its-it
Goto Top

Dateisystem-Berechtigungen übertragen auf Server2008

Hallo allerseits, wäre über schnelle Hilfe sehr sehr sehr dankbar!!

Hallo Community,

folgendes soll bei einem Kunden durchgeführt werden:

vorhandene Domaene (2000 oder 2003) soll auf 2008 Server aktualisiert werden und zwar in der Form, dass die vorhandene Hardware beibehalten wird. Das bedeutet: wir formatieren den alten Server und setzen dann den 2008 Server neu auf.

Ist hierbei eine Uebertragung der Dateisystemberechtigungen der Daten (auf 2. Partition, Partition bleibt erhalten) und evtl. auch der User usw. auf den neuen Server moeglich ohne alles haendisch machen zu muessen?

Gibt es evtl. ein Tool das die vorhandenen Dateisystemberechtigungen grafisch/Baumstrukturmaessig darstellt/aufarbeitet falls wir die Uebertragung doch haendisch machen muessen? Sonst wird das ganze ziemlich aufwaendig face-sad

Bei Nachfragen einfach kurz melden. Waere für schnelle Hilfe sehr dankbar.

Content-ID: 124860

Url: https://administrator.de/contentid/124860

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

O-Marc
O-Marc 14.09.2009 um 12:43:40 Uhr
Goto Top
Ein einfach gehaltenes Tool, um die Berechtigungen sichtbar zu machen, ist AccessEnum. Schau mal auf www.sysinternals.com .


Ich bin kein Experte, dennoch nachfolgend meine Einschätzung (ohne Anspruch auf Vollständigkeit und Richtigkeit):

Ich gehe mal davon aus, dass die fragliche Partition mit NTSF formatiert ist. Somit liegen die Zugangsberechtigungen im Dateisystem und sind unabhängig vom verwendeten Betriebssystem. Damit diese weiterhin funktionieren, müssen aber alle Benutzer des vorhandenen Systems in das neue importiert werden.
Vorhandene Benutzerrechte sind wertlos, wenn die bestehenden Benutzer nicht mit übernommen werden.
Metzger-MCP
Metzger-MCP 14.09.2009 um 12:55:19 Uhr
Goto Top
Wenn du einen neuen DC aufsetzt, und der einen neuen DC Stamm aufbaut ( das tut er bei neuinstallation ) kannst du die Berechtigungsstruckturen gleich vergessen, da die Gruppenberechtigungen und deren ID's nicht mehr zurverfügbar stehen. Da mußt du sowieso eine neue Berechtigungsstrucktur + Gruppen und User aufbauen.

MACHE EINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
TESTE DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
HOFFE DAS DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain nicht brauchst

Eine Möglichkeit gibt es da aber, setzte einen 2ten DC auf ( klassischen BDC ) verschiebe alle FSMO Rollen+ DNS Dienste und Co zum BDC, mache den dan zum PDC, entferne denn alten DC aus der Domain installiere dann den neuen DC und alles wieder Retour.

!!! habe nun das obige mal fix Stichpunktartig zusammen geschrieben. !!!

Da hast du wenigstens deine kompletten Struckturen transferiert.


@ Händisch

Cacls *.* /T >c:\rechte.txt

ist der Befehl.

Cacls -> zeigt die Datei-ACLs (Access Control List) an.
*.* -> alles ( Datei + Ordner )
/T -> im Ordner und Unterordner
c:\rechte.txt -> Umlenken hier in die Datei c:\rechte.txt


Ich gehe mal davon aus das das nicht sehr komfortabel sein wird, aber der nutzen ist da man hat alle Berechtigungen.

Inhalt könnte wie Folge aussehen :

C:\Deploy\factory.exe ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F

C:\Deploy\Freu VORDEFINIERT\Administratorenface-sadOI)(CI)F
NT-AUTORITŽT\SYSTEMface-sadOI)(CI)F
ICH\ICH:F
ERSTELLER-BESITZERface-sadOI)(CI)(IO)F
VORDEFINIERT\Benutzerface-sadOI)(CI)R
VORDEFINIERT\Benutzerface-sadCI)(Beschr„nkter Zugriffface-smile

FILE_APPEND_DATA

VORDEFINIERT\Benutzerface-sadCI)(Beschr„nkter Zugriffface-smile

FILE_WRITE_DATA

C:\Deploy\wfinf_guide.doc ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F

C:\Deploy\Freu\freu.txt VORDEFINIERT\Administratoren:F
NT-AUTORITŽT\SYSTEM:F
ICH\ICH:F
VORDEFINIERT\Benutzer:R


MFG Metzger
erich81
erich81 14.09.2009 um 13:46:16 Uhr
Goto Top
Hi bitshop,

das wäre wohl die schlechteste Lösung die bis jetzt vorgeschlagen wurde. Alles zu löschen und neu aufzusetzen.

Also ich gehe mal davon aus das DC und Fileserver auf einem Server zusammen ist??!

So wäre ein besserer Weg, sicher erstmal einen zweiten DomainController zu installieren/konfigurieren. So sind schon mal die User und alle Gruppen gesichert.
Die Daten musst du sowieso sichern auf einen anderen Server. So würde ich um es einfach zu halten. Einen Robocopyjob machen. Mit diesem werden, wenn man die richtigen Schalter benutzt auch die Berechtigungen übernommen.
Wenn das alles erledigt ist eine SchemaUpdate und DomänenUpdate nötig. Damit eine Win2008DC zur Domäne hinzugefügt werden kann.

Nach diesen Schritten erst DCPromo am alten DC ausführen um den DC die Domänen-Rolle zu entfernen.
Wenn das erledigt ist kannst du den Server neu Aufsetzen mit WIn2008 usw.

Step by Step:

1. zweiten DomainController konfigurieren und alle MasterRollen übernehemen und zum GC machen.
2. Files mit Robocopy auf einen anderen Store kopieren
3. Schema und Domänenupdate für Win2008 Domänencontroller
4. Alten DC die Rolle eines DomänenControllers entfernen (dcpromo)
5. Alten Server neu aufsetzten und zum DC machen.
6. Daten wieder mit Robocopy auf den neu Aufgesetzten Server kopieren.
7. den zweiten DC entweder lassen oder auch mit dcpromo entfernen.

FERTIG

Zeit wenn der Filestore nicht zu gross ist 1 1/2 Tage würd ich sagen.

erich
ITS-IT
ITS-IT 14.09.2009 um 21:18:51 Uhr
Goto Top
Hi Erich,

hört sich schon mal gut an. Vielen Dank erstmal für Deine Antwort.

Da dies meine 1. Migration ist bin ich sozusagen totaler Laie was AD und Replizierung etc. angeht ...

zu Deiner Frage/Feststellung: Ja, DC und Fileserver sind auf einem Server zusammengefasst, allerdings auf verschiedenen Partitionen (eine für System, AD usw. und eine für die Daten).

Inzwischen hab' ich mich auch in versch. Foren ein wenig eingelesen und hätte noch einige Fragen:

- alle meine Versuche mit 2003 Server einen 2. Domaincontroller aufzusetzen scheiterten bisher kläglich weil immer der bereits vorhandene DC 'angemeckert' wurde und somit der neue 2003er nur als alleinstehender Server zu konfigurieren war (habe den Assistenten von 2003 dafür verwendet)... Meine Frage ist also: wie ist ein zweiter Domaincontroller zu konfigurieren damit beide funktionieren? (Name und IP frei wählbar?)

- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe IP wie der ursprüngliche Server haben?

- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung der Daten (überall ist zu lesen dass dies automatisch erfolgt) und woher weiß ich, wann dies Replizierung fertig ist und ich weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)

- was ist ein Schema-Update und Domänen-Update und wie werden diese Updates durchgeführt? (Habe etwas von 'Rollenübertragung' gelesen)

- Kann man dieses Programm "Robocopy" irgendwo herunterladen oder ist es evtl. auch schon im Betriebssystem integriert?Oder kann ich die Daten eventuell auch auf dem alten Server belassen (diese sind auf einer 2. Partition gelagert, unabhängig vom System - es soll nur die C:-Partition formatiert werden)? Das würde viel Zeit sparen ...

- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem Thema?

Ich weiß, viele Fragen ... aber ich informiere mich lieber vorher genau als nachher zu experimentieren.

So das war's erstmal.

Andy
erich81
erich81 15.09.2009 um 09:07:06 Uhr
Goto Top
Hi,

- alle meine Versuche mit 2003 Server einen 2. Domaincontroller
aufzusetzen scheiterten bisher kläglich weil immer der bereits
vorhandene DC 'angemeckert' wurde und somit der neue 2003er
nur als alleinstehender Server zu konfigurieren war (habe den
Assistenten von 2003 dafür verwendet)... Meine Frage ist also:
wie ist ein zweiter Domaincontroller zu konfigurieren damit beide
funktionieren? (Name und IP frei wählbar?)

Name(Servername) ist fast frei wählbar. Sollte halt nicht länger als 15Zeichen(NetBiosName) haben. IP muss fest sein.
wenn du einen neuen DC konf. dann bei der Auswah l auf erweitert gehen und zu bestehender Domäne hinzufügen. Dann sollte es eigentlich funktionieren?!


- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe
IP wie der ursprüngliche Server haben?

Ja es ist möglich wenn du den alten vorher sauber entfernt hast!


- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung
der Daten (überall ist zu lesen dass dies automatisch erfolgt)
und woher weiß ich, wann dies Replizierung fertig ist und ich
weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)

Nach einer Stunde sollte alles Repliziert sein. Wenn ichs nicht eilig habe warte ich so 1 1/2std. Jedoch kann man es auch in ca. 15min. schaffen wenn man die replis mit hand macht.
Tools: replikationsmonitor: "replmon"


- was ist ein Schema-Update und Domänen-Update und wie werden
diese Updates durchgeführt? (Habe etwas von
'Rollenübertragung' gelesen)

das schema sind die attribute im AD. Dafür gibt es noch verschiedene Eben.
Die Rollen bzw. MasterRollen sind ohne jetzt näher darauf einzugehen Rollen die DC's in einer Domäne übernehmen können.


- Kann man dieses Programm "Robocopy" irgendwo
herunterladen oder ist es evtl. auch schon im Betriebssystem
integriert?Oder kann ich die Daten eventuell auch auf dem alten Server
belassen (diese sind auf einer 2. Partition gelagert, unabhängig
vom System - es soll nur die C:-Partition formatiert werden)? Das
würde viel Zeit sparen ...

Robocopy wie auch Replmon sind bei Microsoft zu bekommen.
"SupportTools" "ResourceKitTools"
Ja ist durchaus möglich nur C zu löschen. Ist zwar nicht sauber aber machbar.


- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem
Thema?

Anleitungen gibt es genug. Zu jeder Frage die du gestellt hast! face-wink
Hier die wichtigstens:

Schema Update
Master Rollen
ResourceKit

Wenn du all dies noch nie gemacht hast?! würd ich mir vielleicht eineTestfarm virtuell aufbauen. Bei zwei virtuelle Maschinen kanns auch dein PC sein. Der die VM's bereit stellt!

gruss erich
ITS-IT
ITS-IT 17.09.2009 um 19:58:09 Uhr
Goto Top
Hallo Erich,

habe heute mal in einer Testumgebung versucht, eine Windows 2000 Domäne auf einen anderen Windows 2000-Rechner zu übernehmen. Das hat Anfangs auch gut ausgesehen, aber irgendwie hat das mit der FSMO-Rollenübergabe nicht korrekt funktioniert. Auf jeden Fall konnte ich den alten Server dann nicht herunterstufen da dieser die neue Domäne (oder den neuen DC) nicht mehr gefunden hat. Könnte das evtl. daran liegen dass ich vor der Herabstufung auf dem neuen DC bereits die Preparation für 2008 Server vorgenommen hatte?

Beim näheren nachlesen ist mir auch aufgefallen dass der Artikel für die FSMO-Rollenübernahme eigentlich für Server 2003 geschrieben wurde. Funktioniert das unter Win2000Server anders? Wenn ja - wie genau? Habe keinen richtigen Beitrag oder Artikel hierzu gefunden.

Und dann habe ich noch etwas über ein "EFS-Recovery-Zertifikat" gelesen. Muss dieses gesichert werden und wie funktioniert das? Wie wird es dann wieder eingespielt?

Vielleicht kannst Du mir helfen. Wäre echt nett.

Gruss

Andy