====== Domaincontrollerrollen übertragen ======
\\
**__Der Text wurde bei einem Domaincontrollerumzug von Server 2003 auf Server 2012 geschrieben.
Daher sind auch einzelne Hinweise für Server 2003 enthalten.__**
**In dem Szenario sind folgende Server enthalten:**\\
* OldDC [Server2003] (als alter Haupt-DC mit allen FSMO-Rollen und DNS-Zones)
* FirstDC [Server2012] (als zweiter Replication-DC und als Zertifikateserver)
* SecondDC [Server2012] (neuer DC der alle FSMO-Rollen und DNS-Zones übernehmen soll)
=====Ermittlung des DC mit allen FSMO-Rollen=====
netdom query fsmo
oder für ältere Systeme (Server 2003)
dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo rid
dsquery server -hasfsmo pdc
dsquery server -hasfsmo infr
===Ergbnis:===
Schema owner OldDC.srv.domainname.local
Domain role owner OldDC.srv.domainname.local
PDC role OldDC.srv.domainname.local
RID pool manager OldDC.srv.domainname.local
Infrastructure owner OldDC.srv.domainname.local
\\
=====DHCP-Server Konfigurieren=====
DHCP Adressbereiche müssen manuell eingerichtet werden da der Ex/Import von Server 2003 auf Server 2012 nicht funktioniert.
Pool: 192.168.1.120 - 192.168.1.179 /24 \\
Lease : 8 tage \\
Router: 192.168.1.3 \\
DNS-Server: 192.168.1.7, 192.168.1.18, 192.168.1.25 \\
DNS-Domänenname: srv.domainname.local \\
Reservierungen: 36 (siehe tabelle unten) \\
Get-DhcpServerv4Reservation -ScopeId 192.168.1.0
===Ergebnis:===
IPAddress ScopeId ClientId Name Type Description
--------- ------- -------- ---- ---- -----------
192.168.1.120 192.168.1.0 00-08-5d-90-fe-49 aastra5380ip00085... Both Palm
192.168.1.121 192.168.1.0 00-08-5d-90-fe-4a aastra5380ip00085... Both Tölke
...
192.168.1.128 192.168.1.0 00-08-5d-90-c7-a0 aastra5370ip00085... Both Thinius
192.168.1.129 192.168.1.0 00-08-5d-90-c7-a2 aastra5370ip00085... Both Schmidt
aastra5370ip00085... = aastra5380ip.srv.domainname.local
\\
\\
=====DNS-Server Konfigurieren=====
1. DNS-Manager öffnen \\
2. DNS-Server anwählen \\
3. Weiterleitungen öffnen \\
4. externe Weiterleitungen eintragen \\
192.168.1.7 OldDC.srv.domainname.local \\
192.168.1.18 FirstDC.srv.domainname.local \\
\\
=====Replizierungstest=====
repadmin /showrepl
\\
=====Domaincontroller Diagnose=====
dcdiag
\\
=====DNSZones verschieben=====
====DomainDNSZones (DC=DomainDnsZones,DC=yourdomain,DC=local):====
fSMORoleOwner=CN=NTDS Settings,CN=OldDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local
geändert in:
fSMORoleOwner=CN=NTDS Settings,CN=SecondDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local
\\
====ForestDNSZones:====
fSMORoleOwner=CN=NTDS Settings,CN=OldDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local
geändert in:
fSMORoleOwner=CN=NTDS Settings,CN=SecondDC,CN=Servers,CN=AD-Musterstadt-KHW01,CN=Sites,CN=Configuration,DC=srv,DC=domainname,DC=local
\\
=====Umziehen der FSMO-Rollen=====
**per Konsole**
NTDSUTIL
ROLES // mit ROLES wechselt man zur “fsmo maintenance” in dieser Ebene gibt man Connections ein.
Connections
Connect to Server SecondDC // zukünftiger Rolleninhaber
quit // In der „server connections“ Ebene muss man mit “quit” oder „q“ erneut zur „fsmo maintenance“ Ebene wechseln.
// Nun können die Betriebsmasterrollen auf den fokussierten DC übertragen werden: Transfer
Transfer schema master
Transfer domain naming master (gilt bis einschließlich Windows Server 2003!)
Transfer naming master (gilt ab Windows Server 2008!)
Transfer RID master
Transfer PDC
Transfer infrastructure master
**per MMC**
Active Directory-Schema [schema]
Active Directory-Domänen und -Vertrauensstellungen [name]
Active Directory-Benutzer und -Computer [rid,pdc,infr]
für Active Directory-Schema:
regsvr32 schmmgmt.dll
NETDOM QUERY FSMO
\\
=====Replizierungstest=====
repadmin /showrepl
===Ergebnis:===
Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt
AD-Musterstadt-KHW01\SecondDC
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: 655222cc-3dcc-4624-a010-9b258eebf6a1
DSA-Aufrufkennung: 53277abd-a966-4b4a-a432-776b8b39d91d
==== EINGEHENDE NACHBARN=====================================
DC=srv,DC=domainname,DC=local
AD-Musterstadt-KHW01\FirstDC über RPC
DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57
Letzter Versuch am 2015-08-24 13:21:42 war erfolgreich.
AD-Musterstadt-KHW01\OldDC über RPC
DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b
Letzter Versuch am 2015-08-24 13:21:43 war erfolgreich.
CN=Configuration,DC=srv,DC=domainname,DC=local
AD-Musterstadt-KHW01\OldDC über RPC
DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b
Letzter Versuch am 2015-08-24 13:08:38 war erfolgreich.
AD-Musterstadt-KHW01\FirstDC über RPC
DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57
Letzter Versuch am 2015-08-24 13:08:40 war erfolgreich.
CN=Schema,CN=Configuration,DC=srv,DC=domainname,DC=local
AD-Musterstadt-KHW01\OldDC über RPC
DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b
Letzter Versuch am 2015-08-24 13:07:55 war erfolgreich.
AD-Musterstadt-KHW01\FirstDC über RPC
DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57
Letzter Versuch am 2015-08-24 13:08:10 war erfolgreich.
DC=ForestDnsZones,DC=srv,DC=domainname,DC=local
AD-Musterstadt-KHW01\FirstDC über RPC
DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57
Letzter Versuch am 2015-08-24 13:07:38 war erfolgreich.
AD-Musterstadt-KHW01\OldDC über RPC
DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b
Letzter Versuch am 2015-08-24 13:07:41 war erfolgreich.
DC=DomainDnsZones,DC=srv,DC=domainname,DC=local
AD-Musterstadt-KHW01\FirstDC über RPC
DSA-Objekt-GUID: f447de0e-8194-46ed-880f-398bb69dcf57
Letzter Versuch am 2015-08-24 13:08:02 war erfolgreich.
AD-Musterstadt-KHW01\OldDC über RPC
DSA-Objekt-GUID: b3e36e13-632f-4198-9ffc-17210cec326b
Letzter Versuch am 2015-08-24 13:08:05 war erfolgreich.
\\
=====Domaincontroller Diagnose=====
dcdiag -v
\\
=====Domaincontrollerzertikat=====
**Ereignis-ID 82:**
Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle
URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist:
{DED11DE7-4422-4DD7-BED5-4761609EA841} (Der RPC-Server ist nicht verfügbar. 0x800706ba
(WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)).
Fehler bei der Registrierung für Vorlage: DomainController
**Ereignis-ID 13:**
Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController
mit der Anforderungs-ID N/A von FirstDC.srv.domainname.local\CA (Der RPC-Server ist nicht verfügbar.
0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren.
**Ereignis-ID 6:**
Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten
(0x800706ba) Der RPC-Server ist nicht verfügbar.
**Lösung:**
Prüfung der DCOM Sicherheisteinstellungen
Auf dem CA-Server folgenden Befehl ausführen: dcomcnfg.exe
Komponentendienst->Computer->Arbeitsplatz[Eigenschaften->COM-Sicherheit->Limits bearbeiten...(2x)]
Berechtigung für die Gruppen "Zertifikatdienst-DCOM-Zugriff" und "Jeder" kontrollieren.
(CERTSVC_DCOM_ACCESS war gesetzt jedoch fehlte die Domänengruppe "Zertifizierungsdienst-DCOM_Zugriff")