NT-BDCs nachträglich herabstufen

Wer schon mal eine Migration von Windows NT 4.0 nach Active Directory geplant hat, kennt die Problemstelle Windows NT BDC genau. Meist ärgert man sich dann darüber, dass man damals die Frage, die einem das NT Setup stellte, nicht anders beantwortet hat.

Erst recht, wenn man möglicherweise als Dienstleister zum Kunden gerufen wird und feststellt, dass vom Typ NT BDC ca. 20 Server vorhanden sind. Wahrscheinlich ist man damals davon ausgegangen, Sicherungs-Domänen-Controller höre sich irgendwie nach Backup an, könne also nicht ganz falsch sein. 🙂

Nun gibt es aber in der Migrationsphase zum Active Directory einiges, was nicht funktioniert,  solange es BDCs in der Domäne gibt. Dazu gehören unter anderem der Gruppentyp „Universelle Gruppen“ und die Möglichkeit der Gruppenschachtelung. Für beide Funktionen gibt es gute Einsatzmöglichkeiten.
Nun könnte man natürlich auf die Idee kommen, den BDC einfach mittels Windows 200x Setup einem Update zu unterziehen, um danach durch dcpromo wieder einen Mitgliedsserver zu haben. Leider gibt es aber diverse Software, die auch heute noch nicht unter Windows 2000 zum Laufen zu bewegen ist, bzw. der Aufwand, diese Software zu aktualisieren, wäre zu hoch. Microsoft hat beim Design von Windows NT scheinbar nicht damit gerechnet, dass jemand auf die Idee kommen könnte, die Rolle eines Windows Servers nachträglich zu ändern. Der Support von Windows NT ist seit geraumer Zeit abgelaufen, und viele Firmen haben den Sprung von Windows NT 4.0 auf Windows 2000 ausgelassen. Damit müssen diese sich der Herausforderung stellen.

Migrationstool Upromote von Algin Technology

Für alle Administratoren, die vor einem solchen  Problem stehen, gibt es von Algin Technology Hilfe in Form von UPromote.

Mittels UPromote lassen sich bestehende Windows NT 4.0 BDCs zu Memberservern zurückstufen. Die anderen Optionen, etwa einen Memberserver nachträglich zum PDC oder BDC einer Domäne heraufzustufen, wird heute wahrscheinlich niemand mehr nutzen wollen.

UPromote kostet ab 99$ für einen einzelnen Server (http://utools.com/shop.asp).
Nachfolgend nur ein kurzer Durchlauf durch die Funktion des Programms.

Nach der Installation und Lizenzierung kann es auch schon losgehen.

Abbildung 2: Demote eines BDC zu einem alleinstehenden Server

Der Frage nach der Änderung der SID sollte man im Normalfall zustimmen. Zumindest im Falle des Wiederbeitretens zur gleichen Domain ist es unabdingbar, die SID zu ändern. In der mitgelieferten Hilfe finden sich hierzu nützliche Informationen.

Abbildung 3: Änderung der SID

Vor allem wenn der BDC als Fileserver fungiert, sollte man sich die Antwort auf nachstehende Frage genau überlegen und auch hier die Hilfe konsultieren. Denn durch den Wizard lässt sich bestimmen, ob die Dateisystemberechtigungen der einzelnen Laufwerke mitkonvertiert werden sollen. Dies ist bei ausgeklügelten Dateisystemstrukturen aber meist nicht gewünscht. Der Wizard würde bei Anpassung von Laufwerken die bestehenden SIDs im Filesystem durch die neu entstandenen SIDs nach der Konvertierung ersetzen. Dadurch wäre es später den Domänenbenutzern nicht mehr möglich auf ihre Daten zuzugreifen.

Abbildung 4: Von der Auswahl in diesem Menü ist die nachträgliche Arbeit auf Fileservern abhängig

Danach muss man sich nur noch überwinden auf den „Finish“-Knopf zu drücken. 😉

Abbildung 5: …und los

Der Prozess benötigt insgesamt zwei Reboots.

Abbildung 6: Zweimal booten

Nach dem Booten kann man sich mit dem ehemaligen Domänenadmin-Konto anmelden, denn dieses wurde zu einem lokalen Konto konvertiert. Was jetzt noch fehlt, ist das manuelle Löschen des ehemaligen BDC-Kontos im Active Directory sowie der erneute Domänenbeitritt des NT 4.0 Servers.

Abbildung 7: Domänenbeitritt als Mitgliedsserver

Nach dem Entfernen des letzten BDC kann man das Active Directory in den einheitlichen Modus schalten.

Hinweise: Die Nutzung von UPromote sollte vorher getestet werden. Anwendungen, die auf dem BDC liefen, müssen genau geprüft werden. Möglicherweise kommt es nach dieser Änderung zu  Nebenwirkungen, die man nicht sofort bemerkt. Ein Backup des gesamten Systems sollte man auf jeden Fall vorher anfertigen.