Data1701 10 Geschrieben 7. Januar 2005 Melden Teilen Geschrieben 7. Januar 2005 Hallo zusammen, ich habe mal eine Frage. Vielleicht bin ja einfach nur zu d**f, oder mir will man Quatsch erzählen. Von einem Dienstleister sollen 500 Computer für uns vorinstalliert werden, incl. in die Domäne nehmen. Der Dienstlesiter behauptet er bräuchte nur einen DC von uns und alles wäre schön. Das Problem an der Sache ist: a. Der abgtrennte DC hat keine Verbindung zu unserem Netz b. Die PCs kommen zurück, bevor der DC die Möglichkeit der Replikation hatte. Also nicht alle 500 auf einmal, sondern schön kleckerweise. :mad: Wie soll das gehen. Selbst wenn ich leere Computerkonten erstelle, bevor ich den DC vom Netz trenne, und diese vom abgtrennten DC dann vergeben werden, so haben die Clients keine Chance in der Produktiv-AD-Umgebung zu agieren bevor der abgtrennte DC sich nicht einmal repliziert hat. Ganz abgesehen mal von der Sache das ich den DC innerhalb von 60 Tagen wiederhaben muss. Gibt es ein System welches mir nicht bekannt :suspect: ?? Wie soll das gehen ?? Also clonen, sysprep mit PC-Namensliste abarbeiten ist ja alles kein Problem aber in die Domäne nehmen, wenn der DC keinen Kontakt zu seiner AD hat ?? Bin mal gespannt auf Eure Antworten. Gruß Data Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 7. Januar 2005 Autor Melden Teilen Geschrieben 7. Januar 2005 Huhu, wo seit Ihr ? :D - Hat keiner ne Idee ? Gruß Data Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Januar 2005 Melden Teilen Geschrieben 7. Januar 2005 Rein theoretisch geht das, am besten wenn dieser DC auch noch GC ist. Allerdings teile ich deine Bedenken bzgl. den Clients, die ins Netz kommen sollen, bevor der DC wieder repliziert hat. Die werden nur eine Fehlermeldung bringen ("Keine Vertrauensstellung zwischen Domäne und Client ..."). Also ohne sie zurückzubringen, würde ich sagen ja. Aaaallerdings: der DC müsste auch noch die Rolle des RID-Masters mitnehmen, sonst ist nach max. 50 Computern Sabbat :wink2: Kommst du so lange ohne RID-Master im Netz aus? :suspect: BTW die 60 Tage könnte man ja hochsetzen. Resümee: Theoretisch durchführbar, in der gegebenen Weise aus meiner Sicht: Nein grizzly999 Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 7. Januar 2005 Melden Teilen Geschrieben 7. Januar 2005 Wird viel erzaehlt heutzutage.... war letzlich in einem helpdesk, in dem Recner mit Schwierigkeiten geklont wurden, SID-Changer drueber, in die Domäe und gut......... nach 4 Wochen waren die dann wieder platt und wurden neu geklont ;-) Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 7. Januar 2005 Autor Melden Teilen Geschrieben 7. Januar 2005 Erstmal Danke. Und jetzt zum Thema: grizzly999: sonst ist nach max. 50 Computern Sabbat Auch wenn Du die Computerkonten vorher erstellst ? Sehe ich nicht so. Die SIDs für die Computer müssen doch schon mal vorher reserviert werden. Bitte berichtigt mich. :D Ich nehme provokativ die Position meines Gegenparts ein :D grizzly999:Aaaallerdings: der DC müsste auch noch die Rolle des RID-Masters mitnehmen Mit Sicherheit :( , ich habe dann nur noch die Möglichkeit 50 Rechner in der Zeit in Domäne zu nehemen. SUUUUUPER IDEE . Aber waren es nicht 512 SIDs ?? Singt der Wert unter 100 dann gibt es den nächsten Schwung ?! Jim di Griz:war letzlich in einem helpdesk Nur mal so, HP ? FUSI ? DELL ? PN reicht mir ;) Ich stimme Euch voll und ganz zu. Ich habe mir nicht umsonst etliche Bücher in den Kopf geklopft, um hinterher als Id**t darzustehen. Ich kenne (bzw. WIR - Ich bin nicht der einzige Admin) schon viel Tricks, aber das was der Distri sich vorstellt kann nicht funktionieren. So sehe ich das auf jeden Fall. Mehr Anregungen würden mich trotzdem intressieren. Gruß Data Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. Januar 2005 Melden Teilen Geschrieben 7. Januar 2005 Hi Data, Die SIDs, wie (fast) alle anderen Attribute, würde man mit einem guten AD-Backupprogramm (z.B. Active Recovery Manager von Quest/ Aelita) offline ja noch von einem DC auf einen anderen bekommen, mittels ntbackup-File. Gänzlich scheitern wird das ganze aber an den verschiedenen Passwörtern der Computeraccounts in der Domäne und der Maschine. Das lässt sich meines Wissens nicht synchronisieren, ausser durch rejoinen des Computers. (vgl. kb216393 Resetting a computer account breaks that computer's connection to the domain and requires it to rejoin the domain. NOTE: This will prevent an established computer from connecting to the domain and should only be used for a computer that has just been rebuilt --- heisst, wenn die connection gebrochen ist, hilft nur der rejoin) Auch der RID-Pool liesse sich noch hochsetzen, bringt aber auch nichts cu blub grad so wo ichs nochmal lese - dann gehts ja doch. Computeraccounts im Backupfile mitliefern, Restore der Accounts (das geht von einem Notebook aus) und Computer (automatisiert) rejoinen und müsste rennen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2005 Melden Teilen Geschrieben 8. Januar 2005 Auch wenn Du die Computerkonten vorher erstellst ? Sehe ich nicht so. Die SIDs für die Computer müssen doch schon mal vorher reserviert werden.Bitte berichtigt mich. Wenn man die Konten vorher erstellt, dann natürlich nicht. Ich dachte, das soll alles dort geschehen. Aber dennoch, das Thema mit der unbekannten Domänenmitgliedschaft bleibt. grizzly999 Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 8. Januar 2005 Autor Melden Teilen Geschrieben 8. Januar 2005 blub schrieb:Die SIDs, wie (fast) alle anderen Attribute, würde man mit einem guten AD-Backupprogramm (z.B. Active Recovery Manager von Quest/ Aelita) offline ja noch von einem DC auf einen anderen bekommen, mittels ntbackup-File. Das müsste ich aber bei jeder Lieferung von Notebooks machen. Wenn Die ersten 50 NBs kommen, dann vorher ersteinmal die SIDs reinspielen und bei der nächsten Lieferung wieder. Nicht gerade praktikabel, oder ? Ich berichte am Montag, dann habe ich den Termin mit dem Distri und schreibe Euch was der vorgeschlagen hat. Gruß Data Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2005 Melden Teilen Geschrieben 8. Januar 2005 Also ich würde dieses Vorgehen nicht mitmachen. Wäre in meinen Augen alles Gepfrimel und Gemurkse. Wie wäre es mit einem VPN? grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 8. Januar 2005 Melden Teilen Geschrieben 8. Januar 2005 Mir war doch noch was, dass man die zu replizierenden Daten seit W2K3 nicht zwingend über Netz replizieren muss, sondern über externe n Datenquellen wie CD/DVD..... Suche zwar wie Sieben, finde aber nichts. :( Hab's wieder gefunden: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbl_dfr_txor.asp Ist aber auch nicht gerade sahnemäsig, da du dann zwei Controller verwenden musst, und der eine wiederholt hoch-, und heruntergestuft werden muss. VPN wär wohl sinnvoller! Gruss Velius P.S.: Zwei virtuelle DC's könnten auch helfen....einfach die Files des virtuellen DC's austauschen! Ist aber schon merkwürdig die Vorgehensweise vom Distri :nene: Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 8. Januar 2005 Autor Melden Teilen Geschrieben 8. Januar 2005 VPN habe ich auch mal vorgeschlagen, doch will ich das ?? Irgendwie nicht. Klar das wäre die Lösung, nur ist mir so oder so bei der Sache nicht wohl zumute. Egal ob ein DC dort steht oder ich ein ganzes Netzt dort habe. Wir haben eine Infrastruktur für das clonen von PCs via Ghostcast mit PXE, also wäre das kein Problem die NBs bei uns zu betanken. Das muss irgendwie andere Gründe haben, warum das ein Distri machen soll. Das ganze wurde ja von unserer Konzernmutter iniziert. Schauen wir mal. Danke für Eure Anregungen. Ihr habt mich in meinen Annahmen bestätigt. Gruß Data Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Januar 2005 Melden Teilen Geschrieben 8. Januar 2005 Hi Data, Das Überspielen der Computerkonten ginge mit dem genannten Backupprogramm ganz einfach z.B. von einem mitgebrachten XP-Notebook. Allerdings würde bei uns die Revision Purzelbäume schlagen, wenn wir einen DC mit allen Konteninformationen und Passwörtern ausser Haus geben würden ... von daher alles andere als ein schöner Weg. cu blub Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 8. Januar 2005 Autor Melden Teilen Geschrieben 8. Januar 2005 Der Weg wäre begehbar, nur meine ich, dass ich nichts dadurch gewinne. Mit der Innenrevision ist ürigens ein guter Ratschlag. Gruß Data Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 11. Januar 2005 Melden Teilen Geschrieben 11. Januar 2005 Also bei ca. 500 Rechnern wo -wenn ich das richtig verstanden habe die HW relativ gleich ist- sollte man sich überlegen, ob man das ganze nicht mit RIS machen will. Da braucht man nur DHCP und einen RIS Server. Der Dienstleister macht dann die Images und man kann vor Ort. die Notebooks übers Netz installieren. Ist IMHO die sauberste Sache (auch gegenüber der Revision ein Argument). Der Vorteil bei RIS ist auch, daß wenn Du dann mal einen Rechner neuinstallieren willst, das ganze ca 15-30 Minuten dauert. EDIT: Sorry, hab irgendwie überlesen, daß Du die Infrastruktur fürs klonen bereist hast, und das Problem bei dir politisch ist. :-( Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 11. Januar 2005 Autor Melden Teilen Geschrieben 11. Januar 2005 Null Problemo, RIS hat halt nur den Nachteil, dass die Systempartition auf C: liegen muss. Wir machen das mit Ghost Multicast. Die neuste Version unterstützt nun auch PXE-Boot. War aber alles halb so dramatisch. Manches wird halt einfach überbewertet. Der Distri, soviel ist klar, kann nicht zaubern. Unsere Mutter hat halt nur das Problem, dass Sie ein Kontingent an Installationen geordert hatte, diese aber nicht mit eigenen NBs abdecken konnte. Da mussten wir jetzt sozusagen die Feurwehr spielen, sonst wäre das Geld weg gewesen. Der Distributor macht auch nur: Clonen, Sysprep, Computernamen vergeben, einmal schauen ob alles läuft und dann ab dafür. Den Rest, also in Domäne nehmen und Userconfig per NetInstall, läuft bei uns vollautomatisch. Leider haben wir erfahren, dass unsere Mutter sich nicht in unser AD mit hängen will . Na was solls. Wird dann halt über Vertrauensstellungen abgefrühstückt. Sollen die mal Ihre Erfahrungen machen, die wir bereits machen mussten. Wenn uns keiner fragt. :D Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.