14
Domänencontroller trennen
Hallo,
ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann:
Ich bin selbstständiger IT-Dienstleister.
Einer meiner Kunden ist ein Unternehmen in Deutschland, welches bisher Teil eines ausländischen Unternehmens war und auch von dem dortigen Administrator betreut wurde.
Ich habe lediglich die Clients und die Peripherie betreut.
Soweit mir bekannt ist existieren in Deutschland und am ausländischen Standort je ein Domänencontroller (2008 R2) die über eine VPN-Verbindung gespiegelt sind.
Jetzt ist kürzlich der ausländische Standort verkauft worden und der bisherige Admin arbeitet jetzt für den neuen Eigentümer.
Der neue Eigentümer hat verfügt das die VPN-Verbindung getrennt werden soll und der bisherige Admin hier nichts mehr machen soll.
Jetzt wurde ich gefragt was passiert wenn die Verbindung getrennt wird...
Da ich so einen Fall noch nie hatte, jetzt die Frage an euch:
Wenn der hiesige Domänencontroller die Verbindung zu seinem Gegenstück verliert, läuft der einfach "eigenständig" weiter und alle können sich dort ganz normal anmelden und weiterarbeiten wie bisher?
Falls das so ist: Gibt es da irgendwelche Fristen zu beachten, in dem Sinne das auf dem Domänencontroller irgendwas passiert wenn er den Anderen eine Zeitlang nicht erreichen kann?
Muss kurzfristig was unternommen werden?
Anmerkung: Die gesamte IT am Standort hier soll demnächst (in 1 - 2 Monaten) komplett überarbeitet werden. Da wird es sicher auch neue Server und eine komplett neue Struktur geben. Es geht mir nur um die kurzfristigen Auswirkungen.
Besten Dank schon mal!
ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann:
Ich bin selbstständiger IT-Dienstleister.
Einer meiner Kunden ist ein Unternehmen in Deutschland, welches bisher Teil eines ausländischen Unternehmens war und auch von dem dortigen Administrator betreut wurde.
Ich habe lediglich die Clients und die Peripherie betreut.
Soweit mir bekannt ist existieren in Deutschland und am ausländischen Standort je ein Domänencontroller (2008 R2) die über eine VPN-Verbindung gespiegelt sind.
Jetzt ist kürzlich der ausländische Standort verkauft worden und der bisherige Admin arbeitet jetzt für den neuen Eigentümer.
Der neue Eigentümer hat verfügt das die VPN-Verbindung getrennt werden soll und der bisherige Admin hier nichts mehr machen soll.
Jetzt wurde ich gefragt was passiert wenn die Verbindung getrennt wird...
Da ich so einen Fall noch nie hatte, jetzt die Frage an euch:
Wenn der hiesige Domänencontroller die Verbindung zu seinem Gegenstück verliert, läuft der einfach "eigenständig" weiter und alle können sich dort ganz normal anmelden und weiterarbeiten wie bisher?
Falls das so ist: Gibt es da irgendwelche Fristen zu beachten, in dem Sinne das auf dem Domänencontroller irgendwas passiert wenn er den Anderen eine Zeitlang nicht erreichen kann?
Muss kurzfristig was unternommen werden?
Anmerkung: Die gesamte IT am Standort hier soll demnächst (in 1 - 2 Monaten) komplett überarbeitet werden. Da wird es sicher auch neue Server und eine komplett neue Struktur geben. Es geht mir nur um die kurzfristigen Auswirkungen.
Besten Dank schon mal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371915
Url: https://administrator.de/contentid/371915
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
In dem Fall ist dringen zur Domain Migration am Verkauften Standort zu raten!!
Eine Domain auseinander zu brechen und weiter laufen zu lassen ist eine denkbar schlechte Idee.
Oder baust du dann bei deinem Standort die Gesamt-Struktur neu?
Eine Domain auseinander zu brechen und weiter laufen zu lassen ist eine denkbar schlechte Idee.
Oder baust du dann bei deinem Standort die Gesamt-Struktur neu?
So, wie ich das lese ist die Gesamtstruktur neu zu bauen.
Grundsätzlich ist mit der IT Ausland zu klären, dass die notwendigen Rollen zentriert auf einem Standort vorhanden sind. Da euer neu aufgebaut wird, würde das wohl am sinnigsten sein, alles ins Ausland zu verschieben und den "Bruch" erst mit Neuaufbau zu realisieren.
Zumindest würde ich es so planen. Kannst gerne für Detailierte Ausarbeitung eine PN schreiben.
VG
Grundsätzlich ist mit der IT Ausland zu klären, dass die notwendigen Rollen zentriert auf einem Standort vorhanden sind. Da euer neu aufgebaut wird, würde das wohl am sinnigsten sein, alles ins Ausland zu verschieben und den "Bruch" erst mit Neuaufbau zu realisieren.
Zumindest würde ich es so planen. Kannst gerne für Detailierte Ausarbeitung eine PN schreiben.
VG
Zitat von @Akit57:
Wenn der hiesige Domänencontroller die Verbindung zu seinem Gegenstück verliert, läuft der einfach "eigenständig" weiter und alle können sich dort ganz normal anmelden und weiterarbeiten wie bisher?
Wenn man garantieren kann das sich die beiden Domaincontroller nie wieder sehen kann man das schon machen. Gibt natürlich noch ein paar Feinheiten zu beachten.Wenn der hiesige Domänencontroller die Verbindung zu seinem Gegenstück verliert, läuft der einfach "eigenständig" weiter und alle können sich dort ganz normal anmelden und weiterarbeiten wie bisher?
Erst mal Danke für die zügigen Antworten!
Es handelt sich quasi um eine Notfallmaßnahme. Es geht mir nur darum ob das nach der Trennung erst mal eine Zeit lang weiter läuft.
Die Struktur am deutschen Standort wird komplett neu aufgebaut. Allerdings kann ich das erst in einigen Wochen machen. Bis dahin muss der Betrieb möglichst ohne große Änderungen weiter laufen.
Fakt ist das die VPN Verbindung dauerhaft gekillt wird! Und ich habe keinerlei Einfluss darauf und kann mich mit der ausländischen IT auch nicht absprechen oder einigen. Denen ist völlig egal was die Abschaltung hier für Konsequenzen hat (und demzufolge ist mir auch völlig egal was das für den ausländischen Standort für Folgen hat).
Es handelt sich quasi um eine Notfallmaßnahme. Es geht mir nur darum ob das nach der Trennung erst mal eine Zeit lang weiter läuft.
Die Struktur am deutschen Standort wird komplett neu aufgebaut. Allerdings kann ich das erst in einigen Wochen machen. Bis dahin muss der Betrieb möglichst ohne große Änderungen weiter laufen.
Fakt ist das die VPN Verbindung dauerhaft gekillt wird! Und ich habe keinerlei Einfluss darauf und kann mich mit der ausländischen IT auch nicht absprechen oder einigen. Denen ist völlig egal was die Abschaltung hier für Konsequenzen hat (und demzufolge ist mir auch völlig egal was das für den ausländischen Standort für Folgen hat).
Hier steht wie es geht und auch das es nicht supportet ist. Es sollte also nicht länger als unbedingt nötig in der Konstellation betrieben werden.
Have Fun...
/Thomas
Have Fun...
/Thomas
Wenn man jetzt sämtliche Rollen auf den im deutschen Standort präsenten DC übertragen würde.... den alten aus AD Standorte und DIenste rauslöscht.... dann sollte das m.M. nach funktionieren. Wenn nicht, dann wäre ich um eine Erklärung dankbar.
Ist doch nichts anderes als: "Hardware tot", wird endgültig aus dem AD entfernt.
Ist doch nichts anderes als: "Hardware tot", wird endgültig aus dem AD entfernt.
Moin,
Das ist nichts anderes, als wenn ein DC mit den FSMO-Rollen gestorben wäre.
Rein technisch alle FSMO-Rollen auf Euren übertragen und alle andere DCs aus dem AD werfen.
Ihr müßt natürlich drauf achten, daß die Netze nicht zufällug wieder zusammenkommen.
Das einzige Problem, daß ich sehe, ist das Du die Admineechtecbekomnst.
lks
Das ist nichts anderes, als wenn ein DC mit den FSMO-Rollen gestorben wäre.
Rein technisch alle FSMO-Rollen auf Euren übertragen und alle andere DCs aus dem AD werfen.
Ihr müßt natürlich drauf achten, daß die Netze nicht zufällug wieder zusammenkommen.
Das einzige Problem, daß ich sehe, ist das Du die Admineechtecbekomnst.
lks
Technisch ist das schon so wie ein toter DC zu behandeln. Du solltest aber trotzdem eine Domänenmigration machen da es irgendwo auf der Welt einen DC gibt den du für tot erklärt hast, der es aber nicht ist. Denn wenn in 5, 10 oder 20 Jahren irgendwer auf die Idee kommt da mal ne Firma zu kaufen mit der man schon mal zusammengearbeitet hat knallt es mal kurz. Da denkt ja kein Mensch mehr dran...
/Thomas
Zitat von @Th0mKa:
Technisch ist das schon so wie ein toter DC zu behandeln. Du solltest aber trotzdem eine Domänenmigration machen da es irgendwo auf der Welt einen DC gibt den du für tot erklärt hast, der es aber nicht ist. Denn wenn in 5, 10 oder 20 Jahren irgendwer auf die Idee kommt da mal ne Firma zu kaufen mit der man schon mal zusammengearbeitet hat knallt es mal kurz. Da denkt ja kein Mensch mehr dran...
/Thomas
Technisch ist das schon so wie ein toter DC zu behandeln. Du solltest aber trotzdem eine Domänenmigration machen da es irgendwo auf der Welt einen DC gibt den du für tot erklärt hast, der es aber nicht ist. Denn wenn in 5, 10 oder 20 Jahren irgendwer auf die Idee kommt da mal ne Firma zu kaufen mit der man schon mal zusammengearbeitet hat knallt es mal kurz. Da denkt ja kein Mensch mehr dran...
/Thomas
Der TE suche eine Lösung, die er temporär nutzen kann, da eh alles neu gemacht wird. Wenn das VPN also sicher lahmgelegt ist, spricht m.M. nach nichts gegen diese Variante. Und selbst wenn die wieder zusammen kämen.... da stimmt nix mehr, es wird in den Logs knallen, aber es sollte dennoch komplett funktionieren (außer die Clients versuchen sich am anderen DC anzumelden).
Henere
Zitat von @Henere:
Der TE suche eine Lösung, die er temporär nutzen kann, da eh alles neu gemacht wird. Wenn das VPN also sicher lahmgelegt ist, spricht m.M. nach nichts gegen diese Variante.
Sag ich doch.Der TE suche eine Lösung, die er temporär nutzen kann, da eh alles neu gemacht wird. Wenn das VPN also sicher lahmgelegt ist, spricht m.M. nach nichts gegen diese Variante.
da stimmt nix mehr, es wird in den Logs knallen, aber es sollte dennoch komplett funktionieren (außer die Clients versuchen sich am anderen DC anzumelden).
Kannst du ja mal in einer Demo Umgebung versuchen, im schlechtesten Fall wird das Ergebnis sein das die DCs sich gegenseitig die Objekte löschen die nach der Trennung angelegt wurden. Have fun...Zitat von @Th0mKa:
Zitat von @Henere:
da stimmt nix mehr, es wird in den Logs knallen, aber es sollte dennoch komplett funktionieren (außer die Clients versuchen sich am anderen DC anzumelden).
Kannst du ja mal in einer Demo Umgebung versuchen, im schlechtesten Fall wird das Ergebnis sein das die DCs sich gegenseitig die Objekte löschen die nach der Trennung angelegt wurden. Have fun...da stimmt nix mehr, es wird in den Logs knallen, aber es sollte dennoch komplett funktionieren (außer die Clients versuchen sich am anderen DC anzumelden).
Deswegen sollte man nach der Übernahme der FSMO-Rollen alle Objekte von anderen Standorten, insbesodnere die DCs aus dem AD herauswerfen. das evrmindert zumindest die die gefahr einer versehentlichen "Interaktion".
lks
1
Wäre es nicht wichtig zu wissen, welcher der beiden DCs die Master Rolle hat?
Theoretisch gesehen würde die Infrastruktur am Standort "Ausland" ja nicht mehr zur Organisation gehören, sprich es wäre keine Anmeldung an der Domäne mehr möglich, wenn du deren DC "rauswirfst". Voraussetzung wäre aber wahrscheinlich dass dein DC Master wäre.
Korrigiert mich falls ich falsch liege?
Theoretisch gesehen würde die Infrastruktur am Standort "Ausland" ja nicht mehr zur Organisation gehören, sprich es wäre keine Anmeldung an der Domäne mehr möglich, wenn du deren DC "rauswirfst". Voraussetzung wäre aber wahrscheinlich dass dein DC Master wäre.
Korrigiert mich falls ich falsch liege?
Moin
google mal nach FSMO.
lks
PS. Master- and Slave-DC gibt es seit W2K-Server nicht mehr.
Vielen Dank für eure Hilfe.
Ich bekomme (hoffentlich) heute die Passwörter und möglicherweise wird dann heute schon getrennt.
Ich bekomme (hoffentlich) heute die Passwörter und möglicherweise wird dann heute schon getrennt.
