4420
Goto Top

Neuinstallation Active Directory - Muss ich clients neu zur Domäne hinzufügen?

Hallo,

ich musste einen Windows 2003 Server mit ADS neu installieren. Bei er Erstinstallation wurden die ganzen Clients ja manuell zur Domäne hinzugefügt und dann automatisch auf dem Server unter Computer eingetragen.

Nun sind die Computer dort natürlich nicht mehr eingetragen. Ich möchte aber nicht jetzt jeden Client wieder aus der Domäne entfernen und dann neu hinzufügen, da damit dann auch automatisch ein neues Benutzerprofil erstellt wird.

Wenn ich die Computernamen aber einfach nur so auf dem Server unter "Active Directory Benutzer und Computer" eintrage, dann dauert die Anmeldung an den Clients etwas länger als wenn ich die Computer komplett neu hinzufüge.

Jedoch steht im Ereignisprotokoll "System" des Servers folgendes wenn man versucht einen Client an der Domäne anzumelden (die Domäne heißt genau gleich wie zuvor):

"Der Computer "PCXX" hat versucht, die Verbindung mit Server "\\Server" herzustellen, wobei er eine Vertrauensstellung der Domäne "xx" verwendet hat. Der Computer hat jedoch die richtige Sicherheitskennung (SID) bei der Neukonfiguration der Domäne verloren. Richten Sie die Vertrauensstellung neu ein."

Kann ich diese Vertrauensstellung auch auf dem Server irgendwie wieder einrichten ohne die Clients neu am Client selbst zur Domäne hinzufügen zu müssen?

Danke für Antworten!!

Content-Key: 45139

Url: https://administrator.de/contentid/45139

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: gemini
gemini 23.11.2006 um 06:49:56 Uhr
Goto Top
Hi,

die neue Domäne ist, unabhängig vom selben Domänennamen, eine andere als die alte; sie hat eine andere SID.
Demzufolge können sich die Clients nicht an dieser Domäne anmelden, da die Maschinenkonten ja nicht exisitieren. Wo die Vertrauensstellung herkommt, wenn du sie nicht eingerichtet hast, ist mir momentan unklar.
Evtl. findest du im ScriptCenter oder im ResourceKit etwas um die SIDs zu manipuilieren

Ich denke nicht, dass du eine Vertrauenstellung zu einer nicht existierenden Domäne herstellen kannst. Selbst wenn es möglich sein sollte, wäre es doch nur eine Krücke, ein Workaround. IMHO sollte man solche Workarounds in Produktivumgebungen vermeiden wo immer es geht.

Nun sind die Computer dort natürlich nicht mehr eingetragen. Ich möchte aber nicht jetzt jeden Client wieder aus der Domäne entfernen und dann neu hinzufügen, da damit dann auch automatisch ein neues Benutzerprofil erstellt wird.
Das ist so nicht richtig! Beim hinzufügen eines Computers zu einer Domäne wird nicht zwangsläufig ein Benutzerkonto erzeugt.

Gruß,
gemini
Mitglied: BistabileKippstufe
BistabileKippstufe 23.11.2006 um 09:31:03 Uhr
Goto Top
Hallo,

also ich sehe auch keine andere Möglichkeit als die Computer , und die Benutzer , neu in die Domäne aufzunehmen. Es wird zwar auf dem lokalen Computer dann ein neues Profil erzeugt, aber man kann ja das alte Profil einfach in das neue hineinkopieren. Natürlich nicht als Benutzer sondern nur als Admin.

Übrigens kleiner Tip: da die Computer ja noch in der alten Domäne sein dürften, ist das Ummelden auf die neue Domäne am einfachsten, wenn man sich als lokaler Admin am PC anmeldet (also nicht in der alten Domäne, was ja möglich wäre), und dann den Computer direkt auf die neue Domäne ummeldet. So kommt man mit einmal herunterfahren aus.

Für die Zukunft ist es vielleicht nicht die schlechteste Idee noch eine kleinen 2. (sekundären)DC in der gleichen Domäne einzurichten (kann vielleicht noch als Druckerspooler dienen), damit die ursprünglich Domäne weiterlebt, auch wenn mal was am "Haupt"-Domänenkontroller gemacht werden muss.

Gruß

BK
Mitglied: Shao-Lee
Shao-Lee 04.01.2007 um 09:14:01 Uhr
Goto Top
Hallo zusammen !
Ich stehe vor einem recht ähnlichen Problem. Wir werden im Frühjahr unsere komplette
Serverstrukturen erneuern. Wir wollen diese Gelegenheit nutzen, und die bestehende
Domänenstruktur aufgeben und alles komplett neu installieren. Der Domäne-Namen und
die Benutzerkennungen sollen hierbei aber unverändert bleiben (da sie sich bewährt
haben);
Diese werden aber auch alle neu von mir per Hand angelegt (ca. 60 User).

Durch die Neue SID können sich aber bekanntlich die Clients nicht automatisch anmelden.
Ergo muss jeder Client von Hand nochmals in die neu installierte Domäne mit aufgenommen
werden. Große Sorgen bereitet mir hierbei, dass dann Windows auf jedem Client ein neues
Benutzerprofil anlegen will...

> Nun sind die Computer dort
natürlich nicht mehr eingetragen. Ich
möchte aber nicht jetzt jeden Client
wieder aus der Domäne entfernen und dann
neu hinzufügen, da damit dann auch
automatisch ein neues Benutzerprofil erstellt
wird.
Das ist so nicht richtig! Beim
hinzufügen eines Computers zu einer
Domäne wird nicht zwangsläufig ein
Benutzerkonto erzeugt.

@gemini / @all:

Kann ich das Neuanlegen eines Benutzerprofils auf dem Client verhindern ?
Ist es ein Problem, wenn auf dem Client nachher ein mit gleichem Namen neues
Benutzerprofil erstellt wird ?
Also zum bestehendne Benutzerprofil DOMÄNE_XZ\Name123 (<= Alte Domäne)
dann das gleichlautende Ben.profil: DOMÄNE_XY\Name123 ?

Danke und Viele Grüsse,
Shao
Mitglied: gemini
gemini 04.01.2007 um 14:41:10 Uhr
Goto Top
Kann ich das Neuanlegen eines Benutzerprofils auf dem Client verhindern ?
IMHO wird beim Aufnehmen des Clients in die Domäne KEIN Benutzerkonto auf dem Client erstellt. Es wird lediglich, falls nicht bereits vorhanden, im Active Directory ein Maschinenkonto erzeugt.

Ist es ein Problem, wenn auf dem Client nachher ein mit gleichem Namen neues Benutzerprofil erstellt wird ?
Also zum bestehendne Benutzerprofil DOMÄNE_XZ\Name123 (<= Alte Domäne)
dann das gleichlautende Ben.profil: DOMÄNE_XY\Name123 ?
Nein das ist kein Problem. Zwei gleichlautende Benutzerkonten werden im Profilverzeichnis durch Anhängen des Domänennamens und, falls weitere Gleichheiten bestehen durch eine Laufnummer, unterschieden. Also, etwa so:
C:\Dokumente und ...
         Shao-Lee
         Shao-Lee.AlteDomäne
         Shao-Lee.NeueDomäne
         Shao-Lee.NeueDomäne001
         Shao-Lee.NeueDomäne002
Das ist aber praktisch nur eine Krücke für den User, das Betriebssystem unterscheidet in jedem Fall anhand der SID.

HTH,
gemini