ADMT und PES - Migration der Nutzer von einem AD in ein Neues
Moin, moin mein lieben Kolleginnen und Kollegen,
ich hab hier ein Problem an dem ich schon länger arbeite.
Ziel ist es 25.000 Nutzer von der einen Domäne (Windows Server 2008R2) in eine neue Domäne(Windows Server 2016) zu übertragen. So weit, so gut würde das mit dem ADMT auch
super funktionieren nachdem ich die beiden Domänen in eine Vertrauensstellung gesetzt habe und diese sich auch gegenseitig auflösen und aufeinander zugreifen können.
Nun kommt aber der Krucks an der Sache, ich will die alten Passwörter mit migrieren und das geht wohl nur mit dem PES ( Passwort Export Service). Diesen habe ich auf beiden Domaincontrollern installiert. Ich habe den Verschlüsselungssschlüssel auf dem DC der Zieldomäne eingerichtet und den Schlüssel dann in der PC Konfiguration des Quellservers hinterlegt. Als User habe ich den Domänen Admin der Quelldomäne angegeben. Nun bekomme ich aber bei dem Versuch die Daten zu migrieren immer den Fehler das der Zugriff verweigert wird. Den User zum Abgleich habe ich neu angelegt mit Admin rechten, und auch in beiden Domänen in der Gruppe Administratoren.
Hat hier jemand Erfahrungen und kann mir vielleciht helfen?
ich hab hier ein Problem an dem ich schon länger arbeite.
Ziel ist es 25.000 Nutzer von der einen Domäne (Windows Server 2008R2) in eine neue Domäne(Windows Server 2016) zu übertragen. So weit, so gut würde das mit dem ADMT auch
super funktionieren nachdem ich die beiden Domänen in eine Vertrauensstellung gesetzt habe und diese sich auch gegenseitig auflösen und aufeinander zugreifen können.
Nun kommt aber der Krucks an der Sache, ich will die alten Passwörter mit migrieren und das geht wohl nur mit dem PES ( Passwort Export Service). Diesen habe ich auf beiden Domaincontrollern installiert. Ich habe den Verschlüsselungssschlüssel auf dem DC der Zieldomäne eingerichtet und den Schlüssel dann in der PC Konfiguration des Quellservers hinterlegt. Als User habe ich den Domänen Admin der Quelldomäne angegeben. Nun bekomme ich aber bei dem Versuch die Daten zu migrieren immer den Fehler das der Zugriff verweigert wird. Den User zum Abgleich habe ich neu angelegt mit Admin rechten, und auch in beiden Domänen in der Gruppe Administratoren.
Hat hier jemand Erfahrungen und kann mir vielleciht helfen?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 459156
Url: https://administrator.de/forum/admt-und-pes-migration-der-nutzer-von-einem-ad-in-ein-neues-459156.html
Ausgedruckt am: 26.04.2025 um 23:04 Uhr
18 Kommentare
Neuester Kommentar
Moin,
Halte dich einfach an die Blogserie:
https://blog.thesysadmins.co.uk/admt-series-4-password-export-server.htm ...
Gruß,
Dani
Als User habe ich den Domänen Admin der Quelldomäne angegeben.
das ist meiner Meinung nach falsch. Es müsste ein Benutzer aus der Zieldomäne sein.Halte dich einfach an die Blogserie:
https://blog.thesysadmins.co.uk/admt-series-4-password-export-server.htm ...
Gruß,
Dani
Zitat von @Dani:
Moin,
Halte dich einfach an die Blogserie:
https://blog.thesysadmins.co.uk/admt-series-4-password-export-server.htm ...
Moin,
Als User habe ich den Domänen Admin der Quelldomäne angegeben.
das ist meiner Meinung nach falsch. Es müsste ein Benutzer aus der Zieldomäne sein.Halte dich einfach an die Blogserie:
https://blog.thesysadmins.co.uk/admt-series-4-password-export-server.htm ...
Ich hab das nun ein wenig angepasst und nun meckert er wegen dem Verschlüsselungssschlüssel. Beide sind in der Zieldomain erstellt worden und dann auf den DCs hinterlegt. Ich bekomme ne Kriese mit dem Kram eh....
Gruß,
Dani
Moin,
Gruß,
Dani
Ich hab das nun ein wenig angepasst und nun meckert er wegen dem Verschlüsselungssschlüssel. Beide sind in der Zieldomain erstellt worden und dann auf den DCs hinterlegt.
Was meinst du mit beiden?!Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Ich hab das nun ein wenig angepasst und nun meckert er wegen dem Verschlüsselungssschlüssel. Beide sind in der Zieldomain erstellt worden und dann auf den DCs hinterlegt.
Was meinst du mit beiden?!Gruß,
Dani
Den Verschlüsselungsschlüssel den man lauf MS exportieren soll in eine .pes Datei. Also es ist nur ein Schlüssel aber ich hab ihn in Ziel und Quell Domän hinterlegt im PES.
Dieser Fehler macht mich Wahnsinnig!!! Ich habe auf dem DC in der Zieldomäne diesen Schlüssel erstellt für die Quelldomäne, habe diesen in der Quelldomäne in den PES eingetragen und alles........trotzdem kommt er mit dem Fehler! Ich verstehe es einfach nicht.
Moin,
a) welche Version von ADMT hast du installiert?
b) welche Version von PES hast du installiert?
c) Läuft der PES auf einem Server in der Quell- oder Zieldomäne?
d) Unter welchen Benutzerkonto wird der Dienst PES ausgeführt?
Gruß,
Dani
a) welche Version von ADMT hast du installiert?
b) welche Version von PES hast du installiert?
c) Läuft der PES auf einem Server in der Quell- oder Zieldomäne?
d) Unter welchen Benutzerkonto wird der Dienst PES ausgeführt?
Gruß,
Dani
Version 3.2
b) welche Version von PES hast du installiert?
Ich muss leider sagen das ich gerade keine Ahnung habe welche Version das ist. Wo kann ich das sehen? Hab schon mal ein bisschen geschaut aber nichts gefunden.
c) Läuft der PES auf einem Server in der Quell- oder Zieldomäne?
Ja läuft auf dem DC. (sollte man nciht machen, ich weiß, aber es ist der einzige Server dort)
d) Unter welchen Benutzerkonto wird der Dienst PES ausgeführt?
Vom Administrator der Zieldomäne. ( habe aber auch schon den der Quelldomäne versucht
Gruß,
Dani
Keiner mehr eine Idee????
Moin,
Gruß,
Dani
Ja läuft auf dem DC. (sollte man nciht machen, ich weiß, aber es ist der einzige Server dort)
Das war nicht die Frage... lies bitte nochmals meine Frage. Unabhängig davon ist es in diesem Fall in Ordnung.Wo kann ich das sehen? Hab schon mal ein bisschen geschaut aber nichts gefunden.
Ich bin leider unterwegs und keinen Zugriff auf ein Lab. Schau mal in den Eigenschaftn der EXE-Datei. Evtl. ist dort unter Details eine Versionsnummer angegeben. Vom Administrator der Zieldomäne. ( habe aber auch schon den der Quelldomäne versucht
Das ist auch so korrekt. Keiner mehr eine Idee????
Entschuldige bitte, dass ich meinem Job und Familienleben nebenher noch nachgehe. Falls es dir nicht schnell genug geht, bleibt dir a) ein IT-Dienstleister oder b) der Microsoft Support.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Ja läuft auf dem DC. (sollte man nciht machen, ich weiß, aber es ist der einzige Server dort)
Das war nicht die Frage... lies bitte nochmals meine Frage. Unabhängig davon ist es in diesem Fall in Ordnung.Läuft in der Quelldomäne, daher ja auch die Admin Zugänge aus der Zieldomäne für den Service
Wo kann ich das sehen? Hab schon mal ein bisschen geschaut aber nichts gefunden.
Ich bin leider unterwegs und keinen Zugriff auf ein Lab. Schau mal in den Eigenschaftn der EXE-Datei. Evtl. ist dort unter Details eine Versionsnummer angegeben.Ist leider nicht mit angegeben.
Vom Administrator der Zieldomäne. ( habe aber auch schon den der Quelldomäne versucht
Das ist auch so korrekt. Keiner mehr eine Idee????
Entschuldige bitte, dass ich meinem Job und Familienleben nebenher noch nachgehe. Falls es dir nicht schnell genug geht, bleibt dir a) ein IT-Dienstleister oder b) der Microsoft Support.Du musst dich nich gleich angegriffen fühlen. Es ist nur leider in vielen Fälllen hier so das erst angefangen wird gemeinschaftlich nach dem Problem zu suchen und dann auf einmal keiner mehr schreibt. :/ Das sollte kein persönlicher Angriff auf dich sein.
LG
Gruß,
Dani
Moin,
Hast du jetzt, nachdem du nichts mehr an den Accounts für die Services geändert hast ,nochmals ein neuen PSE Key auf dem ADMT in der Zieldomäne erzeugt und anschließend in der Quelldomäne eingespielt?!
Gruß,
Dani
Läuft in der Quelldomäne, daher ja auch die Admin Zugänge aus der Zieldomäne für den Service
Das ist ebenfalls in Ordnung.Hast du jetzt, nachdem du nichts mehr an den Accounts für die Services geändert hast ,nochmals ein neuen PSE Key auf dem ADMT in der Zieldomäne erzeugt und anschließend in der Quelldomäne eingespielt?!
Du musst dich nich gleich angegriffen fühlen.
Keine Sorge, dazu bin ich hier zu lange schon dabei. Meine Zeit ist hier begrenzt und jeden Tag mehrere Benachrichtigungen vorliegen. Ich schaffe je nach Zeit 3-4-5 zu bearbeiten. Der Rest bleibt bis zum nächsten Tag liegen. So stapelt es sich eben...Es ist nur leider in vielen Fälllen hier so das erst angefangen wird gemeinschaftlich nach dem Problem zu suchen und dann auf einmal keiner mehr schreibt. :/
Es scheint, dass du nur Du und Ich (=Duo) übrig bleibt. Gruß,
Dani
Zitat von @Dani:
Moin,
Hast du jetzt, nachdem du nichts mehr an den Accounts für die Services geändert hast ,nochmals ein neuen PSE Key auf dem ADMT in der Zieldomäne erzeugt und anschließend in der Quelldomäne eingespielt?!
Moin,
Läuft in der Quelldomäne, daher ja auch die Admin Zugänge aus der Zieldomäne für den Service
Das ist ebenfalls in Ordnung.Hast du jetzt, nachdem du nichts mehr an den Accounts für die Services geändert hast ,nochmals ein neuen PSE Key auf dem ADMT in der Zieldomäne erzeugt und anschließend in der Quelldomäne eingespielt?!
Ne das ist immer noch der den ich zum Anfang erstellt habe in der Zieldomäne und dann übertragen habe auf die Quelldomäne.
Du musst dich nich gleich angegriffen fühlen.
Keine Sorge, dazu bin ich hier zu lange schon dabei. Meine Zeit ist hier begrenzt und jeden Tag mehrere Benachrichtigungen vorliegen. Ich schaffe je nach Zeit 3-4-5 zu bearbeiten. Der Rest bleibt bis zum nächsten Tag liegen. So stapelt es sich eben...Ah ok da dann ist das verständlich. Hast ja so auch noch genug zu tun.
Es ist nur leider in vielen Fälllen hier so das erst angefangen wird gemeinschaftlich nach dem Problem zu suchen und dann auf einmal keiner mehr schreibt. :/
Es scheint, dass du nur Du und Ich (=Duo) übrig bleibt. Wenn dann das Dynamische Duo. :D
Gruß,
Dani
Moin,
Gruß,
Dani
Ne das ist immer noch der den ich zum Anfang erstellt habe in der Zieldomäne und dann übertragen habe auf die Quelldomäne.
Ok, nachdem nun bezüglich der Benutzer alles passt, geniere nochmals einen neuen PSE Key.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Ne das ist immer noch der den ich zum Anfang erstellt habe in der Zieldomäne und dann übertragen habe auf die Quelldomäne.
Ok, nachdem nun bezüglich der Benutzer alles passt, geniere nochmals einen neuen PSE Key.ok das mache ich .
Gruß,
Dani
Zitat von @Hendrik2586:
Zitat von @Dani:
Moin,
Moin,
Ne das ist immer noch der den ich zum Anfang erstellt habe in der Zieldomäne und dann übertragen habe auf die Quelldomäne.
Ok, nachdem nun bezüglich der Benutzer alles passt, geniere nochmals einen neuen PSE Key.Funktioniert leider nicht. Gleich Fehler wieder
ok das mache ich .
Gruß,
Dani
Lieber Dani, es hat geklappt. Ich musste mich nur nochmal als Zieldomänen Admin in der Quelldomäne anmelden und rebooten und dann lief es. Hab die Daten dann mit dem neuen DC in der Zieldomäne vom alten in der Quelldomäne gezogen.
Ich musste mich nur nochmal als Zieldomänen Admin in der Quelldomäne anmelden und rebooten und dann lief es. Hab die Daten dann mit dem neuen DC in der Zieldomäne vom alten in der Quelldomäne gezogen.
Moin,
Gruß,
Dani
Ich musste mich nur nochmal als Zieldomänen Admin in der Quelldomäne anmelden und rebooten und dann lief es.
Hmm, da komm ich aktuell nocht nicht ganz mit. Denn durch die Angabe beim Dienst, müsste sich der Benutzer bzw. Admin regelmäßig anmelden.Lieber Dani, es hat geklappt.
Freut mich. Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Ich musste mich nur nochmal als Zieldomänen Admin in der Quelldomäne anmelden und rebooten und dann lief es.
Hmm, da komm ich aktuell nocht nicht ganz mit. Denn durch die Angabe beim Dienst, müsste sich der Benutzer bzw. Admin regelmäßig anmelden.So hab ich mir das eigentlich auch gedacht.
Lieber Dani, es hat geklappt.
Freut mich. Mich erst......hab nen straffen Zeitplan und alles. Nun müssen nur noch drei GPOs vernünftig greifen und dann bin ich endlich fertig.
Gruß,
Dani
