gardsen 10 Geschrieben 23. April 2008 Melden Geschrieben 23. April 2008 Hallo Fangemeinde, Als erstes: Ja ich hab gesucht, allerdings leider nichts Passendes gefunden, wahrscheinlich bin ich noch zu neu in dem Gewerbe, ich bitte das zu verzeihen. Folgendes Szenario: In einem VPN stehen die verschiedensten Server, die zu einem großen Dienst zusammengefasst sind. Was das ist, tut erstmal nichts zur Sache, wichtig ist das VPN. In diesem VPN gibt es eine zentrale Stelle für die Userverwaltung, das ist unser DC. Wir wollen jetzt einen eigenständigen DC in unserer "Abteilung" aufbauen, der sich nur die Usertables / Benutzertables / Benutzerdatenbanken von dem "Userverwaltungs-DC" auf unseren lokalen DC repliziert. Ist das so überhaupt möglich? Aufgrund verschiedener Gegebenheiten ist es leider _nicht_ möglich, den "neuen" DC in die Gesamtstruktur des Dienstes zu integrieren, da wir ggf. Änderungen vornehmen müssen (worst-case-scenario) die reversibel sein müssen, was ja bei einem voll-konfigurierten SubDC bzw. voll-integriertem SubDC nicht so ohne Weiteres möglich ist. Hoffe ich hab mich klar genug und einfach genug ausgedrückt. Viele Grüße, Gardsen Zitieren
Daim 12 Geschrieben 23. April 2008 Melden Geschrieben 23. April 2008 Moin, Wir wollen jetzt einen eigenständigen DC in unserer "Abteilung" aufbauen, der sich nur die Usertables / Benutzertables / Benutzerdatenbanken von dem "Userverwaltungs-DC" auf unseren lokalen DC repliziert. Ist das so überhaupt möglich? du möchtest in eurer Abteilung einen einzelnen DC, quasi in einer neuen Struktur/Domäne aufstellen und dieser soll sich nur die Benutzerinformationen von der bestehenden Domäne ziehen? Falls ich richtig liege lautet die Antwort: Negativ. Das ist so nicht möglich. Aufgrund verschiedener Gegebenheiten ist es leider _nicht_ möglich, den "neuen" DC in die Gesamtstruktur des Dienstes zu integrieren, da wir ggf. Änderungen vornehmen müssen (worst-case-scenario) die reversibel sein müssen, was ja bei einem voll-konfigurierten SubDC bzw. voll-integriertem SubDC nicht so ohne Weiteres möglich ist. Testet ihr in eurer Gesamtstruktur einiges aus? Falls ja, dann sollte das natürlich in einer entsprechenden Testumgebung durchgeführt werden und nicht in der produktiven Umgebung. Wenn du nun sagst; "Ich benötige aber die produktive Umgebung", dann ziehe dir einen DC in eine VM und schotte diese VM von der produktiven Umgebung ab. Dann kannst du mit der VM testen. Natürlich sollte die VM auch sicher aufbewahrt werden, denn dieser hält z.B. alle Kennwörter der Umgebung. Was möchtest du denn erreichen? Zitieren
gardsen 10 Geschrieben 23. April 2008 Autor Melden Geschrieben 23. April 2008 Moin, du möchtest in eurer Abteilung einen einzelnen DC, quasi in einer neuen Struktur/Domäne aufstellen und dieser soll sich nur die Benutzerinformationen von der bestehenden Domäne ziehen? Falls ich richtig liege lautet die Antwort: Negativ. Das ist so nicht möglich. Ja. Derzeit ist es so, dass wir jedes Jahr neue Azubis bekommen und das sind ne ganze Menge. Diese werden wie gesagt, so oder so komplett im Verwaltungs-DC eingepflegt, welcher mit dem Rest auch verbunden ist, und ebendiese Daten bräuchte ich dann. Den Rest nicht, also nur die Verschiedenen Container und OUs. Gibt es eine Möglichkeit sowas Scripttechnisch zu umgehen, sprich mir ein eigenes VB-Script dafür zu entwerfen, oder lassen sich prinzipiell die Userdaten nicht so ohne weiteres Einzeln auslesen? Testet ihr in eurer Gesamtstruktur einiges aus? Falls ja, dann sollte das natürlich in einer entsprechenden Testumgebung durchgeführt werden und nicht in der produktiven Umgebung. Wenn du nun sagst; "Ich benötige aber die produktive Umgebung", dann ziehe dir einen DC in eine VM und schotte diese VM von der produktiven Umgebung ab. Dann kannst du mit der VM testen. Natürlich sollte die VM auch sicher aufbewahrt werden, denn dieser hält z.B. alle Kennwörter der Umgebung. In der Gesamtstruktur nicht, da ist alles im Produktiveinsatz und bis auf weiteres "fertig". Es geht jetzt halt nur darum, dass für den "worst case" den ich schon erwähnt habe, nicht alles von dem anderen DC abhängig ist, sprich wir einen DC haben der halt autag läuft, auf dem man ggf. auch Exchange etc. betreiben könnte. (Diese Dienste z.B. sind "Ausgegliedert") Vieles wird auch in VMs betrieben, testweise dann sowieso. Was möchtest du denn erreichen? Es hat einfach nur ein wenig mit Usability zu tun und wir als Admins wollen uns natürlich das Leben ein wenig erleichtern. Jeder User hat mind. 5 Attribute, die alle von Hand eingepflegt werden müssten und auf dauer nervt das :) Wenn's aber keine andere Möglichkeit gibt, müssen wir das so weiter handhaben. Zitieren
Daim 12 Geschrieben 23. April 2008 Melden Geschrieben 23. April 2008 Gibt es eine Möglichkeit sowas Scripttechnisch zu umgehen, sprich mir ein eigenes VB-Script dafür zu entwerfen, oder lassen sich prinzipiell die Userdaten nicht so ohne weiteres Einzeln auslesen? Es liegt vielleicht am heutigen Mittwoch oder das es schon etwas später ist oder ich heute nicht ganz auf der Höhe bin... aber ich habe den Hintergrund immer noch nicht verstanden. Wie dem auch sei, du kannst z.B. mit CSVDE oder LDIFDE die Benutzer aus der einen Domäne exportieren und in einer neuen Domäne importieren. Das sind aber nicht die identischen Benutzerkonten. Es sind Benutzerkonten die den Ggleichen Namen sowie die gleichen Attribute besitzen (sofern es die standardattribute sind), aber die "neuen" Benutzerkonten bekommen in der neuen Domäne eine neue Objekt-GUID sowie Objekt-SID. Daher sind das dann "andere" Benutzerkonten. Skriptbasiert funktioniert das ganze natürlich auch. Es hat einfach nur ein wenig mit Usability zu tun und wir als Admins wollen uns natürlich das Leben ein wenig erleichtern. Jeder User hat mind. 5 Attribute, die alle von Hand eingepflegt werden müssten und auf dauer nervt das :) Ich habe zwar noch keinen Durchblick in diesem Szenario... aber LDIFDE wäre eine Möglichkeit. Zitieren
Stephan Betken 43 Geschrieben 23. April 2008 Melden Geschrieben 23. April 2008 Ja. Derzeit ist es so, dass wir jedes Jahr neue Azubis bekommen und das sind ne ganze Menge. Diese werden wie gesagt, so oder so komplett im Verwaltungs-DC eingepflegt, welcher mit dem Rest auch verbunden ist, und ebendiese Daten bräuchte ich dann. Den Rest nicht, also nur die Verschiedenen Container und OUs.Gibt es eine Möglichkeit sowas Scripttechnisch zu umgehen, sprich mir ein eigenes VB-Script dafür zu entwerfen, oder lassen sich prinzipiell die Userdaten nicht so ohne weiteres Einzeln auslesen? Na ja, Du könntest zumindest den Zugriff auf Deine OU delegieren und mit einer angepassten MMC arbeiten. Aber das hilft auch nur bei den Accounts und nicht bei den anderen Anforderungen. Nur so eine Idee. Zitieren
gardsen 10 Geschrieben 24. April 2008 Autor Melden Geschrieben 24. April 2008 Es liegt vielleicht am heutigen Mittwoch oder das es schon etwas später ist oder ich heute nicht ganz auf der Höhe bin... aber ich habe den Hintergrund immer noch nicht verstanden. Is doch schon fast wieder Wochenende :-) Wie dem auch sei, du kannst z.B. mit CSVDE oder LDIFDE die Benutzer aus der einen Domäne exportieren und in einer neuen Domäne importieren. Das sind aber nicht die identischen Benutzerkonten. Es sind Benutzerkonten die den Ggleichen Namen sowie die gleichen Attribute besitzen (sofern es die standardattribute sind), aber die "neuen" Benutzerkonten bekommen in der neuen Domäne eine neue Objekt-GUID sowie Objekt-SID. Daher sind das dann "andere" Benutzerkonten. Skriptbasiert funktioniert das ganze natürlich auch. Genau das möchte ich doch. Ob die ne andere GUID oder SID haben ist relativ Wurst, es geht ja nur darum, dass die Attribute vollständig importiert werden, also quasi eine reine Usernamen, Attribute etc. Replikation, genau das hab ich vor. Dass ich eigene GPOs schreiben muss, bleibt nicht aus, das ist aber soweit nicht schlimm, die sind soweit vorhanden. Ich werd das ganze mal auf ner VM durchtesten und dann mal eine Rückmeldung geben. Ich habe zwar noch keinen Durchblick in diesem Szenario... aber LDIFDE wäre eine Möglichkeit. Ich geb mal Rückmeldung obs geklappt hat... Hab ich mich denn eingangs so undeutlich ausgedrückt? ;) Zitieren
Daim 12 Geschrieben 24. April 2008 Melden Geschrieben 24. April 2008 Genau das möchte ich doch. Dann sollte dir dieser Artikel dabei helfen: Yusuf`s Directory - Blog - LDIFDE - LDAP Data Interchange Format Data Exchange Ich geb mal Rückmeldung obs geklappt hat... Mach das. Hab ich mich denn eingangs so undeutlich ausgedrückt? ;) Sagen wir es mal so, es war --> für mich <-- nicht klar. ;) Zitieren
gardsen 10 Geschrieben 28. April 2008 Autor Melden Geschrieben 28. April 2008 Also, wie es aussieht, reicht mein fundiertes Halbwissen dafür noch nicht aus. Ich hab mittlerweile rausbekommen, wie ich nur die reinen Usertables exportiere und in eine Datei schreibe. Beim Import allerdings funktioniert rein gar nichts, ich bekomme, egal ob kompletter Domänenexport oder nur Usertables den Fehler: "Eine Referenzauswertung wurde vom Server zurückgesendet" 0 Einträge wurden erfolgreich geändert. Was mache ich falsch? [Edit] So mal ein Auszug aus der Export.ldf (ein wenig abgeändert zwecks Datenschutz) dn: CN=User Table,CN=Users,DC=testchangetype: add accountExpires: 9223372036854775807 cn: User Table codePage: 0 countryCode: 0 description: user06 displayName: User Table distinguishedName: CN=User Table,CN=Users,DC=test dSCorePropagationData: 20080226092901.0Z dSCorePropagationData: 20080226092801.0Z dSCorePropagationData: 20080225075630.0Z dSCorePropagationData: 20080225075556.0Z dSCorePropagationData: 16010714223649.0Z givenName: User homeDirectory: \\testserver\user$\user.table homeDrive: Z: instanceType: 4 name: User Table objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=test objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user profilePath: \\testserver\profileuser$\user.table sAMAccountName: user.table sn: Table userAccountControl: 512 userPrincipalName: user.table@test uSNChanged: 54851 uSNCreated: 24855 whenChanged: 20060905054125.0Z whenCreated: 20060829083940.0Z Zitieren
Daim 12 Geschrieben 28. April 2008 Melden Geschrieben 28. April 2008 Kannst du auch schildern, wie genau du vorgegangen bist? Mit welchem Tool hast du den Export sowie Import durchgeführt? Bitte den Export- sowie Import-Befehl posten (mit veränderten Unternehmensdaten). Zitieren
gardsen 10 Geschrieben 28. April 2008 Autor Melden Geschrieben 28. April 2008 Ja klar, zunächst hab ich's ganz simpel gemacht ohne groß nachzudenken: "ldifde -f test.ldf" --> das exportiert aber die ganze Domäne, wollte ich nicht, daher kurz nachgelesen und auf das hier gekommen: ldifde -m -f Export.ldf -p subtree -r "(&(objectCategory=person)(objectClass =User))" So stands im Blog von Yusuf drin (der Link den du mir gepostet hattest). Soweit so gut. Import: ldifde -i -f z:\Export.ldfVerbindung mit "testdc.standort.test" wird hergestellt. Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "z:\Export.ldf" importiert. Die Einträge werden geladen.. Syntaxfehler in der Eingabedatei Zeile 3 fehlgeschlagen. Das letzte Token beginnt mit "a". 0 Einträge wurden erfolgreich geändert. Den Rest spar ich mir mal, da steht ja nur noch, Fehler und Protokollgeblubber. Wo liegt denn der Fehler? Kann der "Importeur" nicht mit den Daten umgehen? Zitieren
Daim 12 Geschrieben 28. April 2008 Melden Geschrieben 28. April 2008 Dann führe doch bitte den Export erneut - exakt so aus: LDIFDE -m -f Export.ldf -s <DC-Name> -d "dc=<Domäne>,dc=<TLD>" -p subtree -r "(&(objectCategory=person)(objectClass=User))" Anschließend führst du den Import so aus: LDIFDE -i -k -f Export.ldf -s <DC-Name> Bei der Importdatei muss natürlich der changeType auf "add" stehen. Die Änderung dieser Zeile kannst du in der Textdatei unter BEARBEITEN - ERSETZEN... durchführen. Zitieren
gardsen 10 Geschrieben 28. April 2008 Autor Melden Geschrieben 28. April 2008 Dann führe doch bitte den Export erneut - exakt so aus: LDIFDE -m -f Export.ldf -s <DC-Name> -d "dc=<Domäne>,dc=<TLD>" -p subtree -r "(&(objectCategory=person)(objectClass=User))" Auf die Gefahr hin, dass ich nervig werde, entschuldige ich mich schonmal... Der DC-Name steht für DomänenController, die Domäne ist auch klar, und die TLD lass ich weg, weils ja nur lokal ist. Anschließend führst du den Import so aus: LDIFDE -i -k -f Export.ldf -s <DC-Name> Bei der Importdatei muss natürlich der changeType auf "add" stehen. Die Änderung dieser Zeile kannst du in der Textdatei unter BEARBEITEN - ERSETZEN... durchführen. Soweit komm ich noch nicht mal. Ich hab jetzt so ziemlich alles probiert: Die -s - Funktion steht doch nur da, um den Server zu spezifizieren, wenn ich das weglasse, nimmt er (allem Anschein nach) localhost, was ja auch richtig ist. Wenn ich die Parameter " -d "dc=<Domäne>,dc=<TLD>" " lasse, tut sich nichts, er fragt etwas ab, sagt dann aber "Keine Einträge gefunden. Der Befehl wurde einwandfrei durchgeführt." So richtig verstehen tu ich das nicht, fehlt mir denn soviel Wissen dafür? Zitieren
Daim 12 Geschrieben 28. April 2008 Melden Geschrieben 28. April 2008 Der DC-Name steht für DomänenController, die Domäne ist auch klar, und die TLD lass ich weg, weils ja nur lokal ist. Das TLD steht für den FQDN des Domänennamen. In vielen Umgebungen lautet der DNS-Domänenname "intra.contoso.com". Dann würde der LDAP-Name so aussehen: "dc=intra,dc=contoso,dc=de". Lautet der DNS-Name der Domäne hingegen "domaene.local", so würde der LDAP-Name wie folgt aussehen: "dc=domaene,dc=local". Die -s - Funktion steht doch nur da, um den Server zu spezifizieren, wenn ich das weglasse, nimmt er (allem Anschein nach) localhost, was ja auch richtig ist. Ja, mit dem Schalter -s gibst du explizit den DC an, von dem aus der Export durchgeführt werden soll. Wenn du ihn weglässt, nimmt die Abfrage automatisch den DC, auf dem diese Abfrage (also Localhost) durchgeführt wird. Den Schalter gibt man z.B. dann an, wenn man explizit z.B. einen Export vom GC durchführen möchte, wobei eben nicht alle DCs gleichzeitig auch GCs sind. Wenn ich die Parameter " -d "dc=<Domäne>,dc=<TLD>" " lasse, tut sich nichts, er fragt etwas ab, sagt dann aber "Keine Einträge gefunden. Der Befehl wurde einwandfrei durchgeführt." Dann gibst du an dieser Stelle "dc=<Domäne>,dc=<TLD>" evtl. falsche Daten ein. So richtig verstehen tu ich das nicht, fehlt mir denn soviel Wissen dafür? Eigne dir mal ein paar LDAP-Grundlagen, z.B. mit diesem Artikel an: faq-o-matic.net » LDAP-Grundlagen für Active Directory Zitieren
gardsen 10 Geschrieben 5. Mai 2008 Autor Melden Geschrieben 5. Mai 2008 Ich bin mit meinem Latein definitiv am Ende. Ich hab mir diese Sachen mal durchgelesen und ich komme nicht auf den Fehler. Wenn ich exportiere klaptt alles wunderbar, mit angehängtem .txt die Datei lesbar gemacht und voilá - alle Userdaten / Tables richtig drin. Importieren wie folgt nach Anleitung: Peng. Verbindung mit "w08.test.abteilung.standort" wird hergestellt.Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "Export.ldf" importiert. Die Einträge werden geladen.. Fehler für Eintrag mit Beginn in Zeile 2: Weiterleitung Serverseitiger Fehler: 0x202b Eine Referenzauswertung wurde vom Server zurückges endet. Erweiterter Serverfehler: 0000202B: RefErr: DSID-03100768, data 0, 1 access points ref 1: 'test' Das ist der Fehler bei Funktion "add" (Standard bei LDIFDE wie's mir scheint). Möglichkeit 2.: Funktion "modify": Verbindung mit "w08.test.abteilung.standort" wird hergestellt.Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "Export.ldf" importiert. Die Einträge werden geladen.. Syntaxfehler in der Eingabedatei Fehler in Zeile 4. Das letzte Token beginnt mit "a". 0 Einträge wurden erfolgreich geändert. Fehler im Programm Importserver ist ein relativ frischer 2008er, sollte ja aber dank Abwärtskompatibilität trotzdem funktionieren. Auf dem 2003er waren's die gleichen Probleme, nur in Fall 1 nicht mit Fehlercode sonder nur Fehlerausgabe (Text). Wo liegt denn der Hund begraben? Läuft vielleicht schon der Export schief? Muss ich vorher alle Usergruppen auf dem Server anlegen? Zitieren
Daim 12 Geschrieben 5. Mai 2008 Melden Geschrieben 5. Mai 2008 Kannst du bitte genau schildern, wie du vorgegangen bist? Welchen Befehl hast du beim exportieren verwendet und welchen beim importieren? Poste zusätzlich den kompletten Auszug aus der Exportdatei, aber nur von dem ERSTEN Objekt, nicht die komplette Exportdatei. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.