13
Domänencontroller als DC in neue Domäne bringen
Hallo zusammen,
wir befinden uns gerade in der Planungsphase für die Integration einer "kleinen" AD-Domäne in die Root-Domäne, so dass es anschließend nur noch eine Domäne gibt.
Folgendes Szenario:
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen. Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Vielen Dank schonmal!
wir befinden uns gerade in der Planungsphase für die Integration einer "kleinen" AD-Domäne in die Root-Domäne, so dass es anschließend nur noch eine Domäne gibt.
Folgendes Szenario:
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen. Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Vielen Dank schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311022
Url: https://administrator.de/contentid/311022
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
Ja, ich führe die Migration mit ADMT durch und alle Tests waren erfolgreich, auch kenne ich natürlich den ADMT-Guide. Ich finde dort aber nicht meine Frage beantwortet, da auf die Nutzung des Domänencontroller nach der Herunterstufung nicht eingegangen wird. (oder ich habe es überlesen)
Ich würde dir zusätzlich auch die Umstellung von .local auf z. B. .de als TLD empfehlen.
Wir haben .de-Domänen, aber ich stelle mir die Frage, wie ich das "umstellen" sollte?
Vielen Dank!
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Moin,
warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.
mfg
Bricksta
Zitat von @iAmbricksta:
warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.
warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.
Es handelt sich um einen Standort mit einem physikalischen Server, aber das Konzept soll nicht Bestandteil der Diskussion sein und in diesem Fall als gegeben hingenommen werden.
Hi,
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
E.
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver.
Es gibt schlimmeres ... Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen.
Korrekt. Jedoch, warum wieder hochstufen? Ist das ein eigenere Standort? Wenn nein, dann reichen die 2 DC der Hauptdomäne i.A. aus.Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Wenn die das tatsächlich so gesagt haben, dann schnell einen anderen Dienstleister suchen!Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Zu spät .... E.
Zitat von @emeriks:
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen.
Korrekt. Jedoch, warum wieder hochstufen? Ist das ein eigenere Standort? Wenn nein, dann reichen die 2 DC der Hauptdomäne i.A. aus.Es ist ein kleiner eigener Standort, ein DC wird vor Ort jedoch zwingend benötigt, daher auch die Problematik.
Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Wenn die das tatsächlich so gesagt haben, dann schnell einen anderen Dienstleister suchen!Ich habe mich über diese Aussage auch sehr gewundert und würde gerne Deinen Standpunkt (der meinem entspricht) mit offiziellem Microsoftinformationen untermauern, leider finde ich dazu nichts.
Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
Die Domäne KLEIN hat noch einen weiteren DC an einem anderen kleinen Standort mit ähnlichen Funktionen auf dem Server sowie einen virtuellen DC am Hauptstandort, der als letztes aus der Domäne genommen werden soll um die Domäne vollständig aufzulösen. Wenn ich also den besagten DC von der einen in die anderen Domäne bringe, dann sollten NTFS-Berechtigungen so weiterhin funktionieren. DNS & co. muss ich natürlich ordentlich einrichten (bedingte Weiterleitung, etc.), aber das ist unproblematisch.
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Zu spät .... 
@redhorse:
Hallo.
Quark. Größter Quark. Ich vermute, die kennen nur den SBS. Und nur bei dem ist es tatsächlich so, daß im Migrationszenario, nach Übergabe der 5 FSMO an einen neuen DC der SBS noch max. 21 Tage laufen darf, um die restl. Migrationsarbeiten zu erledigen. Nach 21 Tagen muß er dann aber wirklich runtergefahren werden und darf im selben Netzwerk nicht mehr in Betrieb genommen werden.
Aber das hat nichts mit herunterstufen zu tun (einen SBS kann man gar nicht wirksam herunterstufen). Wie gesagt, die verwechseln da was.
Ich kann Dir jedenfalls diesbezüglich den Rücken stärken: Einen demoteten DC nur noch als Memberserver weiterzubetreiben, habe ich schon oft erfolgreich (und danach über Jahre so am Laufen) durchgeführt. Belastbare Microsoft-Links habe ich jedoch leider keine dazu.
Viele Grüße
von
departure69
Hallo.
Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf
Quark. Größter Quark. Ich vermute, die kennen nur den SBS. Und nur bei dem ist es tatsächlich so, daß im Migrationszenario, nach Übergabe der 5 FSMO an einen neuen DC der SBS noch max. 21 Tage laufen darf, um die restl. Migrationsarbeiten zu erledigen. Nach 21 Tagen muß er dann aber wirklich runtergefahren werden und darf im selben Netzwerk nicht mehr in Betrieb genommen werden.
Aber das hat nichts mit herunterstufen zu tun (einen SBS kann man gar nicht wirksam herunterstufen). Wie gesagt, die verwechseln da was.
Ich kann Dir jedenfalls diesbezüglich den Rücken stärken: Einen demoteten DC nur noch als Memberserver weiterzubetreiben, habe ich schon oft erfolgreich (und danach über Jahre so am Laufen) durchgeführt. Belastbare Microsoft-Links habe ich jedoch leider keine dazu.
Viele Grüße
von
departure69
Hallo,
Das klingt nach einem ehenaligen Arbeitgeber von mir. Aussage von MS dazu
https://download.microsoft.com/download/7/2/6/726427fe-7238-459f-9339-40 ...
Zitat
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen:
•Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
•Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
•Installieren Sie Active Directory oder AD DS erneut.
Das klingt nach einem ehenaligen Arbeitgeber von mir. Aussage von MS dazu
https://download.microsoft.com/download/7/2/6/726427fe-7238-459f-9339-40 ...
Zitat
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen:
•Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
•Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
•Installieren Sie Active Directory oder AD DS erneut.
Vielen Dank für eure Antworten St-Andreas und departure69, damit habt ihr mir SEHR weitergeholfen!
Gerne. Mein persönlicher Tip: Such Dir einen anderen Partner. Die Aussage klingt so dermassen nach
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.
Zitat von @St-Andreas:
Gerne. Mein persönlicher Tip: Such Dir einen anderen Partner. Die Aussage klingt so dermassen nach
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.
Gerne. Mein persönlicher Tip: Such Dir einen anderen Partner. Die Aussage klingt so dermassen nach
"Hab ich keine Erfahrung mit, deswegen erstmal behaupten das das nicht geht".
Mich würde ja mal die Begründung des Partners interessieren.
Ich habe bereits Erfahrungen mit dem Dienstleister und auch genau mit so einem Projekt, ich glaube hier sind wir einfach an den falschen Mitarbeiter geraten, was aber natürlich auch nicht für den Dienstleister spricht. Grundsätzlich benötigen wir auch nur punktuell Unterstützung, insbesondere bei unvorhersehbaren Problemen, ansonsten führen wir die Migration selbst durch. Ich werde aber natürlich dennoch nun das Gespräch suchen.
Ich habe mich über diese Aussage auch sehr gewundert und würde gerne Deinen Standpunkt (der meinem entspricht) mit offiziellem Microsoftinformationen untermauern, leider finde ich dazu nichts.
Reichen 17 Jahre Erfahrung mit AD als Argument aus?
Zu der Migration fällt mir dann noch eine Sache ein:
Mein geplantes Vorgehen wäre nach Migration der Gruppen, Benutzer und Computer den DC der alten Domäne als vorletztes (als letztes wird ein standalone DC heruntergestuft und die Domäne aufgelöst) herunterzustufen und zuerst als Memberserver der neuen Domäne hinzuzufügen. Sollte ich das reacl (es ist ja ein Fileserver) besser vor dem Hochstufen als DC der neuen Domäne durchführen? Oder ist das reacl auf einem DC unterstützt?
Mein geplantes Vorgehen wäre nach Migration der Gruppen, Benutzer und Computer den DC der alten Domäne als vorletztes (als letztes wird ein standalone DC heruntergestuft und die Domäne aufgelöst) herunterzustufen und zuerst als Memberserver der neuen Domäne hinzuzufügen. Sollte ich das reacl (es ist ja ein Fileserver) besser vor dem Hochstufen als DC der neuen Domäne durchführen? Oder ist das reacl auf einem DC unterstützt?
