Ralf Hüsing

Möchte man einen Primären Windows 2000 Domaincontroller (PDC) durch einen neuen ersetzen, gilt es einige Dinge zu beachten.

Ich gehe hier von einem einfachen Netzwerk mit einem Domaincontroller aus.

Desweiteren wird vorrausgesetzt das man an dem bestehenden PDC so wenig Änderungen wie möglich vornimmt so dass man im Problemfall die Migration ohne Aufwand und Datenverlust wieder zurückversetzen kann.

Was benötigt wird:

• Neuer PDC (Hardware)
• Temporärer Rechner welcher als Backup-Domaincontroller agiert. Dieser Rechner muss nur die Domainstruktur beinhalten, es muss hier also keine möglichst grandiose Hardware eingesetzt werden.

Bevor man irgendwas tut ist ein komplett Backup vom PDC anzufertigen.
Dieses am besten auf eine Festplatte damit der Datentransfer halbwegs schnell von statten geht. Dieses Backup wird später benötigt um den neuen PDC mit den Benutzerdaten (Dateien, Datenbank, etc.) zu bestücken. Das Backup kann entweder über eine Datenträger Spiegelung erfolgen oder über robocopy. Bei robocopy ist zu beachten das man alle Eigenschaften (Sicherheitsattributen, Besitzerkennung, etc.) mit kopiert.

Der BDC kann in die folgenden Schritten mit dem Netzwerk verbunden sein, der neue PDC jedoch in keinem Fall da es sonst zu Namens/Adress-konflikten kommen würde.

Nun installiert man auf dem neuen PDC und dem temporären Backup Domain Controller (BDC) Windows 2000 Server mit allen Updates, Treiber usw.
Es werden noch keine Benutzerdaten kopiert.

Als nächstes integriert man den BDC in die Domain. Dazu wird “dcpromo” auf dem BDC gestartet, die folgenden Dialoge sollten selbsterklärend sein.

Danach stell man die Betriebsmaster der Domain auf den BDC um (ActiveDirectory -> Rechtsklick auf Domain -> “Betriebsmaster”).
Nun hat man die komplette Domainstruktur (Benutzer, Anmeldescripte, etc.) auf dem BDC.

Es ist ratsam auf dem BDC einen DNS Server zu installieren (welcher die replizieren ActiveDirectory DNS-Zonen beinhaltet) und den DNS Server entsprechend in den Netzwerkkarten-Eigenschaften entsprechend auf den BDC umzustellen.

Der aktuelle (alte) PDC wird nun vom Netzwerk getrennt damit die folgenden Änderungen keinensfalls Auswirkungen auf ihn haben können.

Der neue PDC wird aktiviert (Anschalten / Netzwerkkabel reinstecken).
Es ist wichtig (für die Clients usw.) das er die gleiche IP und den gleichen Hostnamen hat wie der alte PDC.

Jetzt gilt es die Domain (wie im obigen Schritt über dcpromo) auf den neuen PDC zu replizieren, der somit erstmal als BDC agieren wird.
Dies funktioniert allerdings nicht da ein gleichnamiger Server bereits in der Domain (der alte PDC) vorhanden ist.
Man kann sich den folgenden (nervigen) Schritt sparen wenn man den neuen PDC anders benennt, dies kann allerdings unvorhergesehene Auswirkungen auf Client/Server-Applikationen haben. Microsoft stellt eine Anleitung zum Entfernen eines nicht mehr vorhandenen Domaincontrollers aus einer Domain (kb216498) bereit.

Möchte man den neuen PDC anders bennen kann man einen DNS Alias vom alten PDC-Namen auf den neuen Anlegen. Dadurch werden erstmal nur allgemeine DNS Auflösungen sichergestellt. Zugriffe auf Freigaben in der Art “\\Server\Freigabe” funktionieren allerdings nicht, hierzu stellt Microsoft ebenfalls eine Anleitung (kb281308) bereit die das Problem behebt.

Danach wird der Betriebsmaster auf den neuen PDC umgestellt und der BDC (ebenfalls über dcpromo) als normaler Server herabgestuft.
Dieser normale Server kann dann aus dem ActiveDirectory gelöscht werden. Wichtig ist alle Einträge im DNS bzgl. des BDC zu löschen.

Es gilt noch den globalen Katalog auf den neuen PDC umzustellen (kb313994).

Nun hat man einen frischen PDC, der die komplette Domain beinhaltet.

Was jetzt noch fehlt sind die Benutzerdaten, welche man von der Backup Festplatte zurück kopiert, sowie sämtliche Freigaben.

Die Freigaben müssen auf dem neuen PDC manuell erstellt werden.

Ein kleiner Praktischer Tipp:

Das Kopieren von den Benutzerdaten dauert im Zweifelsfall sinnlos lange. Also am besten die Arbeitsabläufe so planen das man etwas anderes tun kann. Im Zweifelsfall macht es einfach keinen Sinn 5 Stunden zu warten.

Robocopy, kostenlos erhältlich über die Windows Server 2003 Resource Kit Tools, ist ein Kopierprogramm was funktioniert.

Im Gegensatz zu xcopy kopiert es wirklich alle Dateien und bricht nicht irgendwann mit einer Fehlermeldung wie “Nicht genügend Arbeitsspeicher” (wobei selbstverständlich zig Gigabyte verfügbar wären) ab.

Robocopy unterstützt das Kopieren von Sicherheitsattributen und vieles mehr, nähere Details dazu liefert Google.

Lt. irgendeinem Forum beitrag kann man die Resource Kit Tools von Windows 2003 nicht auf Windows 2000 installieren. Robocopy selbst läuft jedoch wunderprächtig unter Windows 2000, man braucht nur die robocopy.exe welche man einfach über Google zum Download findet.

Falls wer mal ein Makefile auf die schnelle braucht und grad keins zur Hand hat, wie es mir irgendwie ständig geht, hier mal eins was halbwegs tut:

CC=gcc
CFLAGS+=-Wall -pedantic -std=c99 -O3 -g -D_GNU_SOURCE
LDFLAGS+=
VALGRIND=`which valgrind`
STRACE=`which strace`

PROGRAM=test_rh_event
OBJECTS=rh_event.o rh_event_poll.o rh_event_epoll.o

all: $(PROGRAM)

test_rh_event: test_rh_event.c $(OBJECTS) Makefile
        @echo "LD $@"
        @$(CC) $(CFLAGS) -o $@ $< $(OBJECTS) $(LDFLAGS)

valgrind: $(PROGRAM)
        $(VALGRIND) --track-fds=yes --leak-check=yes --show-reachable=yes ./$(PROGRAM)

strace: $(PROGRAM)
        $(STRACE) -f ./$(PROGRAM)

%.o: %.c %.h
        @echo "CC $@"
        @$(CC) $(CFLAGS) -c -o $@ $<

%.o: %.c
        @echo "CC $@"
        @$(CC) $(CFLAGS) -c -o $@ $<

clean:
        $(RM) $(OBJECTS) $(PROGRAM)

Irgendwie erschreckend.

[Via: blog.blase16.de]

[Via: blog.blase16.de]

Als ich eben etwas unqualifiziert auf den Statistiken von uberwach.de rumgeklickt habe bin ich bei masterbootrecord.de gelandet.
Man wird doch glatt massiv darauf hingewiesen die Werbung dort zu konsumieren.
Natürlich ist mir deren Anliegen, was ja auch beschrieben wird, klar, aber irgendwie ist mir sowas dann doch neu.

Der ganze Überwachungskrempel kotzt mich sowas von an.

An einem Tag Zwei Meldungen auf Heise.

Die Artikel auf Telepolis zum Fall Andrej H. (oder via google) sind auch nicht besonders lustig.

Wenn ich mir Bilder dazu ansehe wird mir einfach mal nur schlecht.

Das wollte ich nur mal gesagt haben.

Ich werde jedoch vermutlich meinen Arsch dennoch nicht hoch kriegen und auf die Demo in Leipzig gehen. Nunja, jedenfalls hab ich auf der Seite hier was gemacht, beruhigt das Gewissen nicht wirklich aber hilft als Trostpflaster.