Jump to content
Sign in to follow this  
gysinma1

Abkoppeln eines Child DC von einem Root DC

Recommended Posts

Hallo Leute

 

Ich steck in der ******. Ich sollte eine Idee haben, wie wir den Child-DC von dem Root-DC abtrennen können, da unser Betrieb verkauft wurde.

 

Der Child DC wird weiterbetrieben mit allen Sachen die sich drin befinden.

 

 

Es ist mir klar, dass er dazu einige Dinge von dem Root DC, der auch weiterlaufen wird, bekommen muss.

 

 

Weiss da jmd ein gutes Whitepaper dazu. Ich muss morgen eine Spur präsentieren, wo und wie wir langlaufen.

 

 

Danke vielmals für spontane Links ... unter VaterGoogle hab' ich noch nix gefunden ...(suche nach dem NAchtessen weiter)...

 

 

Gruss und habt Dank

 

 

MAtthias

Share this post


Link to post

Vergiss es!

Ohne die Stammdomäne der Gesamtstruktur hast du ein halblebiges AD. Keine Schema-Admins, keine Organisations-Admins, keine weiteren Vertrauensstellungen zur Stammdomäne der Struktur.

 

Dann lieber nebenher neu aufsetzen und migrieren.

 

 

grizzly999

Share this post


Link to post

Migration ist das Zauberwort. Neue Domäne erstellen und Objekte rein migrieren!! 'mal die Boardsuche in Angriff nehemen oder posten :D

 

Ist aber lösbar, dein Problem!! ;)

Share this post


Link to post

Ciao Velius

 

JA richtig diese Domain wird abgekoppelt und alles was drin ist kommt in eine neue NT-4.0 Domain ... aber step-by-step.

 

Die crux ist, dass die Abtrennung VOR der Migration erfolgen muss.

 

Ich hab mal was von einem Tool namens Treemove gehört ...

 

 

@Grizzli999

Die Vertrauensstellungen brauche ich auch nicht mehr. Ich sollte nur noch innerhalb des Child PW zurücksetzen, Resourcen Joinen und Dejoinen können. Zudem dies fix für nur 6 Kwochen. (Länger darf dieses Konstrukt aus IT-Richtlinien ohnehin nit bestehen).

 

 

Gruss,

 

Matthias

Share this post


Link to post

Whoa, holla. Ich galube, ich habe dich zu früh gefreut (cooler Satz oder??).

 

Nein im ernst, bezweifle enrsthaft, ob das von 2000/2003 Domain in eine NT 4.0 geht....

 

Höchsten mit irgendwelchen Scripts, wenn überhaupt, und dazu noch die Abtrennung davor.....

Schwer an der Grenze des unmöglichen. 'Mal mit der GL sprechen!!

Share this post


Link to post

@Velius

JA :-) in Bezug auf NT4.0 hast Du sicher Recht. Nur diese Organisation umfasst über 100'000 Mitarbeiter in über 100 Länder und die wollen und werden nicht auf AD migrieren. Brrr.

 

 

Ich persönlich bin auch eher skeptisch ... dass dieses Wurstelkonstrukt laufen soll ... aber ich muss eine Lösung suchen und finden :-(

 

 

Gruss,

 

 

Matthias

Share this post


Link to post

Also für mich sind das Jahr 2004, am Ende des Jahre auslaufender Support für NT 4.0, eine bei 100'000 Benutzern mehr als bedenkliche SAM grösse, usw. ein sowas von trifftiger Grund auf Active Directory zu wechseln, dass kannst du dir nicht vorstellen. Aber zurück zu Lösung, doch nur Welche..... :cry::confused: :shock: :eek: :cry:

Share this post


Link to post

Hallo Leutz

 

 

Wir haben einen Weg gefunden, zwar ne "Cowboymethode" aber sie funzt ...

 

Der Child-DC wird nie mehr in seinem weiteren Leben mit dem RootForest einen Kontakt haben.

 

 

Wir haben nun einige Tests gemacht, indem wir einen Forest aufbauten mit einem Child-DC. Zu dem ChildDC haben wir einen weiteren Domaincontroller als additional Child-DC promoviert.

 

Nun haben wir den RootDC und den 1. Child DC runtergefahren und mittel ntdsutil (KB255504 etc) die Roles übertragen. Bis auf den Infra Master ging das auch auf Anhieb.

 

 

Nun werden wir morgen dies noch angehen und am Schluss wenn alles übertragen ist, einen zusätzlichen neuen DC aufsetzen (ich betreib prinzipiell nit eine Domain mit nur einem DC). Danach testen wir Logonverhalten von W2K und NT Clients (PDC Emulator).

 

 

So für heut reicht mir die Testerei ..... Hurra Feierabend auf der Zielgerade :cool:

 

 

Gruss,

 

Matthias

Share this post


Link to post

Hallo Velius

 

.... Richtig, nur die Reihenfolge ist, dass er zuerst physisch abgekoppelt sein muss, sonst gibst nen SID-SALAT.

 

Ich habe einige Test gemacht auch die Reihenfolge der FSMO Ubertragungen ist sehr wichtig (Wir haben bei einem Test den RID Master nicht zuerst gemacht .. des gibt Probls).

 

1. RID Master

2. Schema

3. PDC

4. Domain Naming Master

5. Infrastructur Master

 

Natürlich muss auf dem künftigen DC DNS und (bei uns halt noch WINS installiert sein).

 

 

Gruss,

 

Matthias

Share this post


Link to post
Original geschrieben von gysinma1

 

.... Richtig, nur die Reihenfolge ist, dass er zuerst physisch abgekoppelt sein muss, sonst gibst nen SID-SALAT.

 

Schon klar! ;)

Share this post


Link to post

Hallo Zusammen

 

sooodele jetzt habenwrs ....

 

 

Es können alle FSMO Roles AUSSER Schemamaster und Domain Name Master übertragen werden, denn diese hängen an dem Forest und auf dort haben wir keine Recht mehr und werden auch keine Rechte bekommen.

 

Für unsere Zwecke reicht das aus, denn Schemaerweiterungen sind keine geplant und die Domain umfasst noch 90 Döchte die innert sechs Wochen wegeschrumpft werden. Also auch keine neuen Domains im Forest.

 

Sehr kritisch ist, dass der DNS sauber läuft, sonst gibts nen AD-Salat ....

 

Gruss,

 

Matthias

Share this post


Link to post

Hallo Zusammen

 

Da diese Methode medium bis high-Risk ist und die Umgebung validiert, es keine Langzeittest gibt und es Sicherheitstechnisch äussert verwegen ist,

ist

ist

ist

 

 

 

ist die Idee zu Grabe getragen worden. Die Verbindung zum Forest bleibt länger bestehen und es wird eine neue Domain hochgezogen und das Zöigs hineinmigriert.

 

 

Tja und wenn mich der Boss fragt, woher meine vielen Stunden sind ....

 

 

Gruss,

 

MAtthias

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...