Aus zwei Domänen mach eine

[Okular 10]

Hallo Leute,

 

ich habe da mal ein Anliegen, das nicht so ganz ohne ist. Wir haben an zwei verschiedenen Standorten zwei verschiedene unabhängige Domänen. Diese sollen nun miteinander kommunizieren können. Nun gibt es ja zwei Möglichkeiten: zum einen die der Vertrauensstellung und die der Umbenennung beider Domänen mit dem Ziel, am Ende nur noch eine standortübergreifende Domäne zu haben. Nun habe ich in der Form noch keine Erfahrungen sammeln dürfen, sodass ihr mir vielleicht kurz sagt, wie ihr das machen würdet. Müsste man dann die eine Domäne umgenennen und die andere auflösen, um dann der ersten beitzutreten?

 

Fragen über Fragen...

Okular

[LukasB 10]

Nein, du musst keine Domain umbennen.

 

Es gibt grundsätzlich zwei Lösungsansätze.

 

a) Du erstellst einen Trust zwischen den beiden Forests. Beide Forests bleiben bestehen, haben völlig unterschiedliche Domain Controller, Sites, Gruppenrichtlinien, etc., Eine Authentifizierung ist jedoch über Forest-Grenzen hinweig möglich, und du kannst Ressourcen gemeinsam nutzen.

 

b) Du migrierst mittels ADMT (Download details: Active Directory Migration Tool v3.0). Du kannst z.B. eine der beiden Domains in die andere migrieren (ADMT erledigt da sehr vieles automatisch für dich, inklusive Migration von Berechtigungen, Profilen und Computerkonten), oder auch in eine neue dritte.

 

Welcher weg für dich der richtige ist hängt von zahlreichen Faktoren ab. z.B. welche Produkte eingesetzt werden - wenn du z.B. den SBS einsetzt hast du keine Möglichkeit für Trusts.

 

Evtl. ist es sinnvoll hier einen Dienstleister beizuziehen der sich mit dem ganzen auskennt.

[Daim 12]

Servus,

 

Nun gibt es ja zwei Möglichkeiten: zum einen die der Vertrauensstellung und die der Umbenennung beider Domänen mit dem Ziel, am Ende nur noch eine standortübergreifende Domäne zu haben.

 

zum einen könnte man entweder eine externe oder ab Windows Server 2003 eine Gesamtstrukturvertrauensstellung erstellen. Das mit dem umbenennen der einen Domäne ist völliger Unfug. Durch das ändern des Domänennamen, was ohnehin kein Kinderspiel ist, entsteht keineswegs nur eine einzige Domäne.

 

Zum anderen könntest du neben der Vertrauensstellung die eine Domäne, mit ADMT in die andere migrieren.

Oder du migrierst beide Domänen in eine ganz neue Domäne.

 

Yusufs Directory Blog - Benutzermigration mit ADMT v3: How-To

[Okular 10]

Servus,

Zum anderen könntest du neben der Vertrauensstellung die eine Domäne, mit ADMT in die andere migrieren.

Oder du migrierst beide Domänen in eine ganz neue Domäne.

 

Du meinst also, ich sollte eine neue Zieldomäne erstellen, und dann beide vorhandenen in diese migrieren? Werden dann auch die DCs mit migriert? Ich hätte die Befürchtung, dass der (meinentwegen einzige) Ziel-DC für den Migrationsvorgang ziemlich belastet wäre. oder?

[Daim 12]

Du meinst also, ich sollte eine neue Zieldomäne erstellen, und dann beide vorhandenen in diese migrieren?

 

Nein, dass "meine ich" nicht. Ich erwähne nur die Möglichkeiten die du hast.

Du könntest eben die eine Domäne auflösen, in dem du die Benutzer- sowie Computerkonten in die andere Domäne migrierst.

 

Was ist denn genau dein Ziel?

1. Lediglich aus zwei Domänen, eine Domäne zu haben

und/oder

2. nach der Zusammenführung beider Domänen in eine, für beide Firmenteile einen akzeptablen Domänennamen zu wählen?

 

 

Werden dann auch die DCs mit migriert?

 

Nein, DCs können nicht migriert werden. Die sind viel zu komplex.

Die DCs müssen aus der alten Domäne herunter- und in der neuen Domäne heraufgestuft werden.

 

 

Ich hätte die Befürchtung, dass der (meinentwegen einzige) Ziel-DC für den Migrationsvorgang ziemlich belastet wäre. oder?

 

Welche Größen haben denn beide Domänen (Benutzer, Clients, DCs)?

[Okular 10]

Aus meiner Sicht sollte Ziel der Übung sein, dass beide Standorte, (jeweils etwa 600 User, jeweils etwa 6 DCs sowie 250 Workstations) sich in einer Geamtstruktur mit nur einem Namen befinden. Ergo, sollen beide Domänen elimiert und in eine einzige Verwaltungseinheit überführt werden. Dies deshalb, weil zwei Organisationen zu einer verschmolzen werden - die natürlich nur einen Namen haben soll. Dazwischen wird es eine getunnelte Strecke geben, über die z.Teil auf Ressourcen des entfernten Standorts zugegriffen werden soll.

[Daim 12]

Aus meiner Sicht sollte Ziel der Übung sein, dass beide Standorte, (jeweils etwa 600 User, jeweils etwa 6 DCs sowie 250 Workstations) sich in einer Geamtstruktur mit nur einem Namen befinden.

 

Sechs DCs für 600 Benutzer? Das ist zuviel des Guten.

Auch wenn die DCs andere Aufgaben wahrnehmen, benötigst du nicht soviele DCs.

 

 

Ergo, sollen beide Domänen elimiert und in eine einzige Verwaltungseinheit überführt werden. Dies deshalb, weil zwei Organisationen zu einer verschmolzen werden - die natürlich nur einen Namen haben soll.

 

Wenn der Domänenname einer der beiden Domänen für beide Organisationen akzeptabel wäre, könntest du die andere Domäne lediglich mit ADMT in die Domäne mit dem gewünschten Domänennamen migrieren. Fertig.

 

Wenn die beiden bestehenden Domänennamen inakzeptabel wären, könntest du weiterhin die eine Domäne in die andere migrieren (mit ADMT) und könntest dann eine Domänenumbennenung durchführen.

 

Ob dieses aber sinnvoll ist steht auf einem anderen Blatt.

Der Aufwand einer Domänenumbennenung hängt davon ab, welche Applikationen eingesetzt werde. Evtl. könnte es auch sinnvoller und effektiver sein, beide bestehende Domänen in eine neue mit dem gewünschten Domänennamen zu migrieren. Das müsste eben nach einer genaueren Überprüfung der Umgebung entschieden werden.

[Okular 10]

Naja, sechs DCs deshalb, weil sich die Standorte noch in weitere kleinere Standorte aufteilen, in denen jeder eben einen DC hat. Ist alles ein wenig verzwickt.

 

Aber besten dank für die Ausführungen. Ich denke, ich werde die Migration beider Domänen in eine vorschlagen.

 

...ähmm, die Workstations werden dann ja wohl auch nicht mit mirgriert, oder...?

 

Okular

[Daim 12]

Naja, sechs DCs deshalb, weil sich die Standorte noch in weitere kleinere Standorte aufteilen, in denen jeder eben einen DC hat. Ist alles ein wenig verzwickt.

 

Ahh.. ok, wenn es mehrere Standorte sind macht es eher Sinn. Aberphysikalisch sicher sollten die DCs vor Ort schon stehen.

Für solche Szenarien wurde ja unter Windows Server 2008 der RODC kreiert.

 

 

Aber besten dank für die Ausführungen. Ich denke, ich werde die Migration beider Domänen in eine vorschlagen.

 

You are welcome.

Aber warum willst du direkt die Migration beider bestehender Domänen, in eine neue Domäne anstreben? Ich hoffe dir ist klar, dass was wir hier besprechen ein ganz kleiner grober Teil ist. Ein Überprüfung der Umgebung vor Ort kann anders aussehen. Du solltest einen erfahrenen Dienstleister zur Seite holen.

 

Der kostet dann "ein paar Euronen", kann aber am Ende jede Menge Gewinnbringend sein (z.B. das eine Fehleinschätzung abgewendet wurde).

 

 

...ähmm, die Workstations werden dann ja wohl auch nicht mit mirgriert, oder...?

 

Wenn du beide bestehende Domänen in eine neue Domäne migrieren möchtest, warum sollen die Clients dann nicht mit migriert werden?

 

Das ist doch an ADMT gerade der Vorteil. Du kannst eben auf Knopfdruck die Benutzer -sowie Computerkonten (Clients und Memberserver) in die neue Domäne migrieren, ohne das du an jeden einzelnen Client ran musst (soviel zur Theorie).