adnoh 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hy. Wir haben momentan eine Domäne die Clients in unterschiedlichen Niederlassungen bedient. Zukünftig soll die Firma getrennt werden. Kann ich eine bestehende Domäne aufteilen, so dass beide Teile der Domäne und natürlich auch der ihr zugeordneten Clients anschließend auf zwei voneinander getrennten PDCs laufen? Ich möchte es vermeiden eine komplett neue Domäne hochzuziehen, und dann die Hälfte der Clients anpacken zu müssen, damit diese in der neuen Domäne Mitglied werden. Ich hoffe das war halbwegs verständlich was ich vorhabe :D Besten Dank für Vorschläge oder Ideen. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Servus, Kann ich eine bestehende Domäne aufteilen, so dass beide Teile der Domäne und natürlich auch der ihr zugeordneten Clients anschließend auf zwei voneinander getrennten PDCs laufen? ja, kannst du. In dem du mit ADMT in eine neue Domäne migrierst. Ich möchte es vermeiden eine komplett neue Domäne hochzuziehen, und dann die Hälfte der Clients anpacken zu müssen, damit diese in der neuen Domäne Mitglied werden. Doch, dass musst du aber und es führt kein Weg daran vorbei. Das Tool das dir dabei behilflich ist, nennt sich ADMT. Damit kannst du die Benutzer- sowie Computerkonten in die neue Domäne migrieren, ohne das der Benutzer davon etwas mitbekommt. Yusuf`s Directory - Blog - Benutzermigration mit ADMT v3: How-To Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Die bessere Frage wäre: Warum möchtest du das tun ? Die Firmen bleiben ja unter der selben Leitung oder? (sonst wäre ja eine neue Root-Domain für die 2. nötig) Wir haben immer mehr Kunden (letztere hat 17.000 User) die gehen von einer wieder zu einer Root-Domain zurück, sprich die machen wieder eine Konsolidierung. Zitieren Link zu diesem Kommentar
adnoh 10 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Wow. Ihr seid schnell :D Warum möchtest du das tun ? Die Firmen bleiben ja unter der selben Leitung oder? (sonst wäre ja eine neue Root-Domain für die 2. nötig) Leider nein - es werden 2 komplett voneinander (also auch Netzwerktechnisch) getrennte Firmen! Sonst müsste ich ja den ganzen Aufwand nicht betreiben. Damit kannst du die Benutzer- sowie Computerkonten in die neue Domäne migrieren, ohne das der Benutzer davon etwas mitbekommt. Das heißt damit kann ich mir es auch ersparen das Benutzerprofil (NICHT Servergespeichert) anschließend zu migrieren? Die SID ändert sich ja etc... Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe? Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben. Bescheiden ist eben der Fakt, dass es nur einen Teil der Clients betrifft. Also zB: Subnet 20.0 wird Firma1, 21.0 Firma2, 22.0 Firma1 etc.... PDC1 steht dann in Subnet 10.0, PDC2 in 11.0 .... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Das heißt damit kann ich mir es auch ersparen das Benutzerprofil (NICHT Servergespeichert) anschließend zu migrieren? Genau, die Profile, sei es lokale- oder servergespeicherte Profile bleiben alle samt erhalten. Die SID ändert sich ja etc... Korrekt. Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten Domäne an das neuen Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis" vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt. Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet. Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte, auch wenn der Benuztername gleich lautet. Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe? Es ist Freitag kurz vor Feierabend, du willst nicht das ich mich aufrege (nein, das willst du nicht wirklich). Wer so einen Domänen splitt durchführt, gehört geteert+gefedert+vor das Kriegstribunal+und was weiss ich noch alles. Im Ernst, vergiss diese Variante, denn somit werden auch die ganzen Kennwörter mitgenommen. Daher schrub ich bereits zu Beginn das die einzige Möglichkeit die Migration mit ADMT ist. Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben. Höre auf an dieser Stelle WEITER ZU DENKEN! Zitieren Link zu diesem Kommentar
Frederik 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 ..... Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Würde es auch funktionieren indem ich einen neuen BDC hochziehe, diesen nach der Syncronisation vom bestehenden Netz nehme und zum PDC hochstufe? Dann müsste ich noch den betroffenen Clients ihren neuen PDC bekannt geben. Dann sind noch die Zugangsdaten von der jeweils anderen Firma vorhanden. IMHO nicht so toll... Ich denke mal, dass du nicht drumrum kommen wirst, die User-/Computerkonten einzeln anzupacken. Der Hinweis auf ADMT ist aber Gold wert... ;-) Zitieren Link zu diesem Kommentar
adnoh 10 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Es ist Freitag kurz vor Feierabend, du willst nicht das ich mich aufrege (nein, das willst du nicht wirklich). Wer so einen Domänen splitt durchführt, gehört geteert+gefedert+vor das Kriegstribunal+und was weiss ich noch alles. Im Ernst, vergiss diese Variante, denn somit werden auch die ganzen Kennwörter mitgenommen. War der Vorschlag von meinem Abteilungsleiter - wollte den nur zur Diskussion geben :D Wäre nicht ganz so dramatisch, da "wir" ja den alten PDC behalten, und für den neuen nicht mehr verantwortlich sind. Na dann weiß ich bescheid - dann werde ich mein Glück mit ADMT versuchen. Besten Dank für die schnelle Hilfe! Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Wäre nicht ganz so dramatisch, da "wir" ja den alten PDC behalten, und für den neuen nicht mehr verantwortlich sind. Du hast es aber immer noch nicht verstanden. Das ist genau das Problem. Wenn mit einem bestehenden DC ein Domänen-Splitt durchgeführt wird, hat die ANDERE Seite, die Domäne, die einen bestehenden DC übernimmt, alle Kennwörter eurer Domäne. Somit ist eure Umgebung nicht mehr sicher. Na dann weiß ich bescheid Vorher wußtest du noch nicht bescheid, ich hoffe das du nun mit dieser Antwort bescheid weißt. - dann werde ich mein Glück mit ADMT versuchen. Das ist der einzig durchführbare Weg! Zitieren Link zu diesem Kommentar
adnoh 10 Geschrieben 11. Juni 2008 Autor Melden Teilen Geschrieben 11. Juni 2008 Du hast es aber immer noch nicht verstanden.Das ist genau das Problem. Wenn mit einem bestehenden DC ein Domänen-Splitt durchgeführt wird, hat die ANDERE Seite, die Domäne, die einen bestehenden DC übernimmt, alle Kennwörter eurer Domäne. Somit ist eure Umgebung nicht mehr sicher. Doch hab ich. Der neue DC wandert in die neue Firma und wird theoretisch von meinen Kollegen betreut die mir im Büro gegeüber sitzen, allerdings rechtlich nicht mehr zu der selben Firma gehören wie ich. Etwas komplizierte Konstellation - aber Sicherheit ist hier ausnahmsweise mal nicht das Problem. In der Praxis werde ich eh beide Domänen administrieren. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 ...aber Sicherheit ist hier ausnahmsweise mal nicht das Problem. In der Praxis werde ich eh beide Domänen administrieren. Sicherheit ist in der IT - IMMER - ein Thema! Ich kann mich nur wiederholen. Sobald eine Domäne gesplittet wird, MUSS eine Migration und kein Pfusch betrieben werden! Ich kann es dir nur ans Herz legen. Sobald ein Unternehmen sich trennt, erstelle für die eine Firma eine eigene Domäne, sonst könnte das später böse enden! Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Hi adnoh im AD Kontext kennt man nur DC keine BDC und PDC. Bitte bitte...... (vorsichtig formuliert...will nicht gegen die Nettikette verstoßen) sei unbedingt sehr vorsichtig. Wenn du die Möglichkeit hast, stelle dir die Situation mit einer Testumgebung nach. Ich habe den Eindruck das du diese Arbeiten das erste Mal tun willst. Tipp: Hole dir ne externe Firma, die diese Arbeiten durchführt Hab schon einige Disaster in meinem berufliche Umfeld erlebt, deshalb mein Rat an dich. Nachher können wir dir im Board auch nicht helfen, wenn das Kind im Brunnen ist, ist guter Rat teuer Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Bitte bitte...... (vorsichtig formuliert...will nicht gegen die Nettikette verstoßen) sei unbedingt sehr vorsichtig. Wenn du die Möglichkeit hast, stelle dir die Situation mit einer Testumgebung nach. Ich habe den Eindruck das du diese Arbeiten das erste Mal tun willst. Du willst jetzt damit aber nicht den OP dazu bringen, die Domäne doch zu splitten?! Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Nö Diam du hast ihn aber Möglichkeiten aufgezeigt die bestimmte Arbeiten enthalten die man unter einer Testumgebung im Bezug einer Migration gleich welcher Art durchführen sollte, damit es unter einer Produktivumgebung auch klappen kann. Mit dezenten Nachdruck empfehle ich adnoh eine externe Firma zu konsultieren. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Nö Diam Na was ein Glück. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.