Jump to content
Sign in to follow this  
gogo_sven

W2k3-Domain splitten

Recommended Posts

Hy Leute,

 

wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ?

 

Genauer gesagt eine Domain über 2 Standorte soll in 2 eigenständige netzwerke aufgeteilt werden. Noch sind beide Orte über eine Festverbindung verbunden.

 

Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ?

 

Wäre natürlich ein einfacher Weg :)

 

Freue mich auf eure Erfahrungen .....

 

Gruß

Share this post


Link to post
Share on other sites

Servus,

 

wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ?

 

regelmäßig.

 

Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ?

 

Wer das SO macht, gehört "geteert und gefedert" (um nicht zu sagen "gesteinigt"). Diese Vorgehensweise ist ein klares "NO GO!"

Die ganzen Kennwörter der Benutzer- Computer- sowie Dienstkonten werden mit übernommen.

 

Wäre natürlich ein einfacher Weg :)

 

Vorallem ist dieser Weg aus Sicherheitssicht, der gefährlichste, falscheste und vorallem fehlerhafteste. AD-technisch wäre das mehr oder weniger eine "Vergewaltigung"!

 

Der eine Standort MUSS in eine neue Domäne (z.B. mit ADMT) migriert werden.

Es führt daran kein Weg vorbei.

 

 

P.S. Notiz an mich: Nun wird es auch mal Zeit über dieses Thema einen Artikel zu verfassen, da diese Frage zu oft kam.

Share this post


Link to post
Share on other sites

das habe ich mir gedacht.

 

Habe mir dem ADMT noch keine Erfahrung gesammelt.

 

Also man würde den Server aus der Domain entfernen und eine neue erzeugen.

 

Anschließend die bestehenden Computer+Benutzer-Konten importieren ?

Share this post


Link to post
Share on other sites
das habe ich mir gedacht.

 

Dann führe das auch bitte so aus.

 

Habe mir dem ADMT noch keine Erfahrung gesammelt.

 

Die Migration mit ADMT ist eine einfache Variante, die jeder schnell begreift.

 

Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To

 

Also man würde den Server aus der Domain entfernen und eine neue erzeugen.

 

Wenn keine andere Maschine zur Verfügung steht... ja, dann würde man es so machen.

Oder mit Hilfe einer VM.

 

Anschließend die bestehenden Computer+Benutzer-Konten importieren ?

 

Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauenesstellung benötigt. Falls das Domänen-Admin Kennwort BEIDER Domänen gleich lautet, funktioniert es sogar ohne eine Vertrauensstellung. Aber du solltest einen Trust auf alle Fälle einrichten.

 

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne an und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis" vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.

 

Lies im o.g. Link die Whitepaper zu ADMT durch.

Share this post


Link to post
Share on other sites

Hallo Daim

 

Doch noch eine Frage zum ADM ... wie ist das mit Exchange 2007, die Schema Felder werden ja nicht mitgenommen. Funktioniert (sofern exchange forest und domainprep gemacht ist) auch das Mapping der "alten" Sids auf die "neuen" Mailboxen ?

 

Hatte das noch nie versucht ...

 

Gruss

Matthias

Share this post


Link to post
Share on other sites

Servus,

 

wie ist das mit Exchange 2007, die Schema Felder werden ja nicht mitgenommen.

 

aus der alten Domäne wird nichts mitgenommen.

Lediglich die "alte" SID wird im Attribut SIDHistory des neuen Benutzerobjekts, in der neuen Domäne hinzugefügt.

 

 

Funktioniert (sofern exchange forest und domainprep gemacht ist) auch das Mapping der "alten" Sids auf die "neuen" Mailboxen ?

 

Wenn die neue Domäne bereits soweit vorbereitet wurde...

Also in einer neuen Domäne bzw. neuer Gesamtstruktur (da in einer Gesamtstruktur ja nur eine Exchange Org existieren kann) dann könnte/sollte dies funktionieren.

Ich kann es aber nicht 100%ig beantworten...

 

 

Hatte das noch nie versucht ...

 

Das Vergnügen hatte ich bisher auch noch nicht.

Share this post


Link to post
Share on other sites

Danke für eure Antworten ! Habe nur eine kleine Frage:

 

Das agent der sich auf den Workstation installiert ändert auch gleichzeitig die Domäne in der sich die Workstation befindet oder macht man das dann auch noch von Hand ?

Share this post


Link to post
Share on other sites
Das agent der sich auf den Workstation installiert ändert auch gleichzeitig die Domäne in der sich die Workstation befindet oder macht man das dann auch noch von Hand ?

 

Der Agent ändert die Berechtigungen lokal.

Der Benutzer muss lediglich nach der Migration bei der Anmeldung im Feld "Anmelden an" die neue Domäne auswählen und kann sich dann wie gewohnt anmelden und findet sein "altes" Profil wieder.

Share this post


Link to post
Share on other sites

So, habe das mal eben ausprobiert :)

 

Hat sogar grundsätzlich funktioniert, aber habe mal 2 Fragen:

 

1) Ist das normal das ich bei Benutzerkonten das Passwort zurücksetzten muss ?

2) Die SID-History brauche ich doch normalerweise nicht, oder ?

Share this post


Link to post
Share on other sites
1) Ist das normal das ich bei Benutzerkonten das Passwort zurücksetzten muss ?

 

Die Kennwörter, die von ADMT generiert werden, sind ohnehin nur als Startkennwörter gedacht.

ADMT stellt die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ein.

Du kannst aber auch die Kennwörter migrieren. Dazu ist allerdings mehr an Arbeit zu tun.

Informiere dich im Zusammenhang mit ADMT über den Password Export Server (PES) Service.

 

 

2) Die SID-History brauche ich doch normalerweise nicht, oder ?

 

Die SIDHistory benötigt man im Prinzip in der Migrationsphase.

Wenn sich der Benutzer bereits in der neuen Domäne befindet und er auf Ressourcen in der "alten" Domäne zugreifen möchte, dann greift die SIDHistory. Allerdings sollte daran gedacht werden, wenn die Migration abgeschlossen ist, die SIDHistory zu bereinigen, denn bei weiteren Migrationen in der Zukunft, kann die SIDHistory zum Verhängnis werden.

Share this post


Link to post
Share on other sites

Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden).

 

Gut, also brauche ich nicht über die History nachdenken.

 

Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt, aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ? In deinem Blog steht ja, RID muß verfügbar sein..

 

Ist doch gerade etwas Neuland :)

Share this post


Link to post
Share on other sites
Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden).

 

Nein, du hast keinen Fehler gemacht. Da meine ADMT Migration ein paar Tage her ist, kann ich nicht mehr genau sagen in welcher Konstellation die Aufforderung kam.

Fakt ist, wenn sich der Benutzer an seinem Rechner in der neuen Domäne anmelden kann, ist alles in Butter.

 

 

Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt,

 

Das geht nicht. Der globale Katalog kann ausschließlich auf einem Domänencontroller und nicht auf einem Mitgliedsserver aktiviert werden.

 

aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ?

 

Während der ADMT Migration müssen die involvierten DCs, beider Domänen erreichbar sein. Quell- sowie Ziel DCs müssen online und erreichbar sein.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...