2K3 - AD Services deaktivieren ohne den DC herabzustufen

[vmorbit]

Hallo,

wie kann ich garantieren, dass eine domain nicht mehr verfügbar ist,
ohne alle DCs herunterzustufen.

Welche Dienste muss ich denn da abdrehen?
Also DNS ist mal klar...wie schauts aus mit Netlogon?
Sonst irgendwas...

Ich will die domain sozusagen testweise unerreichbar machen...auf dem Server laufen aber leider Dienst die online bleiben müssen

Dankeee!!

[NorbertFe]

Zitat von vmorbit Hallo, wie kann ich garantieren, dass eine domain nicht mehr verfügbar ist, ohne alle DCs herunterzustufen. Welche Dienste muss ich denn da abdrehen? Also DNS ist mal klar...wie schauts aus mit Netlogon? Sonst irgendwas... Ich will die domain sozusagen testweise unerreichbar machen...auf dem Server laufen aber leider Dienst die online bleiben müssen Dankeee!!

Vergiß es. Damit wirst du dir nur Probleme einhandeln, die im Nachgang dann wieder behoben werden müssen. Das Active Directory ist kein "Dienst" den man einfach mal stoppen kann. Und wenn du den DNS Server stoppst haben deine Clients wahrscheinlich auch noch Probleme.

Bye
Norbert

[vmorbit]

Der DNS Server dürfte im Grunde keinen mehr jucken...
Ich hab 2 domains in verschiedenen forests...hab von der einen in die andere migriert.
Jetzt würd ich gern testen ob noch irgendwo Überbleibsel der alten domain liegen ohne die DCs herunterzustufen oder den trust aufzulösen...denn falls etwas übersehen wurde, kann ich nicht mehr oder schwer zurück...das bereitet mir ein wenig bauchschmerzen.

DNS Server läuft auf den neuen DCs schon und dieser wird auch an die clients verteilt...nur den namespace der alten domain haben die alten dcs noch über (in der sich ohnehin kein client mehr befindet)

ich will nur herausfinden ob nicht irgendwo noch eine SID-History abgeht, oder wo ein User der alten domain hinterlegt ist usw.
Deswegen würd ich die domain (2 DCs) gern mal testweise offline nehmen.

Hab ich ne andere Möglichkeit?

Danke für die schnelle Hilfe, Norbert!

[Daim]

Salut,

Zitat von vmorbit Jetzt würd ich gern testen ob noch irgendwo Überbleibsel der alten domain liegen ohne die DCs herunterzustufen oder den trust aufzulösen...denn falls etwas übersehen wurde, kann ich nicht mehr oder schwer zurück...das bereitet mir ein wenig bauchschmerzen.

dann fahre doch die Quell-DCs herunter oder ziehe an diesen das Netzwerkkabel, wenn du dich in der Nähe von den DCs befinden solltest.

ich will nur herausfinden ob nicht irgendwo noch eine SID-History abgeht,

Was heißt das im Klartext?
Die SIDHistory sollte nach der Migration ohnehin gelöscht werden, denn ansonsten könnte das in der Zukunft zu einer Stolperfalle werden.

How To Use Visual Basic Script to Clear SidHistory

[vmorbit]

Hey hey,

ja die Quell-DCs kann ich leider nicht herunterfahren,
da irgendwann jemand auf die glorreiche Idee kam auf dem DC nen Lizenzserver zu installieren...jetzt kann ich die DCs nicht herunterfahren, da sonst alles steht was Lizenzen benötigt...

Also no chance das zu testen bevor ich die DCs nicht herunterfahren kann?

Ja die SID-History werd ich anschließend bereinigen...dazu zwingt mich ja jetzt nichts, oder? Was meinst du mit Stolperfalle? Weil das troubleshooten erschwert wird, weil jeder User 2 SIDs hat meinst du?

Danke!!

[Daim]

Zitat von vmorbit ja die Quell-DCs kann ich leider nicht herunterfahren, da irgendwann jemand auf die glorreiche Idee kam auf dem DC nen Lizenzserver zu installieren...jetzt kann ich die DCs nicht herunterfahren, da sonst alles steht was Lizenzen benötigt...

Wenn eine Migration durchgeführt wird, sollten da nicht neben den AD-Objekten auch alle Daten sowie Dienste übernommen werden? Du willst doch nicht auf ewig die alte Domäne wegen dem Lizenzserver am Leben erhalten?

Also no chance das zu testen bevor ich die DCs nicht herunterfahren kann?

Ich kann ehrlich gesagt das ganze "Geweih" nicht nachvollziehen.

Ja die SID-History werd ich anschließend bereinigen...dazu zwingt mich ja jetzt nichts, oder?

Nö, jetzt noch nicht. Du solltest die SIDHistory eben nach der Migration irgendwann bereinigen.

Was meinst du mit Stolperfalle? Weil das troubleshooten erschwert wird, weil jeder User 2 SIDs hat meinst du?

Ja, aber nicht nur wegen dem Troubleshooting, auch wegen dem Access-Token. Denn wenn sich nämlich ein Benutzer anmeldet, bekommt er ein Access-Token in dem seine richtige SID, die SIDs der SIDHistory und die SID's aller Gruppen, denen der Benutzer angehört (direkt oder verschachtelt), enthalten ist. Das Access-Token kann aber max. 1024 Einträge enthalten und von daher, sollte nach einer Migration die SIDHistory stets bereinigt werden. Ansonsten könnte es bei zukünftigen Migrationen zu Problemen kommen.