Vorbemerkung:
Ich hoffe, dass ich den richtigen Forenbereich für meine Frage gewählt habe, falls nicht bitte ich um Hinweis bzw. Verschieben durch die Mos.
Danke.

So - nun zur Frage. Sorry - zuerst viel Beschreibung, die Frage kommt gaaaanz unten.

Ich bin am Umstellen eines (sehr) alten, lokalen Netzwerkes auf aktuelle Systeme.

Hier der IST (= alte) Zustand:

Server:
Novell NW6.5 Server als Dateiserver und E-Mail Server
Win7 als DB-Server

Clients
insgesamt ca. 15 Stück
DOS
Windows 2000
Windows Xp
Windows 7
Windows 10

Anmerkung:
wir wissen, dass W2K und WXp veraltet ist und böse ist und ausgetauscht werden soll.
Wir haben jedoch für die Umstellung der Gesamtstruktur auf Basis der verfügbaren Ressourcen (Geld + Manpower) und
den damit unweigerlich verbundenen Ausfällen der Clientverfügbarkeit beschlossen, diese erst in einem
zweiten Schritt zu tauschen.

Die Clients stehen meist in einer Produktionsumgebung, darauf wird primär OpenOffice und das EM-System eingesetzt.
Die nötigen Benutzer sind sowohl in der NDS als auch lokal auf jedem Client angelegt.

Die Zugriffsrechte für den Server wurden in der Novell Directory Structure (NDS) verwaltet.
Alle Clients haben entsprechend einen Novell-Client installiert und melden sich an der NDS an.
Das funktionierte jahrelang klasse und völlig ohne Probleme.

Die neue Umgebung

Anlaß der Änderung war der Wunsch, die Serverstruktur zu virtualisieren.
In diesem Zuge wurde der Umstieg von Novell auf Windows beschlossen.

Server Hardware (neu)
Es ist nun hier ein HP Pro Liant DL 380 Gen9 als Serverhardware vorhanden,
auf diesem läuft VMware ESXI5.5.
Auf der ESXi sind mehrere, virtuelle Server (VM) - alle mit Windows Server 2012 R2 - installiert:

VM01:
AD Domänencontroller, DHCP und DNS
Wir wissen, dass die Zusammenfassung dieser Funktionalitäten auf einem Server nicht die reine Lehre von MS ist,
haben uns aber bewusst zu dieser Konfiguration entschlossen.

VM02
Dateiserver

VM03
E-Mail Server

Hinweis:
die Win7 Maschine, die als DB-Server (Firebird) eingesetzt wird, bleibt vorerst unverändert.
Wenn überhaupt - für den DB Server ist eine virtuelle Maschine zu hinterfragen-, dann wird die Virtualisierung zu einem späteren Zeitpunkt angegangen.

Bisher erledigte Arbeiten

Der HP Server wurde komplett konfiguriert, die VM komplett eingerichtet, sämtliche Daten sind auf dem neuen Dateiserver (VM02).
Aktuell läuft der Produktivbetrieb noch im "alten" System - also auf dem NW Server. Die Daten werden regelmäßig auf die neuen Server
synchronisiert. Die Sicherung der VM wird per Veeam gemacht, es steht eine NAS hierfür zur Verfügung. Dies ist eingerichtet und läuft.
Die Server verwenden fest vergebene IP Adressen (derzeit wird nur IPv4 eingesetzt).

Am Domänencontroller wurden sämtliche Benutzer und Benutzergruppen in der AD händisch komplett neu eingerichtet.
Für die Benutzer wurden "erste" Passwörter in der AD angelegt.
Auf dem Dateiserver wurden entsprechend alle Zugriffsrechte für die "neuen" Benutzer der AD wie benötigt vergeben.
Die neue Infrastruktur ist sauber im IP Netz erreichbar, DNS und DHCP sind an allen Arbeitstationen bereits auf VM01 verwiesen.


Aktuell anstehende Arbeiten
Nun sollen die Clients in die Domäne integriert werden. Zur Erinnerung - die Benutzer sind auf jedem Client in der Vergangenheit bereits
manuell angelegt worden.



Jetzt kommt die Frage:
Was ist das eleganteste Vorgehen beim Integrieren der Clients in die Domäne. Wie können die auf den Clients bereits existierenden Benutzerkonten der AD weiter verwendet werden. Soweit irgend möglich, soll die Umstellung für die User möglichst transparent sein.

Ich bin hier primär an zwei Punkten unsicher / unklar:
1. Benutzereinstellungen lokal und zusätzlich AD Domänencontroller - geht das?

2. Wie gestalte ich das Mappen der Netwerklaufwerke (alt: zum NW Server - neu: zum W2012R2 Server VM02) am besten - per Gruppenrichtlinie, per Batchdatei (z.B. "net use ..") oder gibt es noch eine bessere Möglichkeit?

3. Ich habe bereits einiges im WWW gelesen und versucht hier Informationen zu bekommen. Oft lese ich von "langsamen Anmeldungen an der AD". Ein erster Test an einer Station hat mir auch genau dieses Problem gezeigt - Anmeldezeiten von 3 (!) Minuten. Also mache ich hier auch noch etwas falsch.

Ich bin wirklich dankbar für alle Tips und ToDo's und NOT-ToDo's als Hinweis.
Nochmals sorry für den langen Text.

Hallo!

Da habt ihr aber ganz schön lange gewartet mit einer Umstellung.


Wir haben bei uns vor etwas mehr als einem Jahr eine auf einem Windows 2000 Server bestehende Domain komplett in den Wind geschossen und eine neue auf einem Windows Server 2012 R2 aufgesetzt.

Die Profile (allerdings waren das dann schon Domain Profile) haben wir mit einem Tool der Firma ForensiT übernommen: Profile Wizard. Ich meine, dass man auch lokale Profile nutzen kann, um diese in ein Domain Profil (nicht Server Profil, das wird ja im AD hinterlegt) umzuwandeln.

Hier mal ein kleiner Auszug aus der Liste der Vorteile (Hervorhebung von mir; vielleicht bringt Dir das ja sogar etwas):

Frage 1 verstehe ich nicht so ganz. Was meinst du damit?

Die Laufwerke werden bei uns per Gruppenrichtlinie verbunden. Hierzu haben wir eine GPO angelegt, in der alle Laufwerksverbindungen hinterlegt sind. Das Mapping wird anhand der Benutzergruppen in denen der Benutzer Mitglied ist durchgeführt. Kann bei den Eigenschaften der Verbindung -> Reiter Gemeinsame Optionen -> Zielgruppenadressierung gewählt werden.

Wurde der Anmelde-Test mit einer neuen Maschine gemacht die zuvor noch nicht in dem Novell Netzwerk eingebunden war?

Anmeldezeiten von mehr als ein paar Sekunden deuten häufig auf DNS Fehler hin. Läuft der DNS sauber und sind auch alle benötigten Domain Einträge vorhanden? Was passiert, wenn Du ein komplett neues Benutzerprofil auf dem Rechner erstellst?

Wenn der Rechner zuvor Mitglied in dem Novell System war, könnten es eventuell alte Netzlaufwerke sein, die noch verbunden waren und in der neuen Domain nicht mehr gefunden werden. Das wäre allerdings nur dann der Fall, wenn du bereits ein Benutzerprofil übernommen hättest in dem diese Informationen hinterlegt sind.

Hallo Aviator,

jaaa - das war ein langer Prozess. Die größte "Schwierigkeit" war eigentlich,
dass das System perfekt funktioniert hat. So never change a running system ...
Und tatsächlich ist die IT Betreuung nur ein klitzekleiner Teil meiner Arbeit.

Nun denn, jetzt sind wir dran und wursteln uns durch.
Danke für deine Antworten - den Wizard schaue ich mir gleich an.

Die Frage 1 ist zugegebenermaßen mehr als schwammig formuliert.
Ich versuche einen konkreten Fall as Beispiel zu nehmen.
Eine der Stationen (Laptop Win7) soll - naturgemäß, es ist ein Laptop - eben
mal MIT und mal OHNE Anbindung an das Firmen-Netz laufen. Also muss, so
habe ich das verstanden, der Benutzer LOKAL da sein (damit das im Urwald ohne Netz geht)
und bei Anmeldung im Firmennetz eben auch am AD, also am DC, erfolgen.
Nun habe ich noch nich verstanden, wo die Benutzereinstellungen vorgehalten werden.
Eigentlich müsste das ja dann lokal sein - aber irgendwie habe ich gedacht, dass die Benutzerprofile
auf dem DC verwaltet werden. Zugegeben - da fehlt mir deutlich Wissen und Verständnis.
Somit ist die eigentliche Frage - wo werden die Benutzerprofile gespeichert?

Hallo ZOD,

den Benutzer legst du natürlich ganz normal im AD an. Jetzt meldest du auf dem Notebook den Benutzer mit dem Benutzernamen Domain\Username an. Bei der ersten Anmeldung wird ein Benutzerprofil eingerichtet welches die Daten natürlich* auf dem Notebook vorhält.

Wenn du jetzt das Netzwerk trennst (so als wärst du irgendwo anders), dann kann sich der Benutzer natürlich weiterhin an seinem Profil anmelden. Möglicherweise dauert dann der Anmeldevorgang ein bisschen länger weil er den Server (DC, DNS) nicht findet. Aber das ist normal. Beim zweiten Mal geht es dann i.d.R. schneller.

Gut wäre natürlich, dass der Benutzer wenigstens einmal im Monat eine Verbindung zur Domain erhält. Erstens um evtl. aktualisierte GPOs und Benutzer-/Gruppeneinstellungen zu übernehmen. Und zweitens, damit das Kerberos Ticket aktualisiert wird und der Benutzer nicht nach einem halben Jahr da steht und sich nicht mehr anmelden kann. Stichwort Vertrauensstellung.

* Die Daten können auch zusätzlich auf den Server bei der Abmeldung übertragen werden. Hierzu einfach in den Eigenschaften des Benutzers im AD bei Profil ein Profilpfad eintragen. Das nennt sich dann servergespeichertes Profil. Vorteil hierbei ist, dass auf jedem Rechner sofort das Profil des Benutzers mit allen Einstellungen vorhanden ist. Das kann natürlich den Abmelde- und Anmeldevorgang ein bisschen verlängern. Besonders dann, wenn ein Profil lange Zeit nicht mit dem Server abgeglichen wurde. Ich persönlich bin allerdings kein echter Fan von solchen Profilen. Ergibt zwar im Endeffekt mehr Arbeit für mich, aber ich bin flexibler bei der Einrichtung. Und ich habe nicht das Problem, dass Einstellungen von Software übernommen wird, die auf dem anderen Rechner gar nicht installiert ist.