nikoghosyan
Goto Top

AD Migration 2008-2012R2

Hallo Gemeinde,

ich brauche einen Rat bei der Migration der AD.
Sitze gerade bei einem Kunden, bei dem in den letzten 5-6 Jahren verschiedene IT-ler, IT-Dienstleister rumgebastelt haben, und habe eine große Aufgabe den ganzen Mist aufzuräumen. Das ganze Blech wird erstmals virtualisiert, File Server Daten werden dedupliziert etc....
Mein großes Problemkind ist Domain Controller! face-sad

Nach dem ich einige Tage uns Stunde investiert habe, das AD aufzuräumen, kam ich nun zu dem Punkt das Ganze sauber auf einem Server2012R2 zu migrieren.

Microsoft best practice empfiehlt uns: einen 2. member dc aufzusetzen, replizieren lassen, das alte DC runterstuffen, FSMOs übertragen und dann Tschüss. Ich will aber nicht, dass das ganze Mist, verfrickelte DC mit zigtausend OUs mit repliziert. Ich habe eine neue OU Struktur aufgebaut, alles Benutzer und SGs darein gepackt und möchte nur diese OUs replizieren. Da ist mein ABC mit ADs am Ende.

Gibt es eine andere Möglichkeit?

Ich habe mir ADMT Tool angeschaut, das würde aber funktionieren, nur wenn zwei DCs mit bidirektionalen Vertrauensstellung sind und man könnte die User, Passwörter, SID-History mit übertragen.

Ich danke euch im Voraus für eure Tipps.

Content-ID: 265730

Url: https://administrator.de/forum/ad-migration-2008-2012r2-265730.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

GuentherH
GuentherH 09.03.2015 um 18:20:14 Uhr
Goto Top
Hallo.

Es gibt nur 2 Möglichkeiten. Entweder in das bestehende AD integrieren oder neue Domäne aufbauen. Wobei ich mich frage, was den so schwer daran ist nicht mehr benötigte OUs zu löschen?
Ich finde das irgendwie komisch. Auf einem Fileserver löschte man einen leeren Ordner, bei einer leeren OU sollte das nicht gehen?
Und, das AD neu zu strukturieren ist zwar die eine Seite, ich würde mir aber unbedingt noch GPOs, Gruppen ect. ansehen. Wie eine OU Struktur aufgebaut ist, hängt sehr viel von der Sichtweise und der Geschmacksache des Admin ab. Was aber wirklich Probleme machen kann sind Gruppenrichtlinien, die falsch ziehen, verschachtelte Gruppenmitgliedschaften ect.

LG Günther
Nikoghosyan
Nikoghosyan 09.03.2015 um 23:08:03 Uhr
Goto Top
Hallo Günther,

danke schon mal das die Möglichkeiten auf 2 begrenzt hast. face-smile Ja, ich gebe Dir Recht, OUs löschen ist keine große Sache; ich möchte aber den ganzen Kramm nicht anpacken und will einen sauberen Schnitt machen. GPOs sind es fast keine,da hat sich bis jetzt keiner drum gekümmert. face-smile SG's wurden angelegt,wurden aber nie richtig verwendet und einige davon dienen nur als Verteilergruppe...
Also Möglichkeit 1: einen neuen member DC aufsetzen, den ganzen Mist inkl. neue OU Struktur replizieren lassen. den alten runterstuffen und die alte Klamotten löschen.

Möglichkeit 2. eine neue Domäne aufbauen firmenname2.org, mit ADMT tool Benutzer- und Computerkonten, SG's migrieren. Weiter kommen aber Fragen....
wenn ich den alten DC ausmache, woher wissen die Computer und Userkonten, an welchen DC sie gerade anmelden sollen. Außerdem es gibt ein paar SQL Instanzen, die Domänennamenänderung nicht so leicht verdauern werden...face-sad Oder wie sind die Erfahrungen?

Der Grund eines neuen sauberen DC ist die nachfolgende Exchange 2013 Migration.

mfg
Robert
GuentherH
GuentherH 10.03.2015 um 00:33:01 Uhr
Goto Top
Hallo.

Nach dem ich einige Tage uns Stunde investiert habe, das AD aufzuräumen

Wenn ich das lese, was war dann der Sinn der Arbeit, wenn du jetzt das bereinigte AD verwirfst?

Außerdem es gibt ein paar SQL Instanzen, die Domänennamenänderung nicht so leicht verdauern werden

Alleine das ist schon ein Grund, keine neue Domäne zu erstellen.

Zusammengefasst. Du hast lt. deinen Aussagen, stundenlang das AD bereinigt und überlegst jetzt ob du die gesamte Arbeit wegwerfen sollst. Ein Konzept wie die sogenannten Basteleien der Vorgänger in Zukunft vermieden werden sollen, wurde also nicht gemacht. Wo ist jetzt der Unterschied zwischen dir und deinen Vorgängern?

Wenn das AD funktioniert, dann gibt es keinen Grund eine neue Domäne aufzubauen. Alleine die unangenehmen Seiteneffekte die dabei entstehen können werden wahrscheinlich deinen Kunden dazu veranlassen, dass du auch in Gefahr läufst die Bezeichnung "Vorgänger" zu erhalten face-wink

LG Günther
departure69
departure69 10.03.2015 aktualisiert um 08:46:47 Uhr
Goto Top
Hallo.

Eine grüne Wiese ist immer was feines.

Problem:

Sie ist nicht grün (z. B. SQL). Grüne Wiesen findest Du in der IT zumeist nur bei Firmenneugründungen ohne Vorgängerfirma (Aufkauf, Übernahme, Zusammenschluß).

Ich gebe @GuentherH Recht, Du solltest die bereits begonnenen Arbeiten, in denen lt. Deiner eigenen Aussage schon viele Stunden stecken, bis zur von Dir gewünschten Perfektion fortsetzen, dann ist es "sauber".

Ich weiß nicht, wie das AD derzeit strukturiert ist, doch ich hätte evtl. einen Tipp, weil ich so eine "große" Aufräumaktion auch schon mal hinter mich gebracht habe (unter Beibehaltung der Domäne!):

Hierarchisch liegt die Gesamtstruktur ganz oben, dann kommt die Domäne, dann kommen die Container, die Microsoft schon mitbringt, und inmitten dieser ist vermutlich das OU-Chaos, das Du vorgefunden hast und nun aufräumen/entzerren willst, richtig?

Ich würde direkt unterhalb der Domäne EINE neue OU mit einem aussagekräftigen Namen erstellen, z. B. dem Firmennamen. Und dadrunter würde ich die von Dir gewünschte und als sinnvoll erachtete, neue Struktur anlegen. bei mir sieht die bspw. so aus:

- Administratoren
- Benutzer
- Computer (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Postfachaccounts
- Memberserver (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Sicherheitsgruppen (mit weiteren Unter-OU's weiter unterteilt für Freigaben und Programme)
- Softwareverteilung (für MSI-Softwareverteilgruppen per GPO)
- Mailverteilergruppen


Ist jetzt bloß ein Beispiel, Du hast sicherlich Deine eigenen Vorstellungen der neuen Struktur.

Danach kannst Du in aller Seelenruhe alle drumherumliegenden OU's (bzw. deren Zwecke und Inhalte) in Deine neue Struktur umziehen bzw. nicht mehr benötigte OU's entfernen.

Wenn Du dabei am Ball bleibst, hast Du irgendwann die "Ordnung" und "Sauberkeit", die Du gleichsam auf der grünen Wiese gehabt hättest (natürlich mit der Einschränkung, daß es schon viele Objekte in dem AD gibt, trotzdem hast Du es in der Hand, das alles sauber zu verschieben und/oder zu löschen).


Viele Grüße

von

departure69
emeriks
emeriks 10.03.2015 um 14:41:53 Uhr
Goto Top
Hinweis:
Pass beim Neustrukturieren der OU's (Löschen der alten OU's) auf, ob dort GPO verlinkt sind. Falls diese noch benötigt werden, dann entweder an die neuen OUs verlinken oder gar die OU's komplett übernehmen: Umbennen, verschieben und fertig.

Und noch ein Hinweis. Der ist nicht böse gemeint.
Bedenke, dass Du u.U. auch nur einer von vielen IT'lern sein könntest, die sich daran versucht haben, und dass Deine Vorgänger möglicherweise auch schon mal so rangegangen sind. Will sagen, vielleicht hat das bestehende ja doch System, welches sich Dir nur nicht erschließt.
Ich stelle da mal eine kühne These auf: Wenn jemand ein AD nur dadurch "sauber" bekommt, in dem er/sie alles neu macht, dann hat er/sie möglicherweise selbst nicht alle Zusammenhänge verstanden. Damit meine ich jetzt nicht Dich konkret, sondern allgemein die hier oft erscheinenden Fragesteller, die mal "aufräumen" wollen. Deine Frage ist in ähnlicher Form hier schon öfters aufgetaucht.

Ich möchte Dir raten: Denke immer an die Anwender! Und "Eile mit Weile"!
Wenn erstmal alles über den Haufen geworfen ist, hinterher z.B. GPO nicht mehr funktionieren, dynamische Verteilergruppen falsche Inhalte haben, Scripte nicht mehr funktionieren, Datenzugriffe wegbrechen (Es gibt Anwendungen, die fragen das AD ab, um darüber intern Benutzer zu autentifizieren. Nicht selten sind diese Abfragen an bestimme OU's "festgenagelt"), dann ist das Geschrei groß und Du bist der Dumme.

Doku nicht vergessen!

Viel Spaß!
E.