joedevlin
Goto Top

Domänencontroller als DC in neue Domäne bringen

Hallo zusammen,

wir befinden uns gerade in der Planungsphase für die Integration einer "kleinen" AD-Domäne in die Root-Domäne, so dass es anschließend nur noch eine Domäne gibt.

Folgendes Szenario:

Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local

dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.

Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen. Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.

Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?

Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.

Vielen Dank schonmal!

Content-ID: 311022

Url: https://administrator.de/contentid/311022

Ausgedruckt am: 14.11.2024 um 07:11 Uhr

agowa338
agowa338 28.07.2016 um 05:47:16 Uhr
Goto Top
Direkt von Microsoft gibt's die Informationen hier und hier

Ich würde dir zusätzlich auch die Umstellung von .local auf z. B. .de als TLD empfehlen. Außerdem solltest du dir, falls du keine geeignete Testumgebung hast eventuell einen Dienstleister mit Erfahrung auf diesem Gebiet beauftragen.
JoeDevlin
JoeDevlin 28.07.2016 um 07:03:02 Uhr
Goto Top
Zitat von @agowa338:

Direkt von Microsoft gibt's die Informationen hier und hier

Ja, ich führe die Migration mit ADMT durch und alle Tests waren erfolgreich, auch kenne ich natürlich den ADMT-Guide. Ich finde dort aber nicht meine Frage beantwortet, da auf die Nutzung des Domänencontroller nach der Herunterstufung nicht eingegangen wird. (oder ich habe es überlesen)

Ich würde dir zusätzlich auch die Umstellung von .local auf z. B. .de als TLD empfehlen.

Wir haben .de-Domänen, aber ich stelle mir die Frage, wie ich das "umstellen" sollte?

Vielen Dank!
iAmbricksta
iAmbricksta 28.07.2016 um 08:46:32 Uhr
Goto Top
Zitat von @JoeDevlin:



Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local

dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.


Moin,

warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.

mfg

Bricksta
JoeDevlin
JoeDevlin 28.07.2016 um 08:55:37 Uhr
Goto Top
Zitat von @iAmbricksta:
warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.

Es handelt sich um einen Standort mit einem physikalischen Server, aber das Konzept soll nicht Bestandteil der Diskussion sein und in diesem Fall als gegeben hingenommen werden.
emeriks
emeriks 28.07.2016 um 08:58:13 Uhr
Goto Top
Hi,
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver.
Es gibt schlimmeres ... face-wink

Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen.
Korrekt. Jedoch, warum wieder hochstufen? Ist das ein eigenere Standort? Wenn nein, dann reichen die 2 DC der Hauptdomäne i.A. aus.

Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Wenn die das tatsächlich so gesagt haben, dann schnell einen anderen Dienstleister suchen!

Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.

Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Zu spät .... face-wink

E.
JoeDevlin
JoeDevlin 28.07.2016 um 09:04:41 Uhr
Goto Top
Zitat von @emeriks:
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen.
Korrekt. Jedoch, warum wieder hochstufen? Ist das ein eigenere Standort? Wenn nein, dann reichen die 2 DC der Hauptdomäne i.A. aus.

Es ist ein kleiner eigener Standort, ein DC wird vor Ort jedoch zwingend benötigt, daher auch die Problematik.

Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Wenn die das tatsächlich so gesagt haben, dann schnell einen anderen Dienstleister suchen!

Ich habe mich über diese Aussage auch sehr gewundert und würde gerne Deinen Standpunkt (der meinem entspricht) mit offiziellem Microsoftinformationen untermauern, leider finde ich dazu nichts.

Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.

Die Domäne KLEIN hat noch einen weiteren DC an einem anderen kleinen Standort mit ähnlichen Funktionen auf dem Server sowie einen virtuellen DC am Hauptstandort, der als letztes aus der Domäne genommen werden soll um die Domäne vollständig aufzulösen. Wenn ich also den besagten DC von der einen in die anderen Domäne bringe, dann sollten NTFS-Berechtigungen so weiterhin funktionieren. DNS & co. muss ich natürlich ordentlich einrichten (bedingte Weiterleitung, etc.), aber das ist unproblematisch.

Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Zu spät .... face-wink

face-wink
departure69
Lösung departure69 28.07.2016 aktualisiert um 09:19:38 Uhr
Goto Top
@redhorse:

Hallo.

Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf

Quark. Größter Quark. Ich vermute, die kennen nur den SBS. Und nur bei dem ist es tatsächlich so, daß im Migrationszenario, nach Übergabe der 5 FSMO an einen neuen DC der SBS noch max. 21 Tage laufen darf, um die restl. Migrationsarbeiten zu erledigen. Nach 21 Tagen muß er dann aber wirklich runtergefahren werden und darf im selben Netzwerk nicht mehr in Betrieb genommen werden.

Aber das hat nichts mit herunterstufen zu tun (einen SBS kann man gar nicht wirksam herunterstufen). Wie gesagt, die verwechseln da was.

Ich kann Dir jedenfalls diesbezüglich den Rücken stärken: Einen demoteten DC nur noch als Memberserver weiterzubetreiben, habe ich schon oft erfolgreich (und danach über Jahre so am Laufen) durchgeführt. Belastbare Microsoft-Links habe ich jedoch leider keine dazu.


Viele Grüße

von

departure69
St-Andreas
Lösung St-Andreas 28.07.2016 um 09:34:51 Uhr
Goto Top
Hallo,

Das klingt nach einem ehenaligen Arbeitgeber von mir. Aussage von MS dazu
https://download.microsoft.com/download/7/2/6/726427fe-7238-459f-9339-40 ...

Zitat
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen:
•​Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
•​Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
•​Installieren Sie Active Directory oder AD DS erneut.
JoeDevlin
JoeDevlin 28.07.2016 um 10:34:55 Uhr
Goto Top
Vielen Dank für eure Antworten St-Andreas und departure69, damit habt ihr mir SEHR weitergeholfen!
St-Andreas
St-Andreas 28.07.2016 um 10:37:43 Uhr
Goto Top
Gerne. Mein persönlicher Tip: Such Dir einen anderen Partner. Die Aussage klingt so dermassen nach
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.
JoeDevlin
JoeDevlin 28.07.2016 um 10:51:12 Uhr
Goto Top
Zitat von @St-Andreas:
Gerne. Mein persönlicher Tip: Such Dir einen anderen Partner. Die Aussage klingt so dermassen nach
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.

Ich habe bereits Erfahrungen mit dem Dienstleister und auch genau mit so einem Projekt, ich glaube hier sind wir einfach an den falschen Mitarbeiter geraten, was aber natürlich auch nicht für den Dienstleister spricht. Grundsätzlich benötigen wir auch nur punktuell Unterstützung, insbesondere bei unvorhersehbaren Problemen, ansonsten führen wir die Migration selbst durch. Ich werde aber natürlich dennoch nun das Gespräch suchen.
emeriks
emeriks 28.07.2016 um 11:10:32 Uhr
Goto Top
Ich habe mich über diese Aussage auch sehr gewundert und würde gerne Deinen Standpunkt (der meinem entspricht) mit offiziellem Microsoftinformationen untermauern, leider finde ich dazu nichts.
Reichen 17 Jahre Erfahrung mit AD als Argument aus?
JoeDevlin
JoeDevlin 29.07.2016 um 08:50:57 Uhr
Goto Top
Zu der Migration fällt mir dann noch eine Sache ein:

Mein geplantes Vorgehen wäre nach Migration der Gruppen, Benutzer und Computer den DC der alten Domäne als vorletztes (als letztes wird ein standalone DC heruntergestuft und die Domäne aufgelöst) herunterzustufen und zuerst als Memberserver der neuen Domäne hinzuzufügen. Sollte ich das reacl (es ist ja ein Fileserver) besser vor dem Hochstufen als DC der neuen Domäne durchführen? Oder ist das reacl auf einem DC unterstützt?