Der Windows Server 2008 bringt einige Verbesserungen bzw. Funktionen mit, die aber erst im Domänenfunktionsmodus
Windows Server 2008 zur Verfügung stehen. Damit z.B. mehrere Kennwortrichtlinien (Password Settings Objects)
in einer Domäne eingesetzt werden können, muss sich der Domänenfunktionsmodus auf Windows Server 2008 befinden.
Oder die Replikation des Sysvol-Verzeichnisses über die Distributed File System Replikation (DFS-R), ist ebenfalls nur im
Domänenfunktionsmodus Windows Server 2008 möglich.


Damit diese (und weitere) Funktionen genutzt werden können, muss zuerst eine Domänenaktualisierung der bestehenden
Gesamtstruktur auf Windows Server 2008 erfolgen.



 



 


Was ist möglich?




  1. In einer Windows 2000 Gesamtstruktur kann ein Windows Server 2008 als zusätzlicher Domänencontroller (DC)
    zu einer bestehenden Domäne hinzugefügt werden.


  2. In einer Windows Server 2003/R2 oder SBS 2003 SP1/R2 Gesamtstruktur kann ein Windows Server 2008
    als zusätzlicher Domänencontroller zu einer bestehenden Domäne hinzugefügt werden.


  3. Ein Windows Server 2003 mit mindestens dem Service Pack 1 oder Windows Server 2003 R2 Domänencontroller,
    kann per Inplace-Update auf Windows Server 2008 aktualisiert werden.

 


 


Was ist nicht möglich?




  1. Ein Inplace-Update von Windows NT auf Windows Server 2008 ist nicht möglich.


  2. Ein Inplace-Update von Windows 2000 auf Windows Server 2008 ist nicht möglich.


  3. Ein Inplace-Update von einem Windows Server 2003/R2 Domänencontroller (oder Mitgliedsserver) worauf der
    Exchange Server 2007 ohne/mit SP1 installiert ist, kann auf Windows Server 2008 nicht durchgeführt werden.

    Ein installierter Exchange-Server auf einem DC ist nur ein Beispiel. Es muss vor einem Inplace-Update geprüft werden,
    ob die installierten Applikationen auf dem DC, unter Windows Server 2008 noch funktionieren.


  4. Ein Inplace-Update von früheren Server Betriebssystemen, ist auf den Windows Server 2008 Core nicht möglich.

    Windows Server 2008 Core


  5. Ein Cross-Update von einem x86 auf x64 System wird nicht supportet.


  6. Ein Cross-Update auf eine andere Betriebssystem-Sprache wird nicht unterstützt. Als Beispiel, auf einem deutschen
    Windows Server 2003 DC wird die englische Windows Server 2008 DVD eingelegt um den DC, auf einen
    englischen Windows Server 2008 DC zu aktualisieren.
     

 


Voraussetzungen für eine Windows 2000/2003/R2 Gesamtstruktur, damit der erste
Windows Server 2008 DC hinzugefügt werden kann




  1. Die Domäne in der man den Windows Server 2008 DC hinzufügen möchte, muss sich im einheitlichen Domänenfunktionsmodus
    (entweder Windows 2000 pur oder Windows Server 2003) befinden. Dabei spielt es keine Rolle, auf welchem Modus sich der
    Gesamtstrukturfunktionsmodus befindet.


  2. Ist jedoch der Einsatz eines RODCs in der Gesamtstruktur geplant, so ist das erst ab der Gesamtstrukturfunktionsebene
    Windows Server 2003 möglich. Des Weiteren muss sich bereits ein Windows Server 2008 DC in der Domäne befinden,
    in der man den RODC hinzufügen möchte!


  3. Alle Domänencontroller in der Gesamtstruktur sollten sich mindestens auf Windows 2000 Server mit Service Pack 4 befinden.

 


 


Step-by-Step Anleitung für eine Windows 2000/2003/R2 Gesamtstruktur, damit der erste
Windows Server 2008 DC hinzugefügt werden kann





  1. Im ersten Schritt muss das Active Directory Preparation-Tool ADPREP, das auf der Windows Server 2008 DVD im Verzeichnis
    “<DVD-Laufwerk>:\Sources\Adprep” mitgeliefert wird, mit dem Parameter
    /Forestprep auf dem Windows 2000 Server bzw.
    Windows Server 2003 Schema-Master ausgeführt werden. Dadurch wird die Gesamtstruktur auf Windows Server 2008 aktualisiert.
    Der Parameter
    /Forestprep wird nur ein einziges Mal in der Gesamtstruktur ausgeführt. Das Benutzerkonto mit dem das
    Adprep /Forestprep
    ausgeführt wird, muss Mitglied der folgenden drei Sicherheitsgruppen sein:

    - Organisations-Admins
    - Schema-Admins
    - Domänen-Admins in der Domäne, in der der Schema-Master Mitglied ist

    Ruft man das Adprep /Forestprep nicht auf dem Schema-Master auf, bringt das Tool den Hinweis, dass die
    Gesamtstrukturaktualisierung nur auf dem Schema-Master durchgeführt werden kann und bricht den Vorgang ab.
    Es ist nun auch möglich, dass ADPREP von der 64Bit DVD des Windows Server 2008 auf einem
    32Bit Windows Server 2003 DC auszuführen!

    Microsoft empfiehlt das Verzeichnis <DVD-Laufwerk>:\Sources\Adprep
    vorher auf den Server zu kopieren, um z.B. Lesefehler
    des DVD-Laufwerks während der Ausführung von Adprep zu vermeiden.

    An error occurs when you run the ADPREP/FORESTPREP command on a Windows Server 2003-based or Windows Server 2008-based computer: “An attribute with the same link identifier already exists”





  2. Mit Ausführen von Adprep /Forestprep wird die Gesamtstruktur auf Windows Server 2008 vorbereitet,
    in dem neue Attribute sowie Klassen dem Schema hinzugefügt werden. Nach dem Aufruf von
    Adprep /Forestprep werden
    abhängig von der Schema-Version die LDF-Dateien, die zur Schema-Aktualisierung benötigt werden, aus dem Verzeichnis
    \Sources\Adprep in das Verzeichnis %windir%\system32 kopiert.


    In einer Windows 2000 Gesamtstruktur werden die LDF-Dateien ab sch14.ldf, in einer Windows Server 2003
    ab sch31.ldf und in einer Windows Server 2003 R2 Umgebung ab sch32.ldf bis zur sch44.ldf in das Schema importiert.
    Das Schema wird somit auf die Version 44 aktualisiert.

    Die Schema-Versionen wären (in Dezimal):

    - Schema-Version 13 = Windows 2000 (ohne/mit allen SPs)
    - Schema-Version 30 = Windows Server 2003 ohne/mit SP1/SP2 (und höhere SPs)
    - Schema-Version 31 = Windows Server 2003 R2 ohne/mit SP2 (und höhere SPs)
    - Schema-Version 44 = Windows Server 2008
    - Schema-Version 47 = Windows Server 2008 R2

    Die Schema-Version kann man sich auf jedem DC in der Gesamtstruktur zum einen in der Registry im Pfad:
    HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\<Schema Version>

    … und zum anderen in dem Attribut objectVersion (z.B. mit ADSIEdit.msc oder LDP.exe), das sich in den
    Eigenschaften der Schema-Partition CN=Schema,CN=Configuration,DC=<Domäne>,DC=<TLD> befindet, anzeigen lassen.

    Auch mit Dsquery lässt sich die Schema-Version abfragen. Der Befehl lautet wie folgt:
    dsquery * CN=Schema,CN=Configuration,DC=Root-Domäne -Scope Base -attr objectVersion





  3. Wenn das Adprep /Forestprep durchgeführt wurde, wird in der Konfigurationspartition das Objekt
    CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomäne> erstellt.

    Dabei erhält das Attribut Revision im Objekt
    CN=ActiveDirectoryUpdate den Wert 2. Danach sollte sichergestellt werden,
    dass sich dieses Objekt zuerst auf alle DCs der Gesamtstruktur repliziert, um dann den nächsten Schritt mit Adprep durchzuführen.
    In erster Linie sollten die DC`s der einzelnen Domänen die Aktualisierung empfangen haben,
    die die FSMO-Rolle des Infrastruktur-Master innehaben. Dazu gilt es den nächsten Punkt zu beachten.


    Achtung: Wenn man das ADPREP /FORESTPREP auf dem Schema-Master ausführt und anschließend einfach nichts passiert,
    also weder die Schemaerweiterung durchgeführt, noch eine Fehlermeldung angezeigt wird, so liegt mit hoher Wahrscheinlichkeit
    ein “Sprach-Problem” vor. Wenn z.B. der Schema-Master auf einem englischen Betriebssystem läuft und man führt das ADPREP /FORESTPREP
    von einer deutschen Windows Server 2008 DVD aus, so kommt es genau zu diesem Verhalten. Es ist zwingend notwendig auf einem
    deutschen System, dass ADPREP von einer deutschen Windows Server 2008 DVD auszuführen.






  4. Im zweiten Schritt muss das Adprep mit den Parametern „/Domainprep /Gpprep“ auf dem Infrastruktur-Master in der Domäne,
    in der man den Windows Server 2008 als DC hinzufügen möchte, ausführen. Das Benutzerkonto, mit dem dieser Befehl ausgeführt wird,
    muss Mitglied der Sicherheitsgruppe Domänen-Admins sein. Mit Ausführen von
    „/Domainprep /Gpprep“ wird die Domäne auf
    Windows Server 2008 aktualisiert. Der Parameter /Domainprep bewirkt, dass neue Objekte erstellt sowie die ACLs an diversen
    Objekten in der Domänenpartition geändert werden.  Der Parameter /Gpprep sorgt dafür, dass die Berechtigungen der
    Gruppenrichtlinienobjekte die sich im Sysvol-Verzeichnis befinden, angepasst werden.

    Führt man diesen Befehl aus, noch bevor die Gesamtstrukturaktualisierung auf den Infrastruktur-Master repliziert wurde,
    bricht der Vorgang ab. Dieser bricht auch dann ab, wenn der Befehl nicht auf dem Infrastruktur-Master ausgeführt wird.
    Durch Ausführen dieses Befehls wird das folgende Objekt erstellt:
    CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=<Domäne>


    Das Attribut Revision im Objekt CN=ActiveDirectoryUpdate bekommt dabei den Wert 3.
    Es ist möglich zuerst das Adprep lediglich mit dem Parameter /Domainprep auszuführen und zu einem späteren Zeitpunkt
    die Berechtigungen der GPOs, mit
    Adprep /Domainprep /Gpprep zu aktualisieren. Empfehlenswert ist es aber,
    dass in einem Schritt durchzuführen.










  5. Wenn der Einsatz eines Read-Only Domain Controllers in irgendeiner Domäne der Gesamtstruktur geplant ist,
    dann ist das Adprep mit dem Parameter
    /Rodcprep
    lediglich einmalig aufzurufen.  Der DC, auf dem dieser Befehl
    ausgeführt wird, muss auch nicht der Träger der FSMO-Rollen sein. Beim Ausführen dieses Befehls werden die einzelnen
    Infrastruktur-Master der Domänen kontaktiert, um die Berechtigungen (Security Descriptor, SD) der Domänen- sowie
    Anwendungsverzeichnispartitionen DomainDNSZones und ForestDNSZones zu aktualisieren.

    Error message when you run the “Adprep /rodcprep” command in Windows Server 2008: “Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com”

    Es reicht völlig aus, diesen Befehl erst vor dem Hinzufügen des ersten RODC`s in der Gesamtstruktur auszuführen.
    Das Benutzerkonto, mit dem dieser Befehl ausgeführt wird, muss Mitglied in der Sicherheitsgruppe Organisations-Admins sein.
    Nach Ausführung von
    /Rodcprep wird das folgende Objekt erstellt:

    CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomäne>.

    Das Attribut Revision erhält dabei den Wert 2.

    Read-Only Domain Controller (RODC)





  6. Wenn eine Gesamtstruktur mit Windows Server 2008 erstellt wird, ist das Ausführen von Adprep in keinster Weise notwendig.
    Weder der Parameter /Forestprep, noch „/Domainprep /Gpprep“ oder /Rodcprep müssen angewendet werden.





  7. Es wird bei jedem Ausführen von Adprep im Verzeichnis %Systemroot%\Debug\Adprep\Logs ein Ordner erstellt,
    dass als Namen das aktuelle Datum sowie die Uhrzeit erhält. Darin befindet sich das Adprep-Protokoll mit dem Namen 
    ADPrep.log,
    welches einen detaillierten Bericht zum Vorgang liefert. Wenn Adprep abbrechen oder einen Fehler melden sollte,
    ist dieses Protokoll bei der Fehlersuche hilfreich.





  8. Nach der Domänenaktualisierung auf Windows Server 2008, kann nun der neue Server als “zusätzlicher DC der bestehenden Domäne”
    hinzugefügt werden. Während dem Heraufstufen zum DC sollte an entsprechender Stelle, dass DNS mit installiert und zusätzlich
    der globale Katalog aktiviert werden. Anschließend sollten noch die FSMO-Rollen auf den Windows Server 2008 DC verschoben werden.

    Globaler Katalog (Global Catalog – GC)
    Der PDC-Emulator






Szenario 1


Migrations-Möglichkeiten von Windows NT auf Windows Server 2008




  1. Es muss zuerst ein Inplace-Update vom Windows NT-PDC auf Windows Server 2003 mit mindestens dem Service Pack 1
    durchgeführt werden. Erst dann kann per Inplace-Update auf Windows Server 2008 aktualisiert werden.
    Das Update könnte mit einer VM durchgeführt werden.

    Statt des Inplace-Updates von Windows Server 2003 auf Windows Server 2008, kann natürlich auch ein
    zusätzlicher Windows Server 2008 hinzugefügt werden.




  2. Im ersten Schritt kann von der NT-Domäne mit ADMT in eine Windows Server 2003 SP1 Domäne migriert und im zweiten Schritt
    dann ein Inplace-Update auf Windows Server 2008 durchführt werden. Es bleibt abzuwarten, ob Microsoft ein aktualisiertes ADMT
    veröffentlicht, wovon ich aber ausgehe.

    Anstatt dann den Windows Server 2003 DC auf Windows Server 2008 zu aktualisieren, kann nach der Anwendung von Adprep ein
    zusätzlicher Windows Server 2008 DC zur Domäne hinzugefügt werden.


 


Szenario 2


Migrations-Möglichkeiten von Windows 2000 auf Windows Server 2008





  1. In einer Windows 2000 Active Directory Umgebung kann die Domänenaktualisierung auf Windows Server 2008 über einen
    zusätzlichen Windows Server 2008 DC realisiert werden. Dazu ist zuerst die Step-by-Step Anleitung durchzuführen,
    die am Anfang dieses Artikels beschrieben ist. Anschließend kann ein Windows Server 2008 als zusätzlicher Domänencontroller
    der bereits bestehenden Domäne hinzugefügt werden.





  2. Es ist zuerst ein Inplace-Update von Windows 2000 auf Windows Server 2003 mit mindestens dem Service Pack 1 durchzuführen.
    Erst dann kann per Inplace-Update auf Windows Server 2008 migriert werden.

    Ein Windows 2000 DC kann nicht direkt auf Windows Server 2008 aktualisiert werden, denn dieses wird erst ab
    Windows Server 2003 mit Service Pack 1 unterstützt.


    Migration von Windows Server 2000 auf Windows Server 2003 (Inplace-Update)




Szenario 3


Migrations-Möglichkeiten von Windows Server 2003 auf Windows Server 2008




  1. Wie in einer Windows 2000 Gesamtstruktur kann auch in einer Windows Server 2003 Gesamtstruktur die Domänenaktualisierung über einen
    zusätzlichen Windows Server 2008 Domänencontroller erfolgen. Natürlich auch nur dann, wenn die Step-by-Step Anleitung durchgeführt wurde.




  2. Ist mindestens das Service Pack 1 für den Windows Server 2003 auf dem DC installiert, so kann mit einem Inplace-Update der
    Windows Server 2003 DC auf Windows Server 2008 aktualisiert werden. Die Step-by-Step Anleitung die am Anfang dieses Artikels
    beschrieben wird, ist dabei zuerst durchzuführen.


 


Szenario 4


Migrations-Möglichkeiten von Windows Server 2003 R2 auf Windows Server 2008




  1. Da in einem Windows Server 2003 R2 ein Windows Server 2003 mit mindestens dem Service Pack 1 enthalten ist,
    kann nach vorheriger Ausführung von Adprep ein zusätzlicher Windows Server 2008 DC zur bestehenden Gesamtstruktur hinzugefügt werden.




  2. Des Weiteren kann ein Windows Server 2003 R2 DC per Inplace-Update auf Windows Server 2008 aktualisiert werden.





Probleme die nach dem Hinzufügen des ersten Windows Server 2008 DC entstehen können



Client computers may not work correctly when you add a Windows Server 2008-based domain controller to an existing pre-Windows Server 2008 domain
When a Windows NT 4.0-based computer tries to use the NETLOGON service to establish a security channel to a Windows Server 2008-based domain controller, the operation may fail
Modify Default Security Policies on Windows Server 2008-Based Domain Controllers
Group Policy settings are not applied on member computers that are running Windows Server 2008 or Windows Vista SP1 when certain SMB signing policies are enabled
Office Communications Server 2007 or Live Communications Server 2005 does not work correctly after you upgrade a domain controller to Windows Server 2008
You cannot locally configure or locally delete the application partitions that are created for IP telephony after you upgrade from Windows Server 2003 to Windows Server 2008
RODC Compatibility Pack
DCDIAG: NCSecDesc Fehler
Description of the Microsoft server applications that are supported on Windows Server 2008
You cannot remotely access encrypted files after you upgrade a Windows Server 2003 file server to Windows Server 2008


 



 


Weitere Informationen:
Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen
Information and resources to use when you plan to upgrade Windows Server 2003 to Windows Server 2008
Adding a Server Running Windows Server 2008 to a Windows Small Business Server 2003 Network
How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 or Windows Vista
How to back up and then restore printers when you upgrade from Windows Server 2003 to Windows Server 2008
Client computers may not work correctly when you add a Windows Server 2008-based domain controller to an existing pre-Windows Server 2008 domain
Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains


Comments are closed, but trackbacks and pingbacks are open.