Hochstufung Domäne

[DerOlele 0]

Hallo zusammen,

 

ich bin seit ca. zwei Jahren Admin in einem größeren Unternehmen.

Der Betriebsmodus unserer Domäne ist derzeit noch folgender:

Domänenfunktionsebene: Windows Server 2003
Gesamtstrukturfunktionsebene Windows 2000

 

In der letzten Abteilungsbesprechung habe ich angemerkt, das wir hier mal etwas machen sollten.
Wenn möglich die Domäne hochstufen. Am bestene auf die aktuelle Version - zumindest jedoch mal

auf 2008 R2.

Wir sind im produzierenden Gewerbe (Elektroindustrie) tätig und haben leider auch noch zwangsweise

einige alte Prüfmittelsysteme am laufen (Windows 2000 und NT4).

Den Einwand meiner Kollegen konnte ich bei NT4 noch entrkräften, da ich wusste dass es in einer 2008 R2 Domäne
die Möglichkeit gibt für NT4 Maschinen entsprechend die Sicherheitseinstellungen anzupassen.
Hier der Passenden Artikel dazu: http://support2.microsoft.com/kb/942564/en-us

 

Jedoch haben wir noch eine kleineres, aber dennoch heftiges Problem.
Wir haben noch einige DOS Prüfmittelrechner (bitte nicht lachen) für sehr alte Produkte die hin und wieder

benötigt werden.

Diese schreiben nach dem Prüfvorgang Dateien auf ein Share im Netzwerk.

Eine Ablösung dieser alten DOS-Rechner findet nicht statt, da man diese teilweise
noch benötigt....Updaten ist auch nicht mehr möglich, da die Prüfmittelprogramme nur für DOS Verfügbar sind....

 

Jetzt befürchte ich nun, das eine Hochstufung unsere Domäne zumindest an den DOS Rechner

scheitern wird.

Hat jemand mir tipps für diese Problematik bzw. so etwas schon mal erlebt?
Gibt es evtl. Drittanbietertools?
Ist eine 2012 Domäne damit für immer gestorben?

Wäre euch Dankbar für Hinweise.
Ein Kollege von mir schiesst da leider immer quer....

 

 

VG
Thorsten

 

 

 

 

 

 

 

 

 

 

[NilsK 2.781]

Moin,

 

mit dem Domänen- und Forest-Betriebsmodus schränkst du in erster Linie ein, welches Betriebssystem die DCs haben können. Kurz gesagt, können keine DC-Betriebssysteme eingesetzt werden, die "unterhalb" des jeweiligen Betriebsmodus liegen.

 

Der Forest-Modus 2008 R2 ist dringend anzustreben, weil erst damit der AD-Papierkorb zur Verfügung steht. Voraussetzung: Alle DCs im gangen Forest müssen mindestens 2008 R2 ausführen, und alle Domänen müssen auf (mindestens) diesen Modus angehoben sein.

 

Wenn die NT-Rechner in der Domäne bleiben sollen, musst du in der Tat die NT-Verschlüsselungsoption aktivieren. Hier wäre aber zu prüfen, ob die NT-Rechner wirklich Domänenmitglieder bleiben müssen oder ob dort nicht evtl. ein Zugriff auf bestimmte Shares ausreicht. Den könnte man dann auch individuell konfigurieren, ohne die NT-Rechner in der Domäne zu lassen und ohne die Domänensicherheit herabzusetzen.

 

Dasselbe würde ich auch für die DOS-Rechner empfehlen: Die sind ja ohnehin nicht Mitglieder der Domäne. Hier reicht es aus, den Zugriff auf die jeweiligen Shares zu ermöglichen. Das erfordert dann ggf. das Abschalten des SMB Signing auf den betreffenden Dateiservern sowie - vermutlich am einfachsten - das Einrichten lokaler Accounts für den Zugriff auf den Share.

 

Gruß, Nils

[NeMiX 76]

Kann Nils da nur zustimmen, ich hatte bei meinem alten AG ein ähnliches Problem mit mehreren DOS Programmen.

Das wurde dort mit einem eigenen Share (nicht im DFS Stamm) gelöst und lokalen Accounts für die alten Schätze. Denk auch an die Passwortpolicy, wenn dir auf einmal das PW abläuft und nicht mehr auf den Share zugegriffen werden kann fängt man erst mal an mit dem suchen ;)

[DerOlele 0]

Erst mal vielen Dank für die Antworten.

Da wir sehr viele Altlasten haben in unserer Domäne und diese voraussichtlich nicht so einfach beseitigen werden können,

habe ich mir überlegt sozusagen auf der grünen Wiese eine neue Domäne zu erstellen (2012 R2), diese zu konfigurieren

und dann zur alten Domäne eine Vertrauensstellung herzustellen (wenn das so richtig heisst).
Alternativ dachte ich da auch die alte Domäne als Sub-Domäne laufen zu lassen.

Die Frage die mich bezüglich einer solchen Lösung beschäftigt ist, ob das ganze technisch geht.
Also sprich wenn die neue Domäne die Funktionsebene 2012 R2 hat und die alte eben 2003 ob das mit dem Trus geht bzw.

ob überhaupt die alte als Subdomäne aufgenommen werden kann, sollte diese Möglichkeit gewünscht werden.

 

Ich finde leider nicht viele Infos dazu.

[NilsK 2.781]

Moin,

 

in der Regel führen solche Neuinstallationen nur zu viel mehr Aufwand. Ich habe bislang noch keine einzige Umgebung gesehen, die sich nicht hätte korrigieren lassen. Zudem hättest du mit einer neuen Domäne deine vorhandenen Probleme ja nicht gelöst, sondern im Zweifel nur neue hinzugefügt.

 

Ich sehe nicht, wie dir eine Vertrauensstellung helfen sollte. Zu einer Subdomäne kannst du die bestehende Domäne auch schon technisch nicht machen.

 

Empfehlung: Hol dir jemanden ins Haus, der Ahnung vom AD hat und erarbeite einen Plan, wie man die vorhandenen Einschränkungen beheben kann.

 

Gruß, Nils

[NorbertFe 1.799]

Und da isser wieder der Irrglaube, der mal eben davon ausgeht, dass eine neue Domain irgendwas einfacher machen würde. ;) Ohne guten technischen Grund oder politischen Druck würde ich von deiner Idee ganz klar abraten. Und "Altlasten" sind selten ein Grund.

 

Bye

Norbert

[DerOlele 0]

Zugegebenermaßen möchte ich eigentlich nach wie vor die bestehende Domäne Hochstufen.
Jedoch möchte mein direkter Kollege die Variante mit neuer Domäne und alte Domäne als Subdomäne.
ich bin mir halt nicht sicher ob das technisch geht....habe soetwas noch nie gemacht.
Sprich ein DC basierend auf W2K12 R2, Domänenfunktionsebene 2012 R2 der dann aber auch die alte

"Subdomäbne" bedienen kann....

 

Ich will ja primär alle alten DC's los werden, weil der Extended Support im nächsten Jahr für dieses Betriebssystem enden wird.

Wenn ich die bestehende Domäne hochstufen will brauche ich ein paar tatsächliche Show-Stopper (technisch) die gegen eine

Supdomäen bzw. eine Vertrauensstellung zur alten Domäne sprechen.

 

Habe natürlich auch schon an externe Dienstleister gedacht. Aber mein Kollege sträubt sich da sehr und so

lange mein Chef kein Machtwort spricht sind mir die Hände gebunden....ausser ich kann natürlich sagen dass

es technisch aus dem und dem Grund nicht geht und wir deswegen doch einen Dienstleister brauchen.

 

Schwierig....sehr schwierig.
 

[lefg 276]

Moin,

 

gibt es denn überhaupt ein Verfahren, eine bestehende Domäne zur Subdomäne einer anderen zu machen?

 

 

Wie wäre es, eine Testdomain zu bauen, daran einen DOS hängen zum Testen?

bearbeitet 22. Oktober 2014 von lefg

[NorbertFe 1.799]

Nein, eine einmal installierte Domain kann nachträglich weder zu einer SUbdomain "gemacht" werden, noch kann eine Subdomain eine Rootdomain werden.

[NilsK 2.781]

Moin,

 

Wie wäre es, eine Testdomain zu bauen, daran einen DOS hängen zum Testen?

 

was sollte das bringen? Ein DOS-Rechner kann sowieso nicht Domänenmitglied werden. Wenn er auf einen Share zugreifen soll, kann man das konfigurieren. Das würde aber auch in der aktuellen Domäne gehen (bzw. besser direkt auf dem betreffenden Dateiserver).

 

Gruß, Nils

[lefg 276]

 

was sollte das bringen?

Moin,

 

 

was sollte das bringen? Ein DOS-Rechner kann sowieso nicht Domänenmitglied werden. Wenn er auf einen Share zugreifen soll, kann man das konfigurieren. Das würde aber auch in der aktuellen Domäne gehen (bzw. besser direkt auf dem betreffenden Dateiserver).

 

Gruß, Nils

 

Der TO kann sich vergewissern wie es sich verhält.

[NeMiX 76]

Zugegebenermaßen möchte ich eigentlich nach wie vor die bestehende Domäne Hochstufen.

Jedoch möchte mein direkter Kollege die Variante mit neuer Domäne und alte Domäne als Subdomäne.

 

Ist deinem Kollegen bewusst, was er sich damit alles an Arbeit aufhalst? Userprofile migrieren (ADMT hat selten eine Quote von 100%), Exchange neu machen, Sharepoint neu machen, Applikationen migrieren, Shares neu erstellen usw. usw.

Das macht man selbst bei kleinen Firmen nicht mal eben so und hat wie Nils schon erwähnte selten irgendeinen Mehrwert.

[daabm 1.184]

Nemix, das geht eh nicht. Stichwort "Forest Root Domain"...

 

Neu machen - ggf. mit Trust - kann eine Möglichkeit sein, aber dann muß der TO (oder sein "direkter Kollege") auch bereit sein, alte Zöpfe abzuschneiden. Und nach den bisherigen Äußerungen hier habe ich daran extreme Zweifel.

 

Und dann bleibt nur "Schaufel nehmen und ausmisten" :D

[NeMiX 76]

Nemix, das geht eh nicht. Stichwort "Forest Root Domain"...

 

 

Sorry, hast natürlich recht. Darauf wäre man beim Kollegen des TO wahrscheinlich während der Migration drauf gestoßen ;)

[Bastelwastel 0]

Falls es dem TO noch was bringt. Konstellation mit DOS-Rechnern hatte ich auch. Funktioniert ganz prima. Im besten Falle hast du ein CIFS-Share auf einem Storage  und erstellst dort einen lokalen Benutzer.

 

Bzgl. neuer Domain: da kann ich nur raten: Laß es. So vermurkst kann deine Domäne gar nicht sein, daß du dir das antun willst. Ich würde erstmal alle die dir zur Verfügung stehenden Tests durchführen (Boardmittel eines DC). Dann siehst du schon was nicht klappt. Und aufgemerkt, immer gut dokumentieren, das hilft zum Erinnern :D

 

Und dann alle Fehler nacheinander beheben. Migration von Gruppen und Berechtigungen ist da eher kein Spaß und das Argument: dann kann man mal alles überarbeiten. Das wird nix.

 

Und dann gibts immer noch die Möglichkeit erstmal in einer Testumgebung das Szenario durchzuspielen. Dein DC meldet sich dann schon, wenn ihm was nicht passt :jau: