gysinma1 13 Geschrieben 16. August 2004 Melden Teilen Geschrieben 16. August 2004 Hallo Leute Ich steck in der ******. Ich sollte eine Idee haben, wie wir den Child-DC von dem Root-DC abtrennen können, da unser Betrieb verkauft wurde. Der Child DC wird weiterbetrieben mit allen Sachen die sich drin befinden. Es ist mir klar, dass er dazu einige Dinge von dem Root DC, der auch weiterlaufen wird, bekommen muss. Weiss da jmd ein gutes Whitepaper dazu. Ich muss morgen eine Spur präsentieren, wo und wie wir langlaufen. Danke vielmals für spontane Links ... unter VaterGoogle hab' ich noch nix gefunden ...(suche nach dem NAchtessen weiter)... Gruss und habt Dank MAtthias Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. August 2004 Melden Teilen Geschrieben 16. August 2004 Vergiss es! Ohne die Stammdomäne der Gesamtstruktur hast du ein halblebiges AD. Keine Schema-Admins, keine Organisations-Admins, keine weiteren Vertrauensstellungen zur Stammdomäne der Struktur. Dann lieber nebenher neu aufsetzen und migrieren. grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 16. August 2004 Melden Teilen Geschrieben 16. August 2004 Migration ist das Zauberwort. Neue Domäne erstellen und Objekte rein migrieren!! 'mal die Boardsuche in Angriff nehemen oder posten :D Ist aber lösbar, dein Problem!! ;) Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 16. August 2004 Autor Melden Teilen Geschrieben 16. August 2004 Ciao Velius JA richtig diese Domain wird abgekoppelt und alles was drin ist kommt in eine neue NT-4.0 Domain ... aber step-by-step. Die crux ist, dass die Abtrennung VOR der Migration erfolgen muss. Ich hab mal was von einem Tool namens Treemove gehört ... @Grizzli999 Die Vertrauensstellungen brauche ich auch nicht mehr. Ich sollte nur noch innerhalb des Child PW zurücksetzen, Resourcen Joinen und Dejoinen können. Zudem dies fix für nur 6 Kwochen. (Länger darf dieses Konstrukt aus IT-Richtlinien ohnehin nit bestehen). Gruss, Matthias Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 16. August 2004 Melden Teilen Geschrieben 16. August 2004 Whoa, holla. Ich galube, ich habe dich zu früh gefreut (cooler Satz oder??). Nein im ernst, bezweifle enrsthaft, ob das von 2000/2003 Domain in eine NT 4.0 geht.... Höchsten mit irgendwelchen Scripts, wenn überhaupt, und dazu noch die Abtrennung davor..... Schwer an der Grenze des unmöglichen. 'Mal mit der GL sprechen!! Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 16. August 2004 Autor Melden Teilen Geschrieben 16. August 2004 @Velius JA :-) in Bezug auf NT4.0 hast Du sicher Recht. Nur diese Organisation umfasst über 100'000 Mitarbeiter in über 100 Länder und die wollen und werden nicht auf AD migrieren. Brrr. Ich persönlich bin auch eher skeptisch ... dass dieses Wurstelkonstrukt laufen soll ... aber ich muss eine Lösung suchen und finden :-( Gruss, Matthias Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 16. August 2004 Melden Teilen Geschrieben 16. August 2004 Also für mich sind das Jahr 2004, am Ende des Jahre auslaufender Support für NT 4.0, eine bei 100'000 Benutzern mehr als bedenkliche SAM grösse, usw. ein sowas von trifftiger Grund auf Active Directory zu wechseln, dass kannst du dir nicht vorstellen. Aber zurück zu Lösung, doch nur Welche..... :shock: :eek: Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 17. August 2004 Autor Melden Teilen Geschrieben 17. August 2004 Hallo Leutz Wir haben einen Weg gefunden, zwar ne "Cowboymethode" aber sie funzt ... Der Child-DC wird nie mehr in seinem weiteren Leben mit dem RootForest einen Kontakt haben. Wir haben nun einige Tests gemacht, indem wir einen Forest aufbauten mit einem Child-DC. Zu dem ChildDC haben wir einen weiteren Domaincontroller als additional Child-DC promoviert. Nun haben wir den RootDC und den 1. Child DC runtergefahren und mittel ntdsutil (KB255504 etc) die Roles übertragen. Bis auf den Infra Master ging das auch auf Anhieb. Nun werden wir morgen dies noch angehen und am Schluss wenn alles übertragen ist, einen zusätzlichen neuen DC aufsetzen (ich betreib prinzipiell nit eine Domain mit nur einem DC). Danach testen wir Logonverhalten von W2K und NT Clients (PDC Emulator). So für heut reicht mir die Testerei ..... Hurra Feierabend auf der Zielgerade :cool: Gruss, Matthias Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Klevere Idee!! Zuerst den root wegschalten, und dann die Rolen auf einen übrigen DC transferieren, anschliessend physisch trennen..... Respekt, wäre nicht darauf gekommen. Allerdings hast du immer noch das Problem mit der NT 4.0 Domäne. Movetee geht nur innerhalb einer Gesamtstruktur.... MoveTree Functions Only for Intra-Forest Migrations Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 Hallo Velius .... Richtig, nur die Reihenfolge ist, dass er zuerst physisch abgekoppelt sein muss, sonst gibst nen SID-SALAT. Ich habe einige Test gemacht auch die Reihenfolge der FSMO Ubertragungen ist sehr wichtig (Wir haben bei einem Test den RID Master nicht zuerst gemacht .. des gibt Probls). 1. RID Master 2. Schema 3. PDC 4. Domain Naming Master 5. Infrastructur Master Natürlich muss auf dem künftigen DC DNS und (bei uns halt noch WINS installiert sein). Gruss, Matthias Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Original geschrieben von gysinma1 .... Richtig, nur die Reihenfolge ist, dass er zuerst physisch abgekoppelt sein muss, sonst gibst nen SID-SALAT. Schon klar! ;) Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 Hallo Zusammen sooodele jetzt habenwrs .... Es können alle FSMO Roles AUSSER Schemamaster und Domain Name Master übertragen werden, denn diese hängen an dem Forest und auf dort haben wir keine Recht mehr und werden auch keine Rechte bekommen. Für unsere Zwecke reicht das aus, denn Schemaerweiterungen sind keine geplant und die Domain umfasst noch 90 Döchte die innert sechs Wochen wegeschrumpft werden. Also auch keine neuen Domains im Forest. Sehr kritisch ist, dass der DNS sauber läuft, sonst gibts nen AD-Salat .... Gruss, Matthias Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 20. August 2004 Autor Melden Teilen Geschrieben 20. August 2004 Hallo Zusammen Da diese Methode medium bis high-Risk ist und die Umgebung validiert, es keine Langzeittest gibt und es Sicherheitstechnisch äussert verwegen ist, ist ist ist ist die Idee zu Grabe getragen worden. Die Verbindung zum Forest bleibt länger bestehen und es wird eine neue Domain hochgezogen und das Zöigs hineinmigriert. Tja und wenn mich der Boss fragt, woher meine vielen Stunden sind .... Gruss, MAtthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.