5
Windows AD - UCS Server zu Windows Server
Hallo zusammen,
wir haben vor kurzem eine Infrastruktur übernommen, in der noch ein alter Univention Corporate Server vorhanden ist (Outdataed Version, Config kennt auch keiner so richtig) der nun weg soll.
Als Step eins würde ich gerne das AD auf einen normalen Windows Server umziehen. Allerdings kriege ich die Windows Server nicht als zusätzliche Domain Controller im UCS registriert (um danach die UCS zu entfernen).
Der "neue" DC ist bereits Mitglied der Domäne und kann diese auch sehen (In den AD Verwaltungsprogrammen kann ich die User/Rechner auch schon sehen.)
Versuche ich nun allerdings den neuen DC (Server 2022) zu promoten, erhalte ich den Fehler 0x80004005 zurück.
Im UCS Forum habe ich noch den Hinweis gefunden, dass die UCS maximal das AD Forest Level 2008 R2 beherrscht.
Testweise habe ich dann mal versucht, das AD mit einem Windows Server 2012 R2 zu übernehmen. Dies scheitert ebenfalls mit dem Hinweis, dass die Exchange-Schemakonfliktüberprüfung nicht durchgeführt werden kann.
Hat jemand einen Guide, wie man das AD wieder von der UCS zu einem Windows Server bekommt? In die andere Richtung habe ich eine ganze Rehe gefunden, aber nicht von UCS -> Windows AD. AD neu machen würde ich gerne vermeiden, da es hierzu schon fast etwas groß ist.
Gibt es vor der Übernahme, noch Anpassungen, die man in der UCS machen muss? Fairer Weise muss ich dazu sagen, dass ich bisher nie eine UCS in Verwendung hatte.
Danke für euren Input!
(Eine Bitte: Ich möchte an dieser Stelle nicht die Diskussion UCS vs. Windows AD austragen)
wir haben vor kurzem eine Infrastruktur übernommen, in der noch ein alter Univention Corporate Server vorhanden ist (Outdataed Version, Config kennt auch keiner so richtig) der nun weg soll.
Als Step eins würde ich gerne das AD auf einen normalen Windows Server umziehen. Allerdings kriege ich die Windows Server nicht als zusätzliche Domain Controller im UCS registriert (um danach die UCS zu entfernen).
Der "neue" DC ist bereits Mitglied der Domäne und kann diese auch sehen (In den AD Verwaltungsprogrammen kann ich die User/Rechner auch schon sehen.)
Versuche ich nun allerdings den neuen DC (Server 2022) zu promoten, erhalte ich den Fehler 0x80004005 zurück.
Im UCS Forum habe ich noch den Hinweis gefunden, dass die UCS maximal das AD Forest Level 2008 R2 beherrscht.
Testweise habe ich dann mal versucht, das AD mit einem Windows Server 2012 R2 zu übernehmen. Dies scheitert ebenfalls mit dem Hinweis, dass die Exchange-Schemakonfliktüberprüfung nicht durchgeführt werden kann.
Hat jemand einen Guide, wie man das AD wieder von der UCS zu einem Windows Server bekommt? In die andere Richtung habe ich eine ganze Rehe gefunden, aber nicht von UCS -> Windows AD. AD neu machen würde ich gerne vermeiden, da es hierzu schon fast etwas groß ist.
Gibt es vor der Übernahme, noch Anpassungen, die man in der UCS machen muss? Fairer Weise muss ich dazu sagen, dass ich bisher nie eine UCS in Verwendung hatte.
Danke für euren Input!
(Eine Bitte: Ich möchte an dieser Stelle nicht die Diskussion UCS vs. Windows AD austragen)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7418309225
Url: https://administrator.de/contentid/7418309225
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
ich habe zwar auch keine Erfahrung mit dem UCS, aber es wäre zunächsat hilfreich, die genaue UCS-Version zu nennen, die bei dem Kunden läuft.
Könnte aber trotzdem eine größere Prozedur werden, man muss wohl aber einen Zwischenschrifft über Win2k8 gehen.
Hängt aber stark von der Version des UCS ab.
Ein paar Fundstellen:
-> https://help.univention.com/t/migrate-from-ucs-4-to-microsoft-ad-2019/18 ... (ohne Ergebnis)
-> https://serverfault.com/questions/991626/migrate-samba-4-active-director ...
Da bleibt dennoch die Frage, ob es nicht doch schneller und vor allem sauberer ist, ein neues AD aufzusetzen, bevor man irgendwelche Altlasten mühevoll bereinigen muss.
[EDIT] Hier noch eine Anleitung für eine Migration Samba AD -> Windows AD: https://samba.tranquil.it/doc/en/samba_advanced_methods/samba_migration_ ... (inwiefern die für UCS -> Win AD übernommen werden kann, kann ich Dir aber auch nicht beantworten).
Gruß
cykes
ich habe zwar auch keine Erfahrung mit dem UCS, aber es wäre zunächsat hilfreich, die genaue UCS-Version zu nennen, die bei dem Kunden läuft.
Könnte aber trotzdem eine größere Prozedur werden, man muss wohl aber einen Zwischenschrifft über Win2k8 gehen.
Hängt aber stark von der Version des UCS ab.
Ein paar Fundstellen:
-> https://help.univention.com/t/migrate-from-ucs-4-to-microsoft-ad-2019/18 ... (ohne Ergebnis)
-> https://serverfault.com/questions/991626/migrate-samba-4-active-director ...
Da bleibt dennoch die Frage, ob es nicht doch schneller und vor allem sauberer ist, ein neues AD aufzusetzen, bevor man irgendwelche Altlasten mühevoll bereinigen muss.
[EDIT] Hier noch eine Anleitung für eine Migration Samba AD -> Windows AD: https://samba.tranquil.it/doc/en/samba_advanced_methods/samba_migration_ ... (inwiefern die für UCS -> Win AD übernommen werden kann, kann ich Dir aber auch nicht beantworten).
Gruß
cykes
Moin,
hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
hth
Erik
hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
hth
Erik
Hallo zusammen. Danke für euren Input!
4.4-6 errata829 (Blumenthal)
11.0.5-23A~4.4.0.202011241737
Nachdem der 2008er Server als DC zu funktionieren scheint, werde ich vermutlich den Weg gehen und nach dem Rauswerfen des UCS die Domäne hochziehen. Das ist zumindest der Weg den wir schon "kennen" und auch schon nen paar mal durch haben. Dort weiß ich dann auch wo ich kucken muss, wenns nicht klappt.
Werd mich da die nächsten Tage mal durch kämpfen. Sofern was interessantes dabei raus kommt - das teilungswürdig ist- werd ich dem hier noch kund tun, falls andere das Thema per Suche finden ;)
Zitat von @cykes:
ich habe zwar auch keine Erfahrung mit dem UCS, aber es wäre zunächsat hilfreich, die genaue UCS-Version zu nennen, die bei dem Kunden läuft.
Laut Dialog läuft dort die Versionich habe zwar auch keine Erfahrung mit dem UCS, aber es wäre zunächsat hilfreich, die genaue UCS-Version zu nennen, die bei dem Kunden läuft.
4.4-6 errata829 (Blumenthal)
11.0.5-23A~4.4.0.202011241737
Zitat von @cykes:
Könnte aber trotzdem eine größere Prozedur werden, man muss wohl aber einen Zwischenschrifft über Win2k8 gehen.
Danke für den Denkanstoß. Mit einem Windows Server 2008 R2 hat der Domain Beitritt und die Berufung als DC funktioniert.Könnte aber trotzdem eine größere Prozedur werden, man muss wohl aber einen Zwischenschrifft über Win2k8 gehen.
Nachdem der 2008er Server als DC zu funktionieren scheint, werde ich vermutlich den Weg gehen und nach dem Rauswerfen des UCS die Domäne hochziehen. Das ist zumindest der Weg den wir schon "kennen" und auch schon nen paar mal durch haben. Dort weiß ich dann auch wo ich kucken muss, wenns nicht klappt.
Zitat von @erikro:
hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
Hab mir den Beitrag eben mal angeschaut.hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
Since version 4.12, Samba-AD manages a 2012R2 schema level but still with a functional level in 2008R2. It is therefore possible to join a Windows Server 2012R2 configured in 2008R2 functional level with a Samba-AD domain as an AD.
Dann ist da mit der Ebene 2012 sowieso Schluss und den "letzten Schritt" muss ich dann wieder mit zwei Windows DCs machen?Werd mich da die nächsten Tage mal durch kämpfen. Sofern was interessantes dabei raus kommt - das teilungswürdig ist- werd ich dem hier noch kund tun, falls andere das Thema per Suche finden ;)
Moin,
Nö, der 2019 kann noch die Funktionsebene 2012R2. Beim aktuellen bin ich mir nicht sicher, meine aber, dass der das auch noch kann. Das Originalschema des Samba-Servers ist aber 2008R2. Was da beschrieben wird, ist die Methode, wie man händisch das Schema unter Samba auf 2012R2 anpasst. Dann kann man jede Version des Windows-Servers in die Domain als DC aufnehmen, der die Funktionsebene unterstützt.
Viel Spaß dabei.
Liebe Grüße
Erik
Zitat von @TuberPlays:
Zitat von @erikro:
hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
Hab mir den Beitrag eben mal angeschaut.hier nochmal die detaillierte Anleitung, wie man einen Windows-DC unter 2019 in eine Samba-Domain integriert.
https://dev.to/aciklab/adding-a-windows-2019-dc-to-your-samba-domain-im2
Since version 4.12, Samba-AD manages a 2012R2 schema level but still with a functional level in 2008R2. It is therefore possible to join a Windows Server 2012R2 configured in 2008R2 functional level with a Samba-AD domain as an AD.
Dann ist da mit der Ebene 2012 sowieso Schluss und den "letzten Schritt" muss ich dann wieder mit zwei Windows DCs machen?Nö, der 2019 kann noch die Funktionsebene 2012R2. Beim aktuellen bin ich mir nicht sicher, meine aber, dass der das auch noch kann. Das Originalschema des Samba-Servers ist aber 2008R2. Was da beschrieben wird, ist die Methode, wie man händisch das Schema unter Samba auf 2012R2 anpasst. Dann kann man jede Version des Windows-Servers in die Domain als DC aufnehmen, der die Funktionsebene unterstützt.
Werd mich da die nächsten Tage mal durch kämpfen. Sofern was interessantes dabei raus kommt - das teilungswürdig ist- werd ich dem hier noch kund tun, falls andere das Thema per Suche finden ;)
Viel Spaß dabei.
Liebe Grüße
Erik
Es ist (fast) vollbracht. Für die, die über die Suchfunktion hier gelandet sind, anbei meinen Vorgehensweise, das AD zu übernehmen (ob sie sich als Anleitung eignet? Vielleicht. Bei mir hat sie funktioniert, ob sie immer funktioniert, kann ich nicht garantieren.)
Unten noch ein paar Probleme, vor welchen ich noch stehe, eventuell hat hier jemand eine Lösung für mich
.
Step 1
Als erstes wird ein Windows Server 2008 R2 benötigt. Out of Support, also bald wieder ablösen. Damit der Domäne beitreten und den Server zum Domain Controller hochstufen. Nach dem ersten Neustart prüfen, ob der Server die Domäne verwalten kann. Nach der Hochstufung muss noch manuell das SysVol Verzeichnis aktiviert werden. Für die Replikation habe ich es mir relativ einfach gemacht. Ich habe das bestehende SysVol Verzeichnis der UCS einfach über 2 Explorer Fenster in das "neue" SysVol Share auf dem 2008er R2 Server kopiert. Danach einmal die Gruppenrichtlinien Verwaltung öffnen und unter "Gesamtstruktur -> Domänen -> <DOMAIN> -> Gruppenrichtlinienelemente" die Gruppenrichtlinien einmal anklicken. Hierbei bekommt ihr dann die Meldung, dass - vermutlich durch das einfache rüber kopieren - die Berechtigungen des SysVol Shares nicht mehr passen. Dieses könnt ihr mit einem Klick auf "Ja" allerdings gleich beheben lassen. Das ganze für die anderen Gruppenrichtlinien auch durchrühren. Sofern IPv6 nicht verwendet wird, noch das Protokoll deaktivieren. Danach natürlich (bevor ihr weitermacht) mal die UCS runter fahren und prüfen, ob ihr danach noch immer das AD verwalten könnt!
Step 2
Nachdem die Domain nun "drüben" ist, gings drum die UCS los zu werden (Aus Erfahrung: Prüfen, was die UCS "sonst noch so macht"!). Da ich keine Ahnung habe, ob die UCS zurückgestuft werden kann. Also Holzhammermethode. UCS runterfahren und wie einen "defekten" Domain Controller aus dem AD entfernen.
Step 3
Nun dem AD mit einem Windows Server 2012 R2 Server beitreten und ebenfalls zu einem Domain Controller hochstufen (nach der Entfernung der UCS als Domain Controller ging das auf Anhieb). Allerdings wurde hierbei wieder kein SysVol und NETLOGON Share erstellt. Daher also wieder den SysVol Inhalt manuell kopiert. und im Gruppenrichtlinieneditor die GPOs "durchklicken". Danach wieder IPv6 deaktivieren und Testen, ob das AD noch lebt, wenn der 2008er R2 Server aus ist. Hier habe ich mir die Entfernung auch wieder einfach gemacht. Also den 2008er R2 DC aus gelassen und aus dem AD entfernt. Danach die AD Forest Ebene auf 2012 R2 angehoben.
Step 4
Nun mit einem Windows Server 2022 dem AD beitreten und die Schritte auf Step 3 wiederholen.
Nun zu meinen Problemen
Die SysVol Replikation steht seit einem Tag auf dem Status 2, obwohl es nur noch einen DC - den 2022er - gibt. Kann man die Replikation in den Status 4 zu "zwingen"? Replizieren kann der Server ja nichts, es ist ja sonst keiner mehr da.
Im AD passen die _ldap._tcp.dc._msdcs DNS SRV Einträge noch nicht. Wenn ich diese mal prüfe bekomme ich noch den temporären DC02 (Der Windows Server 2012R2) zurück. Interessant ist, dass der die UCS immer noch als DNS Server erkannt wird, obwohl dies inzwischen auch der neue DC ist (wenn auch mit gleicher IP Adresse). Gibt es eine Funktion von wegen "Du bist jetzt der einzige DC, räum mal den DNS auf", oder muss man das händisch machen? Wo werden die SRV Einträge für die Domäne gesetzt? Hab schon an den Stellen in der _msdcs -Zone die Einträge bereinigt, an denen ich vermutet hatte, dass diese dort sind.
Unten noch ein paar Probleme, vor welchen ich noch stehe, eventuell hat hier jemand eine Lösung für mich
.Step 1
Als erstes wird ein Windows Server 2008 R2 benötigt. Out of Support, also bald wieder ablösen. Damit der Domäne beitreten und den Server zum Domain Controller hochstufen. Nach dem ersten Neustart prüfen, ob der Server die Domäne verwalten kann. Nach der Hochstufung muss noch manuell das SysVol Verzeichnis aktiviert werden. Für die Replikation habe ich es mir relativ einfach gemacht. Ich habe das bestehende SysVol Verzeichnis der UCS einfach über 2 Explorer Fenster in das "neue" SysVol Share auf dem 2008er R2 Server kopiert. Danach einmal die Gruppenrichtlinien Verwaltung öffnen und unter "Gesamtstruktur -> Domänen -> <DOMAIN> -> Gruppenrichtlinienelemente" die Gruppenrichtlinien einmal anklicken. Hierbei bekommt ihr dann die Meldung, dass - vermutlich durch das einfache rüber kopieren - die Berechtigungen des SysVol Shares nicht mehr passen. Dieses könnt ihr mit einem Klick auf "Ja" allerdings gleich beheben lassen. Das ganze für die anderen Gruppenrichtlinien auch durchrühren. Sofern IPv6 nicht verwendet wird, noch das Protokoll deaktivieren. Danach natürlich (bevor ihr weitermacht) mal die UCS runter fahren und prüfen, ob ihr danach noch immer das AD verwalten könnt!
Step 2
Nachdem die Domain nun "drüben" ist, gings drum die UCS los zu werden (Aus Erfahrung: Prüfen, was die UCS "sonst noch so macht"!). Da ich keine Ahnung habe, ob die UCS zurückgestuft werden kann. Also Holzhammermethode. UCS runterfahren und wie einen "defekten" Domain Controller aus dem AD entfernen.
Step 3
Nun dem AD mit einem Windows Server 2012 R2 Server beitreten und ebenfalls zu einem Domain Controller hochstufen (nach der Entfernung der UCS als Domain Controller ging das auf Anhieb). Allerdings wurde hierbei wieder kein SysVol und NETLOGON Share erstellt. Daher also wieder den SysVol Inhalt manuell kopiert. und im Gruppenrichtlinieneditor die GPOs "durchklicken". Danach wieder IPv6 deaktivieren und Testen, ob das AD noch lebt, wenn der 2008er R2 Server aus ist. Hier habe ich mir die Entfernung auch wieder einfach gemacht. Also den 2008er R2 DC aus gelassen und aus dem AD entfernt. Danach die AD Forest Ebene auf 2012 R2 angehoben.
Step 4
Nun mit einem Windows Server 2022 dem AD beitreten und die Schritte auf Step 3 wiederholen.
Nun zu meinen Problemen
Die SysVol Replikation steht seit einem Tag auf dem Status 2, obwohl es nur noch einen DC - den 2022er - gibt. Kann man die Replikation in den Status 4 zu "zwingen"? Replizieren kann der Server ja nichts, es ist ja sonst keiner mehr da.
Im AD passen die _ldap._tcp.dc._msdcs DNS SRV Einträge noch nicht. Wenn ich diese mal prüfe bekomme ich noch den temporären DC02 (Der Windows Server 2012R2) zurück. Interessant ist, dass der die UCS immer noch als DNS Server erkannt wird, obwohl dies inzwischen auch der neue DC ist (wenn auch mit gleicher IP Adresse). Gibt es eine Funktion von wegen "Du bist jetzt der einzige DC, räum mal den DNS auf", oder muss man das händisch machen? Wo werden die SRV Einträge für die Domäne gesetzt? Hab schon an den Stellen in der _msdcs -Zone die Einträge bereinigt, an denen ich vermutet hatte, dass diese dort sind.
