Zum Inhalt wechseln


Foto

Zusätzliche Domäne per Vertrauensstellung


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 Maraun

Maraun

    Board Veteran

  • 581 Beiträge

 

Geschrieben 08. September 2017 - 06:38

Hallo zusammen,

 

wir haben uns (lange vor meiner Zeit) für einen falschen Domänennamen entschieden und sind daher (eventuell) zum Domänenumzug genötigt.

Ich wollte kurz den Ist-Zustand und meine geplante Umstellung hier mit Euch durchsprechen.

Zustand:

Domäne 2008 R2 (Domain- / Forestlevel)

3 DC´s in Domäne1 (DC-Domäne1), 1DC in Domäne2 (DC in Domäne2)

Netzwerkkonnektivität der DC´s ist vorhanden -> DC Domäne1 kann DC Domäne2 per IP pingen, DC Domäne2 kann DC Domäne 1 per IP und FQDN pingen

In Domäne1 gibt es noch eine DNS-Zone, die namentlich unseren neuen Domänennamen hat. Diese habe ich bereits 1zu1 auf den neuen DC in Domäne 2 umgezogen.

 

Plan:

Nachdem die DNS-Zone, die den Domänennamen innehat, komplett umgezogen (Domäne2) und gesichert wurde, wird diese in Domäne1 gelöscht.
In Domäne 1 erstelle ich für die Domäne2 (und gleichzeitig die gelöschte DNS-Zone) eine bedingte Weiterleitung auf den neuen DC Domäne2.

Danach erstelle ich einen Domain-Trust zwischen dem DC FSMO-Halter Domäne1 und dem DC Domäne2.

 

Im Anschluss teste ich die Namensauflösung einzelner Systeme, für die laut DNS dann der DC Domäne2 zuständig ist.

 

Passt das vom Ablauf her so?
Danke vorab für alle Beteiligungen.
 


Bearbeitet von Maraun, 08. September 2017 - 06:39.

Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291

#2 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 08. September 2017 - 07:05

Moin,

 

bevor wir uns über den Ablauf unterhalten, wäre vielleicht zu klären, warum ihr meint, zum Ändern des Domänennamen gezwungen zu sein. Ich bespreche sowas immer mal wieder mit Kunden, und es gibt fast nie einen Grund, der den Aufwand wirklich rechtfertigt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 Maraun

Maraun

    Board Veteran

  • 581 Beiträge

 

Geschrieben 08. September 2017 - 07:26

Hi Nils,

 

ich habe dazu bereits mal zwei Threads aufgemacht.
Man hat sich damals bei der Erstellung leider für ne .ads Domain entschieden, die jetzt Google innehat.

 

Erwähnt sei hierbei, dass ich zunächst nur mal den zusätzlichen DC in der neuen Domäne testen möchte.
Weitere Schritte sind zumindest bis jetzt nicht geplant.

http://www.mcseboard...un#entry1301337

http://www.mcseboard...un#entry1326430
 


Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291

#4 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 08. September 2017 - 12:11

Moin,

 

gut, aber wir haben dir doch in beiden Threads bereits empfohlen, deswegen keine große Aktion zu machen. Was ist jetzt also das Problem, wegen dessen du meinst, eine Komplettmigration vornehmen zu müssen?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 Maraun

Maraun

    Board Veteran

  • 581 Beiträge

 

Geschrieben 09. September 2017 - 10:21

Tja, ich bin eben nicht der Entscheider.

Und wenn nun alle meine Vorstöße verpuffen und es eben anders gesehen wird, dann muss ich dem Folge leisten und die Aufgabe umsetzen.


Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291

#6 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 09. September 2017 - 12:32

Moin,

 

sagen wir so: Die Namensauflösung für die eine Zone ist das aller-, aller-, allergeringste Problem, das du in dem Projekt haben wirst. Unterschätz das nicht. Du darfst nicht bei solchen Details anfangen, sondern du brauchst einen Gesamtplan für diese Komplettmigration. Hol dir im Zweifel jemanden ins Haus, der sich damit auskennt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 lefg

lefg

    Expert Member

  • 20.492 Beiträge

 

Geschrieben 09. September 2017 - 13:41

Moin

 

 

Plan:

Nachdem die DNS-Zone, die den Domänennamen innehat, komplett umgezogen (Domäne2) und gesichert wurde, wird diese in Domäne1 gelöscht.
In Domäne 1 erstelle ich für die Domäne2 (und gleichzeitig die gelöschte DNS-Zone) eine bedingte Weiterleitung auf den neuen DC Domäne2.

Danach erstelle ich einen Domain-Trust zwischen dem DC FSMO-Halter Domäne1 und dem DC Domäne2.

 

Im Anschluss teste ich die Namensauflösung einzelner Systeme, für die laut DNS dann der DC Domäne2 zuständig ist.

 

Passt das vom Ablauf her so?

 

Der Plan beinhaltet aber keine Migration. Bei einer solchen geht es um Computerkonten und Benutzerkonten, also die Änderung der SID der Objekte (Konten und Profile) von der Quelldomäne in die der Zieldomäne. Und wie sieht das mit den Kennwörtern(Hashes) aus? Und das Wort Exchange habe ich auch nicht gelesen in der Eröffnung.

 

Womit und wie soll das also durchgeführt werden? Gibt es dafür die Kenntnisse, das Werkzeug und einen Plan?

 

Falls also die Kenntnisse nicht vorhanden, nicht handlungssicher erwerbbar, ob man sich da selbst dran versucht?


Bearbeitet von lefg, 10. September 2017 - 07:48.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)