Jump to content

W2k3-Domain splitten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hy Leute,

 

wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ?

 

Genauer gesagt eine Domain über 2 Standorte soll in 2 eigenständige netzwerke aufgeteilt werden. Noch sind beide Orte über eine Festverbindung verbunden.

 

Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ?

 

Wäre natürlich ein einfacher Weg :)

 

Freue mich auf eure Erfahrungen .....

 

Gruß

Link zu diesem Kommentar

Servus,

 

wollte mal wissen ob einer von euch schon mal eine Domain gesplittet hat ?

 

regelmäßig.

 

Könnte man einfach die Verbindung trennen und den lokalen Server alle Rollen zuweisen ?

 

Wer das SO macht, gehört "geteert und gefedert" (um nicht zu sagen "gesteinigt"). Diese Vorgehensweise ist ein klares "NO GO!"

Die ganzen Kennwörter der Benutzer- Computer- sowie Dienstkonten werden mit übernommen.

 

Wäre natürlich ein einfacher Weg :)

 

Vorallem ist dieser Weg aus Sicherheitssicht, der gefährlichste, falscheste und vorallem fehlerhafteste. AD-technisch wäre das mehr oder weniger eine "Vergewaltigung"!

 

Der eine Standort MUSS in eine neue Domäne (z.B. mit ADMT) migriert werden.

Es führt daran kein Weg vorbei.

 

 

P.S. Notiz an mich: Nun wird es auch mal Zeit über dieses Thema einen Artikel zu verfassen, da diese Frage zu oft kam.

Link zu diesem Kommentar
das habe ich mir gedacht.

 

Dann führe das auch bitte so aus.

 

Habe mir dem ADMT noch keine Erfahrung gesammelt.

 

Die Migration mit ADMT ist eine einfache Variante, die jeder schnell begreift.

 

Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To

 

Also man würde den Server aus der Domain entfernen und eine neue erzeugen.

 

Wenn keine andere Maschine zur Verfügung steht... ja, dann würde man es so machen.

Oder mit Hilfe einer VM.

 

Anschließend die bestehenden Computer+Benutzer-Konten importieren ?

 

Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauenesstellung benötigt. Falls das Domänen-Admin Kennwort BEIDER Domänen gleich lautet, funktioniert es sogar ohne eine Vertrauensstellung. Aber du solltest einen Trust auf alle Fälle einrichten.

 

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne an und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis" vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.

 

Lies im o.g. Link die Whitepaper zu ADMT durch.

Link zu diesem Kommentar

Servus,

 

wie ist das mit Exchange 2007, die Schema Felder werden ja nicht mitgenommen.

 

aus der alten Domäne wird nichts mitgenommen.

Lediglich die "alte" SID wird im Attribut SIDHistory des neuen Benutzerobjekts, in der neuen Domäne hinzugefügt.

 

 

Funktioniert (sofern exchange forest und domainprep gemacht ist) auch das Mapping der "alten" Sids auf die "neuen" Mailboxen ?

 

Wenn die neue Domäne bereits soweit vorbereitet wurde...

Also in einer neuen Domäne bzw. neuer Gesamtstruktur (da in einer Gesamtstruktur ja nur eine Exchange Org existieren kann) dann könnte/sollte dies funktionieren.

Ich kann es aber nicht 100%ig beantworten...

 

 

Hatte das noch nie versucht ...

 

Das Vergnügen hatte ich bisher auch noch nicht.

Link zu diesem Kommentar
Das agent der sich auf den Workstation installiert ändert auch gleichzeitig die Domäne in der sich die Workstation befindet oder macht man das dann auch noch von Hand ?

 

Der Agent ändert die Berechtigungen lokal.

Der Benutzer muss lediglich nach der Migration bei der Anmeldung im Feld "Anmelden an" die neue Domäne auswählen und kann sich dann wie gewohnt anmelden und findet sein "altes" Profil wieder.

Link zu diesem Kommentar
1) Ist das normal das ich bei Benutzerkonten das Passwort zurücksetzten muss ?

 

Die Kennwörter, die von ADMT generiert werden, sind ohnehin nur als Startkennwörter gedacht.

ADMT stellt die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ein.

Du kannst aber auch die Kennwörter migrieren. Dazu ist allerdings mehr an Arbeit zu tun.

Informiere dich im Zusammenhang mit ADMT über den Password Export Server (PES) Service.

 

 

2) Die SID-History brauche ich doch normalerweise nicht, oder ?

 

Die SIDHistory benötigt man im Prinzip in der Migrationsphase.

Wenn sich der Benutzer bereits in der neuen Domäne befindet und er auf Ressourcen in der "alten" Domäne zugreifen möchte, dann greift die SIDHistory. Allerdings sollte daran gedacht werden, wenn die Migration abgeschlossen ist, die SIDHistory zu bereinigen, denn bei weiteren Migrationen in der Zukunft, kann die SIDHistory zum Verhängnis werden.

Link zu diesem Kommentar

Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden).

 

Gut, also brauche ich nicht über die History nachdenken.

 

Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt, aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ? In deinem Blog steht ja, RID muß verfügbar sein..

 

Ist doch gerade etwas Neuland :)

Link zu diesem Kommentar
Also die Aufforderung zum #ändern des Passwortes kam nicht. Habe ich da einen Fehler gemacht ? (mit zurücksetzten konnte ich mich dann anmelden).

 

Nein, du hast keinen Fehler gemacht. Da meine ADMT Migration ein paar Tage her ist, kann ich nicht mehr genau sagen in welcher Konstellation die Aufforderung kam.

Fakt ist, wenn sich der Benutzer an seinem Rechner in der neuen Domäne anmelden kann, ist alles in Butter.

 

 

Wenn ich einen Memberserver habe, auf dem eine Kopie des Globalen Katalog liegt,

 

Das geht nicht. Der globale Katalog kann ausschließlich auf einem Domänencontroller und nicht auf einem Mitgliedsserver aktiviert werden.

 

aber dieser keine Verbindung zu den Betriebsmastern hat, kann ich dann trotzdem die Konten mirgieren oder gibts da Probleme mit der Vertrauensstellung ?

 

Während der ADMT Migration müssen die involvierten DCs, beider Domänen erreichbar sein. Quell- sowie Ziel DCs müssen online und erreichbar sein.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...