Active Directory Struktur für 2 Standorte
Hallo, ich hoffe hier kann mir jemand einen Vorschlag machen wie ich das machen könnt.
Also ich habe den Fall das an Standort A ein Windows Netzwerk mit einem Win2000Server als DC und weitere 30 Windows Workstation laufen.
Es soll an einem neuen Stanort B ein neues Netzwerk installiert werden. Zum Einsatz kommt hier Win2003 als File u. Printserver und als Mailserver Echange 2003. Alle Benutzer müssen auf die Resourcen beider Netwerke zugreifen können. Die Verbindung wird über eine 1000er SDSL Leitung hergestellt. Das Unternehemen möchte den Standort A in absehbarer Zeit aufgeben und alle Benutzer und Resourcen werden nach Standort B verlagert.
Der Win2000 DC vom Standort A wird dann nicht mehr weiterverwendet.
Wie gehe ich bei der Konfiguration bzw. Einrichtung des AD am Standort B am besten vor, so dass ich am wenigsten Probleme bekomme wenn der DC am Standort A abgeschaltet wird? (DNS, Gesamtstruktur, untergeordnete Stuktur, Vertrauensstellung, Serverrollen, etc.)
Der DNS-Name soll, wenn möglich, nicht weiterverwendet werden.
über Vorschläge wäre ich sehr dankbar.
Gruß Jürgen
Also ich habe den Fall das an Standort A ein Windows Netzwerk mit einem Win2000Server als DC und weitere 30 Windows Workstation laufen.
Es soll an einem neuen Stanort B ein neues Netzwerk installiert werden. Zum Einsatz kommt hier Win2003 als File u. Printserver und als Mailserver Echange 2003. Alle Benutzer müssen auf die Resourcen beider Netwerke zugreifen können. Die Verbindung wird über eine 1000er SDSL Leitung hergestellt. Das Unternehemen möchte den Standort A in absehbarer Zeit aufgeben und alle Benutzer und Resourcen werden nach Standort B verlagert.
Der Win2000 DC vom Standort A wird dann nicht mehr weiterverwendet.
Wie gehe ich bei der Konfiguration bzw. Einrichtung des AD am Standort B am besten vor, so dass ich am wenigsten Probleme bekomme wenn der DC am Standort A abgeschaltet wird? (DNS, Gesamtstruktur, untergeordnete Stuktur, Vertrauensstellung, Serverrollen, etc.)
Der DNS-Name soll, wenn möglich, nicht weiterverwendet werden.
über Vorschläge wäre ich sehr dankbar.
Gruß Jürgen
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 24720
Url: https://administrator.de/forum/active-directory-struktur-fuer-2-standorte-24720.html
Ausgedruckt am: 19.05.2025 um 17:05 Uhr
10 Kommentare
Neuester Kommentar
Am einfachsten ist es,wenn du am zweiten Standort einfach einen zweiten DC in der Domäne installierst. Wenn der alte Standort abgeschaltet wird, musst du die restlichen Komponenten nur von A nach B fahren und gut ist. Der DNS Name bleibt dabei gleich.
Wenn der DNS Name unbedingt weg soll, kannst du evtl. Auch eine neue Domäne anlegen und dann mit einer Vertrauensstellung arbeiten. Da halst du dir aber sicherlich eine ganze Menge mehr Arbeit auf und das würde ich nur machen wenn der Name unbedingt weg soll.
In jedem Fall solltest du aber die Datenmegen im Kopf haben, die in der Überbrückungszeit von A nach B und umgekehrt wechseln. Eine 1000er DSL kann da schnell ganz eng werden.
Wie die Sache mit DNS, etc dann geht hängt davon ab für welche Variante du dich entscheidest. Wobei ich die erste ganz klar bevorzugen würde.
Wenn der DNS Name unbedingt weg soll, kannst du evtl. Auch eine neue Domäne anlegen und dann mit einer Vertrauensstellung arbeiten. Da halst du dir aber sicherlich eine ganze Menge mehr Arbeit auf und das würde ich nur machen wenn der Name unbedingt weg soll.
In jedem Fall solltest du aber die Datenmegen im Kopf haben, die in der Überbrückungszeit von A nach B und umgekehrt wechseln. Eine 1000er DSL kann da schnell ganz eng werden.
Wie die Sache mit DNS, etc dann geht hängt davon ab für welche Variante du dich entscheidest. Wobei ich die erste ganz klar bevorzugen würde.
Die erste Lösung ist sicherlich die bessere, aber mein Problem ist das auf dem bestehenden dns-server alle unterverzeichnisse wie _tcp, _site, _msdcs und _udp fehlen! (Heute geprüft)
Das komische daran ist das die Benutzer keine Probleme haben (sagen Sie zumindest).
Mit den Tools netdiag und dcdiag werden auch jede menge Fehler ausgegeben.
Deshalb traue ich der Sache nicht und will das ganze lieber auf ein funktionierendes System aufsetzen.
Einzig wenn es möglich wäre ein neues DNS aufzusetzen bzw. fehlende Verzeichnisse und Einträge zu ergänzen ohne das AD abzureisen, aber da habe ich keine Erfahrung drin und ich möchte halt nicht die ganze Kiste für längere Zeit auser Gefecht setzten. Geht so etwas?
Gibt es ein Tool mit dem man Benutzer u. Gruppen ein-bzw. auslesen kann?
Bei der Vertrauensstellung müssen beide Adminkonten gegenseitig eingetragen werden, richtig?
Das komische daran ist das die Benutzer keine Probleme haben (sagen Sie zumindest).
Mit den Tools netdiag und dcdiag werden auch jede menge Fehler ausgegeben.
Deshalb traue ich der Sache nicht und will das ganze lieber auf ein funktionierendes System aufsetzen.
Einzig wenn es möglich wäre ein neues DNS aufzusetzen bzw. fehlende Verzeichnisse und Einträge zu ergänzen ohne das AD abzureisen, aber da habe ich keine Erfahrung drin und ich möchte halt nicht die ganze Kiste für längere Zeit auser Gefecht setzten. Geht so etwas?
Gibt es ein Tool mit dem man Benutzer u. Gruppen ein-bzw. auslesen kann?
Bei der Vertrauensstellung müssen beide Adminkonten gegenseitig eingetragen werden, richtig?
unterverzeichnisse wie _tcp, _site, _msdcs
und _udp fehlen! (Heute geprüft)
Das komische daran ist das die Benutzer
keine Probleme haben (sagen Sie zumindest).
und _udp fehlen! (Heute geprüft)
Das komische daran ist das die Benutzer
keine Probleme haben (sagen Sie zumindest).
Beim DC ist aber schon der richtige DNS Server eingetragen?!
Geh auf den DC in die Kommandozeile und gib da mal "net stop netlogon" und dann "net stop netlogon" ein.
Prüfe ajuch mal die Ereignisanzeige auf Fehler.
Mit den Tools netdiag und dcdiag werden auch
jede menge Fehler ausgegeben.
Deshalb traue ich der Sache nicht und will
das ganze lieber auf ein funktionierendes
System aufsetzen.
jede menge Fehler ausgegeben.
Deshalb traue ich der Sache nicht und will
das ganze lieber auf ein funktionierendes
System aufsetzen.
Naja, die Frage wäre ja erstmal warum läuft das schief. Am Ende hast du zwei Systeme die nicht richtig laufen.
Gibt es ein Tool mit dem man Benutzer u.
Gruppen ein-bzw. auslesen kann?
Gruppen ein-bzw. auslesen kann?
Ja, es gibt schon MIgrationstools. Die Frage ist ob es so einfacher wird.
Bei der Vertrauensstellung müssen beide
Adminkonten gegenseitig eingetragen werden,
richtig?
Adminkonten gegenseitig eingetragen werden,
richtig?
Durch eine Vertrauensstellung kannst du auf die Konten der anderen Domäne zugreifen. Die musst du dann passend berechtigen. Wen du mit einem Account beide Domänen administrieren willst, musst du vorgehen wie du es sagst.
Beim DC ist aber schon der richtige DNS Server eingetragen?!
Es ist der richtige DNS-Server eingetragen.
Geh auf den DC in die Kommandozeile und gib da mal "net stop netlogon" und dann "net stop netlogon" ein.
Habe ich gemacht. Es wird folgende Warnung im Systemprotokoll eingetragen:
*
Ereignistyp: Warnung
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5781
Datum: 31.01.2006
Zeit: 18:54:32
Benutzer: Nicht zutreffend
Computer: AMIOSVR01
Beschreibung:
Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server verfügbar sind.
Daten:
0000: 2a 23 00 00 *#..
*
Der FQDN für diesen Server lautet amiosvr01.amiodom01. , wobei "amiosvr01" der Computername und "amiodom01" die Domäne repräsentiert.
Ist das denn lauft RFC nicht schon falsch (host.domain.toplevel.)?
Des Weiteren taucht im Systemprotokoll noch folgender Fehler für verschiedene Arbeitsstationsnamen auf:
**
Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5513
Datum: 31.01.2006
Zeit: 08:10:26
Benutzer: Nicht zutreffend
Computer: AMIOSVR01
Beschreibung:
Der Computer "VERTRIEB01" hat versucht, sich zu Server \\AMIOSVR01 zu verbinden, wobei er eine Vertrauensstellung der Domäne AMIODOM01 verwendet hat. Der Computer hat jedoch die korrekte Sicherheitskennung (SID) bei der Neukonfiguration der Domäne verloren. Richten Sie die Vertrauensstellung neu ein.
mehrerer DNS-Einträge ist
fehlgeschlagen, da keine DNS-Serververfügbar sind.
Hmm, wie heisst denn deine Domäne?
stimmen die Forward und die Reverse lookup Zone?
Neukonfiguration der Domäne verloren.
Richten Sie die Vertrauensstellung neu ein.
Richten Sie die Vertrauensstellung neu ein.
Das Comuterkonto für deine Clients fehlt.
Irgendwo ist ein dicker Fehler in deiner DNS Konfiguration.
Aber ich bin mal froher Hoffnung das wir den finden.
Die Domäne heisst "AMIODOM01"
Struktur des DNS Servers:
DNS
|
|-Forward-Lookupzonen
amiodom01
|
|-Revese-Lookupzonen
192.1680.0.x Subnet
Einträge in der Forwardzone:
1. Autoritätsursprung [8],amiosvr01.amiodom01., admin.amiodom01.amiodom01.
2. Namensserver amiosvr01.amiodom01.
3. Host amiosvr01 192.168.0.1
Einträge in der Reverse-Zone:
1. Autoritätsursprung [8],amiosvr01.amiodom01., admin.amiodom01.
2. Namensserver amiosvr01.amiodom01.
3. Zeiger amiosvr01.amiodom01. 192.168.0.1
...und weitere Zeiger von Arbeitsstationen..........
Wie schon gesagt es existieren keinerlei Unterverzeichnise für _tcp, _udp, _site und _msdcs in der Forwardzone.
Die müssen doch vorhanden sein für die LDAP-Abfragen oder?
Struktur des DNS Servers:
DNS
|
|-Forward-Lookupzonen
amiodom01
|
|-Revese-Lookupzonen
192.1680.0.x Subnet
Einträge in der Forwardzone:
1. Autoritätsursprung [8],amiosvr01.amiodom01., admin.amiodom01.amiodom01.
2. Namensserver amiosvr01.amiodom01.
3. Host amiosvr01 192.168.0.1
Einträge in der Reverse-Zone:
1. Autoritätsursprung [8],amiosvr01.amiodom01., admin.amiodom01.
2. Namensserver amiosvr01.amiodom01.
3. Zeiger amiosvr01.amiodom01. 192.168.0.1
...und weitere Zeiger von Arbeitsstationen..........
Wie schon gesagt es existieren keinerlei Unterverzeichnise für _tcp, _udp, _site und _msdcs in der Forwardzone.
Die müssen doch vorhanden sein für die LDAP-Abfragen oder?
Deine forward lookup Zone wird nicht stimmen, sonst müssten da auch Clients drin auftauchen und die von dir vermissten Einträge wären nach dem neue starten des netlogon Dienstes auch drin.
was steht denn bei der Forward Lookup Zone "amiodom01" oder "amiodom01." (also mit einem Punkt dahinter)?
was steht denn bei der Forward Lookup Zone "amiodom01" oder "amiodom01." (also mit einem Punkt dahinter)?
was steht denn bei der Forward Lookup Zone "amiodom01" oder "amiodom01." (also mit einem Punkt dahinter)?
Da steht "admiodom01" (ohne Punkt)
Dann erstell mal eine Forward Zone "amiodom01." , also mit Punkt.
Dann nochmal auf der Kommandozeile
net stop netlogon
net start netlogon
Sind die Einträge jetzt da, oder gibt es wieder Fehlermeldungen?
Dann nochmal auf der Kommandozeile
net stop netlogon
net start netlogon
Sind die Einträge jetzt da, oder gibt es wieder Fehlermeldungen?
Beim anlegen der Zone "amiomdom01." bekomme ich folgende Meldung:
"Die Zone kann nicht erstellt werden. Die Zone ist bereits vorhanden."
Ohne Punkt ist es das gleiche Spiel.......
"Die Zone kann nicht erstellt werden. Die Zone ist bereits vorhanden."
Ohne Punkt ist es das gleiche Spiel.......
