Windows: Active Directory-Migration von Windows 200x auf Windows Server 2008 R2 – Eine Kurzanleitung

Wer ein Active Directory von Windows 2000 Server oder Windows Server 2003 auf Windows Server 2008 R2 migrieren möchte, muss zuerst ein paar kleinere Vorbereitungen treffen und etwas Nacharbeit investieren.

Voraussetzung für eine erfolgreiche Migration von Windows 2000 Server ist zum einen Service Pack 4 und zum anderen muss sich die Domäne im einheitlichen Modus (Active Directory-Benutzer und -Computer – Rechtsklick auf DOMÄNENNAME und Domänenfunktionsebene heraufstufen anklicken) befinden.

Hinweis: Sollte es sich bei den verwendeten Windows Server 2003 Domänencontrollern um die x64-Editionen handeln, muss statt “adprep32.exe” “adprep.exe” verwendet werden!

Folgende Schritte sind für eine Migration durchzuführen:

1. Auf dem Schemamaster den Befehl “adprep32.exe /forestprep” von der Windows Server 2008 R2 Setup – DVD (“\support\adprep”) ausführen.

2. Auf dem Infratrukturmaster den Befehl “adprep32.exe /domainprep /gpprep” von der Windows Server 2008 R2 Setup – DVD (“\support\adprep”) ausführen.

Optional: Sollte der Einsatz von read-only Domänencontrollern geplant sein, zusätzlich den Befehl “adprep32.exe /rodcprep” von der Windows Server 2008 R2 Setup – DVD (“\support\adprep”) ausführen.

3. Die neuen Windows Server 2008 R2 Server installieren und in die Domäne aufnehmen.

4. Den Befehl “dcpromo” auf den Windows Server 2008 R2 Server ausführen.

Normalerweise wird über den Server-Manager die Rolle installiert. “dcpromo” erfüllt den gleichen Zweck und spart einem unnötige Klickerei.

Tipp: Nach dem Start von “dcpromo” den Erweiterten Modus auswählen und den Domänencontroller als Globaler Katalog-Server konfigurieren, so spart man sich nachträgliche Arbeit.

5. An diesem Punkt müssen die FSMO-Rollen übernommen werden. Dies kann bereits auf den neuen Windows Server 2008 R2 Domänencontrollern durchgeführt werden. Anbei Stichpunktartig an welchen Stellen welcher Betriebsmaster übernommen werden kann:

Active Directory-Benutzer und -Computer

  • Rechtsklick auf DOMÄNENNAME und Betriebsmaster… anklicken.
  • Registerkarte RID
  • Registerkarte PDC
  • Registerkarte Infrastruktur

Active Directory-Domänen und -Vertrauensstellungen

  • Rechtsklick auf Active Directory-Domänen und -Vertrauensstellungen (DCNAME.DOMÄNENNAME) und Betriebsmaster… anklicken.
  • Domänennamen-Betriebsmaster ändern.

Um den Schemamaster ändern zu können, muss zunächst eine Eingabeaufforderung geöffnet und der Befehl “regsvr32 schmmgmt.dll” ausgeführt werden. Anschließend muss eine neue MMC erstellt und das Snap-In “Active Directory-Schema” hinzufügt werden.

  • Rechtsklick auf Active Directory-Schema und Active Directory-Domänencontroller ändern anklicken.
  • Anschließend den Domänencontroller auswählen, der zukünftig die Rolle ausführen soll.
  • Rechtsklick auf Active Directory-Schema und Betriebsmaster… anklicken.

Tipp: In einer Eingabeaufforderung kann mit dem Befehl “netdom query fsmo” ermittelt werden, welche FSMO-Rolle auf welchem Server ausgeführt wird.

6. Auf einem Windows Server 2008 R2 Domänencontroller unter “Active Directory-Benutzer und -Computer” – “Domain Controllers” die Eigenschaften der Windows 200x Domänencontroller öffnen, auf NTDS-Einstellungen klicken und den Haken bei “Globaler Katalog” entfernen.

7. Die alten Domänencontroller können nun mit dem Befehl “dcpromo”, der auf den jeweiligen Server auszuführen ist, heruntergestuft werden.

ACHTUNG: Nach dem Herunterstufen lädt Windows 2000 Server ggf. das Benutzerprofil des Administrators nicht mehr bei der Domänenanmeldung. Lokal als Administrator anmelden und den Computer aus der Domäne nehmen.
Am besten im Vorfeld alle Daten migrieren, so dass das System nur noch heruntergestuft und entfernt werden kann. Ggf. den Computer manuell aus dem AD entfernen und das DNS bereinigen (DNS Host-Einträge, Nameserver in den DNS-Eigenschaften).

8. Ggf. die Domänenfunktionsebene heraufstufen (“Active Directory-Benutzer und -Computer” – “Domänenfunktionsebene heraufstufen” anklicken) und mit dem Befehl “dcdiag” die neuen Domänencontroller überprüfen.

7 Kommentare

  1. Willi

    Hi Andy,

    vielen Dank für den Artikel und die sehr nützlichen und interessanten Informationen. Kann man immer sehr gut gebrauchen so was!

  2. Willi

    PS: Deine Uhrzeit geht noch net richtig 😉 Stichwort Winter/Sommerzeit

  3. Andy

    Danke für den Hinweis. Die Zeitzone war verstellt, warum auch immer :-S

  4. Uli

    Hallo, ich habe eine Frage zu dem Punkt 6

    Ich habe im AD neben dem neuen 2008 R2 auch noch die beiden alten Server 2003 stehen.

    Muss ich nun bei allen drei den Haken “Globaler Katalog” entfernen oder nur bei den Servern 2003 und bei 2008 drin lassen.

    Sorry für die blöde Frage, aber das ist meine erste Migration

  5. andy

    Hallo Uli,

    das kommt darauf an, ob die alten DCs aus dem Netz genommen werden sollen. Im Beitrag ging es darum, die alten DCs letztlich herunterzustufen und offline zu nehmen, von daher sollten alle nicht mehr benötigten Global Catalog-Server entfernt werden.

    Sofern ich dich richtig verstehe würde das bedeuten, in deinem Fall den Haken bei den 2003ern zu entfernen und bei den 2008ern (R2) drin zu lassen.

  6. melvin

    Ich hoffe ich finde hier meine Antwort :
    Wir haben noch windows 2000 Rechner stehen.
    Diese haben wir natürlich auch ins AD (vorher SAMBA3) umgestellt .
    Doch jetzt greifen die Richtlinien nicht. Liegt es daran ,das WindowsServer2008r2 keine win2000 Rechner mehr unterstützt , bezüglich des Active Directorys ?

    Ich danke euch schonmal im vorraus !

    LG Melvin

  7. andy

    Ich konnte auf die Schnelle nichts dazu finden, ob Windows 2000 von Windows Server 2008 R2 unterstützt wird.
    Viel mehr dürfte die Frage lauten, ob NT4-Richtlinien unterstützt werden, außer man hat’s irgendwie anders gemacht.

    Wie waren denn die Richtlinien unter der Samba-Domäne realisiert?
    Wie zu NT4.x-Zeiten mittels Systemrichtlinien-Editor (https://wiki.samba.org/index.php/Implementing_System_Policies_with_Samba?
    Oder kamen z.B. Lösungen wie von Nitrobit (http://nitrobit.com/) zum Einsatz?

    Wurde ggf. versucht, die Einstellungen in GPOs im AD neu zu konfigurieren?
    Meines Wissens nach (kann mich aber täuschen), kann man die alten Richtlinien nicht ohne weiteres (falls überhaupt) zum AD übernehmen.

    Auf den W2K Clients folgende Registry-Key bzw. die entsprechende Gruppenrichtlinie prüfen:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableNT4Policy

    Quelle: http://windowsitpro.com/systems-management/how-can-i-enable-old-ntconfigpol-be-used-windows-2000-clients

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑