gogo_sven 10 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Hy Leute, wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ? Genauer gesagt eine Domain über 2 Standorte soll in 2 eigenständige netzwerke aufgeteilt werden. Noch sind beide Orte über eine Festverbindung verbunden. Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ? Wäre natürlich ein einfacher Weg :) Freue mich auf eure Erfahrungen ..... Gruß Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Servus, wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ? regelmäßig. Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ? Wer das SO macht, gehört "geteert und gefedert" (um nicht zu sagen "gesteinigt"). Diese Vorgehensweise ist ein klares "NO GO!" Die ganzen Kennwörter der Benutzer- Computer- sowie Dienstkonten werden mit übernommen. Wäre natürlich ein einfacher Weg :) Vorallem ist dieser Weg aus Sicherheitssicht, der gefährlichste, falscheste und vorallem fehlerhafteste. AD-technisch wäre das mehr oder weniger eine "Vergewaltigung"! Der eine Standort MUSS in eine neue Domäne (z.B. mit ADMT) migriert werden. Es führt daran kein Weg vorbei. P.S. Notiz an mich: Nun wird es auch mal Zeit über dieses Thema einen Artikel zu verfassen, da diese Frage zu oft kam. Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 27. Februar 2008 Autor Melden Teilen Geschrieben 27. Februar 2008 das habe ich mir gedacht. Habe mir dem ADMT noch keine Erfahrung gesammelt. Also man würde den Server aus der Domain entfernen und eine neue erzeugen. Anschließend die bestehenden Computer+Benutzer-Konten importieren ? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 das habe ich mir gedacht. Dann führe das auch bitte so aus. Habe mir dem ADMT noch keine Erfahrung gesammelt. Die Migration mit ADMT ist eine einfache Variante, die jeder schnell begreift. Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Also man würde den Server aus der Domain entfernen und eine neue erzeugen. Wenn keine andere Maschine zur Verfügung steht... ja, dann würde man es so machen. Oder mit Hilfe einer VM. Anschließend die bestehenden Computer+Benutzer-Konten importieren ? Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauenesstellung benötigt. Falls das Domänen-Admin Kennwort BEIDER Domänen gleich lautet, funktioniert es sogar ohne eine Vertrauensstellung. Aber du solltest einen Trust auf alle Fälle einrichten. Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne an und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis" vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt. Lies im o.g. Link die Whitepaper zu ADMT durch. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Hallo Daim Doch noch eine Frage zum ADM ... wie ist das mit Exchange 2007, die Schema Felder werden ja nicht mitgenommen. Funktioniert (sofern exchange forest und domainprep gemacht ist) auch das Mapping der "alten" Sids auf die "neuen" Mailboxen ? Hatte das noch nie versucht ... Gruss Matthias Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Servus, wie ist das mit Exchange 2007, die Schema Felder werden ja nicht mitgenommen. aus der alten Domäne wird nichts mitgenommen. Lediglich die "alte" SID wird im Attribut SIDHistory des neuen Benutzerobjekts, in der neuen Domäne hinzugefügt. Funktioniert (sofern exchange forest und domainprep gemacht ist) auch das Mapping der "alten" Sids auf die "neuen" Mailboxen ? Wenn die neue Domäne bereits soweit vorbereitet wurde... Also in einer neuen Domäne bzw. neuer Gesamtstruktur (da in einer Gesamtstruktur ja nur eine Exchange Org existieren kann) dann könnte/sollte dies funktionieren. Ich kann es aber nicht 100%ig beantworten... Hatte das noch nie versucht ... Das Vergnügen hatte ich bisher auch noch nicht. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Hallo Daim No risk no fun ... ich werds bei Gelegenheit (ich hoffe die gibts ...) testen ... Gruss Matthiass Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 28. Februar 2008 Autor Melden Teilen Geschrieben 28. Februar 2008 Danke für eure Antworten ! Habe nur eine kleine Frage: Das agent der sich auf den Workstation installiert ändert auch gleichzeitig die Domäne in der sich die Workstation befindet oder macht man das dann auch noch von Hand ? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Das agent der sich auf den Workstation installiert ändert auch gleichzeitig die Domäne in der sich die Workstation befindet oder macht man das dann auch noch von Hand ? Der Agent ändert die Berechtigungen lokal. Der Benutzer muss lediglich nach der Migration bei der Anmeldung im Feld "Anmelden an" die neue Domäne auswählen und kann sich dann wie gewohnt anmelden und findet sein "altes" Profil wieder. Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 28. Februar 2008 Autor Melden Teilen Geschrieben 28. Februar 2008 Vielen Dank für deine Hilfe. Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 29. Februar 2008 Autor Melden Teilen Geschrieben 29. Februar 2008 So, habe das mal eben ausprobiert :) Hat sogar grundsätzlich funktioniert, aber habe mal 2 Fragen: 1) Ist das normal das ich bei Benutzerkonten das Passwort zurücksetzten muss ? 2) Die SID-History brauche ich doch normalerweise nicht, oder ? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. Februar 2008 Melden Teilen Geschrieben 29. Februar 2008 1) Ist das normal das ich bei Benutzerkonten das Passwort zurücksetzten muss ? Die Kennwörter, die von ADMT generiert werden, sind ohnehin nur als Startkennwörter gedacht. ADMT stellt die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ein. Du kannst aber auch die Kennwörter migrieren. Dazu ist allerdings mehr an Arbeit zu tun. Informiere dich im Zusammenhang mit ADMT über den Password Export Server (PES) Service. 2) Die SID-History brauche ich doch normalerweise nicht, oder ? Die SIDHistory benötigt man im Prinzip in der Migrationsphase. Wenn sich der Benutzer bereits in der neuen Domäne befindet und er auf Ressourcen in der "alten" Domäne zugreifen möchte, dann greift die SIDHistory. Allerdings sollte daran gedacht werden, wenn die Migration abgeschlossen ist, die SIDHistory zu bereinigen, denn bei weiteren Migrationen in der Zukunft, kann die SIDHistory zum Verhängnis werden. Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 29. Februar 2008 Autor Melden Teilen Geschrieben 29. Februar 2008 Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden). Gut, also brauche ich nicht über die History nachdenken. Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt, aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ? In deinem Blog steht ja, RID muß verfügbar sein.. Ist doch gerade etwas Neuland :) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. Februar 2008 Melden Teilen Geschrieben 29. Februar 2008 Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden). Nein, du hast keinen Fehler gemacht. Da meine ADMT Migration ein paar Tage her ist, kann ich nicht mehr genau sagen in welcher Konstellation die Aufforderung kam. Fakt ist, wenn sich der Benutzer an seinem Rechner in der neuen Domäne anmelden kann, ist alles in Butter. Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt, Das geht nicht. Der globale Katalog kann ausschließlich auf einem Domänencontroller und nicht auf einem Mitgliedsserver aktiviert werden. aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ? Während der ADMT Migration müssen die involvierten DCs, beider Domänen erreichbar sein. Quell- sowie Ziel DCs müssen online und erreichbar sein. Zitieren Link zu diesem Kommentar
gogo_sven 10 Geschrieben 29. Februar 2008 Autor Melden Teilen Geschrieben 29. Februar 2008 sorry, also der Server der Quell-Domain ist DC hat aber keine Rolle. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.