Tree-Domain Probleme

[LukiHoer 2]

Hallo Zusammen,

 

vorab: TESTNETZWERK als Vorbereitung auf ein Produktivnetzwerk.

Ich habe zum ersten Mal den Auftrag eine Tree-Domain zu installieren für ein Franchise Unternehmen.

 

Vorrausetzungen:

Vorhandene Domäne SERVER2016 : test1.de, DC: dc.test1.de 192.168.100.2 (,wahrscheinlich unwichtig es gibt einen Exchange *.100.3 für Domain test1.de)

Site-to-Site VPN zur Tree-Domain... Portfirewall Any to Any accept... also keine Blockenden innerhalb der Netze über VPN. Routing logischerweise eingerichtet, Kein Proxy vorhanden.

Ziel des Ganzen SERVER2022: Domäne: test2.de, DC: dc-test2.test2.de 192.168.101.2 , Exchange mit 101.3 für Domain test2.de (später im Produktivnetz dann auch noch DB, Terminal, ect)

 

Wie ich vorgegangen bin:

1. 2ten DC(-test2) im 101er installiert

2. Verbindung von DC zu DC-Test2 und andersherum per pings getestet

3. Dem DC-Test2 den DNS Server DC (100.2) gegeben

4. AD per Servermanger installiert

5. DC-Test2 hochgestuft... add to existing forest.. tree Domain Test1.de und test2.de eingeben. Anmelden mit Test1\Administrator.............

6. 1. Blick nach dem Neustart alles i.o. Domain erstellt. AD-Tools sind alle da. AD-Vertrauensstellung sieht gut aus.

7. Spaßeshalber dem Administrator aus Test1 RDP-Rechte auf DC-Test2 gegeben. Anmeldung i.o.

8. Wieder als Test2\Administrator rein und, weil ichs mal bei Frankys gelernte hab, Exchange-Admin angelegt.

9. Hier mein erstes Problem. Der Exchange-Admin muss natürlich die benötigten Rechte haben. Also Domänen-Admins -> i.o, Organisations-Admin-> Fehler: Name nicht gefunden?! Schema-Admins das selbe. weder im Suchpfad Test2 noch Test1?! Exchange-Admin von Test1 geprüft. Gruppen sind da....

10. Das Setup vom Exchange hat dann auch nicht funktioniert weder mit den beiden Exchange-Admins noch mit den beiden Administratoren. (war mir vorher schon klar aber die Hoffnung stirbt zuletzt)

10.1 Problem beim Überprüfen des Status von Active Directory: Es wurden keine Exchange-Objekte auf Organisationsebene erstellt. Diese Objekte können nicht während der Installation erstellt werden, weil sich der lokale Computer                nicht in derselben Domäne und nicht im selben Standort wie der Schemamaster befindet

10.2 Active Directory ist nicht vorhanden, oder es kann keine Verbindung damit hergestellt werden. -> der Server selber ist aber in der Domäne Test2.de

11. Nochmal die Kommunikation zwischen den beiden DC's auf Netzwerkebene geprüft... ping, tracert etc. alles i.o. Routing funktioniert.

12. Ereignissanzeige auf dem DC-Test2:

             1. Fehler: Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. ...... (wieso "" muss da nicht DC.test1.de stehen?)

             2. Fehler: Der DNS-Dienst wurde mit weniger Rechten gestartet, da KDC zurzeit nicht verfügbar ist. 

             3. Fehler: Der DNS-Server konnte keine integrierte Verzeichnispartition "DomainDnsZones.test2.de"erstellen. Fehler: 9906.

             4. Fehler: Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten                                         "00002199: SvcErr: DSID-03201641, problem 5002 (UNAVAILABLE), data 8585". Die Ereignisdaten enthalten den Fehlercode

13. ABER Im DNS Manger für Test2.de sieht alles i.o. aus. Namen werden aufgelöst.

14 Verzeichnispartition ist da... zumindest ist das die Meldung wenn ich eine neue erstellen will.

15. Im AD Verwaltungscenter bei beiden DC's jeweil die andere Domain hinzugefügt und Testbenutzer erstellt. Replezierung funktioniert in beide Richtungen.

16. Auf Grund des Fehlers 10.1 -> netdom query fsmo Schema-Master und Domänenname-Master = DC.test1.de -> Ist das schon der Fehler? Wenn ja was ist wenn ich diese auf den DC-test2 verschieben? läuft danach noch alles im Test1 Netzwerk? Würde das auch wenn es nur ein Testnetzwerk ist nur ungerne machen ohne sicher zu sein. Weil der Exchange im Test1.de als "Vorlage" für einiges dient. müsste also alles dokumentieren damit meine Kollegen sich an dieser Doku orientieren und nicht mehr an dem Exchange.

Eigentlich soll ja das Ziel der Tree-Domain sein das AUCH unterschiedliche Exchangeversionen miteinander bzw. unabhänig laufen können weil diese ja garnicht miteinander kommunizieren sollen. Zumal ich ja sowieso keinen älteren Exchange installieren möchte sondern nur einen 2019er.

 

Es fehlt mir ein wenig der Ansatz was das Ursprungsproblem ist. Ist schlichtweg beim Heraufstufen was schief gelaufen? Gibt es nur Grundkonfigurationen die für eine Tree-Domain benötigt werden? 

 

Für jeden Ansatz bin ich dankbar weil der Kunde natürlich die Installation schon gerne vorgestern gehabt hätte. Und bitte nicht die Aussage: "Einen Dienstleister anrufen" treffen. Ich bin der Dienstleister. Und wenn immer nur die DL die es schon wissen Projekte umsetzten wird es irgendwann keine mehr geben die es könnten.

 

Gruß

LukiHoer

[NilsK 2.785]

Moin,

 

warum ein Tree? Das macht man eigentlich schon lang nicht mehr. Da es nur sehr wenige Gründe dafür gibt - welcher ist es hier?

 

Zudem wäre es nett, wenn du dein Problem deutlich benennst und es nicht in so einem langen Text versteckst.

 

Gruß, Nils

 

[LukiHoer 2]

Hallo NilsK,

 

Sowohl die Benutzer aus Test1 also auch die aus Test2 sollen auf der Test2 arbeiten. Test2 Benutzer aber nicht auf Test1. Und es sind unterschiedliche Domains.

Test2 ist ein Tochterunternehmen welches selbst geführt ist aber Test1 gehört. DAS kann sich aber auch schnell ändern, sodass die Test1 Benutzer nach verkauf kein Zugriff mehr auf Test2 haben dürfen.

Nach meiner Recherche ist/war die Tree/Methode da die "sauberste". Ist dem nicht so?

 

Problem Kurz und knapp: Der Exchange in Test2.de lässt sich nicht installieren.

[NilsK 2.785]

Moin,

 

vor 2 Minuten schrieb LukiHoer:

Nach meiner Recherche ist/war die Tree/Methode da die "sauberste". Ist dem nicht so?

kurz und knapp: Das ist nicht so. Du kannst zwei Domänen, die zu einem Tree gehören, nicht nachträglich trennen. Der Tree bringt dir keinen Vorteil. 

 

vor 2 Minuten schrieb LukiHoer:

Der Exchange in Test2.de lässt sich nicht installieren.

Das wird daran liegen, dass eine Multi-Domänen-Umgebung eben einiges an Besonderheiten mitbringt, mit denen man umgehen muss. Dazu gehört die Frage, welche Objekte sich in welcher der Domänen befindet. Auch DNS muss passend eingerichtet sein.

 

Eine solche Umgebung erschwert die Administration, bringt aber weder für die Sicherheit noch für den Betrieb Vorteile. Deshalb macht man das nicht (mehr).

 

[Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]
https://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/

 

Heute würde ich den Artikel noch wesentlich schärfer formulieren und deutlich sagen, dass ein Multi-Domänen-Konzept fast immer die falsche Wahl ist.

 

Gruß, Nils

 

[LukiHoer 2]

Okok... Tree böse. Welchen Lösungsweg würdest du empfehlen? 70 Benutzer aus Test1 auf Test2 anlegen scheint mir etwas umständlich. Es muss doch einen weg geben das Test 1 auch auf Test2 mit den vorhandenen Benutzer arbeiten kann.

 

Und dann noch eine Frager dazu: Wenn ich den vorhandenen Test2 wieder zurückstufe ist der dc-test2 der letzte innerhalb der Domäne oder darf die Domäne nicht gelöscht werden wenn ich die Test1 behalten will?

Sicherung wiederherstellen ist zwar möglich aber dann nehme ich meinen Kollegen erstmal das Test1 weg.... Die werden sich nicht freuen! ;)

[testperson 1.534]

Hi,

  

vor 45 Minuten schrieb LukiHoer:

Und bitte nicht die Aussage: "Einen Dienstleister anrufen" treffen. Ich bin der Dienstleister. Und wenn immer nur die DL die es schon wissen Projekte umsetzten wird es irgendwann keine mehr geben die es könnten.

 

man kann auch als Dienstleister einen Dienstleister beauftragen und ein solches Projekt im Rahmen eines Workshops umsetzen. Manchmal muss man / ein Chef da nur über den eigenen Schatten springen und dem Kunden ehrlich mitteilen, dass man in Bereich X (noch) kein eigenes Know-How hat. Da verdient man zwar (vermutlich) kein großes Geld bekommt aber Know-How. Das ist dann so ähnlich wie "Gib einem Hungernden einen Fisch und du ernährst ihn für einen Tag. Lehre einen Hungernden das Fischen und du ernährst ihn für sein Leben."

 

Gruß

Jan

vor 1 Minute schrieb LukiHoer:

Okok... Tree böse. Welchen Lösungsweg würdest du empfehlen? 70 Benutzer aus Test1 auf Test2 anlegen scheint mir etwas umständlich. Es muss doch einen weg geben das Test 1 auch auf Test2 mit den vorhandenen Benutzer arbeiten kann.

 

Ohne Details zu kennen, könntest du überlegen alles in der Gesamtstruktur "test1.de" zu betreiben und mit entsprechenden Berechtigungen soweit nötig (und möglich) zu trennen oder du stellst zwei getrennte Gesamtstrukturen "test1.de" und "test2.de" bereit und arbeitest mit einem Trust (und berechtigst entsprechend).

 

Hat halt beides Vor- und Nachteile und kommt halt drauf an. ;)

[LukiHoer 2]

vor 5 Minuten schrieb testperson:

man kann auch als Dienstleister einen Dienstleister beauftragen und ein solches Projekt im Rahmen eines Workshops umsetzen. Manchmal muss man / ein Chef da nur über den eigenen Schatten springen und dem Kunden ehrlich mitteilen, dass man in Bereich X (noch) kein eigenes Know-How hat. Da verdient man zwar (vermutlich) kein großes Geld bekommt aber Know-How. Das ist dann so ähnlich wie "Gib einem Hungernden einen Fisch und du ernährst ihn für einen Tag. Lehre einen Hungernden das Fischen und du ernährst ihn für sein Leben."

 

Gruß

Jan

Das stimmt. Der Chef würde dabei auch auf den Verdienst verzichten. Es gibt aber 2 Gründe das nicht zu tun. 1. Was man sich selbst beibringt vergisst man nie, außerdem lernt man dann Sache wie ich beispielweise heute, weil der DL das mit den Tree-Domains durchgezogen hätte. 2. Kommt dann immer die Frage beim Kunden auf: Wieso sollte ich dann nicht zu dem 2ten Dienstleister wechseln wenn er besser auf meine jetzige Situation passt.... Die Überlegen das der 1 Dl. alles andere vielleicht besser kann bzw. schon kennt kommt leider heute nicht mehr auf. Heute zählt gefühlt nur: Wer kann mir jetzt sofort am günstigsten helfen.

 

 

 

Weil die Gefahr besteht das sich das Unternehmen Test1 von dem Unternehmen Test2 trennt bzw. es verkauft fällt leider Ansatz 1 aus weil ein nachträgliches trennen viel Arbeit mit sich bringt für den Test1 uns nicht bezahlen wird und fraglich ist ob der Käufer das bezahlen möchte.

Hast du ein seriösen Link oder ein Tipp für mich im Bezug auf Trust Einrichtung. Wie schon erwähnt: Wenn man sich selbst etwas beibringt vergisst man es nie wieder! ;)

 

Und vielleicht nochmal: Kann ich Test2 zurückstufen ohne Test1 zu schreddern um meine Kollegen Test1 nur kurz weg zu nehmen.

 

Schonmal vielen Dank vorab für euer Wissen und Tipps!! @NilsK und @testperson

 

Gruß

LukiHoer

[NorbertFe 1.805]

vor 1 Minute schrieb LukiHoer:

Was man sich selbst beibringt vergisst man nie, außerdem lernt man dann Sache wie ich beispielweise heute, weil der DL das mit den Tree-Domains durchgezogen hätte.

Also um mal ein "Gegenbeispiel" zu nennen. Mal angenommen du hättest mich gefragt (VORHER), hätte ich dir genau dasselbe gesagt wie Nils dir oben geantwortet hat.

Dann hättest DU schon mal gelernt, dass man das einfach nicht macht und wenn man es macht hättest du gelernt, dass es komplexer ist als es aussieht. Niemand kann sich selbst alles beibringen und das ist im Normalfall zum Glück auch gar nicht notwendig.

vor 3 Minuten schrieb LukiHoer:

Hast du ein seriösen Link oder ein Tipp für mich im Bezug auf Trust Einrichtung. Wie schon erwähnt: Wenn man sich selbst etwas beibringt vergisst man es nie wieder! ;)

 

Naja wenn man sich selbst was beibringen will, geht man meist erstmal zu offiziellen Quelle und probt nicht am lebenden Objekt. Zwei ADs zu betreiben ist auch nicht ganz ohne. Und den Grund dafür hast du bisher noch nicht genannt (oder ich habs nicht gesehen).

https://learn.microsoft.com/en-us/azure/active-directory-domain-services/concepts-forest-trust

 

vor 5 Minuten schrieb LukiHoer:

Und vielleicht nochmal: Kann ich Test2 zurückstufen ohne Test1 zu schreddern um meine Kollegen Test1 nur kurz weg zu nehmen.

 

 

"Normalerweise" ja. Aber willst du es selbst lernen? ;)

 

[LukiHoer 2]

vor 1 Minute schrieb NorbertFe:

Also um mal ein "Gegenbeispiel" zu nennen. Mal angenommen du hättest mich gefragt (VORHER), hätte ich dir genau dasselbe gesagt wie Nils dir oben geantwortet hat.

Dann hättest DU schon mal gelernt, dass man das einfach nicht macht und wenn man es macht hättest du gelernt, dass es komplexer ist als es aussieht. Niemand kann sich selbst alles beibringen und das ist im Normalfall zum Glück auch gar nicht notwendig.

Das wäre eine schöne Welt in der sich die Dl untereinander so helfen wie du mir vorschlägst. Leider haben wir schon den Fall gehabt das vorneherum die Projekt wie geplant mit Hilfe durchgeführt wurde und hintenherum die Kunde gesagt bekommen hat das es eine bessere Lösung gibt um 2 Mal zu kassieren.

Aber dafür gibt es ja diese Foren in denen sich die Dl oder internen sich gegenseitig helfen ohne einen wirtschaftlichen Hintergrund.

 

vor 6 Minuten schrieb NorbertFe:

Zwei ADs zu betreiben ist auch nicht ganz ohne. Und den Grund dafür hast du bisher noch nicht genannt (oder ich habs nicht gesehen).

Damit es etwas durchsichtiger wird. Test1 Unternehmen kauf ein Gebäude und macht ein Hotel daraus welches durch einer der großen Hotelketten vermarktet wird. Also Testunternehmen baut das Hotel auf, sucht sich ein Partner (Hilton oder so), kümmert sich um Angestellt, Arbeite aber auch selber als Angestellt im Hotel, betriebt das Hotel einige Zeit und verkauft es dann nach einiger Zeit mit Gewinn. Ähnelt also einer umgedrehten Franchise Kette... Ein bessere Beispiel finde ich nicht xD

 

vor 12 Minuten schrieb NorbertFe:

Naja wenn man sich selbst was beibringen will, geht man meist erstmal zu offiziellen Quelle und probt nicht am lebenden Objekt.

Ich Probe ja nicht am leben Objekt habe ja ein Testsystem. Danke für den Link ich schaue mal weiter ob ich ein Einrichtungsbespiel finde und teste es dann mal!

 

vor 13 Minuten schrieb NorbertFe:

"Normalerweise" ja. Aber willst du es selbst lernen? ;)

Ich würde es gerne lernen ohne das mir meine Kollegen den Hals umdrehen! ;) für Tipps bin ich dankbar!

 

Natürlich bin ich auch für dein Wissen dankbar @NorbertFe!!

[NorbertFe 1.805]

vor 1 Minute schrieb LukiHoer:

Damit es etwas durchsichtiger wird. Test1 Unternehmen kauf ein Gebäude und macht ein Hotel daraus welches durch einer der großen Hotelketten vermarktet wird. Also Testunternehmen baut das Hotel auf, sucht sich ein Partner (Hilton oder so), kümmert sich um Angestellt, Arbeite aber auch selber als Angestellt im Hotel, betriebt das Hotel einige Zeit und verkauft es dann nach einiger Zeit mit Gewinn. Ähnelt also einer umgedrehten Franchise Kette... Ein bessere Beispiel finde ich nicht xD

Und wozu brauchst du an der Stelle jetzt einen Trust?

[LukiHoer 2]

vor 2 Minuten schrieb NorbertFe:

Und wozu brauchst du an der Stelle jetzt einen Trust?

Testunternehmen 2 läuft unter dem Namen der Hotelkette nicht unter dem Namen von Testunternehmen 1... daher die Unterschiedlichen Domänen.

Die Mitarbeiter von Testunternehmen 1 arbeiten aber bei Testunternehmen 2. Das wiederhotl sich bei jedem Hotel was Testunternehmen 1 kauft. Und ich/wir wollen uns das Anlegen der Benutzer (in dem Fall 70) bei jedem neuen ersparen.

 

Also um noch etwas konkreter zu werden. Die Server gehören TU2 aber gearbeitet (auf dem Terminal) wird von TU1.... zu mindestens bis zum Verkauf.

[NorbertFe 1.805]

Ich persönlich würde bei der Perspektive eher 70 neue Userkonten anlegen, anstatt mir den Stress mit Trust oder Multidomain an die Backe zu binden. Dann ist der Verkauf auch schneller erledigt als bei allem anderen. Aber das ist nur meine Meinung.

[LukiHoer 2]

Das ist ne Aussage mit der ich arbeiten kann! Vielen Dank! Dann konfrontiere ich meine Chef mal damit.

Hätte nicht gedacht das die M´möglichen Microsoftlösungen Komplizierter/Zeitaufwändiger ist als das manuelle anlegen von Benutzern ist.

 

Wie gesagt Vielen Dank!

 

 

ps. Ist denn der DC-Test2 jetzt der letzte Domaincontroller in der Domain Test2.de oder verabschiedet sich Test1 dann auch? ;)

[NilsK 2.785]

Moin,

 

wenn das Hotel verkauft wird und eine eigene IT-Umgebung braucht, dann baut man für dieses Hotel eine eigene (separate) IT-Umgebung auf, die dann mit verkauft wird. In dem Fall könnt ihr sogar Dinge automatisieren und habt ein Konzept, das ihr dem Broker-Unternehmen als maßgeschneiderte Dienstleistung verkaufen könnt, die dann bei jedem neuen Hotel angewendet wird. 

 

Siehste, hier kriegst du sogar Business Consulting kostenlos dazu. Sag noch einer was über böse Dienstleister.

 

Gruß, Nils

 

 

[LukiHoer 2]

vor 3 Minuten schrieb NilsK:

wenn das Hotel verkauft wird und eine eigene IT-Umgebung braucht, dann baut man für dieses Hotel eine eigene (separate) IT-Umgebung auf, die dann mit verkauft wird. In dem Fall könnt ihr sogar Dinge automatisieren und habt ein Konzept, das ihr dem Broker-Unternehmen als maßgeschneiderte Dienstleistung verkaufen könnt, die dann bei jedem neuen Hotel angewendet wird. 

Das haben wir bisher schon so gemacht. Es geht dabei nur um eine Arbeitserleichterung für uns hinsichtig der Benutzer. Die immer wieder eingerichtet werden müssen.

Blaupausen für die eigenständigen Domänen und Serveranlegen gibt es schon. Und ich weiß jetzt das mein Ansatz sowieso vollkommen falsch war weil eine nachträgliche Trennung nicht möglich gewesen wäre.

Der Kunde weiß von unserer Idee nichts... wir hätte es Ihm erst präsentiert wenn es eine sichere und saubere Lösung mit Ersparnissen hin sichtig der Einrichtung gewesen wäre.

 

vor 7 Minuten schrieb NilsK:

Siehste, hier kriegst du sogar Business Consulting kostenlos dazu. Sag noch einer was über böse Dienstleister.

Ich habe nicht gesagt das alle Böse sind... damit hätte ich mich ja mit einbezogen. Wobei ja oft nicht der Dienst leistende sondern der Nutznießer der Böse wäre/ist.

 

Vielen Dank euch allen!