john-doe
Goto Top

AD: Weiterbetrieb Subdomain ohne übergeordnetem DC

Hallo Leute face-smile

Ich habe einen etwas eigenartigen Sonderfall, der weit weg von BestPractice ist, dennoch hätte ich gerne eure Meinung oder Erfahrung dazu:

Ein Kunde von uns hat eine Tochterfirma eines Konzerns gekauft. Die Server und Clients waren in einer Subdomain für die Tochterfirma zusammengefasst.
Step-by-Step haben wir nun auch schon den Großteil der Server und alle Clients in die neue Domain migriert. - Soweit so gut.
Nun gibt es aber den Fall, dass noch drei Server vorhanden sind, welche nicht so einfach in die neue Domain migriert werden können.
Aktuell funktioniert alles aufgrund der Domain-Trusts. Nachdem die Systeme in ca. einem Jahr ohnehin wegfallen sollen möchten wir uns die Migration und ca. 50.000€ dafür sparen.

Einen Domaincontroller welcher die Subdomain hält haben wir im Betrieb und in unserer "Gewalt".
Jetzt würde mich interessieren. Ist der DC weiterhin funktionsfähig auch wenn er die Verbindung zur übergeordneten Domain nicht mehr hat, weil die Leitung zum Mutterkonzern gekappt wird?

Hat jemand da Erfahrungen dazu?

Danke J.D.

Content-ID: 1138232100

Url: https://administrator.de/contentid/1138232100

Printed on: December 4, 2024 at 06:12 o'clock

Mystery-at-min
Mystery-at-min Aug 09, 2021 at 12:17:00 (UTC)
Goto Top
Würde vorschlagen, packt die Server und den DC in eurer Gewalt in ein abgeschlossenes Netz und probiert es aus. Es gilt immer: Je nach dem.
john-doe
john-doe Aug 09, 2021 at 12:25:57 (UTC)
Goto Top
Hi, danke.
Ja ein paar Wochen lang liefs ganz gut ohne Probleme. Meine Befürchtung ist halt irgend ein Zeitpunkt wo es dann nicht mehr geht weil was abläuft an das ich vielleicht nicht gedacht habe.
nEmEsIs
nEmEsIs Aug 09, 2021 at 13:12:10 (UTC)
Goto Top
Hi

Denke dran wenn es ein Konzern war das dort ggf ein KMS lief der jetzt nicht mehr zur Verfügung steht sprich in 180 Tagen will er das ja erneuern.
Das solltest du prüfen und ggf durch MAK ersetzten.
DNS Weiterleitung solltest du auch prüfen.
Was ggf heikel sein kann ist die Lizenzierung.
Aber wegen nem Jahr fraglich das glatt zu ziehen.


Mit freundlichen Grüßen Nemesis
emeriks
emeriks Aug 09, 2021 at 13:53:31 (UTC)
Goto Top
Nun gibt es aber den Fall, dass noch drei Server vorhanden sind, welche nicht so einfach in die neue Domain migriert werden können.
Warum nicht?

E.
emeriks
Solution emeriks Aug 09, 2021 at 14:08:17 (UTC)
Goto Top
Ist der DC weiterhin funktionsfähig auch wenn er die Verbindung zur übergeordneten Domain nicht mehr hat, weil die Leitung zum Mutterkonzern gekappt wird?
Kurz gesagt: Ja. Aber nur unter bestimmten Bedingungen.

Zuerst benötigst Du aber min. einen weiteren DC für diese Domäne! Das würde ich in jedem Fall einrichten oder anfordern, bevor die Verbindung zur Stamm-Domäne gekappt wird.

Weiterhin benötigst Du DNS-Zonen mit allen relevanten Informationen über die Domänen, welche Eure DC's der Sub-Domäne nach der Trennung dann nutzen können.

Der DC mit dem PDC-Emulator der Sub-Domäne hat nach der Trennung keinen Kontakt mehr zum PDC der Stamm-Domäne. Also muss (sollte) dieser PDC explizit mit einem NTP konfiguriert werden.

Min. einer Eurer DC's der Sub-Domäne muss Global Catalog sein.

Ihr solltet eine direkte Vertrauensstellung zwischen Eurer "großen" und der Sub-Domäne erstellen. (nicht über Forest)

Ihr solltet vor der Trennung der Verbindung in der eine eigene Gruppe "Organisations-Admins" anlegen, mit Euren Konten als Mitglieder. Dann solltet Ihr ein Script vorbereiten, welches die ACL's aller Objekte aller Partitionen analysiert, und ggf. darin die Berechtigungen der "echten" Organisations-Admins durch Eure neue Gruppe mit gleichen Rechten ergänzt. Dieses Script lasst Ihr am Tag der Trennung nach der Trennung von einem Admin der alten Firma (Mitglied der "echten" Organisations-Admins) auf euren DC's ausführen.


Ich würde es aber mit Macht anstreben, die verbleibenden 3 Server vorher zu migrieren.
john-doe
john-doe Aug 09, 2021 at 14:13:09 (UTC)
Goto Top
Zitat von @emeriks:

Nun gibt es aber den Fall, dass noch drei Server vorhanden sind, welche nicht so einfach in die neue Domain migriert werden können.
Warum nicht?

E.
Naja, beschi**ene Application für Anlagensteuerungen welche sich lt. Hersteller nicht einfach migrieren lässt und ein komplett neues Deployment inkl. Neuanbindung der Anlagen notwendig macht. Die Kosten und Risiken einer Umstellung wegen einem halben Jahr bis Jahr auf sich zu nehmen wäre unwirtschaftlich.

LG
emeriks
emeriks Aug 09, 2021 at 14:21:39 (UTC)
Goto Top
Naja, beschi**ene Application für Anlagensteuerungen welche sich lt. Hersteller nicht einfach migrieren lässt und ein komplett neues Deployment inkl. Neuanbindung der Anlagen notwendig macht.
Was man Dir auch ganz genau erklärt und belegt hat?
Ich hatte schon Fälle, wo es bei der "komplexen" Software ausreichend war, den Server aus der Domäne austreten zu lassen und dann anschließen nach dem Neustart in eine Domäne mit gleichem Name im neuen Forest wieder beizutreten. In diesen Anwendungen sind dann keine ObjektGUID oder SID's gespeichert, sondern einfach Anmeldenamen für NTLM oder UPN oder Distinguished Names oder gar einfach nur Email-Adressen. Wenn man die Passwörter kennt, dann kann man die Konten in der neuen Domäne nachbauen.
Dieses Verfahren geht dann u.U. sogar dann, wenn es auf Domain-FQDN oder den Distinguished Name ankommt. Allerdings dann erst nach dem Entfernen aller Vertrauensstellungen zur alten Umgebung. Sowas müsste man dann vorher in einer Test-Umgebung mit Klonen der echten Server nachstellen und ausprobieren.

Die Kosten und Risiken einer Umstellung wegen einem halben Jahr bis Jahr auf sich zu nehmen wäre unwirtschaftlich.
Nichts ist so dauerhaft wie ein Provisorium!
erikro
erikro Aug 09, 2021 at 15:51:54 (UTC)
Goto Top
Moin,

eine Ergänzung zu dem, was Kollege @emeriks geschrieben hat. Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen. Danach darf er aber die Hauptdomain nie wieder sehen.

Aber ob das rund läuft? Ich wage das zu bezweifeln. Und wenn man bei MS im TechNet-Forum guckt, dann liest man, dass es nicht geht.

Liebe Grüße

Erik
em-pie
em-pie Aug 09, 2021 at 18:48:08 (UTC)
Goto Top
Moin,

habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Anschließend die drei Server aus der Subdomain raus und in die neue Domain aufnehmen.

WICHTIG!
Vorher Dateisysteme auf irgendwelche ACLs prüfen. Nicht, dass da irgendwo irgendwelche Schreib/-Leserechte benötigt werden - nichts ist so beständig wie eine SID.
Ggf. mit dem ADMT-Tool die Objekte aus der Subdomain ex und in die neue Domain importieren.

Ggf. vorher mal alles "trocken" in einer VM-Landschaft testen - sofern möglich.
per VEEAM einen der drei Burschen sichern und exportieren und als M wieder auferstehen lassen...
Danach obiges durchspielen.

Gruß
em-pie
emeriks
emeriks Aug 10, 2021 at 06:06:47 (UTC)
Goto Top
Zitat von @em-pie:
habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Hatte ich ja schon erwähnt. So könnte man versuchen. Das hängt aber davon ab, wie die Abhängigkeit dieser 3 Server von der Domäne tatsächlich begründet ist.
Ggf. mit dem ADMT-Tool die Objekte aus der Subdomain ex und in die neue Domain importieren.
Das geht nicht, wenn beide gleich heißen. Da müsste man über eine dritte Domäne als Zwischenstation gehen.
emeriks
emeriks Aug 10, 2021 updated at 06:08:26 (UTC)
Goto Top
Zitat von @erikro:
Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen.
Korrekt. Das hatte ich ganz vergessen. Wobei nicht ganz so wichtig, weil da ja in dieser Richtung nichts mehr passieren wird. Das hoffe ich doch!