AD: Weiterbetrieb Subdomain ohne übergeordnetem DC
Hallo Leute
Ich habe einen etwas eigenartigen Sonderfall, der weit weg von BestPractice ist, dennoch hätte ich gerne eure Meinung oder Erfahrung dazu:
Ein Kunde von uns hat eine Tochterfirma eines Konzerns gekauft. Die Server und Clients waren in einer Subdomain für die Tochterfirma zusammengefasst.
Step-by-Step haben wir nun auch schon den Großteil der Server und alle Clients in die neue Domain migriert. - Soweit so gut.
Nun gibt es aber den Fall, dass noch drei Server vorhanden sind, welche nicht so einfach in die neue Domain migriert werden können.
Aktuell funktioniert alles aufgrund der Domain-Trusts. Nachdem die Systeme in ca. einem Jahr ohnehin wegfallen sollen möchten wir uns die Migration und ca. 50.000€ dafür sparen.
Einen Domaincontroller welcher die Subdomain hält haben wir im Betrieb und in unserer "Gewalt".
Jetzt würde mich interessieren. Ist der DC weiterhin funktionsfähig auch wenn er die Verbindung zur übergeordneten Domain nicht mehr hat, weil die Leitung zum Mutterkonzern gekappt wird?
Hat jemand da Erfahrungen dazu?
Danke J.D.
Ich habe einen etwas eigenartigen Sonderfall, der weit weg von BestPractice ist, dennoch hätte ich gerne eure Meinung oder Erfahrung dazu:
Ein Kunde von uns hat eine Tochterfirma eines Konzerns gekauft. Die Server und Clients waren in einer Subdomain für die Tochterfirma zusammengefasst.
Step-by-Step haben wir nun auch schon den Großteil der Server und alle Clients in die neue Domain migriert. - Soweit so gut.
Nun gibt es aber den Fall, dass noch drei Server vorhanden sind, welche nicht so einfach in die neue Domain migriert werden können.
Aktuell funktioniert alles aufgrund der Domain-Trusts. Nachdem die Systeme in ca. einem Jahr ohnehin wegfallen sollen möchten wir uns die Migration und ca. 50.000€ dafür sparen.
Einen Domaincontroller welcher die Subdomain hält haben wir im Betrieb und in unserer "Gewalt".
Jetzt würde mich interessieren. Ist der DC weiterhin funktionsfähig auch wenn er die Verbindung zur übergeordneten Domain nicht mehr hat, weil die Leitung zum Mutterkonzern gekappt wird?
Hat jemand da Erfahrungen dazu?
Danke J.D.
Please also mark the comments that contributed to the solution of the article
Content-ID: 1138232100
Url: https://administrator.de/contentid/1138232100
Printed on: December 4, 2024 at 06:12 o'clock
11 Comments
Latest comment
Hi
Denke dran wenn es ein Konzern war das dort ggf ein KMS lief der jetzt nicht mehr zur Verfügung steht sprich in 180 Tagen will er das ja erneuern.
Das solltest du prüfen und ggf durch MAK ersetzten.
DNS Weiterleitung solltest du auch prüfen.
Was ggf heikel sein kann ist die Lizenzierung.
Aber wegen nem Jahr fraglich das glatt zu ziehen.
Mit freundlichen Grüßen Nemesis
Denke dran wenn es ein Konzern war das dort ggf ein KMS lief der jetzt nicht mehr zur Verfügung steht sprich in 180 Tagen will er das ja erneuern.
Das solltest du prüfen und ggf durch MAK ersetzten.
DNS Weiterleitung solltest du auch prüfen.
Was ggf heikel sein kann ist die Lizenzierung.
Aber wegen nem Jahr fraglich das glatt zu ziehen.
Mit freundlichen Grüßen Nemesis
Ist der DC weiterhin funktionsfähig auch wenn er die Verbindung zur übergeordneten Domain nicht mehr hat, weil die Leitung zum Mutterkonzern gekappt wird?
Kurz gesagt: Ja. Aber nur unter bestimmten Bedingungen.Zuerst benötigst Du aber min. einen weiteren DC für diese Domäne! Das würde ich in jedem Fall einrichten oder anfordern, bevor die Verbindung zur Stamm-Domäne gekappt wird.
Weiterhin benötigst Du DNS-Zonen mit allen relevanten Informationen über die Domänen, welche Eure DC's der Sub-Domäne nach der Trennung dann nutzen können.
Der DC mit dem PDC-Emulator der Sub-Domäne hat nach der Trennung keinen Kontakt mehr zum PDC der Stamm-Domäne. Also muss (sollte) dieser PDC explizit mit einem NTP konfiguriert werden.
Min. einer Eurer DC's der Sub-Domäne muss Global Catalog sein.
Ihr solltet eine direkte Vertrauensstellung zwischen Eurer "großen" und der Sub-Domäne erstellen. (nicht über Forest)
Ihr solltet vor der Trennung der Verbindung in der eine eigene Gruppe "Organisations-Admins" anlegen, mit Euren Konten als Mitglieder. Dann solltet Ihr ein Script vorbereiten, welches die ACL's aller Objekte aller Partitionen analysiert, und ggf. darin die Berechtigungen der "echten" Organisations-Admins durch Eure neue Gruppe mit gleichen Rechten ergänzt. Dieses Script lasst Ihr am Tag der Trennung nach der Trennung von einem Admin der alten Firma (Mitglied der "echten" Organisations-Admins) auf euren DC's ausführen.
Ich würde es aber mit Macht anstreben, die verbleibenden 3 Server vorher zu migrieren.
Naja, beschi**ene Application für Anlagensteuerungen welche sich lt. Hersteller nicht einfach migrieren lässt und ein komplett neues Deployment inkl. Neuanbindung der Anlagen notwendig macht.
Was man Dir auch ganz genau erklärt und belegt hat?Ich hatte schon Fälle, wo es bei der "komplexen" Software ausreichend war, den Server aus der Domäne austreten zu lassen und dann anschließen nach dem Neustart in eine Domäne mit gleichem Name im neuen Forest wieder beizutreten. In diesen Anwendungen sind dann keine ObjektGUID oder SID's gespeichert, sondern einfach Anmeldenamen für NTLM oder UPN oder Distinguished Names oder gar einfach nur Email-Adressen. Wenn man die Passwörter kennt, dann kann man die Konten in der neuen Domäne nachbauen.
Dieses Verfahren geht dann u.U. sogar dann, wenn es auf Domain-FQDN oder den Distinguished Name ankommt. Allerdings dann erst nach dem Entfernen aller Vertrauensstellungen zur alten Umgebung. Sowas müsste man dann vorher in einer Test-Umgebung mit Klonen der echten Server nachstellen und ausprobieren.
Die Kosten und Risiken einer Umstellung wegen einem halben Jahr bis Jahr auf sich zu nehmen wäre unwirtschaftlich.
Nichts ist so dauerhaft wie ein Provisorium!
Moin,
eine Ergänzung zu dem, was Kollege @emeriks geschrieben hat. Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen. Danach darf er aber die Hauptdomain nie wieder sehen.
Aber ob das rund läuft? Ich wage das zu bezweifeln. Und wenn man bei MS im TechNet-Forum guckt, dann liest man, dass es nicht geht.
Liebe Grüße
Erik
eine Ergänzung zu dem, was Kollege @emeriks geschrieben hat. Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen. Danach darf er aber die Hauptdomain nie wieder sehen.
Aber ob das rund läuft? Ich wage das zu bezweifeln. Und wenn man bei MS im TechNet-Forum guckt, dann liest man, dass es nicht geht.
Liebe Grüße
Erik
Moin,
habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Anschließend die drei Server aus der Subdomain raus und in die neue Domain aufnehmen.
WICHTIG!
Vorher Dateisysteme auf irgendwelche ACLs prüfen. Nicht, dass da irgendwo irgendwelche Schreib/-Leserechte benötigt werden - nichts ist so beständig wie eine SID.
Ggf. mit dem ADMT-Tool die Objekte aus der Subdomain ex und in die neue Domain importieren.
Ggf. vorher mal alles "trocken" in einer VM-Landschaft testen - sofern möglich.
per VEEAM einen der drei Burschen sichern und exportieren und als M wieder auferstehen lassen...
Danach obiges durchspielen.
Gruß
em-pie
habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Anschließend die drei Server aus der Subdomain raus und in die neue Domain aufnehmen.
WICHTIG!
Vorher Dateisysteme auf irgendwelche ACLs prüfen. Nicht, dass da irgendwo irgendwelche Schreib/-Leserechte benötigt werden - nichts ist so beständig wie eine SID.
Ggf. mit dem ADMT-Tool die Objekte aus der Subdomain ex und in die neue Domain importieren.
Ggf. vorher mal alles "trocken" in einer VM-Landschaft testen - sofern möglich.
per VEEAM einen der drei Burschen sichern und exportieren und als M wieder auferstehen lassen...
Danach obiges durchspielen.
Gruß
em-pie
Zitat von @em-pie:
habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Hatte ich ja schon erwähnt. So könnte man versuchen. Das hängt aber davon ab, wie die Abhängigkeit dieser 3 Server von der Domäne tatsächlich begründet ist.habe das Konstrukt selbst noch nicht "erleben dürfen", aber wäre es nicht eine Option, wenn ihr bei euch eine eigene Domain aufbaut, die exakt so heisst, wie die Subdomain?
Ggf. mit dem ADMT-Tool die Objekte aus der Subdomain ex und in die neue Domain importieren.
Das geht nicht, wenn beide gleich heißen. Da müsste man über eine dritte Domäne als Zwischenstation gehen.Zitat von @erikro:
Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen.
Korrekt. Das hatte ich ganz vergessen. Wobei nicht ganz so wichtig, weil da ja in dieser Richtung nichts mehr passieren wird. Das hoffe ich doch!Ich würde auch, nachdem die Subdomain endgültig von der Hauptdomain getrennt wurde, die beiden FSMOs Schema-Master und Domainnamemaster auf dem DC der Subdomain erzwingen.