Jump to content

Bestehende Domäne in 2 unabhängige Domänen aufteilen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hy.

 

Wir haben momentan eine Domäne die Clients in unterschiedlichen Niederlassungen bedient.

Zukünftig soll die Firma getrennt werden.

Kann ich eine bestehende Domäne aufteilen, so dass beide Teile der Domäne und natürlich auch der ihr zugeordneten Clients anschließend auf zwei voneinander getrennten PDCs laufen?

Ich möchte es vermeiden eine komplett neue Domäne hochzuziehen, und dann die Hälfte der Clients anpacken zu müssen, damit diese in der neuen Domäne Mitglied werden.

Ich hoffe das war halbwegs verständlich was ich vorhabe :D

 

Besten Dank für Vorschläge oder Ideen.

Link zu diesem Kommentar

Servus,

 

Kann ich eine bestehende Domäne aufteilen, so dass beide Teile der Domäne und natürlich auch der ihr zugeordneten Clients anschließend auf zwei voneinander getrennten PDCs laufen?

 

ja, kannst du. In dem du mit ADMT in eine neue Domäne migrierst.

 

 

Ich möchte es vermeiden eine komplett neue Domäne hochzuziehen, und dann die Hälfte der Clients anpacken zu müssen, damit diese in der neuen Domäne Mitglied werden.

 

Doch, dass musst du aber und es führt kein Weg daran vorbei.

Das Tool das dir dabei behilflich ist, nennt sich ADMT.

Damit kannst du die Benutzer- sowie Computerkonten in die neue Domäne migrieren, ohne das der Benutzer davon etwas mitbekommt.

 

Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To

Link zu diesem Kommentar

Wow. Ihr seid schnell :D

 

Warum möchtest du das tun ?

Die Firmen bleiben ja unter der selben Leitung oder? (sonst wäre ja eine neue Root-Domain für die 2. nötig)

Leider nein - es werden 2 komplett voneinander (also auch Netzwerktechnisch) getrennte Firmen!

Sonst müsste ich ja den ganzen Aufwand nicht betreiben.

 

Damit kannst du die Benutzer- sowie Computerkonten in die neue Domäne migrieren, ohne das der Benutzer davon etwas mitbekommt.

Das heißt damit kann ich mir es auch ersparen das Benutzerprofil (NICHT Servergespeichert) anschließend zu migrieren? Die SID ändert sich ja etc...

 

Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe? Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben.

Bescheiden ist eben der Fakt, dass es nur einen Teil der Clients betrifft.

Also zB: Subnet 20.0 wird Firma1, 21.0 Firma2, 22.0 Firma1 etc....

PDC1 steht dann in Subnet 10.0, PDC2 in 11.0 ....

Link zu diesem Kommentar
Das heißt damit kann ich mir es auch ersparen das Benutzerprofil (NICHT Servergespeichert) anschließend zu migrieren?

 

Genau, die Profile, sei es lokale- oder servergespeicherte Profile bleiben alle samt erhalten.

 

Die SID ändert sich ja etc...

 

Korrekt.

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis" vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.

 

Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird,

so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet. Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte, auch wenn der Benuztername gleich lautet.

 

 

Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe?

 

Es ist Freitag kurz vor Feierabend, du willst nicht das ich mich aufrege (nein, das willst du nicht wirklich).

Wer so einen Domänen splitt durchführt, gehört geteert+gefedert+vor das Kriegstribunal+und was weiss ich noch alles. Im Ernst, vergiss diese Variante, denn somit werden auch die ganzen Kennwörter mitgenommen.

 

Daher schrub ich bereits zu Beginn das die einzige Möglichkeit die Migration mit ADMT ist.

 

 

Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben.

 

Höre auf an dieser Stelle WEITER ZU DENKEN!

Link zu diesem Kommentar
Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe? Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben.

Dann sind noch die Zugangsdaten von der jeweils anderen Firma vorhanden. IMHO nicht so toll...

 

Ich denke mal, dass du nicht drumrum kommen wirst, die User-/Computerkonten einzeln anzupacken. Der Hinweis auf ADMT ist aber Gold wert... ;-)

Link zu diesem Kommentar
Es ist Freitag kurz vor Feierabend, du willst nicht das ich mich aufrege (nein, das willst du nicht wirklich).

Wer so einen Domänen splitt durchführt, gehört geteert+gefedert+vor das Kriegstribunal+und was weiss ich noch alles. Im Ernst, vergiss diese Variante, denn somit werden auch die ganzen Kennwörter mitgenommen.

War der Vorschlag von meinem Abteilungsleiter - wollte den nur zur Diskussion geben :D

Wäre nicht ganz so dramatisch, da "wir" ja den alten PDC behalten, und für den neuen nicht mehr verantwortlich sind.

 

Na dann weiß ich bescheid - dann werde ich mein Glück mit ADMT versuchen.

 

Besten Dank für die schnelle Hilfe!

Link zu diesem Kommentar
Wäre nicht ganz so dramatisch, da "wir" ja den alten PDC behalten, und für den neuen nicht mehr verantwortlich sind.

 

Du hast es aber immer noch nicht verstanden.

Das ist genau das Problem. Wenn mit einem bestehenden DC ein Domänen-Splitt durchgeführt wird, hat die ANDERE Seite, die Domäne, die einen bestehenden DC übernimmt, alle Kennwörter eurer Domäne. Somit ist eure Umgebung nicht mehr sicher.

 

 

Na dann weiß ich bescheid

 

Vorher wußtest du noch nicht bescheid, ich hoffe das du nun mit dieser Antwort bescheid weißt.

 

 

- dann werde ich mein Glück mit ADMT versuchen.

 

Das ist der einzig durchführbare Weg!

Link zu diesem Kommentar
  • 2 Wochen später...
Du hast es aber immer noch nicht verstanden.

Das ist genau das Problem. Wenn mit einem bestehenden DC ein Domänen-Splitt durchgeführt wird, hat die ANDERE Seite, die Domäne, die einen bestehenden DC übernimmt, alle Kennwörter eurer Domäne. Somit ist eure Umgebung nicht mehr sicher.

Doch hab ich.

Der neue DC wandert in die neue Firma und wird theoretisch von meinen Kollegen betreut die mir im Büro gegeüber sitzen, allerdings rechtlich nicht mehr zu der selben Firma gehören wie ich. Etwas komplizierte Konstellation - aber Sicherheit ist hier ausnahmsweise mal nicht das Problem. In der Praxis werde ich eh beide Domänen administrieren.

Link zu diesem Kommentar
...aber Sicherheit ist hier ausnahmsweise mal nicht das Problem. In der Praxis werde ich eh beide Domänen administrieren.

 

Sicherheit ist in der IT - IMMER - ein Thema!

Ich kann mich nur wiederholen. Sobald eine Domäne gesplittet wird, MUSS eine Migration und kein Pfusch betrieben werden!

 

Ich kann es dir nur ans Herz legen. Sobald ein Unternehmen sich trennt, erstelle für die eine Firma eine eigene Domäne, sonst könnte das später böse enden!

Link zu diesem Kommentar

Hi adnoh

 

im AD Kontext kennt man nur DC keine BDC und PDC.

 

Bitte bitte...... (vorsichtig formuliert...will nicht gegen die Nettikette verstoßen) sei unbedingt sehr vorsichtig.

 

Wenn du die Möglichkeit hast, stelle dir die Situation mit einer Testumgebung nach. Ich habe den Eindruck das du diese Arbeiten das erste Mal tun willst.

 

Tipp: Hole dir ne externe Firma, die diese Arbeiten durchführt

 

Hab schon einige Disaster in meinem berufliche Umfeld erlebt, deshalb mein Rat an dich.

 

Nachher können wir dir im Board auch nicht helfen, wenn das Kind im Brunnen ist, ist guter Rat teuer

Link zu diesem Kommentar
Bitte bitte...... (vorsichtig formuliert...will nicht gegen die Nettikette verstoßen) sei unbedingt sehr vorsichtig.

 

Wenn du die Möglichkeit hast, stelle dir die Situation mit einer Testumgebung nach. Ich habe den Eindruck das du diese Arbeiten das erste Mal tun willst.

 

 

Du willst jetzt damit aber nicht den OP dazu bringen, die Domäne doch zu splitten?!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...