Vor einigen Tagen hatte ein Kunde ein Supportproblem mit einer relativ großen Datei, in der für die Firma wichtige Daten enthalten sind. Wir konnten nun über den Support per Telefon und Email nicht weiterhelfen und baten um Zusendung der Datei, damit wir das ganze in unserem Testfeld nachstellen können.
Ich hab mal früh am Morgen (kurz vor 9) einen Kunden angerufen, weil ich am Abend vorher festgestellt hab, dass sich seine Firewall verabschiedet hat und man nicht mehr ans Netz und demzufolge höchstwahrscheinlich auch nicht mehr nach extern zugreifen konnte.
Auf meine Aussage hin, dass sein Internetzugang down sei, kam die Antwort, ja das wüsste er bereits, und er hätte mir bereits eine entsprechende Email mit der Fehlermeldung geschickt …
Was sagt man da am Telefon?
Wir hatten mal einen Kunden, der sich (wie auch immer) seine Datenbank zerschossen hatte.
Wir haben uns das ganze Verzeichnis mit allen Daten schicken lassen (ca. 420MB vom Kunden auf CD gebrannt). Die Reparatur war innerhalb weniger Stunden vollzogen, und wir haben die Daten dann auf unseren Webserver gestellt, damit er sie sich downloaden konnte. Es erfolgte aber stattdessen ein Anruf, dass das ja wohl unverschämt von uns wäre, ihn eine solche Menge an Daten downloaden zu lassen (offensichtlich ein Volumenvertrag bei seinem Provider). Wir sollten ihm die Daten doch gefälligst per eMail schicken!
Da ist man sprachlos.
Ich erinnere mich an den 1.1.2000, wo ich bei einer Bank zu einem PC mit Jahr-2000-Problem gerufen wurde. Er macht nix mehr, der Monitor bleibt schwarz.
Der Anwender war der Meinung, der PC würde den Jahreswechsel ohne VGA-Kabel besser überleben, und hatte das am Tag drauf vergessen.
E-Mail-aktivierte Gruppen könnten unter Exchange sowohl von intern als auch von extern adressiert werden. Viele Administratoren passen die Gruppenmitgliedschaften per Skript an und stützen sich dabei auf Datenbestände, die durch die Personalabteilung gepflegt werden. Dabei besteht die Gefahr, dass ein solches Skript falsche Änderungen ausführt und die Gruppe ohne Mitglieder zurücklässt. Doch was ist, wenn eine Gruppe keine Mitglieder beinhaltet?
Der LDAP-Standard sieht unglücklicherweise vor, dass die Objektklasse "user" nicht nur Benutzerobjekte umfasst (wie man annehmen könnte). Setzt man also bei der AD-Abfrage einen Filter wie (objectClass=user), so erhält man nicht nur Benutzer-, sondern auch Computerobjekte zurück.
Ihr Administrator hat den neuen Kollegen schon eingetragen im Active Directory und ihm auch schon eine Emailadresse gegeben. Natürlich wollen Sie netterweise eine Begrüßungsmail schreiben, aber im Globalen Adressbuch ist der Neue nicht aufzufinden. Voller Panik rufen Sie ihren Administrator an …
Wer schon mal eine Migration von Windows NT 4.0 nach Active Directory geplant hat, kennt die Problemstelle Windows NT BDC genau. Meist ärgert man sich dann darüber, dass man damals die Frage, die einem das NT Setup stellte, nicht anders beantwortet hat.
Erst recht, wenn man möglicherweise als Dienstleister zum Kunden gerufen wird und feststellt, dass vom Typ NT BDC ca. 20 Server vorhanden sind. Wahrscheinlich ist man damals davon ausgegangen, Sicherungs-Domänen-Controller höre sich irgendwie nach Backup an, könne also nicht ganz falsch sein. 🙂
Nun gibt es aber in der Migrationsphase zum Active Directory einiges, was nicht funktioniert, solange es BDCs in der Domäne gibt. Dazu gehören unter anderem der Gruppentyp „Universelle Gruppen“ und die Möglichkeit der Gruppenschachtelung. Für beide Funktionen gibt es gute Einsatzmöglichkeiten.
Nun könnte man natürlich auf die Idee kommen, den BDC einfach mittels Windows 200x Setup einem Update zu unterziehen, um danach durch dcpromo wieder einen Mitgliedsserver zu haben. Leider gibt es aber diverse Software, die auch heute noch nicht unter Windows 2000 zum Laufen zu bewegen ist, bzw. der Aufwand, diese Software zu aktualisieren, wäre zu hoch. Microsoft hat beim Design von Windows NT scheinbar nicht damit gerechnet, dass jemand auf die Idee kommen könnte, die Rolle eines Windows Servers nachträglich zu ändern. Der Support von Windows NT ist seit geraumer Zeit abgelaufen, und viele Firmen haben den Sprung von Windows NT 4.0 auf Windows 2000 ausgelassen. Damit müssen diese sich der Herausforderung stellen.
Für alle Administratoren, die vor einem solchen Problem stehen, gibt es von Algin Technology Hilfe in Form von UPromote.
Mittels UPromote lassen sich bestehende Windows NT 4.0 BDCs zu Memberservern zurückstufen. Die anderen Optionen, etwa einen Memberserver nachträglich zum PDC oder BDC einer Domäne heraufzustufen, wird heute wahrscheinlich niemand mehr nutzen wollen.
UPromote kostet ab 99$ für einen einzelnen Server (http://utools.com/shop.asp).
Nachfolgend nur ein kurzer Durchlauf durch die Funktion des Programms.
Nach der Installation und Lizenzierung kann es auch schon losgehen.
Abbildung 2: Demote eines BDC zu einem alleinstehenden Server
Der Frage nach der Änderung der SID sollte man im Normalfall zustimmen. Zumindest im Falle des Wiederbeitretens zur gleichen Domain ist es unabdingbar, die SID zu ändern. In der mitgelieferten Hilfe finden sich hierzu nützliche Informationen.
Abbildung 3: Änderung der SID
Vor allem wenn der BDC als Fileserver fungiert, sollte man sich die Antwort auf nachstehende Frage genau überlegen und auch hier die Hilfe konsultieren. Denn durch den Wizard lässt sich bestimmen, ob die Dateisystemberechtigungen der einzelnen Laufwerke mitkonvertiert werden sollen. Dies ist bei ausgeklügelten Dateisystemstrukturen aber meist nicht gewünscht. Der Wizard würde bei Anpassung von Laufwerken die bestehenden SIDs im Filesystem durch die neu entstandenen SIDs nach der Konvertierung ersetzen. Dadurch wäre es später den Domänenbenutzern nicht mehr möglich auf ihre Daten zuzugreifen.
Abbildung 4: Von der Auswahl in diesem Menü ist die nachträgliche Arbeit auf Fileservern abhängig
Danach muss man sich nur noch überwinden auf den „Finish“-Knopf zu drücken. 😉
Abbildung 5: …und los
Der Prozess benötigt insgesamt zwei Reboots.
Abbildung 6: Zweimal booten
Nach dem Booten kann man sich mit dem ehemaligen Domänenadmin-Konto anmelden, denn dieses wurde zu einem lokalen Konto konvertiert. Was jetzt noch fehlt, ist das manuelle Löschen des ehemaligen BDC-Kontos im Active Directory sowie der erneute Domänenbeitritt des NT 4.0 Servers.
Abbildung 7: Domänenbeitritt als Mitgliedsserver
Nach dem Entfernen des letzten BDC kann man das Active Directory in den einheitlichen Modus schalten.
Hinweise: Die Nutzung von UPromote sollte vorher getestet werden. Anwendungen, die auf dem BDC liefen, müssen genau geprüft werden. Möglicherweise kommt es nach dieser Änderung zu Nebenwirkungen, die man nicht sofort bemerkt. Ein Backup des gesamten Systems sollte man auf jeden Fall vorher anfertigen.
Der Exchange Server 200x cached bestimmte Dinge aus Performancegründen für eine gewisse Zeit zwischen. Wenn der User z.B. sein Kennwort ändert, kann es bis zu zwei Stunden dauern, bis diese Änderung vom Exchange bemerkt und benutzt wird:
Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen der User bei Anmeldung Mitglied war. Nur dieses Token entscheidet über die tatsächlichen Berechtigungen. Du kannst es z.B. mit whoami.exe auswerten, siehe dazu auch den Artikel über lokale Administratoren und den über Gruppenmitgliedschaften.
Dass eine Änderung von Gruppenmitgliedschaften zunächst scheinbar keinen Effekt hat, liegt in aller Regel daran, dass der betreffende Benutzer noch sein altes Access Token mit den alten Mitgliedschaften nutzt. Er muss sich neu anmelden, damit die geänderten Mitgliedschaften auch wirksam werden. Das übersehen selbst gestandene Windows-Profis gerne, also bei Berechtigungsproblemen: Immer einmal neu anmelden.
Kategorie: 
Translate EN