3
ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)?
Hallo,
ich bin momentan in der Findungsphase für ein Tool, mit dem eine Domainmigration am problemlosesten möglich ist.
Vielleicht kann mir jemand einen Tipp geben, auf was ich prinzipiell achten sollte sollte und hat vielleicht einen
weiterführenden Link zu einer Informationsquelle?
Dazu ein paar Fragen, vielleicht hat jemand Ideen.
Ist-Situation:
Zwei Domains mit bestehender Vertrauensstellung.
Domain.neu ist die Domain mit den meisten Objekten und bleibt erhalten.
Domain.alt soll komplett in Domain.neu integriert werden.
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu bereits benutzen
und auf Shares zugreifen müssen. Trotzdem melden sich die Benutzer aus Domain.alt noch an Domain.alt an, dort liegen auch die User-Profile.
___
ADMT wird auf dem Domaincontroller der Domain.alt installiert und soll folgende Objekte migrieren:
- Gruppen
- Benutzer
- Computer (Workstation und Server)
- NTFS-Rechte
- Benutzerprofile
Jetzt bin ich (unter anderem) mit folgendem Problem konfrontiert:
Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?
Für Bemerkungen und Anregungen wäre ich sehr dankbar.
Gruß
BB
ich bin momentan in der Findungsphase für ein Tool, mit dem eine Domainmigration am problemlosesten möglich ist.
Vielleicht kann mir jemand einen Tipp geben, auf was ich prinzipiell achten sollte sollte und hat vielleicht einen
weiterführenden Link zu einer Informationsquelle?
Dazu ein paar Fragen, vielleicht hat jemand Ideen.
Ist-Situation:
Zwei Domains mit bestehender Vertrauensstellung.
Domain.neu ist die Domain mit den meisten Objekten und bleibt erhalten.
Domain.alt soll komplett in Domain.neu integriert werden.
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu bereits benutzen
und auf Shares zugreifen müssen. Trotzdem melden sich die Benutzer aus Domain.alt noch an Domain.alt an, dort liegen auch die User-Profile.
___
ADMT wird auf dem Domaincontroller der Domain.alt installiert und soll folgende Objekte migrieren:
- Gruppen
- Benutzer
- Computer (Workstation und Server)
- NTFS-Rechte
- Benutzerprofile
Jetzt bin ich (unter anderem) mit folgendem Problem konfrontiert:
Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?
Für Bemerkungen und Anregungen wäre ich sehr dankbar.
Gruß
BB
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133375
Url: https://administrator.de/contentid/133375
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
3 Kommentare
Neuester Kommentar
Servus,
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...
Es werden keine "doppelten" Konten erstellt, sondern garkeine! Denn wenn die neuen Benutzer in der neuen Domäne gleich lauten
und die gleichen Datennamen beinhalten, schlägt ADMT fehl. Genau darauf zielte ich oben. Mit dieser Variante so wie du es gewählt hast,
hast du noch viel zu tun und das auch noch unnötig. Du könntest jetzt zwar noch mit ADMT die Computerkonten migrieren und hättest dann
die Clients in der neuen Domäne, doch somit gehen die alle Profile auf den Clients verloren.
Idealerweise hätte man die Benutzer-, Gruppen- und Computerkonten mit ADMT migriert und im Falle von Exchange eine
INTER-ORG Migration durchgeführt, falls ebenfalls in der Quell-Domäne Exchange bereits eingesetzt wurde. Somit hättest du mit "einfachen"
und kostenlosen Mitteln die Migration vollzogen.
Wenn du es luxeriöser haben möchtest, könntest du die Migrationswerkzeuge von Quest einsetzen.
Kosten zwar für die Domänen- (ca. 12 Euro pro User) sowie Exchange-Migration (ca. 13 Euro pro Postfach) paar Euros, aber dafür hättest du
ein einfaches und komfortables Werkzeug, um die schwierige Aufgabe (eine Migration durchführen) mit großem Erfolg zu bewerkstelligen.
Was die Domänenmigration betrifft, wirf einen Blick hierauf:
[LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen]
http://blog.dikmenoglu.de/Eine+Dom%c3%a4nenmigration+Durchf%c3%bchren.a ...
Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff auf die Ressource bekommt.
Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.
Zum Migrieren der Benutzerprofile musst du im ersten Schritt den Benutzer und im zweiten, den Client migrieren.
Beim zweiten Schritt "übersetzt" man die lokalen Ressourcen (Profile, lokale Drucker etc).
Viele Grüße
/ > Yusuf Dikmenoglu
Zitat von @Bytebeast:
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu
bereits benutzen und auf Shares zugreifen müssen.
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu
bereits benutzen und auf Shares zugreifen müssen.
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...
Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten
Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?
Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?
Es werden keine "doppelten" Konten erstellt, sondern garkeine! Denn wenn die neuen Benutzer in der neuen Domäne gleich lauten
und die gleichen Datennamen beinhalten, schlägt ADMT fehl. Genau darauf zielte ich oben. Mit dieser Variante so wie du es gewählt hast,
hast du noch viel zu tun und das auch noch unnötig. Du könntest jetzt zwar noch mit ADMT die Computerkonten migrieren und hättest dann
die Clients in der neuen Domäne, doch somit gehen die alle Profile auf den Clients verloren.
Idealerweise hätte man die Benutzer-, Gruppen- und Computerkonten mit ADMT migriert und im Falle von Exchange eine
INTER-ORG Migration durchgeführt, falls ebenfalls in der Quell-Domäne Exchange bereits eingesetzt wurde. Somit hättest du mit "einfachen"
und kostenlosen Mitteln die Migration vollzogen.
Wenn du es luxeriöser haben möchtest, könntest du die Migrationswerkzeuge von Quest einsetzen.
Kosten zwar für die Domänen- (ca. 12 Euro pro User) sowie Exchange-Migration (ca. 13 Euro pro Postfach) paar Euros, aber dafür hättest du
ein einfaches und komfortables Werkzeug, um die schwierige Aufgabe (eine Migration durchführen) mit großem Erfolg zu bewerkstelligen.
Was die Domänenmigration betrifft, wirf einen Blick hierauf:
[LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen]
http://blog.dikmenoglu.de/Eine+Dom%c3%a4nenmigration+Durchf%c3%bchren.a ...
Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff auf die Ressource bekommt.
Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.
Zum Migrieren der Benutzerprofile musst du im ersten Schritt den Benutzer und im zweiten, den Client migrieren.
Beim zweiten Schritt "übersetzt" man die lokalen Ressourcen (Profile, lokale Drucker etc).
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo und danke für deine Einschätzung und die umfangreiche Antwort..
Das ist der Zustand, bei dem ich jetzt eingestiegen bin und war schon so.
Ich bin Teil eines Teams, welches eine Migration bisher noch nicht durchgeführt hat.
Die Accounts, die bereits in der neuen Domain erstellt wurden, haben nicht den gleichen Namen.
Momentan ist es so, dass sich die User aus der alten Domain mit den Accountdaten aus der neuen
Anmelden müssen (Doppelanmeldung), um auf Daten zuzugreifen.
Soweit ich es verstanden haben wird also in diesem Fall ein (wie du bereits erwähntest) neues Benutzerkonto + SID in der neuen Domain erstellt.
Damit hätte jeder user 2 Accounts, einmal den alten Account inklusive SIDHistory und den bereits bestehenden. Da die bereits bestehenden
Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....
Gruß
BB
Ich habe mir deinen Blog durchgelesen und fand ihn sehr informativ. Momentan lese ich das Whitepaper zur Migration mit ADMT (V 3.0)
> Zitat von @Bytebeast:
> ----
> In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in
Domain.neu
> bereits benutzen und auf Shares zugreifen müssen.
Zitat von @Yusuf-Dikmenoglu:
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...
> ----
> In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in
Domain.neu
> bereits benutzen und auf Shares zugreifen müssen.
Zitat von @Yusuf-Dikmenoglu:
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...
Das ist der Zustand, bei dem ich jetzt eingestiegen bin und war schon so.
Ich bin Teil eines Teams, welches eine Migration bisher noch nicht durchgeführt hat.
Die Accounts, die bereits in der neuen Domain erstellt wurden, haben nicht den gleichen Namen.
Momentan ist es so, dass sich die User aus der alten Domain mit den Accountdaten aus der neuen
Anmelden müssen (Doppelanmeldung), um auf Daten zuzugreifen.
Soweit ich es verstanden haben wird also in diesem Fall ein (wie du bereits erwähntest) neues Benutzerkonto + SID in der neuen Domain erstellt.
Damit hätte jeder user 2 Accounts, einmal den alten Account inklusive SIDHistory und den bereits bestehenden. Da die bereits bestehenden
Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....
Gruß
BB
Ich habe mir deinen Blog durchgelesen und fand ihn sehr informativ. Momentan lese ich das Whitepaper zur Migration mit ADMT (V 3.0)
Zitat von @Bytebeast:
Da die bereits bestehenden Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory
and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....
Da die bereits bestehenden Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory
and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....
Das funktioniert nicht. Das funktioniert lediglich wenn die Migration mit einem Werkzeug wie ADMT oder Quest durchgeführt wird.
Ein nachträgliches händisches setzen der sIDHistory in den neuen Benutzerkonten geht nicht.
Gruß, Yusuf Dikmenoglu
