[2008 R2] Local profiles naar roaming

Op mijn werk ben ik bezig met het migreren van de servers naar een AD omgeving. Momenteel werken we met een Terminal Server op 2008 (na morgen is dat R2) en lokale gebruikers. Nu wil ik deze gebruikers omzetten naar roaming profiles. De gebruikers heb ik al aangemaakt op AD.
Mijn grootste probleem is het correct omzetten van de profielmappen. De rechten goed zetten is wat veel werk, maar nog te doen. Waar het misgaat is het aanmelden met de profielmap. Ik heb een paar keer gehad dat de gebruiker direct afgemeld wordt bij het proberen te laden van het profiel. Andere keren krijg ik vreemde fouten of gewoon een tijdelijk profiel. Zoeken op Google levert veel bomen maar zie geen bos meer met de verschillende methodes (waarvan ik een paar zonder succes heb geprobeerd).

Wie heeft dit eerder gedaan en kan mij op weg helpen? Als het even kan, wil ik ook de rechten eenvoudig goed zetten, ik heb niet echt veel zin om elke user (bijna 40 stuks) handmatig te fixen.

Hoe zou ik het anders moeten doen met gebruikers die op de TS werken, en een laptop hebben die bij het domein aangemeld gaan worden? Ik zit hoe dan ook met de verhuizing van lokaal geregistreerde gebruikers naar gebruikers op de AD. Die hele rechtenstructuur verandert, local\user heeft bijvoorbeeld geen rechten in mappen van AD\user en andersom als het om het profiel gaat .

Maar gaat het ook goed met de rechten binnenin ntuser.dat (current_user registry hive)? Hiermee heb ik de meeste problemen gehad, na het verwijderen van dit bestand (waarmee je essentieel een nieuw profiel geeft) waren de problemen weg. Dit is het meest belangrijk omdat hier alle instellingen in staan (mail e.d.).

Die link heb ik niets aan, dat is voor XP en 2003, veel te oude systemen als waar ik nu mee werk. Heb je überhaupt de titel gelezen? Overigens had ik die link ook al gevonden, maar er moet een makkelijkere manier zijn.

Ik ga eerdergenoemde opties eens uitproberen in het weekend dat we overgaan.

merauder schreef op zondag 13 februari 2011 @ 15:09:
Verder is mijn advies om de AD profielen ground-up op te bouwen. 40 gebruikers is nog niet eens ernstig veel, en je bent verlost van vroeger gemaakte fouten, of roaming profiles die +/- 20 minuten nodig hebben om te laden.

Ik maak ze ook liever van 0 af aan, maar de mailinstellingen, die niet op Exchange zit (we gebruiken Google Apps met IMAP), is een ander verhaal. Er zijn in het verleden zeker fouten gemaakt met deze instellingen, waarbij niet alles nog via IMAP ging maar POP3. Om deze mails te behouden wil ik dus die instellingen houden. Ook omdat ik niet zo lang hier werk, weet ik ook niet wie wat allemaal heeft kwa instellingen in Outlook.
Aan en afmelden duurt niet lang gelukkig, hopelijk blijft dat ook zo.

shadowman12 schreef op zondag 13 februari 2011 @ 15:30:
Ik denk dat dit artikel je een stuk verder kan helpen, heb ik zelf ook gebruikt toen ik roaming profiles moest inrichten:
Security Recommendations for Roaming User Profiles Shared Folders

En daarnaast zou ik geen gebruik maken van roaming profiles maar van mandatory profiles.

Link had ik al eerder gevonden en is al toegepast op de normale roaming profiles, de home folder en de TSprofiles .
Mandatory profiles wil ik niet, bij het afmelden blijven wijzigingen niet bewaart, heb geen zin om praktisch het hele bedrijf op m'n nek te hebben door dit in te voeren.

Je zou ook eens kijken of je al deze Group Policy Settings heb ingesteld, die lijken te missen in jouw geval:
Group Policy Recommendations for Roaming User Profiles
Met name dan: Always wait for the network at computer startup and logon

En hoe weet je de indeling die ik al heb gemaakt in AD mbt GPO? Assumptions ...

En daarnaast logt de User Profile Service ook naar de Event Log heb je daar wat errors staan als een gebruiker meteen wordt afgemeld?

Die heb ik bekeken en werd niet veel duidelijker in de vage meldingen die MS gebruikt. Googlen erop gaf resultaten die niets met het probleem bij mij te maken hadden, of oplossingen die niet werkten.


Het enige wat ik nu heb als oplossing, is om de gebruikers allemaal 1x aan te melden op de TS die aan het domein is toegevoegd zodat er een TSprofile gemaakt wordt en dan de inhoud van de gemaakte map vervangen voor de inhoud van het oude profiel. Ik ga dit testen en hoop dat het goed werkt.

Ik heb de kopie geprobeerd met een gewoon profiel, ipv tsprofiel, en het resultaat is wat ik eerder had. Op het oorspronkelijke systeem was er geen probleem met aanmelden, maar zodra het naar een ander systeem ging, werd er direct afgemeld met dezelfde nietszeggende errors in de logs. Verwijderen van ntuser.dat loste de boel op (ten koste van alle user settings). Blijkbaar gaat het om de rechten binnenin dat bestand, zoals ik eerder aangaf (register rechten). Als de UID niet bestaat op het systeem waar je het profiel vanaf neemt, kan je blijkbaar niet aanmelden. Dat zou de NULL SID verklaren in de logs.

Ik denk dat het wel moet lukken. Anders hebben zowel de gebruikers als ik pech en moet ik de boel voor ze in gaan stellen qua mail. Firefox instellingen kunnen in principe nog wel overgezet worden, das een kleine moeite. De rest zal me dan wel een zorg zijn.

Goed, de 'migratie' heeft plaatsgevonden en met een paar gebruikers ben ik gemigreerd, met succes. Ik heb het als volgt aangepakt (verderop de motivatie):
- Meld aan als domein gebruiker zodat er een tsprofile aangemaakt wordt en de gebruiker bij het systeem bekend is en meld weer af;
- Verander in het register onder HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfieList het pad van de gebruiker zodat deze verwijst naar het bestaande profiel;
- Open de NTUSER.DAT van de gebruiker via Load Hive en pas de rechten aan naar de domein gebruiker, waarbij de lokale gebruiker vervangen wordt;
- Pas de security opties aan op de profielmap van de gebruiker zodat de domein gebruiker er alles mee mag;
- Meld opnieuw aan met de domein gebruiker en kijk of alles goed is gegaan.

Bij de meeste is dit goed gegaan, bij 1 gebruiker niet (die kreeg errors bij het openen van verkenner). Dit had ik bij een andere gebruiker, die niet via de TS werkt, maar een laptop, ook geprobeerd en op een of andere manier weten te fixen. Kostte mij wel meer dan een uurtje of twee die we hadden. Deze gebruiker heeft, net als de rest, een gloednieuw profiel.
Er zijn dus mensen met een nieuw profiel, ipv een gemigreerde. Dit omdat de naam van de profielmap niet is wat we wilde hebben. We zien liever de naam als gebruiker, ipv gebruiker.computernaam. Om dit aan te passen ben je monniken werk aan het uitvoeren om het register van de gebruiker te fixen met alle paden die erin staan. Te veel werk dus.

Nou, waarom geen aparte tools oid?
1) Het moest niets kosten, dus tooltjes die je moet kopen gingen al niet door. Het is ook maar de vraag of je er een tsprofile mee krijgt, ipv een normaal roaming profile.
2) USMT 4.0 scanstate werkt niet op server. Dit was een flinke domper, want het had anders een stuk makkelijker geweest als dit wel had gewerkt. Al had ik er al twijfels bij het resultaat van een lokale scanstate (vanaf een W7 machine). De server bleek hier ook niet helemaal mee om te kunnen gaan ivm SP1 vs non-SP1.
3) ADMT ging ook niet werken, omdat er een bron domein vereist is. Terwijl in de omschrijving staat dat het lokale profielen kan migreren, is dit dus niet waar. Als je van een workgroup naar een domein gaat iig.
4)Mijn manager heeft weinig interesse wat mensen vinden van wijzigingen en zolang het uiteindelijk weer werkt, moeten ze niet zeuren volgens hem. Ben ik het in zekere zin mee eens.
5) Dit ging ook prima en de belangrijkste dingen zijn overgezet, waar het mogelijk was: de mail.

Nu hoef ik alleen maar maandag bij iedereen nog een paar dingen te fixen, zoals de wachtwoorden van de extra mail accounts waaruit ze mailen en that's it.

Iedereen heel erg bedankt voor de tips en inzet. Hopelijk hebben anderen er iets aan als ze een zelfde situatie meemaken.

Klopt, ADMT is precies wat het zegt eigenlijk, migreer je AD naar een andere.

Paar gebruikers hadden problemen met het openen van Verkenner, dat werkte niet. Deze heb ik alsnog een nieuw profiel gegeven. Al met al, een geslaagde migratie, ondanks de paar problemen die we hadden.