Migration in andere Domäne mit oder ohne vorh. Umbenennen?

[Der.Fischer 10]

Tach allerseits,

 

unsere Firma wird mit einer amerikanischen verschmolzen und als erstes muss die IT ran. Der erste Schritt war das Herstellen einer VPN-Verbindung und darauf aufbauend das Einrichten einer Gesamtstrukturvertrauensstellung. Beide Seiten betreiben ihr eigenes 2003er AD, Domänen- und Gesamtstrukturfunktionsebene auf 2003.

 

Unsere amerikanischen Freunde sind der Meinung, ein kompletter Neuaufbau wäre zu aufwendig, es wäre doch viel schneller erledigt, wenn wir unsere Domäne in ihre als Child Domain migrieren. Nun sollen wir auch noch unsere Domäne vorher umbenennen, was wahrscheinlich noch weit weniger trivial ist als die Migration.

 

Meiner Meinung nach ist der Schritt "Umbenennung" unnötig, ich hab sowas aber allerdings noch nicht gemacht. Daher meine Frage: Kann ich eine Rootdomain in eine andere bestehende Rootdomain als Subdomain migrieren und muss die Zieldomain dann den gleichen Namen haben (aus "wir.eu" wird "wir.eu.die.com") oder nicht ("neu.eu.die.com")?

[LukasB 10]

Was du vorhast ist nicht möglich - du kannst nicht deinen Forest (bzw. Gesamtstruktur) in eine Domain in ihrem Forest umbennen.

 

(Davon abgesehen sind Domain-Umbennenungen eh immer eine schlechte Idee)

 

Was machbar ist, das ihr eine neue Child Domain im US Forest erzeugt und eure Objekte mittels ADMT in den US Forest migriert.

[Daim 12]

Servus,

 

Unsere amerikanischen Freunde sind der Meinung, ein kompletter Neuaufbau wäre zu aufwendig, es wäre doch viel schneller erledigt, wenn wir unsere Domäne in ihre als Child Domain migrieren.

 

das kommt zwar auf die Größe der Umgebung an, aber bei einem Neuaufbau müssen zwei Domänen in die neue Domäne migriert werden, andernfalls nur die eine Domäne in die andere.

 

Nun sollen wir auch noch unsere Domäne vorher umbenennen, was wahrscheinlich noch weit weniger trivial ist als die Migration.

 

Absolut! Das Umbenennen einer Domäne ist zwar seit dem Gesamtstrukturfunktionsmodus "Windows Server 2003" möglich, aber wie du es beireits erwähnt hast, alles andere als trivial. Aber auch hierbei kommt es auf die Umgebung an: Existiert Exchange? Existiert eine CA usw. das sind alles Faktoren die das Umbenennen einer Domäne beeinflussen.

 

Meiner Meinung nach ist der Schritt "Umbenennung" unnötig, ich hab sowas aber allerdings noch nicht gemacht.

 

Warum sind denn die US-Kollegen der Meinung, dass ihr eure Domäne umbenennen solltet?

 

Daher meine Frage: Kann ich eine Rootdomain in eine andere bestehende Rootdomain als Subdomain migrieren

 

Na klar. Du migrierst die DE-Domäne in die US-Domäne als eine Subdomäne.

ADMT wäre hier das Stichwort.

 

LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen

 

und muss die Zieldomain dann den gleichen Namen haben (aus "wir.eu" wird "wir.eu.die.com") oder nicht ("neu.eu.die.com")?

 

Nein, natürlich nicht. Das würde eher nur zu Problemen führen. Denn für eine Migration wird eine Namensauflösung und vor allem eine Vertrauenstellung zwischen der Quell- und Ziel-Domäne benötigt. Bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung:

 

- Den NetBIOS Namen der Domäne

- Den Fully Qualified Domain Name (FQDN) der Domäne

- Die Security Identifier (SID) der Domäne

 

Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt.

 

 

Es kommt aber wie so oft darauf an, was geplant ist. Soll die DE-Domäne als Subdomäne in die US-Umgebung integriert werden, ist der Domänenname schon vorgegeben. Lautet die Root-Domäne "intra.domäne.us", kann die Subdomäne nur "sub.intra.domäne.us" lauten. Soll hingegen die DE-Domäne als eine neue Domänenstruktur (Tree) in die US-Gesamtstruktur integriert werden, kann die DE-Domäne ihren eigenen Namen bekommen.

[Der.Fischer 10]

Danke für die Bestätigung :D

 

Das deckt sich mit meinen Vermutungen. Die Kollegen drüben haben in ihrer Domain einen Fehler beim Aufsetzen gemacht (damals) und haben jetzt als Namen der Domäne "company.company.com", was der Grund für eine Neuanlegung sein sollte. Nun ist es ihnen aber zu aufwändig, beide in eine neue "company.com" zu migrieren, weshalb nur unsere eine neue Subdomain a la "wir.eu.company.com" werden soll. Jetzt stellt sich noch die Frage, ob "company.company.com" nicht sogar ihre Rootdomain ist".

 

Außerdem werden wir zukünftig unter deren Namen firmieren, wohingegen unserer nur noch als Marke weiterbesteht. Also wird unsere AD-Domain aufhören zu existieren (als eigenständige Struktur).

 

Zu den Diensten in unserem Netz: wir haben weder einen EX noch eine CA auf unserer Seite, da das über ein separates Konzernnetz abgewickelt wird, das zu unseren internen keine Verbindungen hat. Auf amerikanischer Seite gibt es allerdings mindestens einen Exchange, weshalb der Aufwand dort schon höher sein wird.

 

[EDIT]

So wie es aussieht, ist deren Rootdomain tatsächlich "company.company.com", ldp.exe liefert beim Verbinden unter anderem das hier:

 

...

CN=DC1,...,CN=Configuration,DC=<company>,DC=<company>,DC=com

...

 

und

 

...

1> rootDomainNamingContext: DC=<company>,DC=<company>,DC=com;

...

 

Damit dürfte die Möglichkeit mit "wir.eu.company.com" schonmal ausfallen... :rolleyes:

[/EDIT]

bearbeitet 18. Februar 2010 von Der.Fischer
Nachtrag

[Daim 12]

Nun ist es ihnen aber zu aufwändig, beide in eine neue "domäne.com" zu migrieren, weshalb nur unsere eine neue Subdomain a la "wir.eu.domäne.com" werden soll. Jetzt stellt sich noch die Frage, ob "domäne.domäne.com" nicht sogar ihre Rootdomain ist".

 

Wenn die Root-Domäne "domäne.domäne.com" lauten sollte und eure DE-Domäne als Subdomäne in die US-Gesamtstruktur migriert werden soll, kann eure neue Subdomäne nie "wir.eu.domäne.com" heißen. Aber das wird sich schon klären. :)

[Daim 12]

Damit dürfte die Möglichkeit mit "wir.eu.company.com" schonmal ausfallen...

 

So ist es. Man könnte einen eigenen Namensraum höchstens noch mit einer neuen Domänenstruktur (Tree) aufsetzen. Eine Gesamtstruktur besteht nämlich aus einer oder mehreren Domänenstrukturen. Der eine Tree heißt "company.company.com". Nun könnte man einen zweiten Tree mit dem Namen "wir.eu.company.com" in der bestehenden Gesamtstruktur "company.company.com" installieren.

[Der.Fischer 10]

Nun könnte man einen zweiten Tree mit dem Namen "wir.eu.company.com" in der bestehenden Gesamtstruktur "company.company.com" installieren.

 

Das geht? Aha, wieder was gelernt. Ich dachte, das funktioniert nicht, weil der Namensraum belegt ist.

[Daim 12]

Das geht? Aha, wieder was gelernt. Ich dachte, das funktioniert nicht, weil der Namensraum belegt ist.

 

Klar, dass funktioniert. Das ist ja das besondere an weiteren Domänenstrukturen. Jeder Tree bekommt so seinen eigenen Namensraum.

[Der.Fischer 10]

Ok, jetzt hab ich erstmal klären können, dass es doch eine "company.com" als root domain gibt. Also hab ich mir gleich mal die Rechte geben lassen, eine Subdomain erstellen zu dürfen, die Umbenennung ist auch vom Tisch - nun steht einem Umzug ja fast nix mehr im Weg ;)

 

Setze jetzt erstmal testweise ne eigene Testdomain auf um zu prüfen, ob unsere Webanwendungen dann noch funktionieren, wenn sie ihre Benutzer aus einem anderen AD bekommen. Danach kann ich dann mit dem Produktivsetup beginnen.

 

Danke für eure Hilfe.

[Der.Fischer 10]

Kurzer Nachtrag:

 

Natürlich war "company.company.com" DOCH die Rootdomain, also gibts jetzt nen separaten Tree für uns :rolleyes:

 

Natürlich hatte ich noch KEINE Berechtigungen, ist dann auf mein Quengeln nachgeholt worden. Für das Erstellen eines neuen Domaintree's sollte man außerdem einen Account im Ziel-Forest benutzen :D.

 

Inzwischen ist die neue Domäne aufgesetzt und funktioniert, DNS, Trusts etc ist alles eingerichtet, jetzt werd ich mir mal ADMT näher ansehen.

 

Also danke nochmal an alle Mithelfer, werd' mal anfangen zu testen...