Windows Server 2003 - Handbuch für die Bereitstellung
Migration von Windows NT 4.0 Domänen auf Windows Server 2003
Der Umstieg von Microsoft Windows NT 4.0 auf Microsoft Windows Server 2003 ermöglicht Ihrem Unternehmen den Zugriff auf alle Vorteile, die sich durch den Einsatz von Active Directory bieten. Der Prozess der Migration beinhaltet dabei zwei Stufen: zum einen das direkte Aktualisieren an sich, zum anderen das Neustrukturieren der bestehenden Windows NT 4.0-Domänen. Bei der Migration von Windows NT 4.0 auf Windows Server 2003 steht es Ihnen frei, ein so genanntes In-Place-Upgrade für die Account-Domäne (Konten- oder Master-Domäne), die Ressourcen-Domäne alleine oder aber für beide Domänentypen durchzuführen.
Zurück zur Übersichtsseite
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Engl. Originaltitel: Upgrading Windows NT 4.0 Domains to Windows Server 2003
Danke für Ihr Interesse an der Dokumentation, die durch das Windows Ressource Kit Team erstellt wurde. Sollten Sie Anregungen oder Anmerkungen zur Relevanz, Nützlichkeit oder der Vollständigkeit des Inhaltes der besprochenen Themen haben, dann schicken Sie diese bitte per E-Mail und in englischer Sprache an docbeta@microsoft.com. Bitte geben Sie in der Betreff-Zeile Ihrer E-Mail den Überschriftentext ein und vermerken Sie in der Mail auch die Seitenzahlen der entsprechenden Textstellen. Sie haben auch die Möglichkeit, Ihre Kommentare als Anlagen zu senden.
© 1985-2002 Microsoft GmbH. Alle Rechte vorbehalten.
Der Umstieg von Microsoft Windows NT 4.0 auf Microsoft Windows Server 2003 ermöglicht Ihrem Unternehmen den Zugriff auf alle Vorteile, die sich durch den Einsatz von Active Directory bieten. Der Prozess der Migration von Windows NT 4.0 auf Windows Server 2003 beinhaltet zwei Stufen, zum einen das direkte Aktualisieren an sich und zum anderen das Neustrukturieren der bestehenden Windows NT 4.0-Domänen. Bei der Migration von Windows NT 4.0 auf Windows Server 2003 steht es Ihnen frei, ein so genanntes In-Place-Upgrade für die Account-Domäne (Konten- oder Masterdomäne), die Ressourcen-Domäne alleine oder aber für beide Domänentypen durchzuführen.
Weiterführende Informationen innerhalb des Ressource Kits
| • | Weiterführende Informationen zum Thema "Neustrukturierung von Domänen" bei der Migration finden Sie im Abschnitt "Neustrukturierung von Windows NT 4.0 Domänen in einer Windows .NET - Umgebung" innerhalb des Resource Kits |
| • | Weiterführende Informationen zum Thema "logische Struktur des Active Directory" finden Sie im Abschnitt "Entwerfen einer logischen Struktur" innerhalb des Resource Kits |
| • | Weiterführende Informationen zum Thema "Betriebsmodi des Windows .NET Active Directory" finden Sie im Abschnitt "Aktivieren der Betriebsmodi" innerhalb des Resource Kits. |
| • | Weiterführende Informationen zum Thema "Active Directory Site-Topologie" finden Sie im Abschnitt "Entwerfen der Standorttopologie" innerhalb des Resource Kits. |
Übersicht über das Aktualisieren von Windows NT 4.0-Domänen auf Windows Server 2003
Wenn Sie planen, von Windows NT 4.0 auf Microsoft Windows .NET Standard Server, Microsoft Windows Enterprise Server oder Microsoft Windows .NET Datacenter Server (in diesem Kapitel einheitlich als "Windows Server 2003" bezeichnet) zu migrieren und mit der bestehenden Domänenstruktur zufrieden sind, können Sie ein so genanntes "Domänen-Upgrade" oder auch "In-Place-Upgrade" durchführen. Hierbei wird keine Veränderung an der bestehenden Organisationsstruktur durchgeführt. Während eines solchen Domänen-Upgrades werden die Windows NT 4.0-Domänencontroller auf Windows Server 2003 aktualisiert, Objekte wie Benutzer und Gruppen werden aber nicht verändert. Die Windows NT 4.0-Domäne würde damit in den Betriebsmodus "Windows .NET" überführt.
Das Durchführen eines In-Place-Upgrades (Domänen-Upgrades) auf eine Windows .NET Domäne hat folgende Vorteile:
| • | Alle Domänen-Objekte der Windows NT 4.0-Domäne werden in Active Directory überführt. |
| • | Domänen-Benutzer behalten ihre bestehenden Kennworte und Profile. |
| • | Die Umstellung hat relativ geringe Auswirkungen auf die Windows NT 4.0-Produktiv-Umgebung. |
| • | Die Umstellung bedarf nur weniger administrativer Eingriffe. |
| • | Wichtige Windows .NET-Schlüsselfunktionen werden so in relativ kurzer Zeit für das Unternehmen verfügbar. |
| • | Die Sicherheitsrichtlinien bleiben in Folge der Umstellung unberührt. |
Anmerkung: Ist Ihr Unternehmen mit der bestehenden Domänenstruktur nicht zufrieden, sollten Sie bei der Umstellung auf Windows Server 2003 neu strukturieren. So könnten Sie sich dafür entscheiden, einige Domänen direkt umzustellen, andere jedoch neu zu strukturieren. Weiterführende Informationen über das Thema "Neustrukturierung von Domänen" finden Sie im Abschnitt "Neustrukturierung von Windows NT 4.0 Domänen in einer Windows .NET - Umgebung" innerhalb des Resource Kits.
Im Abschnitt "Weiterführende Quellen" finden Sie eine Liste von Vorlagen, die Sie beim Upgrade von Windows NT 4.0-Domänen auf Windows Server 2003 unterstützen.
Der Ablauf des Upgrades von Windows NT 4.0-Domänen auf Windows Server 2003
Das Upgrade Ihrer Windows NT 4.0-Umgebung auf Windows Server 2003 besteht aus mehreren Schritten: Zuerst sollten Sie die notwendigen Planungen durchführen. Erst daran schließt sich der eigentliche Prozess des Upgrades an. Abbildung 6.1 zeigt den Verlauf einer direkten Aktualisierung von Windows NT 4.0-Domänen auf Windows Server 2003.
Abbildung 6.1: Verlauf einer direkten Aktualisierung von Windows NT 4.0-Domänen auf Windows Server 2003
Hintergrundinformationen über das Upgrade auf Windows Server 2003
Es ist sehr wichtig, dass Sie das Design Ihrer Active Directory-Struktur festlegen, bevor Sie mit dem In-Place-Upgrade von Windows NT 4.0 auf Windows Server 2003 beginnen. Weiterführende Informationen finden Sie im Abschnitt "Entwerfen einer logischen Struktur für das Active Directory" innerhalb des Resource Kits.
Um alle Vorteile, die sich aus der Umstellung von Windows NT 4.0 Server-Umgebungen auf Windows Server 2003 ergeben, nutzen zu können, müssen Sie zuerst den Betriebsmodus für Ihren Forest und Ihre Domäne erhöhen.
Betriebsmodi
Die unterschiedlichen Betriebsmodi einer Domäne oder eines Forests legen fest, welche Kombinationen aus Betriebssystemen auf den Domänencontrollern innerhalb der Domäne oder des Forests eingesetzt werden können. Gleichzeitig wird über den gewählten Betriebsmodus definiert, welche Merkmale des Windows .NET Active Directory innerhalb der Domäne oder des Forests verfügbar sind.
Wenn Sie Windows Server 2003 in einer neuen Umgebung installieren oder aber von einer früheren Version auf Windows Server 2003 aktualisieren, sollten Sie die Wahl des Betriebsmodus' nach folgenden Gesichtspunkten treffen: Identifizieren Sie die Merkmale von Windows .NET sowie die unterschiedlichen Windows-Betriebssysteme, welche innerhalb Ihres Unternehmens eingesetzt werden. Auf diese Art und Weise können Sie sehr leicht den für Ihr Unternehmen besten Betriebsmodus erkennen und aktivieren.
Haben Sie schließlich alle Domänencontroller innerhalb Ihrer Domäne oder Ihres Forests auf Windows Server 2003 aktualisiert, können Sie den Betriebsmodus für Ihre Domäne oder Ihren Forest entsprechend auf die Stufe "Windows .NET" anheben, um dann alle neuen Windows .NET-Funktionalitäten innerhalb Ihrer Umgebung nutzen zu können.
Weiterführende Informationen über das Thema "Betriebsmodi des Windows .NET Active Directory" finden Sie im Abschnitt "Aktivieren der Betriebsmodi" innerhalb des Resource Kits.
Anwendungspartition
Haben Sie mindestens einen Domänencontroller innerhalb Ihres Forests mit Windows Server 2003 installiert, können Sie die Vorteile der so genannten Anwendungspartitionen nutzen. Anwendungspartitionen stellen Speicher für anwendungsspezifische Daten, die von der Domäne nicht abhängig sind, jedoch auf beliebige andere Domänencontroller repliziert werden sollen.
Anwendungspartitionen können in Windows Server 2003 zum Beispiel zum Speichern von Domain Name System (DNS)-Daten genutzt werden. Während der Installation von Active Directory werden auf allen vorhandenen DNS-Servern entsprechende Anwendungspartitionen für das Speichern von DNS-spezifischen Daten automatisch angelegt, vorausgesetzt, der Benutzer, der die Installation durchführt, ist ein Mitglied der Unternehmens-Administrator-Gruppe. Misslingt bei der Installation des Active Directory das Anlegen der Anwendungspartition, versucht DNS diese Anwendungspartition bei jedem Neustart des Computers nach der Installation des Active Directory einzurichten. Wichtig ist, dass Sie, um die DNS-Anwendungspartition anlegen zu können, Mitglied der Unternehmens-Administrator-Gruppe sein müssen.
Während der Installation des Active Directory werden genau zwei DNS-spezifische Anwendungspartitionen eingerichtet: eine Partition auf Forest-Ebene mit der Bezeichnung ForestDNSZone und eine zweite Partition auf Domänen-Ebene für jede Domäne innerhalb des Forest, die als DomainDNSZone bezeichnet wird. Nachdem alle Domänencontroller innerhalb einer Domäne auf Windows Server 2003 aktualisiert sind, können Sie den Bereich für die Replikation jeder Active Directory-integrierten Zone festlegen, in dem Sie diese Zonen in die nun angelegten Anwendungspartitionen verschieben. Das Verschieben der Active Directory-integrierten DNS-Zonen in Anwendungspartitionen hat die nachfolgend aufgeführten Vorteile:
| • | Das Active Directory-integrierte DNS kann innerhalb eines Forests übergreifend genutzt werden, da eine Anwendungspartition auf Forest-Ebene auch über die Grenzen einer einzelnen Domäne hinweg repliziert werden kann. Herkömmliche DNS-Zonenübertragung konnte bisher nicht dazu benutzt werden, die Informationen einer Zonendatenbankdatei außerhalb einer Domäne zu replizieren. |
| • | Domänenweite Replikation kann gezielt eingesetzt werden, um das Replikationsvolumen zu minimieren, da Administratoren nun angeben können, welche der Domänencontroller, die einen DNS-Dienst ausführen, auch die Zonendaten erhalten sollen. |
| • | Forestübergreifende Replikation kann ebenfalls dazu eingesetzt werden, das Replikationsvolumen zu minimieren, da DNS-Informationen nun nicht mehr auf den Global Catalog repliziert werden. |
Weiterführende Information über das Thema Anwendungspartitionen für DNS-Informationen finden Sie im Abschnitt "Benutzen von DNS-Anwendungspartitionen".
Begriffe und Definitionen
Vor dem Upgrade Ihrer Windows NT 4.0-Domäne auf Windows Server 2003 ist es wichtig, dass Sie sich mit den folgenden Begriffen vertraut machen:
| • | Migrationsobjekte. Dies bezeichnet die Objekte, die während der Migration aktualisiert werden. Es kann sich hierbei um Benutzerkonten, Dienstekonten, Gruppen oder Computer handeln. |
| • | Vordefinierte Gruppen.Hier handelt es sich um Sicherheitsgruppen, die gemeinsame Sätze an Rechten und Berechtigungen haben. Durch Hinzufügen von Konten oder Gruppen zu diesen vordefinierten Gruppen können Sie diesen Konten und Gruppen die mit diesen vordefinierten Gruppen verbundenen Berechtigungen zuweisen. Die SIDs der vordefinierten Gruppen sind in jeder Domäne identisch. Somit können sie keine Migrationsobjekte sein. |
Vorbereitung für das Upgrade von Windows NT 4.0-Domänen auf Windows Server 2003
Bevor Sie ein In-Place-Upgrade von Windows NT 4.0-Domänen auf Windows Server 2003 durchführen, sollten Sie einige wichtige Schritte beachten. Diese Schritte zeigen Ihnen einen Weg, der es Ihnen ermöglicht, eine Reihenfolge für die Umstellung der Domänen zu finden. Gleichzeitig erhalten Sie aber auch Zugriff auf verfügbare Hilfsmittel und wichtige Informationen für die Durchführung des Upgrades, die es Ihnen erlauben, das Upgrade so effizient wie möglich durchzuführen.
Abbildung 6.2 zeigt die Schritte, die bei der Vorbereitung einer Migration von Windows NT 4.0-Domänen auf Windows Server 2003 durchgeführt werden sollten.
Abbildung 6.2: Vorbereitung für die Migration einer Windows NT 4.0-Domäne auf Windows .NET Server
Bestimmen von unterstützten Softwareupgrades
Identifizieren Sie alle Versionen von Windows NT 4.0, welche in Ihrer Umgebung eingesetzt werden. Entscheiden Sie danach, ob die Computer auf Windows Server 2003 aktualisiert werden können oder ob das Betriebssystem auf einem leeren System installiert werden muss.
Tabelle 6.1 listet die Windows NT 4.0- und Windows 2000- Plattformen auf und zeigt, ob diese direkt auf die unterschiedlichen Versionen von Windows Server 2003 aktualisiert werden können.
Tabelle 6.1: Unterstützte Upgrade-Pfade auf Windows Server 2003
| Plattform | Upgrade auf Windows Server 2003, Standard Server | Upgrade auf Windows Server 2003, Enterprise Server | Upgrade auf Windows .NET Datacenter Server |
Windows NT 4.0 Server - Standard | ? | ? |
|
Windows NT 4.0 Server - Enterprise |
| ? |
|
Windows 2000 Server | ? | ? |
|
Windows 2000 Advanced Server |
| ? |
|
Windows 2000 Datacenter Server |
|
| ? |
Befinden sich Computer in Ihrer Umgebung, deren Betriebssystem nicht direkt auf eine Version von Windows Server 2003 aktualisiert werden kann, müssen Sie eine der folgenden Methoden für das Aktualisieren wählen:
| • | Wenn Sie zunächst Anwendungen, die auf diesen Computern installiert sind, migrieren müssen, aktualisieren Sie diese Computer als Zwischenstufe auf ein Betriebssystem, welches dann direkt auf Windows Server 2003 aktualisiert werden kann. |
| • | Führen Sie alternativ eine Neuinstallation von Windows Server 2003 auf diesen Rechnern durch. |
Analyse der Hardware
Kontrollieren und dokumentieren Sie für jeden Computer, den Sie aktualisieren möchten, die Hardwarekonfiguration. Benutzen Sie die auf diese Art entstandene Dokumentation, um die Computer zu bestimmen, die direkt auf Windows Server 2003 aktualisiert werden können. Gleichzeitig können Sie auch die Computer ausfindig machen, die nicht den Hardwarevoraussetzungen für das Aktualisieren auf Windows Server 2003 entsprechen. Diese Computer können Sie dann als Mitglied-Server oder aber auch als Rollback-Server für den Fall einsetzen, dass Sie ein Rollback Ihrer Installation durchführen müssen.
Die Mindestvoraussetzungen für einen Windows Server 2003 Standard Server, welcher als Mitglied-Server eingesetzt werden soll, lauten:
| • | 550 MHz CPU |
| • | 256 MB RAM |
| • | 1.5 GB freier Speicherplatz auf der Festplatte |
Auf einem Domänencontroller müssen Sie zusätzlich verfügbaren Speicherplatz für die Unterstützung der Datenbanken des Active Directory vorsehen. Für die Berechnung des notwendigen Speicherplatzes der Active Directory-Datenbank können Sie die nachfolgenden Faustregeln heranziehen:
| • | Auf dem Laufwerk, das die Schematabelle des Active Directory, die NTDS.DIT, aufnehmen wird, sollten Sie ungefähr 10% der bestehenden Datenbankgröße, mindestens aber 250 MB Speicherplatz zur Verfügung stellen. |
| • | Auf dem Laufwerk, das die Transaction-Log-Dateien des Active Directory aufnehmen soll, sollten Sie ungefähr 50 MB freien Speicherplatz vorsehen. |
Um einen optimalen Datendurchsatz zu erzielen, sollten Sie die Active Directory-Datenbankdateien, die Active Directory-Logdateien und die Windows .NET-Betriebssystem-Dateien jeweils auf verschiedene physikalische Festplatten verteilen.
Wichtig: Sollten Sie planen, weitere Dienste wie z. B. DNS auf Ihrem Domänencontroller zu installieren, planen Sie bitte bereits im Vorfeld ausreichend Ressourcen wie ausreichend dimensionierte Prozessoren, Hauptspeicher und Festplattenplatz ein. Weiterführende Informationen finden Sie im Abschnitt "Planen der Domänencontrollerkapazität".
Eine Vorlage, die Ihnen bei der Ermittlung der Hardwarevoraussetzungen behilflich ist, finden Sie auf der Windows Server 2003 Deployment Kit Begleit CD oder unter http://www.microsoft.com/reskit.
Abbildung 6.3 zeigt wie eine solche Dokumentation aussehen könnte. Als Beispiel dient hier ein Unternehmen, das seine 8 Domänencontroller der Kontendomäne kontrollierte, um festzustellen, welche Hardware für eine Installation von Windows Server 2003 angepasst werden muss.
| Bewerten der Hardwarevoraussetzungen | Datum | ||||
|
| ||||
Allgemeine Angaben | |||||
|
| ||||
Domänen-controller | Betriebssystem |
| |||
| CPU | freier Speicher-platz | |||
DC1 | Windows NT 4.0 | 1 G | |||
DC2 | Windows NT 4.0 | 128 MB | |||
DC3 | Windows NT 4.0 | 1 G | |||
DC4 | Windows NT 4.0 | 1 G | |||
DC5 | Windows NT 4.0 | 256 MB | |||
DC6 | Windows NT 4.0 | 64 MB | |||
DC7 | Windows NT 4.0 | 1 G | |||
DC8 | Windows NT 4.0 | 128 MB |
Abbildung 6.3: Bewertung der Hardware für Domänencontroller der Kontendomäne
In diesem Beispiel ist DC6 der einzige Domänencontroller, der die Hardwarevoraussetzungen für die Installation von Windows Server 2003 nicht erfüllt. Hier entschied sich das Unternehmen dazu, zwei andere Pentium-Server (DC2 und DC8) zu Domänencontrollern zu aktualisieren, um die Performance der Server durch den Einsatz neuer Hardware für die Domänencontroller gezielt zu erhöhen.
Dokumentieren der bestehenden Umgebung
Bevor Sie eine Windows NT 4.0-Domäne auf Windows Server 2003 aktualisieren, ist es wichtig, die bestehende Domänenstruktur zu dokumentieren. Dies hilft Ihnen dabei:
| • | mit der bestehenden Topologie, den Netzwerkverbindungen und den eingesetzten Diensten vertraut zu werden, |
| • | Ressourcen zu erkennen, die Sie für die Durchführung des In-Place-Upgrades ausnutzen können, |
| • | Dienste, Anwendungen und andere Komponenten zu erkennen, die bei der Umstellung zu Problemen führen und damit den Upgrade-Prozess verzögern könnten, da sie nicht auf einer Windows Server 2003-Plattform lauffähig sind. |
Erzeugen Sie als erstes ein Diagramm der bestehenden Umgebung. Dieses Diagramm sollte folgende Elemente beinhalten:
| • | Name der Domäne |
| • | Die Namen der Server innerhalb der Domäne |
| • | Die Anzahl der Domänencontroller |
| • | Die Vertrauensstellungen zwischen der Domäne und anderen Domänen |
Besteht bereits eine Dokumentation, dann sollten Sie diese auf Aktualität und Genauigkeit überprüfen.
Abbildung 6.4 zeigt ein Beispiel eines solchen Diagramms.
Abbildung 6.4: Beispiel für ein Domänstrukturdiagramm
Ebenso wichtig wie die Dokumentation der bestehenden Domänenstruktur ist es, die Struktur der Windows .NET-Domäne zu dokumentieren. Folgende Elemente sollten in dieser Dokumentation erwähnt werden:
1. | die Struktur des Windows .NET Forests |
2. | die Beziehungen zwischen den einzelnen Windows .NET-Domänen und den bestehenden Windows NT 4.0-Domänen |
3. | die Beziehungen zwischen den Windows .NET Forests mit anderen Forests. |
Abbildung 6.5 zeigt ein solches Diagramm am Beispiel einer neuen Windows .NET-Umgebung eines Unternehmens.
Abbildung 6.5: Beispiel für ein Diagramm einer neuen Windows .NET-Domänenstruktur
Zusätzlich zur Dokumentation der bestehenden Domänenstruktur sollten Sie folgende Punkte in Ihre Dokumentation einbeziehen:
| • | Server und Dienste innerhalb der Domäne |
| • | Die Mitglieder der globalen Domänenadministratoren-Gruppe |
| • | Anzahl der Benutzer innerhalb der Domäne sowie die auf den Arbeitsplatzrechnern ausgeführten Betriebssysteme |
| • | Die Domänenressourcen |
Dokumentation der Server und Dienste
Suchen und dokumentieren Sie die Domänencontroller, welche in der Windows NT 4.0-Domäne eingesetzt werden. Beziehen Sie in Ihre Dokumentation auch mit ein, welche Rolle der einzelne Domänencontroller innerhalb der Domäne wahrnimmt sowie die auf den einzelnen Domänencontrollern ausgeführten Dienste. Stellen Sie sicher, dass Sie alle Server, welche Remote Access Service (RAS) und LAN Manager Replication (LMRepl) zur Verfügung stellen, erkannt haben. Ein Upgrade auf Windows Server 2003 beeinflusst diese Dienste in erheblichem Maße.
Eine Vorlage, die Ihnen bei der Dokumentation der Server und Dienste behilflich ist, finden Sie auf der Windows Server 2003 Deployment Kit Beglei-CD oder unter http://www.microsoft.com/reskit.
Beispiel: Ein Unternehmen benutzt eine Kontendomäne, die über insgesamt 10 Windows NT 4.0-Domänencontroller verfügt. Da die Ressourcendomäne alle Anwendungsserver umfasst, verfügt die Kontendomäne über keine Mitgliedsserver. Der primäre Domänencontroller DC1 dient gleichzeitig als Windows Internet Naming (WINS)-Server. Darüber hinaus existieren noch zwei Backupdomänencontroller (BDC), DC3 und DC4.
Abbildung 6.6 zeigt die Dokumentation der Domänencontroller und der einzelnen Dienste für die Kontendomäne.
| Domänencontroller und Dienste | Datum | |||
|
| |||
Allgemeine Angaben | ||||
|
| |||
Domänen-controller | Rolle | Dienste | ||
DC1 | PDC | WINS, LMRepl Export-Server | ||
DC2 | BDC | LMRepl Import-Server | ||
DC3 | BDC | WINS, LMRepl Import-Server | ||
DC4 | BDC | WINS, LMRepl Import-Server | ||
DC5 | BDC | LMRepl Import-Server | ||
DC6 | BDC | LMRepl Import-Server | ||
DC7 | BDC | LMRepl Import-Server | ||
DC8 | BDC | LMRepl Import-Server | ||
|
|
|
Abbildung 6.6: Domänencontroller und Dienste innerhalb der Kontendomäne
Weiterführende Informationen über die Auswirkungen, die ein Upgrade auf Windows Server 2003 auf den RAS-Dienst hat, finden Sie im Abschnitt "RAS-Kompatibilität einrichten" in diesem Kapitel. Weiterführende Informationen über die Auswirkung, die ein Upgrade auf Windows Server 2003 auf den LMRepl-Dienst hat, finden Sie im Abschnitt "Synchronisieren von Datei-Replikationsdiensten" in diesem Kapitel.
Dokumentieren der globalen Domänenadministrator-Gruppe
Erfassen Sie die Benutzer, die Mitglieder in der globalen Domänenadministrator-Gruppe sind. Mitglieder dieser Gruppe können die Domäne während des Aktualisierungsvorgangs verwalten. Achten Sie darauf, dass Mitglieder der Domänenadministrator-Gruppe nicht mehr Berechtigung auf die Rootdomäne des Forests erhalten, als sie unbedingt für die Ausführung ihrer Aufgaben benötigen. Dies kann passieren, wenn es sich bei der ersten Domäne, die innerhalb eines Windows .NET Forests aktualisiert wird, um eine Windows NT 4.0-Domäne handelt. Entfernen Sie vor der Aktualisierung auf Windows Server 2003 jedes Mitglied, dem Sie nicht unternehmensweite Administrationsberechtigungen einräumen möchten, aus der Gruppe der Domänenadministratoren.
Eine Vorlage, die Ihnen bei der Dokumentation der globalen Domänenadministrator-Gruppe behilflich ist, finden Sie auf der Windows Server 2003 Deployment Kit Begleit-CD oder unter http://www.microsoft.com/reskit.
Abbildung 6.7 zeigt ein Beispiel für eine Dokumentation, die ein Unternehmen erstellte, um die Mitglieder der Domänenadministratoren-Gruppe ihrer Kontendomäne zu erfassen.
| Domänenadministratoren | Datum | ||
ausgeführt von: ____________________ |
| ||
Allgemeine Angaben | |||
|
| ||
Windows NT 4.0-Domänenadministratoren | Administrative Aufgaben | Mitglied der unternehmensweiten Windows .NET-Administratorengruppe | |
AdminCory | Helpdesk, Abteilung XYZ | Nein | |
AdminDoug | IT-Administrator, Abteilung XYZ | Ja | |
AdminJane | Administrator, Personalabteilung | Nein | |
AdminJoe | Administrator, Marketing-Abteilung | Nein | |
AdminKarla | IT Administrator, XYZ-Abteilung | Ja | |
AdminKathleen | Administrator, Finanzabteilung | Nein | |
AdminKevin | Administrator, Presseabteilung | Nein | |
AdminLetitia | Helpdesk, XYZ Abteilung | Nein | |
|
|
|
Abbildung 6.7: Mitglieder der globalen Domänenadministratoren-Gruppe
Dokumentieren Sie die Domänenbenutzer und die auf den Arbeitsplatzrechnern eingesetzte Betriebssysteme
Erfassen und dokumentieren Sie die Standorte der einzelnen Benutzer innerhalb der Domäne. Notieren Sie auch die auf den einzelnen Arbeitsplatzrechnern eingesetzten Betriebssysteme. Diese Information kann Ihnen bei den folgenden Fragen behilflich sein:
| • | Wie viele Domänencontroller müssen während der ersten Umstellungsphase umgestellt werden, um eine reibungslose Benutzerauthentifizierung gewährleisten zu können? |
| • | Wird die Anzahl der Active Directory-Benutzer die vorgesehenen Windows .NET Server Controller überlasten, wenn alle Active Directory-Benutzer online sind? |
Eine Vorlage, die Ihnen bei der Dokumentation der Benutzer und der auf den Arbeitsstationen eingesetzten Betriebssysteme behilflich ist, finden Sie auf der Windows Server 2003 Deployment Kit Begleit-CD oder unter http://www.microsoft.com/reskit.
Abbildung 6.7 zeigt verschiedene Benutzer innerhalb der Kontendomäne und die auf deren Arbeitsplatzrechnern eingesetzten Betriebssysteme.
| Domänenbenutzer und Betriebssysteme | Datum | |
|
| |
Allgemeine Angaben | ||
|
| |
Benutzername | Betriebssystem | |
BenutzerSAM | Windows NT 4.0 Workstation | |
BenutzerAnna | Windows 98 | |
BenutzerNatalie | Windows 98 SE | |
BenutzerScott | Windows 2000 Professional | |
BenutzerJohn | Windows 2000 Professional | |
BenutzerFrank | Windows XP Professional | |
|
|
|
Abbildung 6.8: Domänenbenutzer und Betriebssysteme auf den Arbeitsplatzrechnern
Dokumentation der Domänencontroller-Zuordnungen
Teil Ihres Migrationsplans sollte es sein, die Rolle, die ein vorhandener Windows 4.0-Domänencontroller in einer Windows .NET-Domäne übernehmen wird, zu bestimmen. Sie können einem Windows NT 4.0-Domänencontroller innerhalb einer Windows .NET-Domäne eine der drei folgenden Rollen zuordnen:
| • | Windows .NET-Domänencontroller. Weisen Sie allen Windows NT 4.0 PDC und anderen Windows NT 4.0-Domänencontrollern, die den Hardware- und Softwarevoraussetzungen für die Rolle eines Windows .NET-Domänencontrollers entsprechen, die Rolle eines Domänencontrollers zu. |
| • | Rollback-Server. Weisen Sie einem Windows NT 4.0-Domänencontroller, der die Voraussetzungen für einen Windows .NET-Domänencontroller nicht erfüllt, die Rolle eines Rollbackservers innerhalb der Windows .NET-Domäne zu. |
| • | Windows .NET-Mitglieds- oder Backupserver. Weisen Sie einem Windows NT 4.0-Domänencontroller, der die Voraussetzungen für einen Windows .NET-Domänencontroller erfüllt, die Rolle eines Mitglieds- oder Backupservers in der Windows .NET-Domäne zu. |
Weiterführende Informationen über die Hardware- und Softwarevoraussetzungen für einen Windows .NET-Domänencontroller finden Sie im Abschnitt "Analyse der Hardware" weiter oben in diesem Kapitel.
Es ist sicher hilfreich, sich eine Liste mit den Zuordnungen der einzelnen Domänencontroller aufzustellen. Diese Liste sollte darstellen, welche Rolle die Windows NT 4.0-Domänencontroller in der Windows .NET-Domäne annehmen sollen. In dieser Tabelle sollten Sie alle Windows NT 4.0-Domänencontroller Ihrer Domäne aufführen und festhalten, ob diese die Windows .NET-Hardwarevoraussetzungen erfüllen. Vermerken Sie auch die Rolle jedes Domänencontrollers vor und nach dem Upgrade der Domäne. Eine Vorlage, die Ihnen bei der Dokumentation der Rollen der Windows NT 4.0-Domänencontroller-Zuordnungen behilflich ist, finden Sie auf der Windows Server 2003 Deployment Kit Begleit-CD oder unter http://www.microsoft.com/reskit.
Abbildung 6.9 zeigt ein Beispiel einer Domänencontroller-Zuordnung.
| Domänencontroller-Zuordnung | Datum | |||
|
| |||
Allgemeine Angaben | ||||
|
| |||
Name | Hardware-voraussetzung erfüllt | Rolle vor der Aktualisierung | ||
DC1 | Ja | Windows NT 4.0 PDC | ||
DC2 | Ja | Windows NT 4.0 BDC | ||
DC3 | Ja | Windows NT 4.0 BDC | ||
DC4 | Ja | Windows NT 4.0 BDC | ||
DC5 | Ja | Windows NT 4.0 BDC | ||
DC6 | Nein | Windows NT 4.0 BDC | ||
DC7 | Ja | Windows NT 4.0 BDC | ||
DC8 | Ja | Windows NT 4.0 BDC | ||
|
|
|
Abbildung 6.9: Domänencontroller-Zuordnung
Festlegen der Reihenfolge für das Upgrade der Domäne
Vor dem Starten der Aktualisierung müssen Sie unbedingt festlegen, in welcher Reihenfolge Sie die einzelnen Windows NT 4.0-Domänen aktualisieren möchten. Da die Kontendomänen (Account-Domänen) normalerweise mehr Objekte als die Ressourcendomänen enthalten, ist es am besten, die Kontendomänen vor den Ressourcendomänen zu aktualisieren. Dies ermöglicht Ihrem Unternehmen, die Nutzung der Vorteile der Windows .NET-Sicherheit und die zusätzlichen Administrationsmöglichkeiten zu einem frühen Zeitpunkt des Upgrade-Prozesses.
Das Festlegen der Reihenfolge, in der Sie die Domänen Ihres Unternehmens auf Windows Server 2003 aktualisieren werden, beinhaltet auch, dass Sie die folgenden Punkte in die Planung mit einbeziehen:
| • | Festlegen der Reihenfolge, in der die Kontendomänen aktualisiert werden. |
| • | Festlegen der Reihenfolge, in der die Ressourcendomänen aktualisiert werden. |
| • | Festlegen der Reihenfolge, in der die einzelnen Objekte der Domäne aktualisiert werden. |
Festlegen der Reihenfolge, in der die Kontendomänen aktualisiert werden
Durch ein Upgrade Ihrer Kontendomäne von Windows NT 4.0 auf Windows Server 2003 können Sie folgende Vorteile nutzen:
| • |
Skalierbarkeit. Da Windows Server 2003 nicht der 40 MByte-Beschränkung der Sicherheitsdatenbank (SAM) von Windows NT 4.0 unterliegt, kann die logische Struktur Ihrer Konten- und Ressourcendomänen auf die Bedürfnisse Ihres Unternehmens angepasst werden. |
| • | Verteilte Administration. Da unter Windows Server 2003 administrative Aufgaben auf den entsprechenden Stufen für einzelne administrative Gruppen vergeben werden können, ist es Ihnen möglich, unterschiedlichste Organisationseinheiten innerhalb einer einzelnen Domäne zu verwalten. |
Die Reihenfolge, in welcher Sie mehrere Kontendomänen innerhalb Ihres Unternehmens aktualisieren, kann wesentlichen Einfluss auf die Effektivität des Upgrade-Prozesses haben. Folgende Richtlinien können Ihnen bei der Entscheidung, in welcher Reihenfolge Ihre Kontendomänen aktualisiert werden sollen, helfen:
| • |
Aktualisieren Sie zuerst eine Domäne, über die Sie direkte Kontrolle und einfachen Zugriff haben. In diesem Fall können Sie die Aktualisierung relativ leicht rückgängig machen, wenn Probleme während der Aktualisierung auftreten. |
| • |
Aktualisieren Sie Domänen, die einen relativ niedrigen Stellenwert in der Domäne haben, sehr früh. Auf diese Art vermindern Sie den Einfluss, den Fehler am Anfang der Migration auf Ihr Unternehmen haben könnte. |
| • |
Nachdem Sie die Domänen, auf welche Sie einfachen Zugriff haben und bei denen das Risiko geringer ist, aktualisiert haben, sollten Sie zügig mit größeren Domänen fortfahren, so dass der Aktualisierungsprozess zeitnah weitergeführt kann. |
| • | Aktualisieren Sie frühzeitig Zieldomänen. Nachdem Sie diese aktualisiert haben, können Sie Objekte von den neu strukturierten Domänen in diese Domänen kopieren oder verschieben. |
Bestimmen Sie die Reihenfolge, in welcher Sie die Ressourcendomänen aktualisieren
Nachdem die Kontendomänen aktualisiert wurden, können Sie mit den Ressourcendomänen fortfahren. Die nachfolgend aufgeführten Regeln können Ihnen bei der Entscheidung, in welcher Reihenfolge Ihre Ressourcendomäne aktualisiert werden sollen, behilflich sein.
| • | Aktualisieren Sie zuerst Ressourcendomänen, die entweder Windows .NET-Features unterstützten oder erfordern. So sollten Sie eine Ressourcendomäne, die Microsoft Exchange 2000 unterstützt, relativ schnell aktualisieren, damit Ihre Exchangeadministratoren bei Bedarf schnell auf Exchange 2002 aktualisieren können. |
| • | Aktualisieren Sie Ressourcendomänen, die eine große Anzahl an Arbeitsplätzen unterstützen, zu einem frühen Zeitpunkt. Hierdurch erhalten die Arbeitsplätze schnell Zugriff auf die Vorteile von Windows .NET, wie z. B. IntelliMirror. |
| • | Aktualisieren Sie Zieldomänen frühzeitig. Nachdem Sie die Zieldomänen aktualisiert haben, können Sie einzelne Objekte von den neu strukturierten Domänen in diese Domäne kopieren oder verschieben. |
Bestimmen Sie die Reihenfolge, in welcher Domänen-Objekte aktualisiert werden
Nachdem Sie die Reihenfolge festgelegt haben, in welcher Sie die Konten- und Ressourcendomäne aktualisieren werden, müssen Sie entscheiden, in welcher Reihenfolge die einzelnen Objekte innerhalb der Domäne aktualisiert werden sollen. Beachten Sie, dass Sie die PDC innerhalb der Domäne als erstes aktualisieren müssen.
Die nachfolgend aufgeführten Regeln sollen Ihnen dabei behilflich sein, die Reihenfolge, in welcher Sie die restlichen Domänencontroller und Objekte aktualisieren, festzulegen:
| • | Aktualisieren Sie auf jeden Fall so viele Domänencontroller, wie Sie benötigen, um Redundanz innerhalb Ihrer Domäne gewährleisten zu können. So benötigen Sie bereits zu Beginn der Aktualisierungsphase mindestens zwei Windows .NET-Domänencontroller. Die Anzahl der Windows .NET-Clients innerhalb der Domäne bestimmen, wie viele zusätzliche Domänencontroller aktualisiert werden müssen. |
| • | Aktualisieren Sie die RAS-Computer so früh wie möglich. Da das Verhalten von RAS in einer gemischten Umgebung nicht vorhersagbar ist, sollten Sie diese frühzeitig aktualisieren, um einen reibungslosen Betrieb mit RAS zu gewährleisten. |
| • | Aktualisieren Sie Datei-Replikationspartner am Ende der Aktualisierungsphase. Weiterführende Informationen über die Aktualisierung von Datei-Replikationspartner finden Sie im Abschnitt "Wiederherstellen des LMRepl-Datei-Replikationsdienstes". |
Für die restlichen Domänencontroller sollten Sie nach der Regel vorgehen, dass das gleichzeitige Aktualisieren von Servern innerhalb der gleichen Site das Datenaufkommen minimiert. Wählen Sie jedoch einen Server, der bis zum Schluss als BDC bestehen bleiben soll, um die LAN-Manager Replikation (LMRepl) aufrechterhalten zu können.
Erkennen Sie Inkompatibilitäten bei Diensten und Clients
Bevor Sie eine Windows NT 4.0-Domäne auf Windows Server 2003 aktualisieren, müssen Sie feststellen, welche Computer und Dienste nicht zu Windows Server 2003 kompatibel sind. Diese müssen Sie auf Windows Server 2003 aktualisieren. Sie sollten vor allen Dingen die folgenden Schritte ausführen:
| • | Stellen Sie sicher, dass der Remote Access Service (RAS) erfolgreich innerhalb der Windows .NET-Domäne ausgeführt werden kann. |
| • | Stellen Sie sicher, dass Windows 2000- und Windows .NET-Clients sich gegenüber der Domäne authentifizieren können. |
Sicherstellen der RAS-Kompatibilität
Da es sich nicht vorhersagen lässt, wie sich der RAS-Dienst in einer gemischten Umgebung aus Windows .NET-Domänencontrollern und Windows NT 4.0-Domänencontrollern verhält, müssen Sie alle Server, die den RAS-Dienst innerhalb der Domäne ausführen, auf Windows Server 2003 aktualisieren, bevor Sie das In-Place-Upgrade starten. Ist der RAS-Dienst auf einem Domänencontroller installiert, so schließen Sie die Aktualisierung dieses Domänencontrollers in die Startphase mit ein.
Da der RAS-Dienst auf einem Windows NT 4.0 Server als Dienst ausgeführt wird, wird der Dienstekontext bei der Authentifizierung genutzt, um festzustellen, ob ein Benutzer sich über RAS anmelden kann. Dies resultiert in einer unbeglaubigten Abfrage gegenüber einer Windows NT 4.0-Domäne im Kontext des Systemkontos. In einer Umgebung, die sowohl Windows NT 4.0- als auch Windows .NET-Domänencontroller umfasst, wird RAS nur dann richtig ausgeführt werden, wenn es sich bei dem antwortenden Domänencontroller um einen Windows NT 4.0-BDC handelt. Durch das Aktualisieren der RAS-Server auf Windows Server 2003 stellen Sie sicher, dass die RAS-Server einen Active Directory-Domänencontroller für die Authentifizierung der Benutzer nutzen.
Stellen Sie die Kompatibilität zu Windows 2000- und Windows XP-Clients sicher
Standardmäßig authentifizieren sich Windows 2000- und Windows .NET-Clients immer automatisch gegenüber einem Domänencontroller, auf welchem Windows 2000 oder Windows Server 2003 ausgeführt wird. Aktualisieren Sie jedoch mehr Clients auf Windows Server 2003, als die Windows .NET-Domänencontroller bearbeiten können, kann es zur Überlastung der Domänencontroller kommen. In diesem Fall können sich die Clients unter Umständen nicht erfolgreich authentifizieren.
Hinweis: Dies ist bei Kontendomänen, die keine Computerkonten enthalten, nicht der Fall.
Um sicherzustellen, dass Windows 2000- und Windows .NET-Clients sich gegenüber der Domäne authentifizieren können, müssen Sie einen Registry-Schlüssel auf Ihren Windows .NET-Domänencontrollern setzen, der alle Domänencontroller als Windows NT 4.0-Domänencontroller ausweist. Auf diesem Wege wird erreicht, dass die Clients sowohl Windows NT 4.0- als auch Windows .NET-Domänencontroller für die Authentifizierung benutzen. Weitergehende Information über das Aktivieren des Registry-Schlüssels finden Sie im Abschnitt "Konfigurieren des Systems, um es gegen eine Überlastung der PDC zu schützen".
Entwickeln eines Testplans
Es ist wichtig, sich einen Plan für das Testen der einzelnen Aktualisierungsschritte bereitzulegen. Legen Sie sich auch eine Testmatrix als Teil des Planes bereit. Diese Testmatrix ist ein sehr nützliches Tool, das es Ihnen vereinfacht, festzulegen, ob der entsprechende Schritt innerhalb des Aktualisierungsprozesses der Windows NT 4.0-Domäne auf Windows Server 2003 erfolgreich verläuft.
Während die einzelnen Bestandteile von den eingesetzten Diensten und den Anforderungen an die Umgebung im Einzelnen unterschiedlich aussehen können, müssen doch alle Einträge für das Anmelden der Benutzer, den Zugriff auf die Ressourcen, die Konfiguration des Active Directory sowie die Funktionalität des Active Directory in dieser Testmatrix beinhaltet sein.
Eine Vorlage, die Sie bei der Erstellung dieser Testmatrix unterstützt, finden Sie auf der Windows Server 2003 Deployment Kit Begleit-CD oder unter http://www.microsoft.com/reskit.
Tabelle 6.2 zeigt eine Reihe von wichtigen Tests, die Sie während der Vorbereitungszeit durchführen sollten, um sicherzustellen, dass der Aktualisierungsprozess ordnungsgemäß verläuft.
| Test | Erwartetes Ergebnis |
Benutzerlogon | Anmelden mit einem gültigen Benutzerkonto kann durchgeführt werden |
Zugriff auf E-Mail | Zugriff auf E-Mail erfolgreich |
Zugriffsberechtigungen auf Ressourcen abhängig vom Benutzer | Zugriff auf Dateien, auf die der Benutzer Berechtigungen hat, ist erfolgreich |
Zugriffsberechtigungen auf Ressourcen abhängig von der Gruppe | Zugriff auf Dateien, auf welche die entsprechenden Benutzergruppe Zugriff haben, ist erfolgreich |
Zugriffsberechtigungen auf Ressourcen abhängig von der Gruppe | Zugriff auf Dateien, auf welche die entsprechende Gruppe keinen Zugriff hat, wird auch verneint. |
Tabelle 6.2: Bestandteile der Testmatrix
Tabelle 6.3 zeigt die Active Directory-Einstellungen, die Sie testen müssen, und weist gleichzeitig auch die Tools aus, mit denen Sie den Test durchführen können. Weiterführende Informationen über die Tools finden Sie im Hilfe- und Supportcenter von Windows Server 2003.
| Konfiguration | Tool | Ziel |
Active Directory-Dienst | dcdiag.exe | Testen Sie die Funktionalität des Active Directory. Das Tool stellt sicher, dass der Domänencontroller alle Tests erfolgreich bestanden hat. Jeder der Tests muss "bestanden" als Ergebnis zurückbringen |
Replikation mit übergeordneter Domäne | repadmin.exe /showreps | Liefert als Ergebnis alle Replikationen mit übergeordneten Domänen und anderen Active Directory-Servern zurück. Hier muss für alle internen und externen Replikationspartner ein positives Ergebnis angezeigt werden. |
BDC Replikationsstatus | nltest.exe /bdc_query:domänenname | Zeigt den Verbindungsstatus zu allen BDCs an. Hier muss für jeden Domänencontroller innerhalb der Domäne ein "status=success" angezeigt werden. |
Tabelle 6.3: Bestandteile der Testmatrix
Nachdem sichergestellt ist, dass die Konfiguration des Active Directory in Ordnung ist, müssen Sie prüfen, dass auch die Funktionen des Active Directory richtig ausgeführt werden. Tabelle 6.4 zeigt eine Liste von Active Directory-Funktionen sowie die Möglichkeiten, wie Sie diese Funktionen testen können.
| Funktion | Test | Methode |
Vertrauensstellungen | Kontrollieren Sie die transitiven Vertrauensstellungen zu übergeordneten Domänen und einseitigen Vertrauensstellungen zu Windows NT 4.0-Domänen | Benutzen Sie die entsprechende GUI auf einem aktualisierten PDC, um die Vertrauensstellungen zu überprüfen. |
Berechtigung, neue Benutzer anzulegen | Legen Sie einen neuen Benutzer auf dem Windows .NET-Domänencontroller an, um die Berechtigung, neue Benutzer anlegen zu dürfen, zu testen. | Melden Sie sich als Administrator an und legen Sie einen neuen Benutzer an. |
Replikation neuer Benutzerobjekte | Kontrollieren Sie, ob nach einer Replikation die neuen Benutzerobjekte auch repliziert wurden. | Öffnen Sie hierzu den Benutzermanager für Domänen auf einem Windows NT 4.0-Domänencontroller und kontrollieren Sie, ob der neue Benutzer hier vorhanden ist. |
Erfolgreiche Anmeldung | Kontrollieren Sie, ob sich die Benutzer erfolgreich anmelden können. |
Trennen Sie die Verbindung zum Windows .NET-Domänencontroller, so dass Sie sicher sind, dass der Windows NT 4.0 Domänencontroller die Anmeldungen der Benutzer bestätigen muss. |
Tabelle 6.4: Bestandteile der Testmatrix
Hinweis: Haben Sie ein Upgrade auf den Interimslevel durchgeführt, stellen Sie sicher, dass die Testmatrix Ihnen auch einen Test erlaubt, nachdem die Aktualisierung vollständig ausgeführt wurde. |
Beispiel für eine Anmeldungs-Matrix
Ein Unternehmen hat eine Anmeldungs-Testmatrix für ihre Abteilung XYZ entwickelt. Da die Abteilung XYZ alle Tests vor der Aktualisierung ihrer Kontendomäne von Windows NT 4.0 auf Windows Server 2003 durchgeführt hat, war den Administratoren bekannt, welche Probleme während des Aktualisierungsprozesses zu erwarten waren.
Abbildung 6.10 zeigt die Anmeldungs-Testmatrix für die Abteilung XYZ des Unternehmens.
| Testmatrix für Anmeldungen | Datum | ||||
|
| ||||
Allgemeine Angaben | |||||
|
| ||||
Test | Erwartete Ergebnisse | Ergebnis (erreicht/Fehler) | |||
Anmelden von Lorenz Goebel an der Kontendomäne als LorenzG | Lorenz Goebel kann sich an der Domäne anmelden. |
| |||
Zugriff auf sein Exchange-Postfach | Lorenz Goebel kann auf seine Mailbox, die Zugriffsberechtigungen für ACCT\LorenzG hat, zugreifen. |
| |||
Zugriff auf Dateien in der Domäne RESC1, auf die Berechtigungen für den Benutzer eingerichtet sind | Lorenz Goebel hat Zugriff auf seine Dateien, die in der Freigabe \\file2\Benutzer\JoeL in der Ressourcendomäne abgelegt sind. |
| |||
Zugriff auf Ressourcen innerhalb der Domäne RESC1, die für die Gruppe "PR" freigegeben sind | Lorenz Goebel kann den Wochenbericht (\\file1\PR\Wochenreport\Status.doc) öffnen und schreiben. |
| |||
Zugriff auf Ressourcen innerhalb der Domäne RESC1, die für die Gruppe "HR" freigegeben sind | LorenzG ist nicht Mitglied der Gruppe HR und kann auch nicht auf den Wochenbericht (\\file1\HR\Wochenreport\status.doc) der Gruppe HR zugreifen. |
| |||
Anmelden von Markus Weisbrod an der Kontendomäne als KristaN | Markus Weisbrod muss sich an der Domäne anmelden können. |
| |||
Zugriff auf sein Exchange-Postfach | Markus Weisbrod muss in der Lage sein, auf sein Postfach zugreifen zu können. |
| |||
Zugriff auf Dateien, die sich im persönlichen Ordner von Markus Weisbrod befinden | Markus Weisbrod muss Zugriff auf Dateien in ihrem persönlichen Ordner (\\file5\Benutzer\MarkusW) haben. |
| |||
Zugriff auf den persönlichen Ordner von Lorenz Goebel | Markus Weisbrod darf keinen Zugriff auf den persönlichen Ordner von Lorenz Goebel haben (\\file2\Benutzer\LorenzG). |
| |||
Zugriff auf die Freigaben für die Gruppe "HR" | Markus Weisbrod ist ein Mitglied der Gruppe HR und benötigt somit Zugriff auf den Wochenbericht (\\file1\HR\Wochenreport\status.doc) der Gruppe HR. |
| |||
Zugriff auf die Freigaben für die Gruppe "PR" | Markus Weisbrod ist kein Mitglied der Gruppe PR und darf somit keinen Zugriff auf den Wochenbericht (\\file1\PR\Wochenreport\Status.doc) der Gruppe PR haben. |
| |||
|
|
|
Abbildung 6.10: Testmatrix für Anmeldungen für die Abteilung XYZ
Test für die Konfiguration des Active Directory
Nach dem Anmeldungstest führten die Administratoren die Tests für die Konfiguration des Active Directory durch.
Abbildung 6.11 zeigt die Testmatrix für die Abteilung XYZ, um die Konfiguration des Active Directory zu gewährleisten.
| Test der Konfiguration des Active Directory | Datum | |||
|
| |||
Allgemeine Angaben | ||||
|
| |||
Konfiguration | Tool | Erwartetes Ergebnis | ||
Active Directory-Dienst | Dcdiag.exe | "Erfolgreich" für alle Teiltests | ||
BDC Replikation | Nltest.exe /bdc_query:ACCT |
Alle BDC (mit Ausnahme von DC10, der aus dem Netzwerk entfernt wurde) liefern die nachfolgende Meldung: | ||
|
|
|
Abbildung 6.11: Test der Active Directory-Konfiguration für die Abteilung XYZ
Test der Funktionalität des Active Directory
Anschließend wurden auch die Tests der Funktionalität des Active Directory durchgeführt.
Abbildung 6.12 zeigt die entsprechende Testmatrix für die bereits erwähnte Abteilung.
| Testmatrix für die Funktionalität des Active Directory | Datum | |||||||||||
|
| |||||||||||
Allgemeine Angaben | ||||||||||||
|
| |||||||||||
Funktion | Test | Methode | ||||||||||
Vertrauensstellungen | Kontrollieren der einseitigen Vertrauensstellung mit RESC1- und RESC2-Domäne |
| ||||||||||
Berechtigung, neue Benutzer anzulegen | Anlegen eines Benutzers mit dem Namen "test1" |
| ||||||||||
Replikation des neuen Benutzerobjekts | Nach einem Replikationszyklus muss geprüft werden, ob der Benutzer "test1" in die SAM-Datenbank der BDCs repliziert wurde. |
| ||||||||||
Anmeldung als "test1" | Überprüfen der Gültigkeit des Benutzerobjektes |
| ||||||||||
|
|
|
Abbildung 6.12: Testmatrix der Funktionalität des Active Directory für die Abteilung XYZ
Entwickeln eines Wiederherstellungsplans
Bevor Sie mit dem Upgrade Ihrer Domänen beginnen, sollten Sie einen Wiederherstellungsplan (Recovery) für den Fall entwickeln, dass der Upgradeprozess nicht wie geplant verläuft. Beachten Sie für diesen Wiederherstellungsplan folgende Punkte:
| • | Dokumentieren Sie die Schritte, die für eine Wiederherstellung notwendig sind. Stellen Sie sicher, dass Sie hier eindeutige Anweisungen für die Wiederherstellung aufgeführt haben, so dass das Team, welches für das Upgrade zuständig ist, im Notfall die notwendigen Dienste wiederherstellen kann. |
| • | Legen Sie die Zeit fest, nach welcher eine Wiederherstellung durchgeführt werden muss. Sehr häufig wird eine Unmenge von Zeit darauf verschwendet, Fehler zu finden und zu beheben, die während eines Updates auftreten. Legen Sie hier ein eindeutiges Zeitraster fest, das bestimmt, nach welchem Zeitraum das Upgrade-Team eine Wiederherstellung des Systems durchführen muss. |
| • | Sprechen Sie den Wiederherstellungsplan mit den Mitgliedern des Teams durch und lassen Sie den Plan entsprechend abzeichnen. Alle Teammitglieder müssen den Wiederherstellungsplan abzeichnen. Dies stellt sicher, dass zwischen den einzelnen Mitgliedern Einigkeit besteht und dass es zu keinen Missverständnissen kommt, wenn der Aktualisierungsprozess nicht so verläuft, wie ursprünglich geplant. |
Wiederherstellung der Domäne in ihren ursprünglichen Zustand
Erfüllt Ihr In-Place-Upgrade auf Windows Server 2003 nicht die Anforderungen, die in Ihrer Testmatrix definiert wurden, müssen Sie ihren Wiederherstellungsplan anwenden. Ist die Aktualisierung gescheitert, können Sie die eben aktualisierte Domäne wieder auf den Status einer Windows NT 4.0-Domäne zurücksetzen.
Führen Sie hierzu die unten beschriebenen Schritte durch, um die Domäne auf ihren Ausgangspunkt zurückzusetzen:
1. | Entfernen Sie (im Notfall durch Abziehen der Netzwerkverbindung oder durch Abschalten des Servers) alle Windows .NET-Domänencontroller aus der Domäne. |
2. | Verbinden Sie den von Ihnen ausgesuchten BDC wieder mit dem Netzwerk. |
3. | Promoten Sie den BDC zu einem PDC. |
4. | Synchronisieren Sie alle Windows NT 4.0-Domänencontroller. |
5. | Überprüfen Sie, ob alle Windows NT 4.0 Server-Funktionalitäten ausgeführt werden. Sie sollten auch alle Windows .NET-Domänenclients in diese Tests einbeziehen. |
6. | Dokumentieren Sie die Gründe für das Scheitern der Domänenaktualisierung und teilen Sie diese dem Projektteam mit. |
7. | Beginnen Sie die Planung der Aktualisierung von neuem. Versuchen Sie, die Gründe für das Scheitern der Aktualisierung zu umgehen. |
Beispiel für einen Wiederherstellungsplan
Die Abteilung XYZ plant, die Domänen am ersten Tag umzustellen. Am zweiten Tag sollen die Tests durchgeführt und von sämtlichen Domänencontrollern ein Backup ausgeführt werden. Für den Fall, dass die Aktualisierung am ersten Tag (innerhalb von 12 Stunden) nicht erfolgreich ist, soll eine Wiederherstellung am zweiten Tag durchgeführt werden. Der Wiederherstellungsplan umfasst die nachfolgend aufgeführten Schritte:
1. | Entfernen aller Windows .NET-Domänencontroller aus dem Netzwerk. |
2. | Verbinden des Wiederherstellungsservers DC2 mit dem Netzwerk. |
3. | Promoten von DC2 zu einem PDC. |
4. | Synchronisieren der gesamten Domäne. Hierbei soll sichergestellt werden, dass die Synchronisation auch erfolgreich durchgeführt wurde. |
5. | Testen des Zugriffs auf Benutzerkonten und Ressourcen. |
6. | Analyse und Dokumentation der Fehler innerhalb des Upgradeprozesses. |
Fertigstellung der vorbereitenden Schritte
Nachdem Sie Ihren Plan für die Aktualisierung Ihrer Windows NT 4.0-Domänen auf Windows Server 2003 ausgearbeitet haben, müssen Sie noch einige Schritte durchführen, bevor Sie mit der Aktualisierung Ihrer Domäne beginnen können.
Abbildung 6.13 zeigt die Schritte, die Sie vor dem Upgrade der Windows NT 4.0-Domäne durchführen müssen.
Abbildung 6.13: Fertigstellen der vorbereitenden Schritte
Einbringen eines Mitgliedsservers auf der Basis von Windows .NET
Sie können jederzeit einen Windows .NET-Mitgliedsserver in eine Windows NT 4.0-Domäne bringen, auch schon lange vor dem Upgrade auf Windows Server 2003, da Windows .NET-Mitgliedsserver innerhalb einer Windows NT 4.0-Umgebung eingesetzt werden können. Wenn Sie dann mit dem Aktualisierungsprozess der Domäne beginnen, müssen Sie daran denken, entsprechende Redundanzen für Ihre Windows .NET-Domänencontroller bereit zu stellen. Sobald ein Windows .NET-Domänencontroller innerhalb einer Domäne für die Authentifizierung zur Verfügung gestellt wurde, authentifizieren sich alle Mitgliedsserver und Clients, die Active Directory für die Authentifizierung benutzen, ausschließlich gegen diese Active Directory-Domänencontroller. Dies kann, wenn Sie nicht mit Redundanzen vorgesorgt haben, zu einer Überlastung der Domänencontroller führen.
Bevor Sie einen Windows NT 4.0 PDC einer Windows NT 4.0-Domäne auf Windows Server 2003 aktualisieren, sollten Sie auf jeden Fall einen Windows .NET-basierten Mitgliedsserver in dieser Umgebung installieren. Nachdem Sie den PDC aktualisiert haben, installieren Sie Active Directory auch auf den Mitgliedsserver. Auf diese Art und Weise können Sie innerhalb der Domäne für Redundanz sorgen.
Aktivieren Sie den Windows .NET Interim Betriebsmodus
Wenn Sie eine Aktualisierung Ihrer Windows NT 4.0-basierten Domänencontroller auf Windows Server 2003 planen und dabei keine neuen Windows 2000-basierten Domänencontroller einsetzen möchten, können Sie den .NET Interim-Level für Ihre Domäne und Ihren Forest wählen, bis Sie schließlich alle Domänencontroller auf Windows Server 2003 aktualisiert haben.
Um den Windows .NET Interim Betriebsmodus zu erreichen, aktualisieren Sie einfach den Windows NT 4.0 PDC auf Windows Server 2003.
Dieser Level unterstützt sowohl Windows NT 4.0 als auch Windows .NET-basierte Domänencontroller. Der Windows .NET Interim Forest Betriebsmodus ist ideal, wenn Sie
z. B. über Gruppen verfügen, die mehr als 5.000 Mitglieder haben. Belassen Sie diesen Level, bis Sie alle Domänencontroller auf Windows Server 2003 aktualisiert haben.
Wenn Ihr Unternehmen mehr als 5.000 Mitglieder umfasst, stellt das Aktivieren des Windows .NET Interim Betriebsmodus' auf der Root Domäne des Forests beim Upgrade des PDC die beste Möglichkeit dar. Allerdings können Sie, wenn der Betriebsmodus Ihrer Root-Domäne derzeit ein Windows 2000-Betriebsmodus ist, diesen Level nicht innerhalb der Active Directory-Konsolen auf Windows .NET Interim Level umstellen. Sie müssen hier eine LDAP-Anwendung wie z. B. ADSI-Edit oder LDP aus den Windows Support Tools benutzen, um den Wert der Eigenschaft msDS-Behavior-Version zu bearbeiten. Um diese Eigenschaft bearbeiten zu können, müssen Sie Mitglied der unternehmensweiten Administratorgruppe sein.
Wiederherstellen des LMRepl-Datei-Replikationsdiensts
Der Windows .NET-Dateireplikationsdienst (FRS=File Replication Service) ersetzt den Windows NT 4.0 LAN Manager Replikationsdienst (LMRepl). Unter Windows Server 2003 werden Informationen, deren Replikation durch LMRepl unterstützt wurde, im freigegebenen Ordner SYSVOL abgelegt. Dieser Ordner ist auf allen Windows Server 2003 verfügbar. Um die Replikation nach der Aktualisierung sicherstellen zu können, müssen Sie den LMRepl-Dienst vor der Aktualisierung auf Windows Server 2003 nun anpassen.
Unter Windows NT 4.0 können Sie LMRepl sowohl auf Mitgliedsservern als auch auf Domänencontrollern konfigurieren. Unter Windows Server 2003 wird FRS nur auf Domänencontrollern unterstützt. Gleichzeitig wird FRS dort automatisch konfiguriert, um eine Multimasterreplikation zwischen Windows .NET-basierten Domänencontrollern sicherzustellen. Windows Server 2003 unterstützt das durch die LAN Manager Replikation durchgeführte System für Anmelde-Skripte und Profile nicht. Deshalb werden unter Windows Server 2003 Anmelde-Skripte und Profile innerhalb des freigegebenen Ordners Sysvol abgelegt. Dieser wird innerhalb der Domäne zwischen allen Domänencontrollern repliziert.
Handelt es sich bei dem PDC Ihrer Windows NT 4.0-Domäne um einen LMRepl Exportserver, müssen Sie einen anderen BDC zum PDC promoten und den ursprünglichen PDC zu einem BDC, der als Exportserver dient, herabstufen. Um sicherzustellen, dass auch der LMRepl-Dienst innerhalb einer gemischten Umgebung aus Windows NT 4.0 und Windows Server 2003 unterstützt wird, legen Sie ein Skript an: Das Skript kopiert die Informationen aus dem SYSVOL-Ordner auf den BDC, der als Exportserver für andere Windows NT 4.0 BDCs benutzt wird.
Weiterführende Informationen über das Anlegen dieses Skripts entnehmen Sie bitte dem Abschnitt "Synchronisieren von Datei-Replikationsdiensten" in diesem Kapitel. Der als Exportserver konfigurierte BDC muss der letzte BDC sein, der aktualisiert wird. Hiermit stellen Sie sicher, dass der Dienst so lange zur Verfügung steht, wie BDCs innerhalb der Windows NT 4.0-Domäne verfügbar sind.
Um Ihre neue Konfiguration testen zu können und zu kontrollieren, ob LMRepl auch weiterhin problemlos funktioniert, speichern Sie eine leere Datei auf dem Exportserver. Und stellen Sie sicher, dass diese Datei in die Import-Verzeichnisse der entsprechenden BDCs während der Replikation repliziert wird. Danach können Sie die leere Datei aus den Import-Verzeichnissen wieder löschen. Kontrollieren Sie, ob die Datei während der nächsten Replikation auch wieder entfernt wird.
Sichern von Domänendaten
Stellen Sie sicher, dass Ihre Windows NT 4.0-Domänendaten gesichert wurden, bevor Sie mit dem In-Place-Upgrade beginnen. In welcher Art und Weise Ihre Daten gesichert werden müssen, hängt sehr stark von den bereits in Ihrer Umgebung etablierten Vorgängen ab. Sie sollten auf jeden Fall die unten aufgeführten Schritte durchführen:
| • | Sichern Sie den PDC und mindestens einen BDC. |
| • | Synchronisieren Sie einen BDC mit dem PDC und nehmen Sie diesen BDC dann aus dem Netzwerk. |
| • | Führen Sie ein komplettes Backup aller Dienste durch, die auf Ihren Domänencontrollern ausgeführt werden. Hierunter fallen Dienste wie Datei- und Druckdienste oder der DHCP-Dienst. |
Kontrollieren Sie die Sicherungsmedien, um zu gewährleisten, dass die Sicherungen vollständig ausgeführt wurden und Sie im Notfall auf die Daten der Sicherung zugreifen können.
Wichtig: Verwahren Sie die Sicherungsmedien an einem sicheren Ort, auf den Sie sich vor der Aktualisierung geeinigt haben, und stellen Sie sicher, dass die Mitglieder des Upgrade-Teams Zugriff auf die Sicherungsmedien haben werden. |
Frieren Sie den Status Ihrer Windows NT 4.0-Domäne ein
Bevor Sie ein Upgrade des PDC Ihrer Windows NT 4.0-Domäne auf Windows Server 2003 ausführen, sollten Sie die Windows NT 4.0-Umgebung einfrieren, damit keine Änderungen an der Domäne ausgeführt werden können, bis die Umstellung des PDC durchgeführt wurde. Sie sollten die Umgebung gegen Änderungen sichern, wenn:
| • | Alle Updates für die Windows NT 4.0-Domäne vollständig ausgeführt und auf alle Domänencontroller der Domäne repliziert wurden. |
| • | Die Windows NT 4.0-Domänenadministratorgruppe nur folgende Benutzer enthält: |
| • | Benutzer, die Mitglieder der unternehmensweiten Administratorengruppe innerhalb der Windows .NET-Domäne werden sollen. Dies gilt für den Fall, dass es sich um die erste Domäne im neuen Forest handelt. |
| • | Benutzer mit Administratorberechtigungen, die während der Aktualisierung benötigt werden. |
| • | Ein BDC mit dem PDC synchronisiert und aus dem Netzwerk genommen wurde. |
Haben Sie die Windows NT 4.0-Umgebung eingefroren, dürfen keine weiteren Änderungen an der Domäne durchgeführt werden, bis Sie einen Windows NT 4.0-Domänencontroller auf Windows Server 2003 aktualisiert und sichergestellt haben, dass dieser problemlos funktioniert. Stellen Sie sicher, dass alle Teammitglieder davon in Kenntnis gesetzt wurden, dass keine Änderungen an der Domäne mehr vorgenommen werden können.
Aktualisieren der Domänen von Windows NT 4.0 auf Windows Server 2003
Nachdem Sie alle vorgenannten Schritte ausgeführt haben, können Sie mit der eigentlichen Aktualisierung der Windows NT 4.0-Domäne auf Windows Server 2003 beginnen.
Abbildung 6.14 zeigt die Schritte, die für eine Aktualisierung einer Windows NT 4.0-Domäne auf Windows Server 2003 notwendig sind.
Abbildung 6.14: Aktualisieren einer Windows NT 4.0-Domäne auf Windows Server 2003
Konfigurieren von DNS auf dem PDC
Bevor Sie den Windows NT 4.0 PDC auf Windows Server 2003 aktualisieren, müssen Sie sicherstellen, dass Sie in den TCP/IP-Einstellungen für diesen Computer einen DNS-Server-Eintrag vorgenommen haben, der auf einen für das Active Directory gültigen DNS-Server verweist. Dies können Sie auf einem der unten beschriebenen Wege erreichen:
| • | Installieren Sie den DNS-Dienst auf dem PDC. Nutzen Sie dieses Vorgehen dann, wenn: |
| • | Es sich bei der Domäne, die Sie aktualisieren, um die Root-Domäne des Windows .NET Forests handelt. |
| • | Die Domäne über einen relativ langen Zeitraum benutzt werden wird. |
| • | Die Domäne eigene DNS-Operationen verarbeiten muss. |
| • | Verweisen Sie auf einen DNS-Server in einer übergeordneten Domäne. Nutzen Sie diese Vorgehensweise, wenn Sie bereits DNS für Active Directory in Ihrer Umgebung konfiguriert haben und es sich bei der Domäne, die Sie aktualisieren, um eine temporäre Domäne handelt. |
Nachdem Sie den DNS-Eintrag vorgenommen haben, testen Sie diese Einstellungen, um sicherzustellen, dass der Server auf den eingestellten Server zugreifen kann. Hierfür können Sie den ping-Befehl benutzen.
Weitergehende Informationen über das Konfigurieren von DNS finden Sie im Kapitel "Benutzen von DNS" auf der Windows Server 2003 Deployment Kit-CD.
Sie können DNS auf dem PDC installieren, um DNS-Unterstützung während der Aktualisierung Ihrer Domäne auf Windows Server 2003 zur Verfügung zu stellen.
Gehen Sie wie folgt vor, um DNS auf dem PDC zu installieren:
1. | Installieren Sie DNS-Dienste für Active Directory auf dem Server, den Sie gerade auf Windows Server 2003 aktualisieren. Die Installationsroutine legt eine neue DNS-Zone an. | ||||||
2. | Fügen Sie einen Delegationseintrag für einen DNS-Server innerhalb der Windows .NET Forest-Struktur in die DNS-Datenbank ein. | ||||||
3. | Konfigurieren Sie die DNS-Einträge. Diese DNS-Konfiguration beinhaltet die folgenden Schritte:
|
Aktualisieren des Windows NT 4.0 PDC
Sie können das Upgrade des Betriebssystems auf einem Windows NT 4.0 PDC anstoßen, indem Sie die Windows Server 2003- oder Enterprise Server-CD auf dem Domänencontroller einlegen. Wenn das Windows .NET-Medium über eine Netzwerkfreigabe zur Verfügung gestellt wird, können Sie dazu alternativ winnt32.exe ausführen. Im Verlaufe der Aktualisierung werden die Einträge der SAM-Datenbank auf dem Windows NT 4.0 PDC in das Active Directory übernommen. Dies kann dazu führen, dass die Menge der Daten des Active Directory, die an die BDC repliziert werden, größer sind, als die SAM-Datenbank verarbeiten kann. Um eine Überlastung des Systems zu verhindern, sollten Sie nicht mehr als 40.000 Objekte innerhalb des Active Directory verwalten, solange Sie in Ihrer Domäne noch Windows NT 4.0 BDC in Betrieb haben.
Konfigurieren des Systems, um es gegen eine Überlastung der PDC zu schützen
Wenn Ihre Windows NT 4.0-Domäne bereits Windows 2000- und Windows XP-Clientcomputer umfasst, kann es vorkommen, dass die Windows 2000- und Windows .NET-Domänencontroller nicht in der Lage sind, alle Clients der Domäne zu authentifizieren. Um diese Überlastung des PDC-Locators zu verhindern, müssen Sie die Windows 2000- und Windows .NET-Domänencontroller so konfigurieren, dass sie nach außen einen Windows NT 4.0-Domänencontroller emulieren. Dies ermöglicht es, Windows 2000- und Windows XP-Clients gegenüber Windows NT 4.0-Domänencontrollern zu authentifizieren.
Hinweis: Das Aktualisieren von Clientrechnern ohne Aktualisierung von mehr als einem Domänencontroller schließt Load-Balancing und Fehlertoleranz-Mechanismen auf dem Domänencontroller aus. Selbst dann, wenn in Ihrer Domäne nur wenige Windows 2000- oder Windows XP-Clients aktiv sind, ist es zu empfehlen, die Windows .NET-Domänencontroller so zu konfigurieren, dass Sie nach außen Windows NT 4.0-Domänencontroller emulieren. Konfigurieren Sie die Domänencontroller so, dass sie einen Windows NT 4.0-Domänencontroller emulieren, nachdem Sie ihn auf Windows Server 2003 aktualisiert haben, jedoch bevor Sie den Assistenten zur Installation von Active Directory ausführen. |
So konfigurieren Sie einen Windows .NET-Domänencontroller so, dass er einen Windows NT 4.0-Domänencontroller emuliert:
1. | Öffnen Sie einen Registrierungseditor auf dem Domänencontroller und suchen sie folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM CurrentControlSet\Services\Netlogon\Parameters |
2. | Fügen Sie den Eintrag NT4Emulator als REG_DWORD mit dem Wert 0x1 ein. Der Domänencontroller führt nun DNS-Anfragen als Windows NT 4.0-kompatiblen Prozess aus. |
3. | Wiederholen Sie dieses Vorgehen auf jedem Domänencontroller, den Sie während der Aktualisierungsphase anlegen. |
Vorsicht: Greifen Sie nur dann in die Registry ein, wenn Sie keine andere Alternative haben. Der Registrierungseditor umgeht jeden anderweitigen Schutzmechanismus. Dies kann zu Schäden am System führen. Sind die Schäden gravierend, kann dies soweit führen, dass das System neu installiert werden muss. Wenn Sie die Registry editieren müssen, fertigen Sie zuerst eine Sicherheitskopie an und lesen Sie die Registry-Referenz auf der Windows Server 2003 Deployment Kit Begleit-CD oder unter http://www.microsoft.com/reskit.
Denken Sie daran, dass Sie die Windows NT 4.0-Emulation auf einem Windows .NET-Domänencontroller aus administrativen Gründen deaktivieren müssen, wenn Sie den Forest oder die Domäne in den Windows .NET-Betriebsmodus überführen möchten.
Nachdem Sie alle Domänencontroller aktualisiert haben, oder aber wenn Sie eine ausreichende Anzahl an Domänencontrollern für die Authentifizierung von Windows 2000- und Windows .NET-Clients auf Windows .NET-Domänencontroller umgestellt haben, können Sie die oben beschriebene Änderung in der Registry wieder zurücknehmen.
So deaktivieren Sie das Emulieren eines Windows NT 4.0-Domänencontrollers:
1. | Öffnen Sie einen Registrierungseditor auf dem Domänenkontroller und Suchen sie folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM CurrentControlSet\Services\Netlogon\Parameters |
2. | Fügen Sie den Eintrag NeutralizeNT4Emulator als REG_DWORD mit dem Wert 0x1 ein. |
3. | Setzen Sie den Wert für den Schlüssel NT4Emulator auf 0x0. |
Der Domänencontroller führt nun DNS-Abfragen entsprechend des IP/DNS-Locator Prozesses durch.
Einrichten des File Replication Service
Nachdem Sie Ihren PDC in der Windows NT 4.0-Domäne auf Windows Server 2003 aktualisiert haben, müssen Sie ein Skript anlegen. Dieses Skript kopiert die Informationen, die im freigegebenen Ordner Sysvol abgelegt sind, auf den BDC, der als Exportserver für die restlichen Windows NT 4.0 BDC innerhalb Ihrer Domäne eingesetzt wird.
Gehen Sie folgendermaßen vor, um Anmeldeskripte und Profile zwischen Windows .NET und Windows NT 4.0-Domänencontroller zu replizieren:
1. |
Legen Sie ein Benutzerkonto innerhalb der Windows NT 4.0-Domäne mit den Informationen aus Tabelle 6.5 an.
Tabelle 6.5: Benutzerkonteninformationen für die Replikation von Anmeldeskripten und Replikation von Profilen | ||||||||||||||||
2. |
Stellen Sie sicher, dass der neue Benutzer LbridgeAcc über die in Tabelle 6.6 aufgeführten Berechtigungen verfügt.
Tabelle 6.6: Berechtigungen für den Benutzer LbridgeAcct | ||||||||||||||||
3. | Installieren Sie die Dateien lbridge.cmd und robocopy.exe in ein Verzeichnis auf win_dc. Win_dc steht hier für den Namen Ihres Windows .NET-Domänencontrollers in der Windows .NET-Domäne. Das Verzeichnis muss sich im aktuellen Suchpfad befinden. Sie finden beide Tools auf der Windows Server 2003 Resource Kit Begleit-CD. | ||||||||||||||||
4. |
Ändern Sie das Skript in der Datei lbridge.cmd entsprechend den Angaben in Tabelle 6.7 ab.
Tabelle 6.7 Änderungen in der Datei lbridge.cmd | ||||||||||||||||
5. |
Legen Sie mit dem Taskplaner auf win_dc (wobei win_dc der Name Ihres Windows .NET-Domänencontrollers in der Windows .NET-Domäne bezeichnet) einen neuen Task an. Die Werte entnehmen Sie bitte Tabelle 6.8. Sind für die notwendigen Einstellungen keine Werte in der Tabelle vorhanden, wählen Sie die Standardwerte.
Tabelle 6.8 Werte für den Taskplaner | ||||||||||||||||
6. | Es erscheint die Dialogbox für die Konfiguration von FRS - LMRepl Replication Bridge. | ||||||||||||||||
7. | Wählen Sie hier in der Registerzunge Zeitplan den Button Erweitert. | ||||||||||||||||
8. | Im Dialogfeld Erweiterte Zeitplaneinstellungen wählen Sie die Option Wiederholungsintervall. | ||||||||||||||||
9. | Im Feld Alle wählen Sie die Häufigkeit, in welcher der Task ausgeführt werden soll. | ||||||||||||||||
10. | Wählen Sie danach die Option Dauer. Geben Sie hier an, wie lange das Skript für die Ausführung dauern darf. Klicken Sie danach auf OK. | ||||||||||||||||
11. | Klicken Sie nun nochmals auf OK. |
Prüfen der Konfiguration und Funktionalität des Active Directory
Nachdem die Aktualisierung ausgeführt ist, müssen Sie den neuen Windows .NET-Domänencontroller testen und sicherstellen, dass die Active Directory-Konfiguration richtig ist und das Active Directory ordnungsgemäß funktioniert. Dieser Test stellt sicher, dass die Aktualisierung erfolgreich verlaufen ist und dass ihre Windows NT 4.0 BDC innerhalb der neuen Domäne kommunizieren und replizieren können.
Um die Active Directory-Konfiguration zu überprüfen, kontrollieren Sie zuerst das Ereignisanzeigeprotokoll auf den BDCs. Ein Ereignis mit der Ereignis-ID 5715 im Ereignisprotokoll signalisiert, dass die BDCs mit den Windows .NET-Domänencontrollern synchronisiert wurden. Nachdem Sie sichergestellt haben, dass die Synchronisation funktioniert, führen Sie die Tests analog Ihrer Textmatrix durch. Kontrollieren Sie gleichzeitig, ob Objekte, die Sie neu angelegt haben, auf die restlichen BDC repliziert wurden. Weiterführende Informationen über das Anlegen einer Testmatrix finden Sie im Abschnitt "Entwickeln eines Testplans".
Können die Tests nicht erfolgreich durchgeführt werden, müssen Sie auf Ihren Wiederherstellungsplan zurückgreifen. Weiterführende Informationen finden Sie im Abschnitt "Entwickeln eines Wiederherstellungsplans".
Nachdem die Aktualisierung der Windows NT 4.0-Domäne auf Windows Server 2003 erfolgreich durchgeführt wurde, müssen Sie sicherstellen, dass wichtige Vorgänge in der Windows Server 2003-Domäne fehlerfrei ausgeführt werden können. Stellen Sie sicher, dass Sie die folgenden Aktionen fehlerfrei ausführen können:
| • | Legen Sie neue Benutzerkonten an. |
| • | Melden Sie sich von einem Clientrechner aus an der Domäne an. |
| • | Replizieren Sie Änderungen innerhalb der Umgebung. |
| • | Führen Sie benötigte Dienste in der Domäne aus. |
Konnten Sie diese Aktionen in Ihrer Windows .NET-Domäne durchführen, können Sie die Domäne normal benutzen.
Hinzufügen zusätzlicher Domänencontroller zur Windows .NET-Domäne
Nach Durchführung der Aktualisierung der Windows NT 4.0-Domäne auf Windows Server 2003 können Sie so schnell wie möglich weitere Domänencontroller zu Ihrer Domäne hinzufügen. Dies erweitert die Redundanz für jeden Windows .NET-Client, der innerhalb der Netzwerkumgebung ausgeführt wird.
Sie haben folgende Möglichkeiten, um zusätzliche Domänencontroller zu Ihrer Windows .NET-Domäne hinzuzufügen:
| • | Installieren von Active Directory auf einem Windows .NET-Mitgliedsserver. |
| • | Aktualisieren eines Windows NT 4.0 BDC. |
Installieren des Active Directory auf einem Windows .NET-Mitgliedserver
Sie können das Active Directory auf jedem Windows .NET-basierten Mitgliedsserver installieren, soweit dieser die Hardwarevoraussetzungen für einen Domänencontroller erfüllt.
Weiterführende Informationen über die Hardwarevoraussetzungen für einen Windows .NET Domänencontroller finden Sie im Abschnitt "Analyse der Hardware".
Um einen Windows .NET-Mitgliedsserver zu einem Domänencontroller heraufzustufen, führen Sie die folgenden Schritte aus:
1. | Stellen Sie sicher, dass der Computer über einen richtigen DNS-Server-Eintrag verfügt.
| ||||
2. | Stellen Sie sicher, dass der freigegebene Ordner SYSVOL sich auf einem mit NTFS 5 formatierten Laufwerk befindet. Ist dies nicht der Fall, konvertieren Sie die Partition nach NTFS 5. | ||||
3. | Konfigurieren Sie den Domänencontroller so, dass dieser - falls erforderlich - einen Windows NT 4.0-Domänencontroller emuliert. Weiterführende Informationen über das Konfigurieren eines Windows .NET-Domänencontrollers, damit dieser einen Windows NT 4.0-Domänencontroller emuliert, finden Sie im Abschnitt "Konfigurieren des Systems, um es gegen eine Überlastung der PDC zu schützen". | ||||
4. | Führen Sie den Assistenten zum Installieren von Active Directory aus. Dieser installiert das Active Directory auf dem Mitgliedsserver. | ||||
5. | Kontrollieren Sie, ob das Upgrade erfolgreich durchgeführt wurde. Nutzen Sie hierfür die gleichen Tests und Tools, die Sie ausgeführt haben, um zu Testen, ob das Upgrade des PDC erfolgreich war. | ||||
6. | Dokumentieren Sie die Ergebnisse in der von Ihnen angelegten Testmatrix für diesen Server. Weiterführende Informationen über das Erstellen einer Testmatrix finden Sie im Abschnitt "Entwickeln eines Testplans". |
Aktualisieren eines NT 4.0 BDC auf Windows Server 2003
Sie können jeden Windows NT 4.0 BDC, der die Hardwareanforderungen an einen Windows .NET-Domänencontroller erfüllt, auf einen Windows .NET-Domänencontroller aktualisieren. Weiterführende Informationen über die Hardwarevoraussetzungen für einen Windows .NET-Domänencontroller finden Sie im Abschnitt "Analyse der Hardware".
Um einen Windows NT 4.0 BDC auf einen Windows .NET-Domänencontroller zu aktualisieren, führen Sie die nachfolgend genannten Schritte aus:
1. | Stellen Sie sicher, dass der Computer über einen richtigen DNS-Server-Eintrag verfügt.
| ||||
2. | Sie können das Upgrade des Betriebssystems auf einem Windows NT 4.0 BDC anstoßen, indem Sie die Windows Server 2003- oder Enterprise Server-CD auf dem Domänencontroller einlegen oder aber - wenn das Windows .NET-Medium über eine Netzwerkfreigabe zur Verfügung gestellt wird - indem Sie winnt32.exe ausführen. | ||||
3. | Konfigurieren Sie den Domänencontroller so, dass dieser - falls erforderlich - einen Windows NT 4.0-Domänencontroller emuliert. Weiterführende Informationen hierzu finden Sie im Abschnitt "Konfigurieren des Systems, um es gegen eine Überlastung der PDC zu schützen". | ||||
4. | Führen Sie den Assistenten zum Installieren von Active Directory aus. Dieser installiert das Active Directory auf dem Mitgliedsserver. | ||||
5. | Kontrollieren Sie, ob das Upgrade erfolgreich durchgeführt wurde. Nutzen Sie hierfür die gleichen Tests und Tools, die Sie ausgeführt haben, um zu Testen, ob das Upgrade des PDC erfolgreich war. Dokumentieren Sie die Ergebnisse in der von Ihnen angelegten Testmatrix für diesen Server. Weiterführende Informationen über das Erstellen einer Testmatrix finden Sie im Abschnitt "Entwickeln eines Testplans".
|
Ausführen von Aufgaben nach der Aktualisierung
Das Ziel eines In-Place-Upgrades von Windows NT 4.0-Domänen sollte es sein, einen Windows .NET Forest-Betriebsmodus zu erreichen. Nachdem Sie vom Windows 2000-Betriebsmodus auf den Windows .NET-Betriebsmodus aktualisiert haben, steht die Anmeldereplikation (Net Logon Replication) nicht mehr zur Verfügung. Dies bedeutet, dass Sie keinen Windows NT 4.0 BDC oder Windows 2000-Domänencontroller mehr zu dieser Umgebung hinzufügen können. Ebenso wenig können Sie wieder auf Windows NT 4.0 zurückkehren. Daher ist es umso wichtiger sicherzustellen, dass Sie keine Windows NT 4.0- oder Windows 2000-Domänencontroller mehr zu dieser Umgebung hinzufügen müssen. Erst dann können Sie auf den Windows .NET-Betriebsmodus wechseln. Weiterführende Informationen zu diesem Thema finden Sie im Abschnitt "Festlegen des Betriebsmodus'".
Abbildung 6.15 zeigt die Schritte, die beim Abschluss der Aktualisierung durchzuführen sind.
Abbildung 6.15: Abschluss der Aktualisierung
Anpassen des Forest- und Domänen-Betriebsmodus'
Auch wenn die einzelnen Betriebsmodi eine Reihe von Features und Vorteilen bringen, sollten Sie erst dann auf einen entsprechenden Level wechseln, wenn Ihre Umgebung auch dafür bereit ist. So können Sie z. B. in den folgenden Fällen nicht in den Windows .NET-Betriebsmodus wechseln:
| • | Sie sind nicht in der Lage, einen Windows NT 4.0 BDC auf Windows .NET 2003 zu aktualisieren. |
| • | Ihr Windows NT 4.0 BDC verfügt nicht über die angemessene physikalische Sicherheit. Da sich Windows Server 2003 einer Multimasterreplikation bedient, müssen Ihre Windows .NET-Domänencontroller auch physikalisch entsprechend abgesichert sein. |
| • | Sie benötigen die Möglichkeit, auf die Windows NT 4.0-Umgebung zurückzustufen. |
Während die Möglichkeit besteht, in einer Domäne sowohl Windows NT 4.0- als auch Windows .NET-Domänencontroller einzusetzen oder nur Windows .NET-Domänencontroller einzusetzen, aber auf Windows 2000-Betriebsmodus zu arbeiten, bieten diese Stufen nicht die vollen Möglichkeiten und Vorteile, die Windows .NET bieten kann.
Wenn Sie der Meinung sind, dass Ihre Umgebung bereit ist, sollten Sie den Windows .NET-Betriebsmodus für Ihre Domäne wählen. Benutzen Sie hierzu das Microsoft Management Console (MMC)-SnapIn Active Directory-Domänen und -Vertrauensstellungen.
Hinweis: Sie müssen für eine Windows .NET-Domäne den Betriebsmodus nicht auf Windows .NET einstellen, wenn ein Unternehmensadministrator den Betriebsmodus Ihres Forests auf Windows .NET einstuft. Das Heraufstufen des Betriebsmodus' eines Forests auf Windows .NET beinhaltet gleichermaßen das Heraufstufen der Domänen innerhalb des Forests. |
Wenn alle Domänen sich im Windows .NET-Betriebsmodus befinden, sollten Sie auf jeden Fall auch den Level des Forests auf Windows .NET heraufstufen. Dies erlaubt Ihnen, alle Vorteile des Windows .NET Forest-Betriebsmodus' zu nutzen.
Arbeitet eine beliebige Domäne innerhalb des Forests noch auf Windows .NET Interims-Betriebsmodus können Sie den Betriebsmodus des Forests nicht auf Windows .NET heraufstufen. Stellen Sie deshalb sicher, dass sich alle Domänen im Windows .NET-Betriebsmodus befinden, bevor Sie den Forest auf diesen Level heraufstufen.
Nutzen der DNS-Anwendungspartition
Das Nutzen einer Anwendungspartition für DNS-integrierte Zonen reduziert in beträchtlichem Maße den Replikationsverkehr und reduziert die Menge an Daten, die im Global Catalog gespeichert werden.
Nachdem Sie eine Aktualisierung aller Windows NT 4.0-Domänencontroller auf Windows Server 2003 durchgeführt haben, können Sie die Active Directory-integrierten DNS-Zonen von allen DNS-Servern in die neu angelegten DNS-Anwendungspartitionen verschieben.
Verschieben Sie DNS-Zonen, die Sie auf alle DNS-Server innerhalb des Forests replizieren möchten, in forestübergreifende DNS-Anwendungspartitionen, so genannte ForestDnsZones. Verschieben Sie alle DNS-Zonen, die Sie innerhalb der DNS-Server der Domäne replizieren möchten, auf die domänenübergreifende Domänenanwendungspartition, die so genannte DomainDnsZones.
Um DNS-Awendungspartitionen zu nutzen, gehen Sie wie folgt vor:
1. | Wählen Sie im DNS-SnapIn die Active Directory-integrierte Zone, die Sie verschieben möchten, aus und wählen Sie den Menüpunkt Eigenschaften. |
2. | Klicken Sie auf die Schaltfläche Ändern hinter dem Ausdruck Replikation: Alle DNS Server in der Active Directory-Domäne. |
3. |
Wählen Sie nun, wie die Zonendaten repliziert werden sollen. |
Weiterführende Information über das Anlegen, Eintragen in und Löschen von Anwendungspartitionen finden Sie im Hilfe- und Supportcenter des Windows Server 2003. Weiterführende Hilfe für das Anlegen einer DNS-Struktur für das Active Directory finden Sie im Abschnitt "Entwerfen einer logischen Struktur".
Abschluss des Aktualisierungsprozesses
Wenn Sie das In-Place-Upgrade der Windows NT 4.0-Domäne auf Windows Server 2003 durchgeführt haben, sollten Sie folgende Schritte zum Abschluss durchführen:
| • | Aktivieren Sie den Rollback-Server, den Sie für ein eventuelles Rollback reserviert haben. |
| • | Kontrollieren, aktualisieren und dokumentieren Sie die Domänenstruktur, um alle während des In-Place-Upgrades vorgenommenen Änderungen aufzunehmen. |
| • | Kontrollieren Sie Ihre Arbeitsabläufe und administrativen Aufgaben, um entscheiden zu können, inwieweit neue Windows .NET-Features, wie z. B. Gruppenrichtlinien oder verteilte Administration, einen Einfluss auf Ihre Arbeitsumgebung haben. Stellen Sie sicher, dass Sie alle vorgenommenen Änderungen, welche Sie feststellen, dokumentieren. |
| • | Entfernen Sie das von Ihnen angelegte FRS-Skript. |
Sind alle Domänen in den Windows .NET-Betriebsmodus überführt und wurden alle durchgeführten Schritte getestet, beenden Sie das Projekt. Das Projekt ist damit beendet.
Weiterführende Quellen
Die hier aufgeführten Quellen enthalten weiterführende Informationen und Tools, die zu diesem Thema verfügbar sind.
Weiterführende Informationen im Ressource Kit
| • | "Restrukturierung von Windows 4.0 Domänen in Windows Server 2003" |
| • | "Entwerfen einer Logischen Struktur" |
| • | |
| • | "Einführung in DNS" und "Windows .NET DNS" in "Networking Guide of the Microsoft Windows .NET Server Resource Kit" (oder aber "Introduction to DNS" sowie "Windows .NET DNS" unter http://www.microsoft.com/reskit) |
| • | "Setzen der Betriebsmodi" |
| • | "Deploying DNS" in "Deploying Network Serivces" innerhalb des Resource Kit |
Vorlagen
| • | 'Assessing Hardware Requirements' (DSSUPNT_1.doc) |
| • | 'Domain Controllers and Services Documentation' (DSSUPNT_2.doc) |
| • | 'Domain Administrator Documentation' (DSSUPNT_3.doc) |
| • | 'Domain Users and Client Workstation Documentation' (DSSUPNT_4.doc) |
| • | 'Domain Controller Assignments' (DSSUPNT_5.doc) |
| • | 'Logon Test Matrix' (DSSUPNT_6.doc) |
| • | 'Active Directory Configuration Test Matrix' (DSSUPNT_7.doc) |
| • | 'Active Directory Functionality Test Matrix' (DSSUPNT_8.doc) |
Hinweis auf Betaversion
Bei diesem Dokument handelt es sich um ein vorläufiges Dokument, das bis zur endgültigen Handelsausgabe der hier beschriebenen Software wesentlichen Änderungen unterliegen kann.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft GmbH zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Markanforderungen reagieren muss, stellt dies keine Verpflichtung seitens der Microsoft GmbH dar und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses Dokument dient ausschließlich informativen Zwecken. Microsoft schließt für dieses Dokument jede Gewährleistung aus, sei sie ausdrücklich oder konkludent.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbare Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft GmbH kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Soweit nicht anders vermerkt sind alle in diesem Dokument genannten Unternehmen, Namen, Adressen, Produkte, Domänennamen, E-Mail-Adressen, Logos und Orte frei erfunden und stehen in keinerlei Verbindung zu einem real existierenden Unternehmen, Namen, einer Adresse, einem Produkt, Domänennamen, einer E-Mail-Adresse, einem Logo oder Ort.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.