106561
Goto Top

Active Directory Domäne Dienste von Hyper -V Host entfernen

Hi User
Habe ein Anliegen
Ich habe bei meinem hyper v Host schon Jahre lang zugleich die Domäne Dienste installiert .
Jetzt würde ich die Domäne Virtualisieren wollen und dann die Dienste von hyper v Host entfernen.
Wie ist das Vorgehen hierbei ?

Ich vermute:
Ich erstelle eine neue v- Maschine , installiere Server 2008r2 und aktivier dort die Domäne Dienste .
Dann replizieren und den "alten dc" aus der Domäne entfernen .


Dann hoffen das der Virtualisierte Exchange den neuen dc "annimmt"


Sehe ich das richtig ?


3be7b90ca72346813020b06e8ac6d7d6

b747f96418654bcef9660a85eb6c9de6



97cce3d0fa69ccd9e1c7b38ee6b4caf1

Content-Key: 253296

Url: https://administrator.de/contentid/253296

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: eumel1979
Lösung eumel1979 29.10.2014, aktualisiert am 05.11.2014 um 20:03:19 Uhr
Goto Top
Hi,

im Prinzip hört sich das nach einer Vorgehensweise an. aber wieso hast du es damals so gelöst. Best practise war das damals auch nichtface-wink

Gruß eumel
Mitglied: eumel1979
Lösung eumel1979 29.10.2014, aktualisiert am 05.11.2014 um 20:03:22 Uhr
Goto Top
Achja..die fsmo´s musst du übertragen. Dann Ad bereinigen (Standorte...)
Mitglied: 106561
106561 29.10.2014 um 12:11:53 Uhr
Goto Top
Hallo
Tja würd ich auch gerne wissen

Aktuell gibt es ja keine Probleme
Ist es empfohlen die ad unzuziehen ?
Mitglied: 106561
106561 29.10.2014 um 12:12:18 Uhr
Goto Top
Fsmo ? Wie übertragen ?
Mitglied: eumel1979
eumel1979 29.10.2014 um 12:25:21 Uhr
Goto Top
Hi,

ad und hyperv auf einer kiste=noGo

benutze mal Google: fsmo übertragen....dann wird dir geholfen


Gruß eumel

P.S.: ich nehme an es handelt sich um einen test/spielserver privater Naturface-wink
Mitglied: 106561
106561 29.10.2014 um 12:40:37 Uhr
Goto Top
Home Server
Danke
Mitglied: Chonta
Lösung Chonta 29.10.2014, aktualisiert am 05.11.2014 um 20:03:32 Uhr
Goto Top
Hallo,

dein HyperV ist auch gleichzeitig der erste DC? Wenn das jetzt die standardversion ist und Du zwei Virtuelle Server ohne zusätzliche Lizenz betreibst, war das schon immer nicht lizenzkonform. (2 VM bedeutet der HV darf keine anderer Rolle inne haben)

Wenn Du nun den DC vom Hypervisor runterhauen willst in eine VM darf die VM erstmal nicht auf dem HyperV der jetzt noch DC ist laufen.
Warum?
Du musst den Hyoervisor runterfahren und dann ist auch der andere DC weg, kann nur schief gehen.

Gruß

Chonta
Mitglied: 106561
106561 29.10.2014 um 12:45:04 Uhr
Goto Top
Übernimmt der Exchange dann den neuen Server ?
Mitglied: eumel1979
eumel1979 29.10.2014 um 12:45:30 Uhr
Goto Top
Hi Chonta,

danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenendeface-wink

Gruß eumel
Mitglied: Chonta
Chonta 29.10.2014 um 12:49:59 Uhr
Goto Top
Zitat von @eumel1979:

Hi Chonta,

danke für den Hinweis. hab ich glatt vergessen. wird Zeit fürs Wochenendeface-wink

Gruß eumel

Und heute ist noch nicht Freitag face-sad
Mitglied: Pjordorf
Pjordorf 29.10.2014 um 12:59:51 Uhr
Goto Top
Hallo,

Zitat von @106561:
Übernimmt der Exchange dann den neuen Server ?
Du willst nicht wirklich einen Exchange auf einen DC am laufen haben, oder? Der Exchange benötigt zwar ein AD, aber den auf einen DC zu betreiben ist nicht das wann mittlerweile will. Es sind nicht mehr die Zeiten von Server 2000 und Exchange 5.5, daher hat der Exchange seinen eigenen Server der aber kein DC ist sondern nur ein Memberserver....

Denk mal darüber nach was du da haben willst face-smile

Gruß,
Peter
Mitglied: 108436
108436 29.10.2014, aktualisiert am 01.11.2014 um 14:33:35 Uhr
Goto Top
verzwickte Sache
Mitglied: Chonta
Lösung Chonta 29.10.2014, aktualisiert am 05.11.2014 um 20:03:45 Uhr
Goto Top
Hallo,

also wenn Du einen neuen DC in die Dömäne aufnimmst, die FMSO /Globalen Katalog nicht vergessen) auf diesen zweiten verschiebst und den ersten dan sauber aus der Domäne entfernst wird es im Prinzip klappen.
Immer schön auf die Replikation warten!
Der neue DC muss auch DNS-Server werden und die DNS-Zonen der Domäne im AD integriert.
Die Server und Clients müssen auf den neune DNS-Server als ersten DNS-Server umgestellt werden.
Wenn der alte DC demotet ist, müssen EVTL. im DNS die Einträge die diesen Server als DC und kdc und und und ausweisen manuel entfernt werden.

Wird das berücksichtig und sauber gearbeitet hat der Exchange kein Problem. Vorrausgesetzt der neue DC hat eine Serverversion, die von dem Exchange auch supportet wird.

Gruß

Chonta
Mitglied: 108436
108436 29.10.2014, aktualisiert am 01.11.2014 um 14:34:51 Uhr
Goto Top
Muss man eigentlich die selben anmelde Informationen wie beim ersten da angeben ?
Interessiere mich dafür
Mitglied: Chonta
Chonta 29.10.2014 um 17:45:59 Uhr
Goto Top
Wie gesagt, wenn der Hyper-V ein Standard Server ist, dann darfst Du die Lizens folgend Verwenden:

Blech NUR Hyper-V und 2 VM
Blech keine VM
Blch Hyper-V und eine andere Rolle - EINE VM die über die normale Lizenz abgedeckt ist.

Wenn auf dem Rechner mehr VM-Laufen müssen mehr Lizenzen nachgekauft werden.

Früher oder Später wirst Du mit dem Setup ein Problem bekommen.

Was Du da mit dem Backup vorgeschlagen hast kann ich nichtmal in Gedanken nachbauen, lass es bleiben.

Gruß

Chonta
Mitglied: 106561
106561 01.11.2014 um 14:31:59 Uhr
Goto Top
Hallo
Habe den 2. Server hinzugefügt , erhalte aber enorm viele Fehlermeldungen
Mitglied: 106561
106561 01.11.2014 um 14:36:13 Uhr
Goto Top
Bilder stehen oben drinnen
Mitglied: Chonta
Chonta 03.11.2014 um 08:47:16 Uhr
Goto Top
Hallo,

was hast Du wie und worauf gemacht?

Gruß

Chonta
Mitglied: 106561
106561 03.11.2014 um 11:42:47 Uhr
Goto Top
Hi
Habe in hyper v eine neue virtuelle Maschine erstellt
Die Domäne Dienste installiert und mit dcpromo den Server als 2. Domäne Controller heraufgestuft.
Dann neu gestartet
Dann kommen die Fehler von oben .
Mit freundlichen Grüßen
Mitglied: Chonta
Lösung Chonta 03.11.2014, aktualisiert am 05.11.2014 um 20:03:54 Uhr
Goto Top
Hallo,

bei dcpromo kann man ne ganze menge an Einstellungen auswählen.
Welche wurden ausgewählt?
Warum eine VM? wenn Du vom Hyper-V die AD-Dienste entfernen willst brauchst Du einen DC auf Blech oder als VM auf einem anderen Hypervisorm sonnst wird das nix.

Hat der "neue" DC eine feste IP?
Ist der neue DC auch DNS?
Ist der neue DC auch Globalercatalogserver (laut Fehlermeldung nicht)
Wie sind die Netzwerkeinstlelungen?

Gruß

Chonta
Mitglied: 106561
106561 03.11.2014 um 11:53:55 Uhr
Goto Top
Hallo
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben

Der neue DC hat eine feste ip
Der neue DC hat die dns Einstellungen vom alten DC übernommen
Der hyper v hat 2 netzwerkkaurten
Eike davon hat die ip 192,168,2,118
Die andere ist für die vm maschienen
Dort ist der Exchange (192.168.2.123)
Und der neue DC (192.168.2.119)

Liegen alle im selben Netz

DHCP verteilt an die anderen Clients
Mitglied: Chonta
Lösung Chonta 03.11.2014, aktualisiert am 05.11.2014 um 20:03:59 Uhr
Goto Top
Zitat von @106561:

Hallo
Ich will eben von dem hyper-v Blech die domänedienste auf eine vm verschieben
Ok, ABER die VM die DC werden soll darf NICHT auf dem physikalischen Hypervisor laufen der derzeit noch selber DC ist!
Wenn und wirklich ERST nachdem das AD erfolgreich mit 2 DC eingerichtet war, der Hyper-V DC seinen DC Status verloren hat und ALLES sauber läuft kann die VM auch auf dem Hyper-V der derzeit noch DC ist laufen.

Wenn Du das anders versuchst läufst Du gefahr dein AD zu zerschießen.
Warum?
Neustart vom Hyper-V = beide DCs wärend das AD bereinigt wird weg! Weil der Server starte terst neu und macht die Änderungen, nachdem die VM alle aus sind.

Gruß

Chonta
Mitglied: 106561
106561 03.11.2014 um 13:18:21 Uhr
Goto Top
Sprich ich muss einen DC auf dem anderen hyper v machen , und dann nochmal umziehen ?
Mitglied: Chonta
Lösung Chonta 03.11.2014, aktualisiert am 05.11.2014 um 20:04:02 Uhr
Goto Top
Eben dieses.
Oder als separates Blech belassen.
Eigendlich unterstützt MS erst seid 2012 virtuelle DC so richtig. Und wenn möglich sollte man immer zum einen mehr als einen DC haben zum anderen mindestens einen Hardware oder auf verschiedenen Hypervisors.

Warum?

Wenn der Hyper-V startet will der mit dem DC reden aber findet keinen und das KANN wohlgemerkt KANN zu Problemen führen.
Ich habe bei uns auch einen VM-DC ale einzigen DC auf dem Hypervisor.
Anders wäre es mir auch lieber, aber geht halt nicht.

Gruß

Chonta
Mitglied: 106561
106561 03.11.2014 um 14:35:30 Uhr
Goto Top
Nagut, aber ich muss Strom sparen .
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht
Mitglied: 106561
106561 03.11.2014 aktualisiert um 14:41:52 Uhr
Goto Top
Zitat von @106561:

Nagut, aber ich muss Strom sparen .
Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
Es ist damals auch net anders gegangen ...
Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
Bloß ich hoffe nicht das wieder alles zusammen bricht



Deswegen hat er diese vielen Fehler gehabt ?!
Weil gleich nach dem durchführen des dcpromo kamen die ersten Fehler auf beiden Geräten.
Dabei hatte ich nicht einmal neu gestartet
Als User werde ich den Domänen Admin wohl angeben müssen
Mitglied: 106561
106561 03.11.2014 um 19:41:14 Uhr
Goto Top
Zitat von @106561:

> Zitat von @106561:
>
> Nagut, aber ich muss Strom sparen .
> Umsonst hätte ich den Exchange nicht virtuell auf den dc geschmissen
> Es ist damals auch net anders gegangen ...
> Werde mir meine 2. Mühle mal starten und versuchen zu replizieren
> Bloß ich hoffe nicht das wieder alles zusammen bricht


Deswegen hat er diese vielen Fehler gehabt ?!
Weil gleich nach dem durchführen des dcpromo kamen die ersten Fehler auf beiden Geräten.
Dabei hatte ich nicht einmal neu gestartet
Als User werde ich den Domänen Admin wohl angeben müssen



mein jetztiges vorgehen:

http://mntechblog.de/weiteren-windows-server-2008-r2-domaenencontroller ...

genau so wie beschrieben

dann noch

http://mntechblog.de/verwendete-dns-server-der-domnencontroller/


hoffe es funkktioniert nun
Mitglied: 106561
106561 04.11.2014 aktualisiert um 11:56:38 Uhr
Goto Top
Guten
Tag
Habe jetzt den neuen DC mit DC Promo heraufgestuft

Fehlermeldungen :
Etliche
event id 1153 superclass

Außerdem Ereignis 614
Mitglied: Chonta
Lösung Chonta 04.11.2014, aktualisiert am 05.11.2014 um 20:04:08 Uhr
Goto Top
Hallo,

wo kommen die Fehler? (Blech oder der VM?)

Hatte die VM auch einen Computernamen den es noch nicht gab?
Ist das Computerkonto der VM im AD richtig hinterlegt?
Als wer hast Du die Hochstufung des Memberservers zum DC gemacht?

Wurde der Server schon neu gestartet?
Ist für die VM der Blechserver der erste DNS-Server?

ID 614 welche Quelle?

Gruß

Chonta

http://technet.microsoft.com/en-us/library/cc756675%28v=ws.10%29.aspx
Mitglied: 106561
106561 04.11.2014 aktualisiert um 13:34:42 Uhr
Goto Top
Hi
Der neue DC macht die Fehler ( esxi vm) nach Neustart auch noch
Der alte DC ( hyper v Blech ) wurde noch nicht neu gestartet ....


Die neue vm hat den Namen "dc2" bekommen , dieser wurde noch nie zuvor verwendet.
Der alte DC heisst "SERVER "

Als Domäne Administrator würde es gemacht
( der Standart Administrator acc)

Jap ist er
Einträge des "alten dc"
Dns1:den neuen DC
Dns2: Sich selber

Einträge des neuen DC
Dns1:den alten DC
Dns2: sich selber
Mitglied: Chonta
Lösung Chonta 04.11.2014, aktualisiert am 05.11.2014 um 20:04:12 Uhr
Goto Top
Hallo,

der alte muss auch nicht neu gestartet werden.
was sagen dcdiag und repadmin.exe? (auf dem neuen)

Hat der neue sich irgendwas vom AD repleziert?
Ist der HyperV ein 2008 ohne R2 und der neue DC ein R2?

Sicher das dein AD davor überhaupt richtig lief?
Normalerweise ist das hinzufügen von DCs das geringste Problem im AD.

Gruß

Chonta
Mitglied: 106561
106561 04.11.2014 um 15:22:09 Uhr
Goto Top
Hallo
Wenn ich zuhause bin poste ich die Ergebnisse

Beide sind 2008r2
Alte DC ist Enterprise / ebenso der Exchange
Neue DC ist Standart

Also die ad funktionierte schon
Bis auf 2 Warnungen :
Kdc smartcard
Und kein zertifikt

Sonst ging alles ...
Mitglied: 106561
106561 04.11.2014 um 16:37:34 Uhr
Goto Top
so also laut dcdiag und repadmin funktioniert alles

bin in den domäneadministrator acc gegangen unbd habe die befahle ausgeführt.

so nun möchte ich die fsmo rollen verschieben.

habe aber bisschen angst davor... :D

vielleicht hat ja jemand lust von euch via teamviewer mit dabei zu helfen
(im sinne von vorher zu prüfen ob alles passt) und mir dann beim übertragen hilfe zu leisten ...)

Mit freundlichen Grüßen
Mitglied: Chonta
Chonta 04.11.2014 um 16:44:07 Uhr
Goto Top
Warte mit den FMSO bis Du sicher sein kannst das alles geht.
Mitglied: 106561
106561 04.11.2014 aktualisiert um 16:52:43 Uhr
Goto Top
exchange hat schonmal was gemeldet:

"INFORMATION"
Prozess MAD.EXE (PID=3944). Der Exchange Active Directory-Anbieter hat folgende Server mit folgenden Eigenschaften gefunden:
(Servername | Rollen | Aktiviert | Erreichbarkeit | Synchronisiert | GK-fähig | PDC | SACL-Recht | Benötigte Daten | Netlogon | Betriebssystemversion)
Innerhalb des Standorts:
SERVER.pb.local CDG 1 7 7 1 0 1 1 7 1 ALT
DC2.pb.local CDG 1 7 7 1 0 1 1 7 1 NEU
Außerhalb des Standorts:


ist doch schon mal sehr gut
Mitglied: 106561
106561 05.11.2014 um 16:37:21 Uhr
Goto Top
HAbe jetzt die fsmo rollen übertragen.
aktuell startet der hyper v (also alter DC und Exchange) neu.DC"neu" ist online ->(esxi)
Ich hoffe dass alles funktioniert... *bangebange*
Mitglied: Chonta
Lösung Chonta 05.11.2014 aktualisiert um 20:04:18 Uhr
Goto Top
las dir anzeigen welcher dc die fmso hat.

netdom query fsmo /domain:MyDomain

Dsquery server -domain domain.local

um anzuzeigen wer alles einen globalen catalog hat.

warte noch ein bissel und dann kann der alte demotet werden.
Danach neustart und ggf dns aufräumen (Einträge die den alten server noch als kdc oder dergleichen ausweisen)

Gruß

Chonta
Mitglied: 106561
106561 05.11.2014 aktualisiert um 17:13:28 Uhr
Goto Top
Hi.

ergebnis zu netdom:
alle stehen auf "dcNEU"

zu dsquery:
4f69771fa1fef32641e39efdbfd32c80


Warnungen DCALT:

Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.

-Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.

Zertifikatname: SERVER.pb.local

-Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.

-Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SERVER.pb.local; WSMAN/SERVER.

Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.

Fehler EXCHANGE

-Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.


Desweiteren sind viele warnungen , die besagen dass die verbindung nicht hergestellt werden kann
das war vor der replizierung auch schon(
ABER: liegt daran, dass die verbindung (lan schnittstelle) erst viel später aktiviert wird..
es dauert beim boot ca.30 sekunden, dann erst startet die lan verbindung.
dann funktioniert auch alles bestens.
habe es schon versucht mit neuer-lan "karte" , bleibt einfach so face-sad

BEISPIEL:Der Postfachreplikationsdienst konnte die aktiven Postfachdatenbanken auf einem Postfachserver nicht ermitteln.
Postfachserver: EXCHANGE.pb.local
Fehler: MapiExceptionNetworkError: Unable to make admin interface connection to server. (hr=0x80040115, ec=-2147221227)
Diagnostic context:


Fehler & warnungen bei DCNEU
-Keine


Erklärung:
SERVER=AlterDC
EXCHANGE =Exchnage
DC2=NeuerDC
Mitglied: Chonta
Lösung Chonta 05.11.2014 aktualisiert um 20:04:22 Uhr
Goto Top
Hallo,

welcher DNS-Server ist beim exchange eingetragen?, Da sollt enur der neue drinstehen.

Was willst du mit ad webdiensten warum sind die drauf? wozu?

Wenn ein DC neu gestarter wird, hat der immer fehle rim log, weil netzwerk noch nicht oben ist, weil dns nicht gestartet ist und weil das ad nicht gestartet ist und alles voneienander abhängt.
Die Frage ist funktioniert der Mailversand/empfang und gibt es jetzt imme rnoch fehler?

Fichtig beim Fehler posten

Quelle und ID

was sagt repadmin?

Gruß

Chonta
Mitglied: 106561
106561 05.11.2014 um 17:34:47 Uhr
Goto Top
Der neue DC

AD Webdienste soll ich entfernen ?

jap mail und so funktioniert alles :D

Repadmin sagt alles in ordnung

soll ich die anderen Warnungen vom Exchange auch noch posten ?

MFG
Mitglied: Chonta
Lösung Chonta 05.11.2014 aktualisiert um 20:04:25 Uhr
Goto Top
Ja in Bezug auf die Warungen.

wo sind die AD webdienste installiert auf dem alten oder dem neuen? wenn auf dem neuen runter damit wenn eh nicht verwendet.
Wenn auf dem alten nur drauf, na der ist ja eh bald alles los.

Gruß

Chonta

http://www.drwindows.de/windows-7-allgemein/68370-ereignisfehler-wmi.ht ...
Mitglied: 106561
106561 05.11.2014 aktualisiert um 17:46:49 Uhr
Goto Top
Die sind auf dem alten
ok gut ich mache schnell ein foto ;)

94c5e950970f9ec5740aabbbbb1b0e65
Mitglied: Chonta
Lösung Chonta 05.11.2014 aktualisiert um 20:02:52 Uhr
Goto Top
Wenn die Webdienste auf dem alten drauf sind, mach dir keinen kopf, der wird mit dem demote alles los.

Die Fehlermeldung vom Exchange scheint null mit dem DC zutun zu haben Link.
Mal gezoelter google verwenden evtl findest Du da noch was raus.

wenn die fmso drüben sind, repadmin sagt alles ok ist aus meiner sicht alles ok.
Das DNS macht evtl noch Probleme wenn der alte server ganz weg ist, muss bereinigt werden und fertig.

Gruß

Chonta
Mitglied: 106561
106561 05.11.2014 aktualisiert um 18:03:48 Uhr
Goto Top
ff48c09d5da4571aa8be5634c1a0f630
ALTER DC


23284d9fee4f0b7398457a23a1c610ab

NEUER DC


gut dann entferne ich den ALTEN DC via dcpromo ...
Mitglied: 106561
106561 05.11.2014 um 18:24:49 Uhr
Goto Top
Artikel: "was muss ich tun wenn ich den ersten DC einferne"

ZITAT DARAUS:
Und dann gibt es noch den Aspekt, der gern übersehen wird, aber eigentlich der kritischste ist, weil hier wirklich Datenverluste drohen: Das EFS-Recovery-Zertifikat.

Seit Windows 2000 gibt es das Verschlüsselnde Dateisystem (EFS), das Daten auf Workstations und Computern wirklich sicher verschlüsseln kann. Jeder Benutzer kann dies standardmäßig tun. Sollte ein Benutzer seinen EFS-Schlüssel verlieren, so gibt es nur noch einen User im AD, der die Daten wieder entschlüsseln kann: Den Recovery Agent (RA). Standardmäßig ist dies der vordefinierte "Administrator" (nur das Userkonto, nicht die Gruppe!). Er kann dies, weil er ein passendes Zertifikat hat.

Und nun wird's interessant: Das Zertifikat des EFS-Recovery-Agent ist standardmäßig ausschließlich auf dem ersten installierten DC vorhanden. Wenn dieser entfernt wird, ist das Zertifikat weg – es sei denn, man sichert es vorher. Und das geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!):

Auf dem ersten DC öffnet man die "Default Domain Policy".
Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich).
Hier findet man (im Regelfall) das Zertifikat des Administrators.
Rechtsklick darauf, "Exportieren" wählen.
Wichtig: Man exportier das Zertifikat zweimal: Einmal mit dem privaten Schlüssel, einmal ohne (in separate Dateien).
Die exportierten Dateien kopiert man auf Disketten oder andere separate Datenträger und verwahrt diese gut. Die Dateien müssen vom DC gelöscht werden, sie haben dort nichts zu suchen!

Wenn man nun später Daten für andere Benutzuer als RA entschlüsseln muss, so nutzt man die Diskette mit dem privaten Schlüssel. Falls einmal der Original-RA in der Default Domain Policy oder anderswo wieder importiert werden muss, nutzt man die Dateio ohne privaten Schlüssel.

Achtung: Das EFS-Zertifikat ist nicht nur dann zu sichern, wenn man EFS bereits einsetzt, sondern immer. Denn in einer Domäne gibt es nur genau einen vordefinierten Recovery Agent, und dessen persönlicher Schlüssel ist genau auf dem einen DC vorhanden, der zuerst installiert wurde. Auch dann, wenn erst in drei Jahren zum ersten Mal jemand EFS verwendet, wird das EFS-Zertifikat des RA verwendet – nur hat dann vielleicht niemand mehr den privaten Schlüssel!


das muss ich auch noch machen oder?
Mitglied: 106561
106561 05.11.2014 aktualisiert um 20:19:40 Uhr
Goto Top
Sodala

Alter Dc ist weg
Alles geht soweit
Ich danke chonta ausdrücklich für die Geduld an mir und die guten Erklärungen !!
Natürlich auch den anderen Mitgliedern die mir geholfen haben.

Als nächstes werde ich den Blech dc auf eine neue vm replizieren , da ich stromtechnisch nur 1 Server am laufen lassen kann ...

Ich melde mich im Laufe der nächsten Woche bei euch melden .

Wer Gefallen an einer Anleitung findet , da kann ich was zusammen fassen wenn ihr wollt ( für die "nach"Welt)

Liebe Grüße
Philipp