AD Migration 2008-2012R2
Hallo Gemeinde,
ich brauche einen Rat bei der Migration der AD.
Sitze gerade bei einem Kunden, bei dem in den letzten 5-6 Jahren verschiedene IT-ler, IT-Dienstleister rumgebastelt haben, und habe eine große Aufgabe den ganzen Mist aufzuräumen. Das ganze Blech wird erstmals virtualisiert, File Server Daten werden dedupliziert etc....
Mein großes Problemkind ist Domain Controller!
Nach dem ich einige Tage uns Stunde investiert habe, das AD aufzuräumen, kam ich nun zu dem Punkt das Ganze sauber auf einem Server2012R2 zu migrieren.
Microsoft best practice empfiehlt uns: einen 2. member dc aufzusetzen, replizieren lassen, das alte DC runterstuffen, FSMOs übertragen und dann Tschüss. Ich will aber nicht, dass das ganze Mist, verfrickelte DC mit zigtausend OUs mit repliziert. Ich habe eine neue OU Struktur aufgebaut, alles Benutzer und SGs darein gepackt und möchte nur diese OUs replizieren. Da ist mein ABC mit ADs am Ende.
Gibt es eine andere Möglichkeit?
Ich habe mir ADMT Tool angeschaut, das würde aber funktionieren, nur wenn zwei DCs mit bidirektionalen Vertrauensstellung sind und man könnte die User, Passwörter, SID-History mit übertragen.
Ich danke euch im Voraus für eure Tipps.
ich brauche einen Rat bei der Migration der AD.
Sitze gerade bei einem Kunden, bei dem in den letzten 5-6 Jahren verschiedene IT-ler, IT-Dienstleister rumgebastelt haben, und habe eine große Aufgabe den ganzen Mist aufzuräumen. Das ganze Blech wird erstmals virtualisiert, File Server Daten werden dedupliziert etc....
Mein großes Problemkind ist Domain Controller!
Nach dem ich einige Tage uns Stunde investiert habe, das AD aufzuräumen, kam ich nun zu dem Punkt das Ganze sauber auf einem Server2012R2 zu migrieren.
Microsoft best practice empfiehlt uns: einen 2. member dc aufzusetzen, replizieren lassen, das alte DC runterstuffen, FSMOs übertragen und dann Tschüss. Ich will aber nicht, dass das ganze Mist, verfrickelte DC mit zigtausend OUs mit repliziert. Ich habe eine neue OU Struktur aufgebaut, alles Benutzer und SGs darein gepackt und möchte nur diese OUs replizieren. Da ist mein ABC mit ADs am Ende.
Gibt es eine andere Möglichkeit?
Ich habe mir ADMT Tool angeschaut, das würde aber funktionieren, nur wenn zwei DCs mit bidirektionalen Vertrauensstellung sind und man könnte die User, Passwörter, SID-History mit übertragen.
Ich danke euch im Voraus für eure Tipps.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265730
Url: https://administrator.de/contentid/265730
Ausgedruckt am: 15.11.2024 um 19:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo.
Es gibt nur 2 Möglichkeiten. Entweder in das bestehende AD integrieren oder neue Domäne aufbauen. Wobei ich mich frage, was den so schwer daran ist nicht mehr benötigte OUs zu löschen?
Ich finde das irgendwie komisch. Auf einem Fileserver löschte man einen leeren Ordner, bei einer leeren OU sollte das nicht gehen?
Und, das AD neu zu strukturieren ist zwar die eine Seite, ich würde mir aber unbedingt noch GPOs, Gruppen ect. ansehen. Wie eine OU Struktur aufgebaut ist, hängt sehr viel von der Sichtweise und der Geschmacksache des Admin ab. Was aber wirklich Probleme machen kann sind Gruppenrichtlinien, die falsch ziehen, verschachtelte Gruppenmitgliedschaften ect.
LG Günther
Es gibt nur 2 Möglichkeiten. Entweder in das bestehende AD integrieren oder neue Domäne aufbauen. Wobei ich mich frage, was den so schwer daran ist nicht mehr benötigte OUs zu löschen?
Ich finde das irgendwie komisch. Auf einem Fileserver löschte man einen leeren Ordner, bei einer leeren OU sollte das nicht gehen?
Und, das AD neu zu strukturieren ist zwar die eine Seite, ich würde mir aber unbedingt noch GPOs, Gruppen ect. ansehen. Wie eine OU Struktur aufgebaut ist, hängt sehr viel von der Sichtweise und der Geschmacksache des Admin ab. Was aber wirklich Probleme machen kann sind Gruppenrichtlinien, die falsch ziehen, verschachtelte Gruppenmitgliedschaften ect.
LG Günther
Hallo.
Wenn ich das lese, was war dann der Sinn der Arbeit, wenn du jetzt das bereinigte AD verwirfst?
Alleine das ist schon ein Grund, keine neue Domäne zu erstellen.
Zusammengefasst. Du hast lt. deinen Aussagen, stundenlang das AD bereinigt und überlegst jetzt ob du die gesamte Arbeit wegwerfen sollst. Ein Konzept wie die sogenannten Basteleien der Vorgänger in Zukunft vermieden werden sollen, wurde also nicht gemacht. Wo ist jetzt der Unterschied zwischen dir und deinen Vorgängern?
Wenn das AD funktioniert, dann gibt es keinen Grund eine neue Domäne aufzubauen. Alleine die unangenehmen Seiteneffekte die dabei entstehen können werden wahrscheinlich deinen Kunden dazu veranlassen, dass du auch in Gefahr läufst die Bezeichnung "Vorgänger" zu erhalten
LG Günther
Nach dem ich einige Tage uns Stunde investiert habe, das AD aufzuräumen
Wenn ich das lese, was war dann der Sinn der Arbeit, wenn du jetzt das bereinigte AD verwirfst?
Außerdem es gibt ein paar SQL Instanzen, die Domänennamenänderung nicht so leicht verdauern werden
Alleine das ist schon ein Grund, keine neue Domäne zu erstellen.
Zusammengefasst. Du hast lt. deinen Aussagen, stundenlang das AD bereinigt und überlegst jetzt ob du die gesamte Arbeit wegwerfen sollst. Ein Konzept wie die sogenannten Basteleien der Vorgänger in Zukunft vermieden werden sollen, wurde also nicht gemacht. Wo ist jetzt der Unterschied zwischen dir und deinen Vorgängern?
Wenn das AD funktioniert, dann gibt es keinen Grund eine neue Domäne aufzubauen. Alleine die unangenehmen Seiteneffekte die dabei entstehen können werden wahrscheinlich deinen Kunden dazu veranlassen, dass du auch in Gefahr läufst die Bezeichnung "Vorgänger" zu erhalten
LG Günther
Hallo.
Eine grüne Wiese ist immer was feines.
Problem:
Sie ist nicht grün (z. B. SQL). Grüne Wiesen findest Du in der IT zumeist nur bei Firmenneugründungen ohne Vorgängerfirma (Aufkauf, Übernahme, Zusammenschluß).
Ich gebe @GuentherH Recht, Du solltest die bereits begonnenen Arbeiten, in denen lt. Deiner eigenen Aussage schon viele Stunden stecken, bis zur von Dir gewünschten Perfektion fortsetzen, dann ist es "sauber".
Ich weiß nicht, wie das AD derzeit strukturiert ist, doch ich hätte evtl. einen Tipp, weil ich so eine "große" Aufräumaktion auch schon mal hinter mich gebracht habe (unter Beibehaltung der Domäne!):
Hierarchisch liegt die Gesamtstruktur ganz oben, dann kommt die Domäne, dann kommen die Container, die Microsoft schon mitbringt, und inmitten dieser ist vermutlich das OU-Chaos, das Du vorgefunden hast und nun aufräumen/entzerren willst, richtig?
Ich würde direkt unterhalb der Domäne EINE neue OU mit einem aussagekräftigen Namen erstellen, z. B. dem Firmennamen. Und dadrunter würde ich die von Dir gewünschte und als sinnvoll erachtete, neue Struktur anlegen. bei mir sieht die bspw. so aus:
- Administratoren
- Benutzer
- Computer (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Postfachaccounts
- Memberserver (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Sicherheitsgruppen (mit weiteren Unter-OU's weiter unterteilt für Freigaben und Programme)
- Softwareverteilung (für MSI-Softwareverteilgruppen per GPO)
- Mailverteilergruppen
Ist jetzt bloß ein Beispiel, Du hast sicherlich Deine eigenen Vorstellungen der neuen Struktur.
Danach kannst Du in aller Seelenruhe alle drumherumliegenden OU's (bzw. deren Zwecke und Inhalte) in Deine neue Struktur umziehen bzw. nicht mehr benötigte OU's entfernen.
Wenn Du dabei am Ball bleibst, hast Du irgendwann die "Ordnung" und "Sauberkeit", die Du gleichsam auf der grünen Wiese gehabt hättest (natürlich mit der Einschränkung, daß es schon viele Objekte in dem AD gibt, trotzdem hast Du es in der Hand, das alles sauber zu verschieben und/oder zu löschen).
Viele Grüße
von
departure69
Eine grüne Wiese ist immer was feines.
Problem:
Sie ist nicht grün (z. B. SQL). Grüne Wiesen findest Du in der IT zumeist nur bei Firmenneugründungen ohne Vorgängerfirma (Aufkauf, Übernahme, Zusammenschluß).
Ich gebe @GuentherH Recht, Du solltest die bereits begonnenen Arbeiten, in denen lt. Deiner eigenen Aussage schon viele Stunden stecken, bis zur von Dir gewünschten Perfektion fortsetzen, dann ist es "sauber".
Ich weiß nicht, wie das AD derzeit strukturiert ist, doch ich hätte evtl. einen Tipp, weil ich so eine "große" Aufräumaktion auch schon mal hinter mich gebracht habe (unter Beibehaltung der Domäne!):
Hierarchisch liegt die Gesamtstruktur ganz oben, dann kommt die Domäne, dann kommen die Container, die Microsoft schon mitbringt, und inmitten dieser ist vermutlich das OU-Chaos, das Du vorgefunden hast und nun aufräumen/entzerren willst, richtig?
Ich würde direkt unterhalb der Domäne EINE neue OU mit einem aussagekräftigen Namen erstellen, z. B. dem Firmennamen. Und dadrunter würde ich die von Dir gewünschte und als sinnvoll erachtete, neue Struktur anlegen. bei mir sieht die bspw. so aus:
- Administratoren
- Benutzer
- Computer (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Postfachaccounts
- Memberserver (mit weiteren Unter-OU's weiter unterteilt in Standorte)
- Sicherheitsgruppen (mit weiteren Unter-OU's weiter unterteilt für Freigaben und Programme)
- Softwareverteilung (für MSI-Softwareverteilgruppen per GPO)
- Mailverteilergruppen
Ist jetzt bloß ein Beispiel, Du hast sicherlich Deine eigenen Vorstellungen der neuen Struktur.
Danach kannst Du in aller Seelenruhe alle drumherumliegenden OU's (bzw. deren Zwecke und Inhalte) in Deine neue Struktur umziehen bzw. nicht mehr benötigte OU's entfernen.
Wenn Du dabei am Ball bleibst, hast Du irgendwann die "Ordnung" und "Sauberkeit", die Du gleichsam auf der grünen Wiese gehabt hättest (natürlich mit der Einschränkung, daß es schon viele Objekte in dem AD gibt, trotzdem hast Du es in der Hand, das alles sauber zu verschieben und/oder zu löschen).
Viele Grüße
von
departure69
Hinweis:
Pass beim Neustrukturieren der OU's (Löschen der alten OU's) auf, ob dort GPO verlinkt sind. Falls diese noch benötigt werden, dann entweder an die neuen OUs verlinken oder gar die OU's komplett übernehmen: Umbennen, verschieben und fertig.
Und noch ein Hinweis. Der ist nicht böse gemeint.
Bedenke, dass Du u.U. auch nur einer von vielen IT'lern sein könntest, die sich daran versucht haben, und dass Deine Vorgänger möglicherweise auch schon mal so rangegangen sind. Will sagen, vielleicht hat das bestehende ja doch System, welches sich Dir nur nicht erschließt.
Ich stelle da mal eine kühne These auf: Wenn jemand ein AD nur dadurch "sauber" bekommt, in dem er/sie alles neu macht, dann hat er/sie möglicherweise selbst nicht alle Zusammenhänge verstanden. Damit meine ich jetzt nicht Dich konkret, sondern allgemein die hier oft erscheinenden Fragesteller, die mal "aufräumen" wollen. Deine Frage ist in ähnlicher Form hier schon öfters aufgetaucht.
Ich möchte Dir raten: Denke immer an die Anwender! Und "Eile mit Weile"!
Wenn erstmal alles über den Haufen geworfen ist, hinterher z.B. GPO nicht mehr funktionieren, dynamische Verteilergruppen falsche Inhalte haben, Scripte nicht mehr funktionieren, Datenzugriffe wegbrechen (Es gibt Anwendungen, die fragen das AD ab, um darüber intern Benutzer zu autentifizieren. Nicht selten sind diese Abfragen an bestimme OU's "festgenagelt"), dann ist das Geschrei groß und Du bist der Dumme.
Doku nicht vergessen!
Viel Spaß!
E.
Pass beim Neustrukturieren der OU's (Löschen der alten OU's) auf, ob dort GPO verlinkt sind. Falls diese noch benötigt werden, dann entweder an die neuen OUs verlinken oder gar die OU's komplett übernehmen: Umbennen, verschieben und fertig.
Und noch ein Hinweis. Der ist nicht böse gemeint.
Bedenke, dass Du u.U. auch nur einer von vielen IT'lern sein könntest, die sich daran versucht haben, und dass Deine Vorgänger möglicherweise auch schon mal so rangegangen sind. Will sagen, vielleicht hat das bestehende ja doch System, welches sich Dir nur nicht erschließt.
Ich stelle da mal eine kühne These auf: Wenn jemand ein AD nur dadurch "sauber" bekommt, in dem er/sie alles neu macht, dann hat er/sie möglicherweise selbst nicht alle Zusammenhänge verstanden. Damit meine ich jetzt nicht Dich konkret, sondern allgemein die hier oft erscheinenden Fragesteller, die mal "aufräumen" wollen. Deine Frage ist in ähnlicher Form hier schon öfters aufgetaucht.
Ich möchte Dir raten: Denke immer an die Anwender! Und "Eile mit Weile"!
Wenn erstmal alles über den Haufen geworfen ist, hinterher z.B. GPO nicht mehr funktionieren, dynamische Verteilergruppen falsche Inhalte haben, Scripte nicht mehr funktionieren, Datenzugriffe wegbrechen (Es gibt Anwendungen, die fragen das AD ab, um darüber intern Benutzer zu autentifizieren. Nicht selten sind diese Abfragen an bestimme OU's "festgenagelt"), dann ist das Geschrei groß und Du bist der Dumme.
Doku nicht vergessen!
Viel Spaß!
E.