Active Directory Service Interface (ADSI)

Der Active Directory Service Interface (ADSI) ist eine COM-Komponente von Microsoft. Man kann damit Skripte erstellen um Daten von NT 4.0, Novell NetWare und Directory Service sowie LDAP (v3) zu konvertieren oder mit eine Skript tausende von Benutzern auf einmal anzulegen.
ADSI (Active Directory Service Interfaces) Scriptomatic

Für die Migration von NT-Domains mit Benutzern und Ressourcen wird man aber eher das ADMT verwenden.

Migration der Benutzerkonten von Unix in Active Directory

"ldifde.exe" kann zum Exportieren und Importieren von Daten verwendet werden und ermöglicht die Durchführung von Batchvorgängen wie Hinzufügen, Ändern und Löschen von Daten in Active Directory.

Damit kann man auch Benutzerkonten aus einer Textdatei, die auf dem Unix-System erstellt wurde, in in das Active Directory migrieren.

Die Passwörter benötigen eine Sonderbehandlung und können nicht migriert werden: Man muss alle Benutzerkonten mit dem gleichen, komplexen Kennwort ausstatten und sicherstellen, dass die Kennwörter bei der ersten Anmeldung geändert werden müssen.

Windows NT PDC durch neuen DC mit AD ersetzen

Wenn ein neuer Windows Server 2003 in ein Netzwerk gebracht werden soll, geht man am besten so vor: Der neue DC wird mit Windows NT als BDC installiert und dann als PDC hochgestuft. Der alte PDC wird dann automatisch zum BDC heruntergestuft und muss dann aus dem Netz genommen werden.

Erst nun kann der Primary Domain Controller (PDC) auf Windows Server 2003 aktualisiert werden. Dabei bleiben die Vertrauensstellungen allerdings weiterhin Windows NT 4.0-Vertrauensstellungen, daher sollten alle Vertrauensstellungen gelöscht und neu erstellt werden.

DNS Server mit Stammzone konfigurieren

Wenn ein DNS-Server nur die bei ihm eingetragenen Anfragen nach IP-Nummern beantworten können soll, wird die Zone für die Domäne und außerdem eine Stammzone (auch Punkt Zone "." genannt) erstellt.

Wenn eine Stammzone konfiguriert ist befinden sich keine anderen Zonen als die im DNS aufgeführten. Man kann dann keine Weiterleitungen oder Stammhinweisserver konfigurieren. Eine Stammzone kann auch nur manuell wieder entfernt werden.

Absicherung gegen Ausfall einzelner DHCP Server

Wenn mehrere DHCP-Server installiert werden um Redundanz anzubieten, wird von Microsoft die 80/20-Regel für Bereiche empfohlen. Wird der erste Server so konfiguriert, dass er die meisten (ca. 80 %) der Adressen bereitstellt, kann der zweite Server so konfiguriert werden, dass Clients die restlichen Adressen (ca. 20 %) zur Verfügung gestellt werden.

Selbstverständlich dürfen keine IP-Adressen vorhandener statisch konfigurierter Computer enthalten sein, wie etwa eines der beiden DHCP-Server.
Empfehlungen für DHCP von Microsoft

Natürlich müssen beide DHCP-Server autorisiert werden! Nur so können sie auch für das andere Subnetz die Adressen herausgeben.
tweetbackcheck