auch!) sind nicht so ganz gleich berechtigt!

In der Verwaltung der Benutzer nehmen sie alle gleichberechtigt teil, aber ich wiederhole es nochmal:

Änderungen innerhalb der DOM (Domäne) kan nur der BM (Betriebsmaster) genehmigen, welcher Standardmäßig der Domänengründer ist, also der Server der als erstes heraufgestuft wurde.

Versucht doch mal Benutzer anzulegen oder zu löschen, Server zu entfernen (DC) wenn der BM nicht errreichbar ist.

Das geht nicht! Ich hab es am eigenen Leib erfahren.

Ich hab zwar mal irgendwo gelesen, das man den BM auch manuell weitergeben kann, dass geht aber auch nur dann, wenn der BM noch aktiv ist.

Da ich das noch nicht probiert hab, will ich auch nicht darüber spekulieren!

GREETZ

********

* Fiesek *

********

[kleinesk]

@Fiesek

ja die Betriebsmasterfunktionen können einem anderen DC übertragen werden. Am Besten wenn der andere noch funktioniert. zur not geht das auch ohne den ersten DC.

Hatte darüber mal einen Kurs, und in dem haben wir des alles ausprobiert.

kleines k

[Fiesek]

@kleinesk

Und wie soll das funzen, wenn den BM tot ist?

GREETZ

********

* Fiesek *

********

[kleinesk]

des funktioniert...

ich weis jetzt nicht mehr genau wie..

aber man hat da ein spezieles programm dazu benötigt.

es wird ein neuer ID pool angelegt...

[Fiesek]

War das spezielle Programm im Serverpaket drin oder musste man es extra besorgen?

Wenn es MS ist, dann geh ich mal auf den MS-Seiten auf die Suche!

GREETZ

********

* Fiesek *

********

[kleinesk]

war auf der server cd mit drauf...

[Fiesek]

Jau, dann geh ich mal suchen und kann hoffentlich bald die Ergebnisse posten!

GREETZ

********

* Fiesek *

********

[gurkenpapst]

@Fiesek:

hmm, irgendwie bin ich mir jetzt auch nicht mehr ganz sicher. Werde das mal ausprobieren und sehen wie es geht.

Ich kenne auch das Active Directory - Prinzip. Aber dennoch bin ich mir sehr Sicher das man das AD einer Domäne so replizieren kann

[froehlich]

Moin zusammen,

Das Tool, um die drei Betriebsmaster Funktionen (RID, PDC-Emulator und Infrastruktur) umzustellen ist "Active Directory Benutzer- und Computer" in der Verwaltung. Hier mit rechter Maus-Taste auf "Active Directory..." gehen und "Betriebsmaster..." auswählen. Dort sieht man dann wer zur Zeit die Masterfunktion inne hat und kann diese auch an einen anderen Server übertragen. Standardmäßig bekommt diese Rollen immer der erste in der Domäne installierte Server der Domäne übertragen (eigentlich logisch...). Aus performancegründen empfiehlt es sich sowieso, diese Rollen aufzuteilen, sobald man einen weiteren Server hat.

Die Rolle des Schemamasters (nur einmal in der Gesamtstruktur vorhanden) läßt sich über das Tool "ntdsutil" übertragen (alle anderen Rollen übrigens auch). Dieses Tool sollte man auch nutzen, wenn der erste Server einmal ausfallen sollte, und man diese Rollen auf einem anderen Server hochstufen muss. Wichtig ist dann allerdings, dass der ausgefallene Server nie wieder ins Netz genommen werden darf (weil er ja dann nix davon wissen kann, das er kein Master mehr ist => soll angeblich - zumindest beim Schemamaster - zu gravierenden Problemen führen laut Microsoft)!

Über die Kommando-Zeile lässt sich ntdsutil aufrufen (einfach am Prompt eingeben, ist auf jedem Server standardmäßig dabei). Über "?" bekommt man die möglichen Kommandos (das Tool bietet übrigens auch viele andere nützliche Dinge an, sollte man sich als Windows 2000 Admin also unbedingt mal angesehen haben) angezeigt. Mit "roles" kann man die einzelnen Rollen übertragen.

Im oben geschilderten Fall würde ich auch empfehlen, den neuen Server als zweiten Domänencontroller zu installieren => Active Directory replizieren lassen, anschließend die Betriebsmaster-Funktionen übertragen und den alten Server rausnehmen (wobei ein zweiter Server als Backup nie schaden kann => wenn möglich also weiter mitlaufen lassen).

Gruss froehlich