westberliner
Goto Top

2 Domänen migrieren in Verbindung mit O365

Hallo Zusammen,

ich stehe hier vor einer Aufgabe, bei welcher ich in technischer Hinsicht noch nicht ganz überblicke, wie das beste Vorgehen wäre. (Einen Dienstleister hole ich mir noch dazu).

Es gibt "company.net" und "company.local".
Beide syncen in company.onmicrosoft.de tenant und die User haben alle company.de -Email Adresse (Exchange Online)

Nun soll eine neue on-Prem-Domain her "Company-new.de" und dort sollen beide on-Prem Domains rein. Die 365-Welt dabei bleibt aber erhalten.

Glücklicherweise wird bereits mS-DS-ConsistencyGuid als Source-Anchor bereits verwendet.


Ich müsste jetzt einen neuen Domain-Controller installieren und Grundkonfigurieren.
Danach müsste einen Sync jetzt zwischen Company-new.de und dem Tenant herstellen. Hier kann ich keinen zweiten Server verwenden, was wäre hier der einfachste Weg - zumindest übergangsweise? Ich habe was von GAL-Server und Co gelesen.


Sobald das geklärt ist, bräuchte ich dann eine Vertrauensstellung zwischen meinen drei Domänen, das ist ok.

Nun folgt aber Schritte, bei denen ich mir auch nicht sicher bin:

Der Umzug der User von einer Domäne in die Neue. Dabei sollten natürlich nach Möglichkeit die User-Settings erhalten bleiben. Im O365 dürften die User anhand des Source-Anchors ja zumindest ein Matching haben.
Jetzt hatte ich es mit Copy, Delete, Sync, Sync gelesen (wohl Soft-Delete), aber das Vorgehen bei 500 Usern? Zumal ja bei der neuen Domain-Anmeldung erstmal das Userprofil neu erstellt wird. ADMT wird wohl keine Hilfe mehr sein, da nicht mehr Up2Date?
Wie wäre hier das Beste Vorgehen mit welchen Tools?

Und was gibt es beim Verschieben/Kopieren von Computer-Objekten zu beachten? Ich kenne eben nur den normalen Domain-Join, aber das ist natürlich immenser manueller Aufwand. Intune wird ebenfalls im Hintergrund verwendet.

Kurzum: Cross-Forest Migration und ein Multi-Forest Azure-Sync.

Netzlaufwerke und Gruppen gibt es keine bzw. werden noch aufgelöst.

Hoffe die Frage ist nicht zu verwirrend.

Vielen Dank.

Content-ID: 671786

Url: https://administrator.de/forum/2-domaenen-migrieren-in-verbindung-mit-o365-671786.html

Ausgedruckt am: 06.04.2025 um 13:04 Uhr

Globetrotter
Globetrotter 06.03.2025 um 20:43:12 Uhr
Goto Top
Hi..
Warum Cloud bei M$ ? - oder überhaupt? . ich brauche das nicht - Ihr holt Euch Probleme ein, welche Ihr (oder Dein Kunde) nicht haben wollt. Administrieren geht auch nicht weil Euch M$ Sachen vorschreibt..
Administriere das "onPrem"...

Gruss Globe!
NordicMike
NordicMike 07.03.2025 um 08:12:26 Uhr
Goto Top
Warum Cloud bei M$ ? - oder überhaupt?
Weil du die Anforderungen nicht kennst. ;)
emeriks
emeriks 07.03.2025 aktualisiert um 15:07:08 Uhr
Goto Top
Hi,
wir haben z.Z. ein fast identisches Projekt am Laufen.

  • 2 Forest mit je eigenenem Exchange
  • 1 AADC, welcher die beiden Domänen aus beiden Forest ins Entra synchronisiert
  • Benutzer werden mittels ADMT von Forest A Domäne A1 nach Forest B Domäne B1 migriert, inkl. sidHistory.

ADMT ist jetzt etwas schwierig aufzusetzen, weil es Uralt-Versionen bei Windows und SQL verlangt. Aber wenn es einmal läuft, dann gehr es. Das einzige, was wir nicht zuverlässig hinbekommen haben, ist der Passwort-Export-Server. Wir haben für die Benutzer-Kopie neue Passwörter erstellt.

Nach der Migration die UPN überprüfen, dass diese gleichlautend zum Original sind.

Man muss nur dafür sorgen, dass die migrierten Konten nicht von beiden Domänen synchronisiert werden. Also in etwa so:
  1. In B1 eine OU, welche vom AADC ausgeschlossen ist
  2. Konten mit ADMT in diese OU migrieren
  3. In A1 die Konten in eine OU verschieben, welche vom AADC ausgeschlossen ist
  4. In B1 die migrierten Konten in eine OU verschieben, welche beim AADC eingeschlossen ist

Benutzer mit Postfach werden vor der Umstellung auf das migrierte Konto mit EXO versorgt. Sprich deren Postfächer ins EXO verschoben.
Dani
Dani 09.03.2025 um 10:38:32 Uhr
Goto Top
Moin,
Das einzige, was wir nicht zuverlässig hinbekommen haben, ist der Passwort-Export-Server. Wir haben für die Benutzer-Kopie neue Passwörter erstellt.
schön, dass es bei euch auch so ist. face-wink Wundert mich nach wie vor, dass Microsoft hier nicht nachsteuert. Das ADMT ist inzwischen das wichtigste Tool im Microsoft Stall.


Gruß,
Dani
westberliner
westberliner 10.03.2025 um 09:12:46 Uhr
Goto Top
Hi Emeriks,

wie macht ihr das mit den User-Profilen? Diese werden ja mit ADMT wohl nicht übernommen. Ich überlege den Einsatz vom User Profile Wizard von ForensIT.

Und lasst ihr den Connector zwischendurch syncen oder direkt in OUs verschieben, per ADMT migrieren und dann findet O365 sofort den Zusammenhang?
emeriks
emeriks 10.03.2025 um 19:29:10 Uhr
Goto Top
@westberliner
Wenn man das in der o.g. Reihenfolge macht, dann erkennt der Entra, dass das die "selben" Konten sind.

Die Benutzerprofile kann man theoretisch 1:1 übernehmen. Allerdings müsste man dann mit Roaming Profiles oder UPD arbeiten (in beiden Domänen, zumindest während der Umstelungsphase) und die Serverkopie von A1 nach B1 kopieren.