SCCM-MECM Client Migration
Hallo zusammen,
ich habe folgende Frage an die SCCM/MECM-Experten unter euch.
Folgendes Setup:
- Zwei Domänen (bidirektionaler Trust)
- jeweils eine SCCM/MECM-Instanz (unterschiedliche Site-Codes)
- Domain A - MECM v2203
- Domain B - MECM v2207
- Client Push-Installation auf die jeweiligen Boundaries der Domänen ist eingerichtet.
Ziel ist es die Clients von Domain A (ca. 350 Clients) in den neuen SCCM in Domain B zu migrieren.
SCCM auf Domain B ist schon vollständig aktiv mit ca. 200 Clients.
Die Google-Suche hat hier schon ziemlich viele Lösungswege (von GPO De-/Installation bis manuellem Client "Austausch") ausgespuckt und nun bin ich auf der Suche nach Best-Practices.
Hat hier jemand Erfahrungen und schon mal etwas ähnliches geplant/durchgeführt?
Danke euch und sonnige Grüße!
Nussi
ich habe folgende Frage an die SCCM/MECM-Experten unter euch.
Folgendes Setup:
- Zwei Domänen (bidirektionaler Trust)
- jeweils eine SCCM/MECM-Instanz (unterschiedliche Site-Codes)
- Domain A - MECM v2203
- Domain B - MECM v2207
- Client Push-Installation auf die jeweiligen Boundaries der Domänen ist eingerichtet.
Ziel ist es die Clients von Domain A (ca. 350 Clients) in den neuen SCCM in Domain B zu migrieren.
SCCM auf Domain B ist schon vollständig aktiv mit ca. 200 Clients.
Die Google-Suche hat hier schon ziemlich viele Lösungswege (von GPO De-/Installation bis manuellem Client "Austausch") ausgespuckt und nun bin ich auf der Suche nach Best-Practices.
Hat hier jemand Erfahrungen und schon mal etwas ähnliches geplant/durchgeführt?
Danke euch und sonnige Grüße!
Nussi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7511568375
Url: https://administrator.de/forum/sccm-mecm-client-migration-7511568375.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
16 Kommentare
Neuester Kommentar
Hi,
Da hast du prinzipiell 2 Möglichkeiten
Grüße
Da hast du prinzipiell 2 Möglichkeiten
- ccm-Agent deinstallieren und domainjoin in die andere Domain. Mit Client-Push sollten die Clients automatisch den neuen Agent bekommen.
- Die komfortablere Variante wäre wohl, den Agent mit entsprechender Config (site AA1 <> AA2) auf die Clients zu verteilen (als Package) via sccm und im selben Durchgang einen Domainjoin durchzuführen.
Grüße
Normalerweise plant man eine Migration entsprechend
https://learn.microsoft.com/en-us/mem/configmgr/core/migration/planning- ...
Hast bereits
Was du noch planen solltest
Wenn das klar ist würde ich einfach den Agent vom Ziel MECM ziehen und ein script basteln das folgende Dinge macht:
Wenn alles funktioniert steht der Migration nichts mehr im Weg. Alle Vorbereitungen müssen eh vorher erfolgt sein.
Durch den Join in die Domain sollte doch eh ein entsprechendes Computerobjekt erstellt werden. Mehr sorgen würden mir die User machen, OUs usw.
https://www.systoolsgroup.com/updates/migrate-ad-objects-from-one-domain ...
Wenn du per Security-Groups die Zuweisung von Apps machst, dann muss das alles vorher stehen.
Oder verstehe uch deine Frage nicht?
https://learn.microsoft.com/en-us/mem/configmgr/core/migration/planning- ...
Hast bereits
- wieviele
- von wo wohin
Was du noch planen solltest
- Patchstand anpassen notwendig und wie?
- welche Apps hat Domain A
- welche Apps hat Domain B
- was muss an den alten Clients geändert werden für Gleichstand
- Migration in Chargen oder Bang
Wenn das klar ist würde ich einfach den Agent vom Ziel MECM ziehen und ein script basteln das folgende Dinge macht:
- Alten Agent deinstalliere
- nicht benötigte Apps deinstallieren
- neuen Agent mit Config X installieren
- alte Domain verlassen
- in neue Domain joinen
- Das ganze mal manuell testen auf einem Testclient
- dann mal einen Client via Package rüber ziehen
Wenn alles funktioniert steht der Migration nichts mehr im Weg. Alle Vorbereitungen müssen eh vorher erfolgt sein.
Durch den Join in die Domain sollte doch eh ein entsprechendes Computerobjekt erstellt werden. Mehr sorgen würden mir die User machen, OUs usw.
https://www.systoolsgroup.com/updates/migrate-ad-objects-from-one-domain ...
Wenn du per Security-Groups die Zuweisung von Apps machst, dann muss das alles vorher stehen.
Oder verstehe uch deine Frage nicht?
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @mayho33:
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Zitat von @Dirmhirn:
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Zitat von @mayho33:
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Ja, es geht schon, dass du mehrere Domains im Forrest mit 1 SCCM verwaltest. Das ist aber totales Frickelwerk
Wenn, dann baust du eine CAS mit deinen Sites. Das ist auch supported, sprich, MS unterstützt. Alles andere nicht wirklich meines Wissens.
So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.
Zitat von @DerNussi:
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so
Nochmal kurz nachgefragt:
Du willst 2 Sites mit 1 SCCM managen und die Domains getrennt halte, richtig? Sind die Domains in einem Forrest oder nicht?
Wie @Dirmhirn schon schreibt geht das natürlich, aber du musst Boundaries, DPs, DP-Groups, Scopes usw. strickt getrennt halten (oder auch nicht ). Dito was Updates angeht, aka WSUS usw. Das ist Hölle. Und das sind nur ~20% aller notwendigen Doings.
Und wenn irgendwo was schief geht (Rechte usw.) suchst du dir nen Wolf.
Wenn du dir also einen Haufen Arbeit ersparen willst, versuche die Clients am besten vollständig zu migrieren.
In meiner alten Firma hatte auch jemand die glorreiche Idee sich einen 2. SCCM sparen zu wollen. Consulting eingekauft und am Ende gingen keine Updates mehr, Monitoring halb tot, alle Collections mussten angepasst werden, weil die Boundaries ständig verloren gingen und plötzlich Clients aus der anderen Domain mit Corporate-Apps der einen Domain betankt wurden. Totales Chaos. MS gab zwar Support, aber nur weil Gold. 100te Stunden Arbeit auf unserer Seite und final wurde SCCM neu aufgesetzt.
Mein Fazit: nie wieder!!
Hab mit multi AD, single MECM keine Erfahrung. Bei uns wurde das damals von einer consulting Firma gemacht um später alle in die neue Domain zu migrieren.
Aktuell könnte es aber wieder in Richtung mehrere ADs gehen. Deshalb interessiert mich das Thema auch. (Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)
Wieso muss man alles getrennt halten?
Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Aktuell könnte es aber wieder in Richtung mehrere ADs gehen. Deshalb interessiert mich das Thema auch. (Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)
Wieso muss man alles getrennt halten?
Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Die Enduser verabschieden sich ja nicht freiwillig ins Azure, sprich, suche dir aus ob du on-Prem bleiben willst oder nicht. Das ist eine Unternehmensentscheidung. Bei Neugeräten ja, wenn nicht spezielle Konfigurationen dagegen sprechen. Bei Bestandsgeräten macht man normalerweise Hyprid Join.
Zumindest kenne ich das Szenario nur so. BYOD, MAC und Mobiles eventuell Ausnahme.
Ohne AD hast halt kein Bitlocker-Backup ind AD, Self-Service jeder Art geht nicht (bsp. Password-Reset) usw. Und ich spreche immer von Domain-User, achtung!
Zumindest kenne ich das Szenario nur so. BYOD, MAC und Mobiles eventuell Ausnahme.
Wieso muss man alles getrennt halten?
Wie oben schon geschrieben: musst du nicht, wenn du auf magic things stehst. Ein Setting falsch gestellt und die Side-Effects sind wieder eine Lacher wert. Unsere IT ist groß Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Über den network access account kannst vieles anstellen, er ist aber nicht das Kochrezept für eine Migration sondern eigentlich das Fallback-Szenario für MECM, wenn der Clients seinen DP nicht erreichen kann.Ohne AD hast halt kein Bitlocker-Backup ind AD, Self-Service jeder Art geht nicht (bsp. Password-Reset) usw. Und ich spreche immer von Domain-User, achtung!
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Gar nicht so lange her. Wie oben beschrieben.Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
Das kannst du machen, wenn deine Domain nicht abgeschottet ist Die Domain war speziell aber nicht exotisch. Und warum sollte ich auf ADR usw. verzichten?@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Push Installation halt vorher abstellen.