====== Domaincontrollerrollen übertragen ====== \\ **__Der Text wurde bei einem Domaincontrollerumzug von Server 2003 auf Server 2012 geschrieben. Daher sind auch einzelne Hinweise für Server 2003 enthalten.__** **In dem Szenario sind folgende Server enthalten:**\\ * OldDC [Server2003] (als alter Haupt-DC mit allen FSMO-Rollen und DNS-Zones) * FirstDC [Server2012] (als zweiter Replication-DC und als Zertifikateserver) * SecondDC [Server2012] (neuer DC der alle FSMO-Rollen und DNS-Zones übernehmen soll) =====Ermittlung des DC mit allen FSMO-Rollen===== netdom query fsmo oder für ältere Systeme (Server 2003) dsquery server -hasfsmo schema dsquery server -hasfsmo name dsquery server -hasfsmo rid dsquery server -hasfsmo pdc dsquery server -hasfsmo infr ===Ergbnis:=== Schema owner OldDC.srv.domainname.local Domain role owner OldDC.srv.domainname.local PDC role OldDC.srv.domainname.local RID pool manager OldDC.srv.domainname.local Infrastructure owner OldDC.srv.domainname.local \\ =====DHCP-Server Konfigurieren===== DHCP Adressbereiche müssen manuell eingerichtet werden da der Ex/Import von Server 2003 auf Server 2012 nicht funktioniert. Pool: 192.168.1.120 - 192.168.1.179 /24 \\ Lease : 8 tage \\ Router: 192.168.1.3 \\ DNS-Server: 192.168.1.7, 192.168.1.18, 192.168.1.25 \\ DNS-Domänenname: srv.domainname.local \\ Reservierungen: 36 (siehe tabelle unten) \\ Get-DhcpServerv4Reservation -ScopeId 192.168.1.0 ===Ergebnis:=== IPAddress ScopeId ClientId Name Type Description --------- ------- -------- ---- ---- ----------- 192.168.1.120 192.168.1.0 00-08-5d-90-fe-49 aastra5380ip00085... Both Palm 192.168.1.121 192.168.1.0 00-08-5d-90-fe-4a aastra5380ip00085... Both Tölke ... 192.168.1.128 192.168.1.0 00-08-5d-90-c7-a0 aastra5370ip00085... Both Thinius 192.168.1.129 192.168.1.0 00-08-5d-90-c7-a2 aastra5370ip00085... Both Schmidt aastra5370ip00085... = aastra5380ip.srv.domainname.local \\ \\ =====DNS-Server Konfigurieren===== 1. DNS-Manager öffnen \\ 2. DNS-Server anwählen \\ 3. Weiterleitungen öffnen \\ 4. externe Weiterleitungen eintragen \\ 192.168.1.7 OldDC.srv.domainname.local \\ 192.168.1.18 FirstDC.srv.domainname.local \\ \\ =====Replizierungstest===== repadmin /showrepl \\ =====Domaincontroller Diagnose===== dcdiag \\ =====DNSZones verschieben===== ====DomainDNSZones (DC=DomainDnsZones,DC=yourdomain,DC=local):==== fSMORoleOwner=CN=NTDS Settings,CN=OldDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local geändert in: fSMORoleOwner=CN=NTDS Settings,CN=SecondDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local \\ ====ForestDNSZones:==== fSMORoleOwner=CN=NTDS Settings,CN=OldDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local geändert in: fSMORoleOwner=CN=NTDS Settings,CN=SecondDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local \\ =====Umziehen der FSMO-Rollen===== **per Konsole** NTDSUTIL ROLES // mit ROLES wechselt man zur “fsmo maintenance” in dieser Ebene gibt man Connections ein. Connections Connect to Server SecondDC // zukünftiger Rolleninhaber quit // In der „server connections“ Ebene muss man mit “quit” oder „q“ erneut zur „fsmo maintenance“ Ebene wechseln. // Nun können die Betriebsmasterrollen auf den fokussierten DC übertragen werden: Transfer Transfer schema master Transfer domain naming master (gilt bis einschließlich Windows Server 2003!) Transfer naming master (gilt ab Windows Server 2008!) Transfer RID master Transfer PDC Transfer infrastructure master **per MMC** Active Directory-Schema [schema] Active Directory-Domänen und -Vertrauensstellungen [name] Active Directory-Benutzer und -Computer [rid,pdc,infr] für Active Directory-Schema: regsvr32 schmmgmt.dll NETDOM QUERY FSMO \\ =====Replizierungstest===== repadmin /showrepl ===Ergebnis:=== Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt AD-Musterstadt-KHW01\SecondDC DSA-Optionen: IS_GC Standortoptionen: (none) DSA-Objekt-GUID: 655222cc-3dcc-4624-a010-9b258eebf6a1 DSA-Aufrufkennung: 53277abd-a966-4b4a-a432-776b8b39d91d ==== EINGEHENDE NACHBARN===================================== DC=srv,DC=domainname,DC=local AD-Musterstadt-KHW01\FirstDC über RPC DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57 Letzter Versuch am 2015-08-24 13:21:42 war erfolgreich. AD-Musterstadt-KHW01\OldDC über RPC DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b Letzter Versuch am 2015-08-24 13:21:43 war erfolgreich. CN=Configuration,DC=srv,DC=domainname,DC=local AD-Musterstadt-KHW01\OldDC über RPC DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b Letzter Versuch am 2015-08-24 13:08:38 war erfolgreich. AD-Musterstadt-KHW01\FirstDC über RPC DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57 Letzter Versuch am 2015-08-24 13:08:40 war erfolgreich. CN=Schema,CN=Configuration,DC=srv,DC=domainname,DC=local AD-Musterstadt-KHW01\OldDC über RPC DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b Letzter Versuch am 2015-08-24 13:07:55 war erfolgreich. AD-Musterstadt-KHW01\FirstDC über RPC DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57 Letzter Versuch am 2015-08-24 13:08:10 war erfolgreich. DC=ForestDnsZones,DC=srv,DC=domainname,DC=local AD-Musterstadt-KHW01\FirstDC über RPC DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57 Letzter Versuch am 2015-08-24 13:07:38 war erfolgreich. AD-Musterstadt-KHW01\OldDC über RPC DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b Letzter Versuch am 2015-08-24 13:07:41 war erfolgreich. DC=DomainDnsZones,DC=srv,DC=domainname,DC=local AD-Musterstadt-KHW01\FirstDC über RPC DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57 Letzter Versuch am 2015-08-24 13:08:02 war erfolgreich. AD-Musterstadt-KHW01\OldDC über RPC DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b Letzter Versuch am 2015-08-24 13:08:05 war erfolgreich. \\ =====Domaincontroller Diagnose===== dcdiag -v \\ =====Domaincontrollerzertikat===== **Ereignis-ID 82:** Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {DED11DE7-4422-4DD7-BED5-4761609EA841} (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Fehler bei der Registrierung für Vorlage: DomainController **Ereignis-ID 13:** Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von FirstDC.srv.domainname.local\CA (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren. **Ereignis-ID 6:** Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. **Lösung:** Prüfung der DCOM Sicherheisteinstellungen Auf dem CA-Server folgenden Befehl ausführen: dcomcnfg.exe Komponentendienst->Computer->Arbeitsplatz[Eigenschaften->COM-Sicherheit->Limits bearbeiten...(2x)] Berechtigung für die Gruppen "Zertifikatdienst-DCOM-Zugriff" und "Jeder" kontrollieren. (CERTSVC_DCOM_ACCESS war gesetzt jedoch fehlte die Domänengruppe "Zertifizierungsdienst-DCOM_Zugriff")