Archiv der Kategorie: Migration

AD-Migration von Windows Server 2012 SBE auf Windows Server 2019

Veröffentlicht am von
Antwort

Farewell Small Business Essentials Server

Dieser Blog war nur eine Frage der Zeit, aber es war klar, dass er kommen wird (und leider muss). Nachdem mit dem Windows Server 2019 lediglich das Lizenz-Modell des SBE übriggeblieben ist, gibt es zwei Möglichkeiten in welche Richtung eine Small Business Server Umgebung entwickelt werden kann.

  1. Windows Server Standard
  2. Synology NAS

Den Weg in Richtung Windows Server Standard (also aktuell Windows Server 2019 oder 2022) wähle ich, wenn sich in der SBE-Umgebung eine Anwendungslandschaft etabliert hat, sprich einige Applikationsserver vorhanden sind und dazu auch noch virtualisiert wird.

Spoiler

Man kann aus zwei Synology NAS Systemen (dem darauf laufendem Synology Directory Server) und zwei Intel NUC PCs (als Hyper-V Hosts) ebenfalls eine interessante Infrastruktur bauen, dass soll aber das Thema in einem anderen Blog sein.

Migration

Die Umstellung auf Windows Server Standard verläuft wie im Folgenden dargestellt.

  1. Installation des neuen Servers als Member-Server in der bestehenden Domain
  2. Erstellen eines domain-basierten DFS-Roots
  3. Migration von vorhandenen Freigaben und der bereitgestellten Daten in das domain-basierte DFS
  4. Anpassung von Gruppen-Richtlinien und des Login-Scripts auf die Freigaben die nun über das DFS auf dem neuen Server (der ja aktuell noch als Member-Server läuft) abgebildet werden
  5. Heraufstufen (Promote) des neuen Member-Servers zu einem zweiten Domain-Controller und anpassen dessen DNS-Einträge
  6. Verschieben der FSMO auf den neuen Server
  7. Entfernen der Active Directory Zertifikatsdienste (mit der Webregistrierung muss beginnen werden) und zwingend danach einen Neustart durchführen
  8. Herunterstufen (Demote) des alten Servers
  9. Spätestens jetzt eventuell vorhandene Drucker auf dem Server migrieren
  10. Den alten Server aus der Domäne entfernen, oder besser erst einmal 14 Tage ausgeschaltet lassen (falls man was vergessen hat)
  11. Den domain functional level und den forrest functional level heraufstufen

Jeden der genannten Schritte werde ich hier nicht im Detail ausführen, dafür verkaufen andere Webseiten ganze Migration-Guides und ich denke, dass robocopy geläufig sein sollte.

Was ich aber für sinnvoll halte ist, sein (mein) Schaffen zu überprüfen. Sprich verhalten sich die Systeme so wie ich mir das vorstelle. Darum werde ich unten eine Reihe von Tests beschreiben, mit denen eine Prüfung zum jeweiligen Stand möglich ist.

Zu den Schritten 1 bis 4

Die Installation des Member-Servers ist selbstredend und da er im Verlauf der Migration ein Domain-Controller wird, sollte er auch gleich eine statische IP bekommen.

Wenn alle Scripte und GPOs angepasst sind, sollten auf den neu eingerichteten Member-Server auch die Zugriffe erfolgen. Genauso wichtig ist es, dass der alte Domain-Controller keine Zugriffe über SMB mehr zeigt.

# Anzeige von offenen Dateien über die SMB-Shares auf dem noch aktuellen Domain-Controller
Get-SmbOpenFile

Das folgende Beispiel finde ich gut, da es einen “false positive” zeigt.

image

Eine Session (dazu noch eine Anmelde-Sitzung) haben wir, dass NAS zur Datensicherung vergnügt sich noch mit diesem DC. Sobald wir den neuen DC und damit auch einen weiteren DNS haben, muss auf allen Clients dieser neue DNS auch eingetragen werden (der alte DC ist ab Schritt 8 nicht mehr vorhanden).

Zu Schritt 5

Mit Install-WindowsFeature muss auf dem Member-Server sowohl das Active-Directory als auch der DNS installiert werden, was in einem Schritt möglich ist.

# Installation des Active Directory und DNS
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeAllSubFeature

image

Nun lauert im Server-Manager versteckt was früher der DCPromo war, in Form eines Wizards zur Fertigstellung des Domain-Controllers. In diesem Fall wird der Server als weiterer DC in die bestehende Domain und Forest integriert.

Zu Schritt 6

Der neue Server muss nun, wenn er funktional wirklich ein Domain-Controller ist, den NETLOGON- und den SYSVOL-Share bereitstellen. Bei mehreren Migrationen von Windows Server 2012 SBE (auch R2) auf Windows Server 2019 war das nicht der Fall und jedes Mal, war eine dysfunktionale SYSVOL-Replikation der Grund.

Die Lösung dazu aber immer beeindruckend einfach, der als neuer Domain-Controller gedachte Windows Server 2019 wurde wieder aus dem AD entfernt (demoted) und die Replikation auf dem Windows Server 2012 repariert. Danach den Windows Server 2019 wieder zum Domain-Controller promoten und schauen, ob die beiden Shares nun verfügbar sind. Alle Maßnahmen, bei denen man die Shares auf anderem Wege erstellt hat, führten zumindest bei mir, früher oder später zu Problemen.

image

# Anzeige des SysVol und Netlogon Shares
Get-SmbShare | Where-Object { $_.Description -match "Logon server share" }

Zum Verschieben der FSMO-Rollen, wird der folgende PowerShell-Befehl verwendet.

# Verschieben der FSMO-Rollen
Move-ADDirectoryServerOperationMasterRole -Identity Neuer-Domain-Controller -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Sollte der Befehl funktionieren, hat man mit einem Rutsch alle Rollen migriert. Ich schreibe hier bewusst im Konjunktiv, da auch hier gelegentlich das Problem aufgetreten ist, dass der Befehl nicht wie erwartet funktioniert.

Dann haben die beiden folgenden Möglichkeiten bisher zum Erfolg geführt.

  • Verwenden von Move-ADD… mit immer nur einer Rolle
  • Verschieben der Rollen in den entsprechenden MMCs
# Abfrage ob die FSMO-Rollen nun auf den neuen DC sind
netdom query fsmo

Klar, kann man die Rollen auch mit PowerShell abfragen, dazu sind aber zwei Befehle notwendig, bzw. man muss in unterschiedlichen Kontexten arbeiten.

# Abfrage ob die FSMO-Rollen nun auf den neuen DC sind
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Hier alle drei Aufrufe als Screenshot.

image

Abschließend schaue ich immer, ob die wichtigen Active Directory Dienste laufen.

# Anzeige von wichtigen Diensten für das Active Directory
Get-Service adws,kdc,netlogon,dns

image

Wie vielleicht bisher schon zu sehen war, teste ich möglichst viel und zwischendurch, um ein Gefühl zu bekommen, ob die Migration sauber läuft. Das hat sich über die Jahre hin als sinnvoll herausgestellt, da oftmals nur kleine Korrekturen zwischendurch notwendig waren und nicht am Ende ein großes nicht sauber funktionierendes Nichts steht Smile

Zwischen Schritt 6 und 7 kann man ein paar Tage vergehen lassen. Man muss hier lediglich mit den Meldungen des alten Windows Server 2012 SBE leben, der ein Fehlen der FSMO-Rollen zurecht, als Lizenzverstoß reklamiert.

Zu Schritt 7

Bevor nun der alte Windows Server 2012 SBE seine Rolle als Domain-Controller verliert, müssen die Active Directory Certificate Services deinstalliert werden. Macht man das von Hand, zuerst die Certification Authority Web Enrollment und dann den Rest danach deinstallieren.

# Anzeige der Roles und Features
Get-WindowsFeature -Name ADCS-Web-Enrollment, ADCS-Cert-Authority, AD-Certificate

image

Auch mit PowerShell muss das in zwei Schritten erfolgen.

# Deinstallation der Active Directory Certificate Services
Remove-WindowsFeature -Name ADCS-Web-Enrollment
Remove-WindowsFeature -Name AD-Certificate

image

Nun ist ein Neustart zwingend notwendig, auch wenn das durch die PowerShell-Ausgaben nicht den Eindruck erweckt. Wird der vergessen, jagt man hinterher eine Reihe von komischen Dingen nach. Also nun einfach durchstarten (den alten Domain-Controller).

# Neustart des alten Servers
Restart-Computer -Force

Nach dem Neustart kann der alte Domain-Controller heruntergestuft werden.

Zu Schritt 8

Alle Informationen dazu kann man bei Microsoft hier nachlesen. Obwohl ein großer Freund von PowerShell, führe ich diesen Schritt immer in der GUI durch. Dazu im Server Manager einfach die Rolle Active Directory Domain Services entfernen.

image

Der Remove Roles and Features Wizard bietet einem danach die Möglichkeit den Server herunterzustufen.

image

Der Vorgang ist selbsterklärend, am Ende dessen muss eine Meldung ähnlich der folgenden vorhanden sein.

image

Ok, hier noch die Aktion in PowerShell.

# Windows PowerShell script for AD DS Deployment
Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -Force:$true

Mit einem Klick auf Demote im Wizard wird der Prozess gestartet und der Server startet nach dem Herunterstufen neu. Davor ist es sinnvoll einen Blick in die DNS-Einstellungen der Netzwerkkarte zu werfen, steht dort wie bei vielen Domain-Controllern in SBE-Umgebungen “nur” 127.0.0.1, ist es notwendig den DNS vom neuen Domain Controller mit einzutragen. Sonst geht die Anmeldung mit einem Konto aus der Domain schief.

Zum Schluss

Eigentlich war es das, aber die Erfahrungen der letzten Migrationen haben gezeigt das immer noch der eine oder andere Rest des alten Domain-Controllers zurückbleibt.

Diesen haben ich als Namespace-Server im DFS entfernt. Damit das ohne Probleme funktioniert sollte der alte Server noch vorhanden sein und für kurze Zeit als Member-Server arbeiten dürfen.

image

Der alte Domain-Controller (der nun keiner mehr ist) darf nun auch nicht mehr in der SYSVOL-Replication auftauchen.

image

Ein weiteres Problem, eher optischer Natur ist der Verbleib des alten Servers als Name-Server in der Reverse Lookup Zone (falls man überhaupt eine hat).

image

Hier diesen entfernen und wie im Bild oben zu sehen ist, für den neuen die aktuelle IP auflösen lassen. Im Allgemeinen ist es sinnvoll den DNS nach alten Einträgen zu durchsuchen und diese zu löschen.

Enjoy it, b!

“Log on as a service” Trouble bei der Migration

Veröffentlicht am von
Antwort

Das Recht sich als Service an einem Domain Controller anmelden zu können, spielt eine wichtige Rolle bei der Migration auf den Windows Server 2012 R2 Small Business Essentials (SBE). Hier ist bei meiner letzten Migration irgendetwas schief gelaufen – die Berechtigung hier war nicht ausreichend gesetzt.

Zwar referenziert die Phase 1 der SBE Migration auf eine Löschunt der “Logon as a service” Einstellungen, aber explizit nur für eine Migration von Windows Server 2003!

image

Die Einstellung ist in der Default Domain Controller Policy unter Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Logon as a service zu finden und wird damit lediglich auf Domain Controller angewendet – was aber ein einer SBE Umgebung OK ist, wir haben in der Regel nur diesen einen Server. Auf Member-Servern in der Domain wird die Berechtigung in der lokalen Policy konfiguriert.

Ich habe diese Einstellung bei der letzten Migration nicht geändert … was zu folgenden Problem führte.

  1. Nach der Installation der Essentials Role muss ein Post-Deployment Task ausgeführt werden, welcher das Dashboard startet und damit den Wizard zur Einrichtung des SBE. Das ging erstmal schief und zu diesem Zeitpunkt dachte ich noch nicht an die fehlende Konfiguration der Logon as a service Richtlinie.
  2. Folgende Dienste (Services) wollten nach einem Reboot des Servers nicht mehr starten:
    1. Windows Server Essentials Media Streaming Service
      (Log on as: sbsland.local\MediaAdmin$)
    2. WSUS Service
    3. SQL Server (MSSQLSERVER)
      (Log on as: NT Service\MSSQLServer)

Fehler 1 – The Post-Deployment Configuration task may fail after you install the Windows Server Essentials Experience role on Windows Server 2012 R2

Fehler 1 ist inzwischen bei Microsoft in einem KB-Artikel KB2914651 dokumentiert. Hier fehlt den Accounts ServerAdmin$ und MediaAdmin$ das Recht sich als Service an zu melden (Logon as a service). Nachdem die beiden Accounts, wie im Artikel beschrieben in der Default Domain Controller Policy konfiguriert wurden und ein GPUPDATE das dem Server mitgeteilt hat, konnten der Post-Deployment Task zur Einrichtung des SBE ohne Fehlermeldung starten.

Fehler 2 – die oben genannten Services starten nicht (mehr)

Bis zum Zeitpunkt des Neustarts war der WSUS aktiv und hatte schon gute 2 Wochen lang die Clients mit Updates versorgt. Eine Kontrolle der Default Domain Controller Policy zeigte, dass der Service Account des SQL Servers (NT Service\MSSQLServer) ebenfalls nicht berechtigt war.

Der folgende Screenshot zeigt die korrekt berechtigten Service Accounts in der GPO:

image

Nach dem auch dieser Account eingetragen war, startete der SQL Server ohne Probleme und damit lief auch mein WSUS wieder, welcher diesen zur Ablage der SUSDB (WSUS Datenbank) verwendet.

Der Windows Server Essentials Media Streaming Service war zwar richtig berechtigt, stand aber, aus welchen Gründen auch immer, auf deaktiviert (disabled). Hier habe ich die Service Startart auf Automatisch (automatic) gestellt, danach lief auch dieser Service ohne Probleme.

Enjoy it, b!

Windows SBE 2012 R2 Dashboard

Veröffentlicht am von
Antwort

Für den Windows Server Small Business Essentials 2012 R2 hat Microsoft das Management mit PowerShell nochmals deutlich verbessert und liefert eine Reihe hilfreicher PowerShell Befehle mit.

https://technet.microsoft.com/en-us/library/dn205088(v=wps.630).aspx

Im Gegensatz zu früheren Versionen, lässt sich damit z.B. das Dashboard nach einer Migration auf SBE 2012 R2 von Benutzerkonten säubern welche dort nicht angezeigt werden sollen (Service Accounts, zusätzliche Admins, etc.).

Dazu wird einfach PowerShell als Administrator gestartet und die vorhandenen Benutzer des Dashboards ermittelt:

# Ermittlung der im Dashboard angezeigten Benutzer
Get-WssUser | fl UserName

image

Die beiden grün markierten Benutzer sollen nicht mehr im Dashboard angezeigt werden (das eine ist mein Administrator, der andere DHCP2DNS ist der Proxy-Account für DNS Updates).

# Deaktivieren der Anzeige von Benutzern im Dashboard
Set-WssUserDashboardVisibility -Name bernd-adm -Hidden

Set-WssUserDashboardVisibility -Name DHCP2DNS-Update -Hidden

image

Damit zeigt das Dashboard lediglich den Administrator und die eigentlichen SBE Benutzer an.

Enjoy it, b!

Entfernen von Exchange 2007 im Verlauf einer Migration

Veröffentlicht am von
1

Im Verlauf einer Migration von Windows Small Business Server 2008 auf einer der neueren Essentials oder Standard Versionen, muss Exchange aus dem Active Directory sauber entfernt werden. Das passiert an einfachsten durch eine Deinstallation von Exchange auf dem alten Small Business Server.

Allerdings musste ich im Verlauf von einigen Migrationen feststellen, dass das nicht immer so problemlos klappt. Letztendlich ist mir aber die Deinstallation von Exchange 2007 immer gelungen, dabei musste ich noch folgende zusätzliche Schritte tun.

Start der Exchange 2007 Deinstallation.image

Im folgenden Dialog alle aktiven Elemente deaktivieren.image

Danach startet die Deinstallation in Form eines Readiness Checks und läuft auf die folgenden drei Fehler / Probleme.

image

Fehler 1: Uninstall cannot continue. Database ‘Mailbox Database’: This mailbox database contains one or more mailboxes ..

Fehler 2: Uninstall cannot continue. Database ‘Public Folder Database’: The public folder database …contains the following offline address books(s).
.\Standard-Offlineadressliste

image

Fehler 3: This computer is configured as a source transport server for 1 connector(s) in the organization …

Lösung von Fehler 1

Exchange Management Console / Recipient Configuration / Mailbox – löschen aller vorhandenen Mailboxen. Falls der Administrator eine Mailbox hat, kann diese nicht gelöscht werden – hier ist es notwendig diese zu deaktivieren.

Danach wird über die Exchange Management PowerShell Console die Mailbox Database gelöscht.

Get-MailboxDatabase
Remove-MailboxDatabase -Identity "Mailbox Database"

Lösung von Fehler 2

Die Public Folder Database läßt sich über ADSIEdit löschen:

http://blog.dargel.at/2012/01/19/remove-public-folder-using-adsiedit/

Dazu starten wir ADSIedit mit erweiteren Rechten als Domain Admin und verbinden uns (mit Connect to) zum Configuration Naming Context.

image

von dem wir uns wie im Blog beschrieben zu CN=Public Folder Database durcharbeiten, um diese im Anschluss zu löschen.

image

Lösung von Fehler 3

Exchange Management Console / Organization Configuration / Hub Transport / Send Connectors – löschen aller vorhandenen Connectoren.

Exchange Management Console / Server Configuration / Hub Transport / Receive Connectors – löschen aller vorhandenen Connectoren.

Danach mit Retry den Readyness Check laufen lassen. Danach kann die Deinstallation von Exchange 2007 fortgesetzt werden.

Enjoy it, b!

Windows Server 2012 R2 Essentials (Role)–Migration

Veröffentlicht am von
Antwort

Für die Migration von verschiedenen Small Business Server Versionen auf Windows Server 2012 R2 stellt Microsoft einen Guide zur Verfügung, welchen ich auch im Rahmen meiner Migrationen verwende.

https://technet.microsoft.com/en-us/dn408633.aspx

Der Guide ist in 8 Schritte unterteilt welche die wesentlichen Punkte einer Migration beschreiben:

Im Verlauf meiner Migrationen habe ich einige Punkte anders gemacht, welche ich hier darstellen möchte, Zuerst jedoch eine Überlegung zu wirklich kleinen Umgebungen Winking smile 

(keine) Migration von kleinen Standard-Umgebungen

Kleine SBS Umgebungen (so um die 5 Benutzer) migriere ich gar nicht. Hier führe ich eine Neuinstallation des SBE durch und übertrage anschließend Benutzereinstellungen mit Windows Easy-Transfer in die neue Domain. Das funktioniert auch recht gut, wenn über den Server zentral bereitgestellte Anwendungen lediglich eine Dateifreigabe benötigen (die Arztpraxis lässt da grüßen). Diese Variante stellt einen sauberen Neuanfang dar – ohne Altlasten. Gibt es jedoch in der Umgebung mehr als nur 5 Benutzer und dazu noch Anwendungen, dann ist eine Migration sinnvoll und damit die Abarbeitung der 8 oben beschriebenen Schritte.

Für größere und/oder komplexere Umgebungen migriere ich natürlich …

Migration von größeren SBS Umgebungen

Die Grundlage für die folgenden Empfehlungen war eine Umstellung von Windows Small Business Server 2008 Premium auf Windows Server 2012 R2 Essentials. Neben dem Small Business Server mit Exchange 2007 gab es noch folgende Anwendungen:

  • Mailstore zur Mailarchivierung
  • SQL Server 2008 und eine Anwendung welche Aktienkurse analysiert
  • Windows Server 2008 R2 mit Remote Desktop Services (Terminal Server)

Die Umstellung habe ich in 4 Schritten gemacht:

  1. Umstellung der Mails in die Cloud (Office365)
  2. Migration der Domäne von Windows Server 2008 Small Business auf Windows Server 2012 R2 Essentials (Role), inklusive folgender Dienste:
    – File und Print
    – WSUS (Windows Server Update Services)
  3. CleanUp – Aufräumen des migrierten Servers / der Domäne
  4. Umstellung von SQL Server und der Anwendung für die Aktienkurse (auf SQL Server 2014)

Office365 Business Essentials – die Mails sind nun in der Cloud

Wie man Mails in die Cloud, bzw. nach Office365 transferiert beschreibt Microsoft hinreichend genau und soll hier auch nicht weiter ausgeführt werden. Da die Mailboxen in Summe für 6 Benutzer die 100GB Grenze erreicht hatten und die Anbindung an das Internet mit ADSL (16MBit/s Down und 1MBit/s Upload) nicht gerade üppig ist, habe ich mich auf eine Migration von Kontakten und Kalendern beschränkt. Die Mails verbleiben in der zu Mailarchivierung verwendeten Lösung Mailstore und sind über ein Plugin in Outlook vorhanden. Von dort kann dann jeder Benutzer selbst wichtige Mails in sein neues Postfach transferieren.

Migration der Domäne auf Windows Server 2012 R2 Essentials

Die Migration auf den neuen Server habe ich wie folgt gemacht.

  1. Installation eines neuen Servers als Member-Server in die Domäne
  2. Migration aller Fileshares
  3. Erstellen der Drucker
  4. Installation von WSUS
  5. Installation des SMTP-Servers (den brauchen wir, da ohne Exchange auch keine Mails mehr versendet werden können), die Konfiguration ist hier beschrieben https://sbsland.wordpress.com/2014/11/22/smtphome-mit-11/
  6. Installation des DHCP-Servers
  7. Anpassen bzw. neu Anlegen der GPOs (Ordnerumleitung, WSUS …)
  8. Anpassen des Anmeldescriptes (login.cmd) – Yep, ich hänge an dieser Art der Laufwerkszuordnung Smile

Nach diesen Schritten sollte der alte SBS Server nur noch die Anmeldung machen, alle anderen Dienste laufen zu diesem Zeitpunkt auf dem installierten Member-Server! Diese Vorgehensweise bietet mir ausreichend Zeit um die Funktion des neuen Servers zu testen. Können die Benutzer damit eine Woche problemlos arbeiten, dann kommt der nächste Schritt – Umstellung der Domäne.

  1. Auf dem Member-Server fügen wir die notwendige AD-Rolle(n) (inklusive des DNS) hinzu

    image

  2. Nach erfolgreichem DC Promo erfolgt das Verschieben der FSMO-Rollen auf den neuen DC (sbe.sbsland.local): 
    Move-ADDirectoryServerOperationMasterRole -Identity "sbe.sbsland.local" -OperationMasterRole 0,1,2,3,4

    Mit einer Zeile PowerShell ist das eine sehr coole Sache.

  3. Und als Abschluss dieses Schrittes die Installation der Essentials-Role

Cleaning …

So, nun geht’s ans Aufräumen … ob das notwendig ist oder nicht, muss jeder selbst entscheiden. Ich versuche zumindest die migrierte Domäne, wie eine neu installierte erscheinen zu lassen. Dabei geht es im Wesentlichen um folgende Punkte.

  • Entfernen von Exchange 2007
  • Auflösen der MyBusiness OU
  • Löschen von “alten” Gruppen
  • Löschen alter GPOs

Exchange fare well …

Um Exchange 2007 zu deinstallieren sind im Wesentlichen die folgenden Schritte aus der TechNet zu beachten:

https://technet.microsoft.com/en-us/library/bb123893(v=exchg.80).aspx

Bei jeder bisher von mir durchgeführten Migration, bin ich auf die folgenden drei Fehler gestoßen welche die Deinstallation von Exchange 2007 verhindert haben. Daher habe ich diese in einem extra Blog-Beitrag beschrieben:

https://sbsland.wordpress.com/2016/03/07/entfernen-von-exchange-2007-im-verlauf-einer-migration/

Danach ließ sich wie im TechNet-Artikel beschrieben Exchange 2007 deinstallieren.

Auflösen der MyBusiness OU

Die Benutzer und Gruppen verschiebe ich nach \Users und alle Computer (egal ob Server oder Clients) nach \Computers im Active Directory. Unterschiedlichen Anforderungen bzgl der Einstellungen werden über GPOs und Gruppen realisiert:

  • _ SBSland Servers
  • _ SBSland Client Computers
  • _ SBSland Hyper-V Hosts
  • _ SBSland Office Users

Damit die MyBusiness OU gelöscht werden kann, muss noch die Erstellung von Benutzer und Computerkonten in den unteren OUs deaktiviert, bzw. wieder zurück nach \Users und \Computers gestellt werden. Dazu gibt es zwei Befehle:

# redirusr CONTAINER-DN
redirusr cn=users,dc=sbsland,dc=local

# redircmp CONTAINER-DN
redircmp cn=computers,dc=sbsland,dc=local

Nach der Migration der Benutzer von den “alten” Gruppen in neue, können diese gelöscht werden. Das erfolgt wiederum in zwei Schritten:

@echo off

:: net group /dom | findstr /i "Windows SBS" >groups-2-delete-from-2008.cmd

:: Group Accounts for \\SBS
net group "SBS Admin Templates" /dom /delete
net group "SBS Fax Operators" /dom /delete
net group "SBS Folder Operators" /dom /delete
net group "SBS Mail Operators" /dom /delete
net group "SBS Mobile Users" /dom /delete
net group "SBS P User Templates" /dom /delete
net group "SBS Remote Operators" /dom /delete
net group "SBS Report Users" /dom /delete
net group "SBS SP Admins" /dom /delete
net group "Windows SBS Fax Administrators" /dom /delete
net group "Windows SBS Fax Users" /dom /delete
net group "Windows SBS Folder Redirection Accounts" /dom /delete
net group "Windows SBS Link Users" /dom /delete
net group "Windows SBS Remote Web Workplace Users" /dom /delete
net group "Windows SBS SharePoint_MembersGroup" /dom /delete
net group "Windows SBS SharePoint_OwnersGroup" /dom /delete
net group "Windows SBS SharePoint_VisitorsGroup" /dom /delete
net group "Windows SBS Virtual Private Network Users" /dom /delete

und 

@echo off

:: net group /dom >groups-2-delete-to-be-standard.cmd

::Group Accounts for \\SBS

:: -------------------------------------------------------------------------------

:: *_ SBSland Client Computers		//-Kunde-//
:: *_ SBSland Desktop Admins			//-Kunde-//
:: *_ SBSland Folders Redirect			//-Kunde-//
:: *_ SBSland Hyper-V Hosts			//-Kunde-//
:: *_ SBSland Mailstore Users			//-Kunde-//
:: *_ SBSland Office				//-Kunde-//
:: *_ SBSland Terminal Server Users		//-Kunde-//

:: *Cloneable Domain Controllers 		//-WS2012R2-//
:: *DnsUpdateProxy 			//-WS2012R2-//
net group "Domain Power Users" /dom /delete	
:: *Domänen-Admins			//-WS2012R2-//
:: *Domänen-Benutzer			//-WS2012R2-//
:: *Domänencomputer			//-WS2012R2-//
:: *Domänencontroller			//-WS2012R2-//
:: *Domänen-Gäste				//-WS2012R2-//
:: *Enterprise Read-only Domain Controllers	//-WS2012R2-//
net group "Exchange Domain Servers" /dom /delete

:: *Organisations-Admins			//-WS2012R2-// - Enterprise Admins
:: *Protected Users				//-WS2012R2-//
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-1531
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-2846
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4661
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4662
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4667
:: *RDP_MAPPING_S-1-5-21-966628382-784051496-1200022492-4683
:: *Read-only Domain Controllers		//-WS2012R2-//
:: *Richtlinien-Ersteller-Besitzer			//-WS2012R2-// - build-in
:: *Schema-Admins				//-WS2012R2-//
net group "User Roles" /dom /delete
net group "Web Workplace Users" /dom /delete
:: *WseAlertAdministrators			//-WS2012R2-//
:: *WseAllowAddInAccess			//-WS2012R2-//
:: *WseAllowComputerAccess			//-WS2012R2-//
:: *WseAllowDashboardAccess		//-WS2012R2-//
:: *WseAllowHomePageLinks			//-WS2012R2-//
:: *WseAllowMediaAccess			//-WS2012R2-//
:: *WseAllowShareAccess			//-WS2012R2-//
:: *WseInvisibleToDashboard			//-WS2012R2-//
:: *WseManagedGroups			//-WS2012R2-//
:: *WseRemoteAccessUsers			//-WS2012R2-//
:: *WseRemoteWebAccessUsers		//-WS2012R2-//

:: The command completed successfully.

Nun kann die MyBusiness OU gelöscht werden und auch die Gruppen entsprechen dem Standard einer neuen Installation.

Nicht vergessen sollte man an dieser Stelle die Bereinigung der GPOs des SBS 2008 inkusive der alten WMI Filter (grün umrandet).

image

Hier ein kleiner Tipp zu den GPOs – vielleicht erst einmal deaktivieren, bevor man sie löscht.

Zum Abschluss wird der alte SBS Server mit DCPromo aus dem AD entfernt und herunter gefahren. Da nach dem DCPromo der alte SBS ein Member-Server ist, lasse ich ihn erst einmal ausgeschaltet und deaktiviere das Computerkonto. Nach 14 Tagen, lösche ich dieses und dazu auch noch die VM (die VHDs mit Daten kann man ja noch behalten … falls man was vergessen hat).

That’s it Smile

Enjoy it, b!