Jun 13, 2023, updated at Jun 17, 2023 (UTC)

1516

SCCM-MECM Client Migration

Hallo zusammen,

ich habe folgende Frage an die SCCM/MECM-Experten unter euch.
Folgendes Setup:
- Zwei Domänen (bidirektionaler Trust)
- jeweils eine SCCM/MECM-Instanz (unterschiedliche Site-Codes)
- Domain A - MECM v2203
- Domain B - MECM v2207
- Client Push-Installation auf die jeweiligen Boundaries der Domänen ist eingerichtet.

Ziel ist es die Clients von Domain A (ca. 350 Clients) in den neuen SCCM in Domain B zu migrieren.
SCCM auf Domain B ist schon vollständig aktiv mit ca. 200 Clients.

Die Google-Suche hat hier schon ziemlich viele Lösungswege (von GPO De-/Installation bis manuellem Client "Austausch") ausgespuckt und nun bin ich auf der Suche nach Best-Practices.

Hat hier jemand Erfahrungen und schon mal etwas ähnliches geplant/durchgeführt?

Danke euch und sonnige Grüße!

Nussi

Please also mark the comments that contributed to the solution of the article

Content-ID: 7511568375

Url: https://administrator.de/contentid/7511568375

Printed on: August 31, 2024 at 22:08 o'clock

16 Comments

Latest comment

Hi,

Da hast du prinzipiell 2 Möglichkeiten

ccm-Agent deinstallieren und domainjoin in die andere Domain. Mit Client-Push sollten die Clients automatisch den neuen Agent bekommen.

Die komfortablere Variante wäre wohl, den Agent mit entsprechender Config (site AA1 <> AA2) auf die Clients zu verteilen (als Package) via sccm und im selben Durchgang einen Domainjoin durchzuführen.

Grüße

Hi mayho,

danke für die Antwort!

Muss ich den Domain-Join wirklich durchführen?
Wäre es nicht auch möglich die Clients aus der anderen Domäne im SCCM von Domain B aufzunehmen?

Irgendwie musst du die Clients in die andere Domain ziehen. Und der Agent muss sich mit der richtigen Site verbinden.

Wie du die Clients in die andere Domain bekommst bleibt dir überlassen. Aber ein kleines Script macht das per SCCM in einem geschätzt 2- Zeiler

Dass die Clients irgendwann in die neue Domain kommen müssen ist klar, da hast du Recht.

Das mit 350 Clients zu machen heißt aber entweder einen BigBang zu machen, oder viele einzelne Schritte (Hinter der neuen Domain hängt natürlich dann noch viel mehr an Arbeit zusätzlich, neben dem SCCM).

Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.

Dennoch natürlich vielen Dank für deine Anregungen!

Normalerweise plant man eine Migration entsprechend

https://learn.microsoft.com/en-us/mem/configmgr/core/migration/planning- ...

Hast bereits

wieviele
von wo wohin

Was du noch planen solltest

Patchstand anpassen notwendig und wie?
welche Apps hat Domain A
welche Apps hat Domain B
was muss an den alten Clients geändert werden für Gleichstand
Migration in Chargen oder Bang

Wenn das klar ist würde ich einfach den Agent vom Ziel MECM ziehen und ein script basteln das folgende Dinge macht:

Alten Agent deinstalliere
nicht benötigte Apps deinstallieren
neuen Agent mit Config X installieren
alte Domain verlassen
in neue Domain joinen

Das ganze mal manuell testen auf einem Testclient
dann mal einen Client via Package rüber ziehen

Wenn alles funktioniert steht der Migration nichts mehr im Weg. Alle Vorbereitungen müssen eh vorher erfolgt sein.

Durch den Join in die Domain sollte doch eh ein entsprechendes Computerobjekt erstellt werden. Mehr sorgen würden mir die User machen, OUs usw.

https://www.systoolsgroup.com/updates/migrate-ad-objects-from-one-domain ...

Wenn du per Security-Groups die Zuweisung von Apps machst, dann muss das alles vorher stehen.

Oder verstehe uch deine Frage nicht?

Willst du zu einer Domain wechseln oder einfach beide Domains mit einem MECM Server verwalten?

Zitat von @DerNussi:

Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.

Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients

Zitat von @mayho33:

Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.

Zitat von @Dirmhirn:

Zitat von @mayho33:

Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.

Ja, es geht schon, dass du mehrere Domains im Forrest mit 1 SCCM verwaltest. Das ist aber totales Frickelwerk

Wenn, dann baust du eine CAS mit deinen Sites. Das ist auch supported, sprich, MS unterstützt. Alles andere nicht wirklich meines Wissens.

So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.

Moin zusammen,

danke nochmal für eure Infos.

Zitat von @Dirmhirn:

Willst du zu einer Domain wechseln oder einfach beide Domains mit einem MECM Server verwalten?

Schön wäre es, wenn der erste Schritt das Umbiegen der SCCM-Verwaltung wäre und zu einem späteren zeitpunkt der Wechsel in die andere Domäne.

Zitat von @mayho33:

So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.

ja, aber bestenfalls nicht direkt den Domain-Join in die andere Domäne.
Hintergrund ist, dass beim Wechsel in die neue Domäne noch zusätzliche (nicht SCCM Aufgaben) zu erledigen sind.
Berechtigungen, Benutzer, Netzwerk....
Wie du aber bereits gesagt hast, könnte das ziemliches Frickelwerk werden...

Die beste Methode scheint wohl wirklich, das alles mit dem Domain-Join zu machen.

Tu dir einen gefallen und mach alles in eine Domäne bzw. arbeite mit Subdomains und nicht mit Trusts.
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.

Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........

Zitat von @Mr-Gustav:

Tu dir einen gefallen und mach alles in eine Domäne bzw. arbeite mit Subdomains und nicht mit Trusts.
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.

Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........

Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so

Zitat von @DerNussi:
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so

Nochmal kurz nachgefragt:

Du willst 2 Sites mit 1 SCCM managen und die Domains getrennt halte, richtig? Sind die Domains in einem Forrest oder nicht?

Wie @Dirmhirn schon schreibt geht das natürlich, aber du musst Boundaries, DPs, DP-Groups, Scopes usw. strickt getrennt halten (oder auch nicht

). Dito was Updates angeht, aka WSUS usw. Das ist Hölle. Und das sind nur ~20% aller notwendigen Doings.
Und wenn irgendwo was schief geht (Rechte usw.) suchst du dir nen Wolf.
Wenn du dir also einen Haufen Arbeit ersparen willst, versuche die Clients am besten vollständig zu migrieren.

In meiner alten Firma hatte auch jemand die glorreiche Idee sich einen 2. SCCM sparen zu wollen. Consulting eingekauft und am Ende gingen keine Updates mehr, Monitoring halb tot, alle Collections mussten angepasst werden, weil die Boundaries ständig verloren gingen und plötzlich Clients aus der anderen Domain mit Corporate-Apps der einen Domain betankt wurden. Totales Chaos. MS gab zwar Support, aber nur weil Gold. 100te Stunden Arbeit auf unserer Seite und final wurde SCCM neu aufgesetzt.

Mein Fazit: nie wieder!!

Hab mit multi AD, single MECM keine Erfahrung. Bei uns wurde das damals von einer consulting Firma gemacht um später alle in die neue Domain zu migrieren.

Aktuell könnte es aber wieder in Richtung mehrere ADs gehen. Deshalb interessiert mich das Thema auch. (Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)

Wieso muss man alles getrennt halten?
Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.

Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.

@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.

Zitat von @Dirmhirn:
(Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)

Die Enduser verabschieden sich ja nicht freiwillig ins Azure, sprich, suche dir aus ob du on-Prem bleiben willst oder nicht. Das ist eine Unternehmensentscheidung. Bei Neugeräten ja, wenn nicht spezielle Konfigurationen dagegen sprechen. Bei Bestandsgeräten macht man normalerweise Hyprid Join.
Zumindest kenne ich das Szenario nur so. BYOD, MAC und Mobiles eventuell Ausnahme.

Wieso muss man alles getrennt halten?

Wie oben schon geschrieben: musst du nicht, wenn du auf magic things stehst. Ein Setting falsch gestellt und die Side-Effects sind wieder eine Lacher wert. Unsere IT ist groß

Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.

Über den network access account kannst vieles anstellen, er ist aber nicht das Kochrezept für eine Migration sondern eigentlich das Fallback-Szenario für MECM, wenn der Clients seinen DP nicht erreichen kann.
Ohne AD hast halt kein Bitlocker-Backup ind AD, Self-Service jeder Art geht nicht (bsp. Password-Reset) usw. Und ich spreche immer von Domain-User, achtung!

Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.

Gar nicht so lange her. Wie oben beschrieben.

Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.

Das kannst du machen, wenn deine Domain nicht abgeschottet ist

Die Domain war speziell aber nicht exotisch. Und warum sollte ich auf ADR usw. verzichten?

@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.

Moin,

für alle die noch an der Umsetzung interessiert sind:
Habe mir ein Script gebaut, dass den alten Client deinstalliert und anschließend den neuen mit Parametern installiert.
Das bedeutet, dass jetzt Clients aus zwei verschiedenen Domänen auf einem SCCM Server sind.

Die benötigten Dateien werden über eine GPO lokal auf den PC kopiert und dann mit einem Startup-Script installiert.

Läuft ohne Probleme und hat innerhalb einer Woche 80% aller Clients erreicht.
Sollte jemand das Script benötigen kann ich es gerne zur Verfügung stellen!

Danke für eure konstruktiven Beiträge.

German solved Question Microsoft

Hotly discussed

Bye bye Microsoft Action PackDani - 2 Comments