Domänencontroller als DC in neue Domäne bringen
Hallo zusammen,
wir befinden uns gerade in der Planungsphase für die Integration einer "kleinen" AD-Domäne in die Root-Domäne, so dass es anschließend nur noch eine Domäne gibt.
Folgendes Szenario:
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen. Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Vielen Dank schonmal!
wir befinden uns gerade in der Planungsphase für die Integration einer "kleinen" AD-Domäne in die Root-Domäne, so dass es anschließend nur noch eine Domäne gibt.
Folgendes Szenario:
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen. Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Vielen Dank schonmal!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311022
Url: https://administrator.de/contentid/311022
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
Root-Domäne: haupt.local mit dc1.haupt.local und dc2.haupt.local
Weitere Domäne: klein.local mit dc3.klein.local und dc4.klein.local
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver. Wie ist das Vorgehen diesen DC ohne Neuinstallation in die vorhandene Domäne haupt.local als DC zu bringen? Eine Neuinstallation wäre zwar möglich, allerdings vom Aufwand und auf Grund einer begrenzten Downtime nicht ideal.
Moin,
warum nicht gleich mal in die richtige Wege bügeln, wenn Ihr da eh schon ne Umstellung macht. Alle wichtigen Services auf eine VM zu packen find ich schon mit leichtem Sicherheitsrisiko verbunden. Und das mit der Downtime.. Dann macht mans halt wenn die Arbeitszeiten rum sind von den "normalen" Mitarbeitern?
und dann mal ein - zwei extra VMS um diese ganzen Dienste etwas aufzuteilen.
mfg
Bricksta
Hi,
Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
E.
dc3.klein.local ist nun entgegen der Empfehlung von Microsoft neben AD und DNS auch DHCP-, File und Printserver.
Es gibt schlimmeres ... Mein Ansatz wäre den DC herunterzustufen, neuzustarten, als Mitgliedsserver von haupt.local aufnehmen und danach wieder hochzustufen.
Korrekt. Jedoch, warum wieder hochstufen? Ist das ein eigenere Standort? Wenn nein, dann reichen die 2 DC der Hauptdomäne i.A. aus.Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf (was ich bestreiten würde) und erst Recht kein DC einer andere Domäne werden darf.
Wenn die das tatsächlich so gesagt haben, dann schnell einen anderen Dienstleister suchen!Ich finde hierfür keine Belege bei Microsoft oder allgemein im Internet, kann mir jemand mit Erfahrung dienen?
Es geht ohne weiteres. Die Frage ist nur der Sinn bzw. das sinnvollste Vorgehen.Wenn Du das einfach so machst, dann sind hinterher die NTFS-Berechtigungen "weg". Also erstmal eine Migration der Benutzer, Gruppen und Computer mit ADMT von KLEIN nach HAUPT. Dann erst die Server umstellen.
Es soll ausdrücklich nicht Bestandteil der Diskussion sein ob es sinnvoll ist diese Rollen auf einen Server zu installieren.
Zu spät .... E.
@redhorse:
Hallo.
Quark. Größter Quark. Ich vermute, die kennen nur den SBS. Und nur bei dem ist es tatsächlich so, daß im Migrationszenario, nach Übergabe der 5 FSMO an einen neuen DC der SBS noch max. 21 Tage laufen darf, um die restl. Migrationsarbeiten zu erledigen. Nach 21 Tagen muß er dann aber wirklich runtergefahren werden und darf im selben Netzwerk nicht mehr in Betrieb genommen werden.
Aber das hat nichts mit herunterstufen zu tun (einen SBS kann man gar nicht wirksam herunterstufen). Wie gesagt, die verwechseln da was.
Ich kann Dir jedenfalls diesbezüglich den Rücken stärken: Einen demoteten DC nur noch als Memberserver weiterzubetreiben, habe ich schon oft erfolgreich (und danach über Jahre so am Laufen) durchgeführt. Belastbare Microsoft-Links habe ich jedoch leider keine dazu.
Viele Grüße
von
departure69
Hallo.
Das uns beratene IT-Systemhaus ist jedoch der Meinung, dass ein heruntergestufter DC auf keinen Fall wieder ans Netzwerk darf
Quark. Größter Quark. Ich vermute, die kennen nur den SBS. Und nur bei dem ist es tatsächlich so, daß im Migrationszenario, nach Übergabe der 5 FSMO an einen neuen DC der SBS noch max. 21 Tage laufen darf, um die restl. Migrationsarbeiten zu erledigen. Nach 21 Tagen muß er dann aber wirklich runtergefahren werden und darf im selben Netzwerk nicht mehr in Betrieb genommen werden.
Aber das hat nichts mit herunterstufen zu tun (einen SBS kann man gar nicht wirksam herunterstufen). Wie gesagt, die verwechseln da was.
Ich kann Dir jedenfalls diesbezüglich den Rücken stärken: Einen demoteten DC nur noch als Memberserver weiterzubetreiben, habe ich schon oft erfolgreich (und danach über Jahre so am Laufen) durchgeführt. Belastbare Microsoft-Links habe ich jedoch leider keine dazu.
Viele Grüße
von
departure69
Hallo,
Das klingt nach einem ehenaligen Arbeitgeber von mir. Aussage von MS dazu
https://download.microsoft.com/download/7/2/6/726427fe-7238-459f-9339-40 ...
Zitat
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen:
•Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
•Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
•Installieren Sie Active Directory oder AD DS erneut.
Das klingt nach einem ehenaligen Arbeitgeber von mir. Aussage von MS dazu
https://download.microsoft.com/download/7/2/6/726427fe-7238-459f-9339-40 ...
Zitat
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen:
•Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
•Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
•Installieren Sie Active Directory oder AD DS erneut.