16
SCCM-MECM Client Migration
Hallo zusammen,
ich habe folgende Frage an die SCCM/MECM-Experten unter euch.
Folgendes Setup:
- Zwei Domänen (bidirektionaler Trust)
- jeweils eine SCCM/MECM-Instanz (unterschiedliche Site-Codes)
- Domain A - MECM v2203
- Domain B - MECM v2207
- Client Push-Installation auf die jeweiligen Boundaries der Domänen ist eingerichtet.
Ziel ist es die Clients von Domain A (ca. 350 Clients) in den neuen SCCM in Domain B zu migrieren.
SCCM auf Domain B ist schon vollständig aktiv mit ca. 200 Clients.
Die Google-Suche hat hier schon ziemlich viele Lösungswege (von GPO De-/Installation bis manuellem Client "Austausch") ausgespuckt und nun bin ich auf der Suche nach Best-Practices.
Hat hier jemand Erfahrungen und schon mal etwas ähnliches geplant/durchgeführt?
Danke euch und sonnige Grüße!
Nussi
ich habe folgende Frage an die SCCM/MECM-Experten unter euch.
Folgendes Setup:
- Zwei Domänen (bidirektionaler Trust)
- jeweils eine SCCM/MECM-Instanz (unterschiedliche Site-Codes)
- Domain A - MECM v2203
- Domain B - MECM v2207
- Client Push-Installation auf die jeweiligen Boundaries der Domänen ist eingerichtet.
Ziel ist es die Clients von Domain A (ca. 350 Clients) in den neuen SCCM in Domain B zu migrieren.
SCCM auf Domain B ist schon vollständig aktiv mit ca. 200 Clients.
Die Google-Suche hat hier schon ziemlich viele Lösungswege (von GPO De-/Installation bis manuellem Client "Austausch") ausgespuckt und nun bin ich auf der Suche nach Best-Practices.
Hat hier jemand Erfahrungen und schon mal etwas ähnliches geplant/durchgeführt?
Danke euch und sonnige Grüße!
Nussi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7511568375
Url: https://administrator.de/contentid/7511568375
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
Da hast du prinzipiell 2 Möglichkeiten
Grüße
Da hast du prinzipiell 2 Möglichkeiten
- ccm-Agent deinstallieren und domainjoin in die andere Domain. Mit Client-Push sollten die Clients automatisch den neuen Agent bekommen.
- Die komfortablere Variante wäre wohl, den Agent mit entsprechender Config (site AA1 <> AA2) auf die Clients zu verteilen (als Package) via sccm und im selben Durchgang einen Domainjoin durchzuführen.
Grüße
1
Hi mayho,
danke für die Antwort!
Muss ich den Domain-Join wirklich durchführen?
Wäre es nicht auch möglich die Clients aus der anderen Domäne im SCCM von Domain B aufzunehmen?
danke für die Antwort!
Muss ich den Domain-Join wirklich durchführen?
Wäre es nicht auch möglich die Clients aus der anderen Domäne im SCCM von Domain B aufzunehmen?
Irgendwie musst du die Clients in die andere Domain ziehen. Und der Agent muss sich mit der richtigen Site verbinden.
Wie du die Clients in die andere Domain bekommst bleibt dir überlassen. Aber ein kleines Script macht das per SCCM in einem geschätzt 2- Zeiler
Wie du die Clients in die andere Domain bekommst bleibt dir überlassen. Aber ein kleines Script macht das per SCCM in einem geschätzt 2- Zeiler
1
Dass die Clients irgendwann in die neue Domain kommen müssen ist klar, da hast du Recht.
Das mit 350 Clients zu machen heißt aber entweder einen BigBang zu machen, oder viele einzelne Schritte (Hinter der neuen Domain hängt natürlich dann noch viel mehr an Arbeit zusätzlich, neben dem SCCM).
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Dennoch natürlich vielen Dank für deine Anregungen!
Das mit 350 Clients zu machen heißt aber entweder einen BigBang zu machen, oder viele einzelne Schritte (Hinter der neuen Domain hängt natürlich dann noch viel mehr an Arbeit zusätzlich, neben dem SCCM).
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Dennoch natürlich vielen Dank für deine Anregungen!
Normalerweise plant man eine Migration entsprechend
https://learn.microsoft.com/en-us/mem/configmgr/core/migration/planning- ...
Hast bereits
Was du noch planen solltest
Wenn das klar ist würde ich einfach den Agent vom Ziel MECM ziehen und ein script basteln das folgende Dinge macht:
Wenn alles funktioniert steht der Migration nichts mehr im Weg. Alle Vorbereitungen müssen eh vorher erfolgt sein.
Durch den Join in die Domain sollte doch eh ein entsprechendes Computerobjekt erstellt werden. Mehr sorgen würden mir die User machen, OUs usw.
https://www.systoolsgroup.com/updates/migrate-ad-objects-from-one-domain ...
Wenn du per Security-Groups die Zuweisung von Apps machst, dann muss das alles vorher stehen.
Oder verstehe uch deine Frage nicht?
https://learn.microsoft.com/en-us/mem/configmgr/core/migration/planning- ...
Hast bereits
- wieviele
- von wo wohin
Was du noch planen solltest
- Patchstand anpassen notwendig und wie?
- welche Apps hat Domain A
- welche Apps hat Domain B
- was muss an den alten Clients geändert werden für Gleichstand
- Migration in Chargen oder Bang
Wenn das klar ist würde ich einfach den Agent vom Ziel MECM ziehen und ein script basteln das folgende Dinge macht:
- Alten Agent deinstalliere
- nicht benötigte Apps deinstallieren
- neuen Agent mit Config X installieren
- alte Domain verlassen
- in neue Domain joinen
- Das ganze mal manuell testen auf einem Testclient
- dann mal einen Client via Package rüber ziehen
Wenn alles funktioniert steht der Migration nichts mehr im Weg. Alle Vorbereitungen müssen eh vorher erfolgt sein.
Durch den Join in die Domain sollte doch eh ein entsprechendes Computerobjekt erstellt werden. Mehr sorgen würden mir die User machen, OUs usw.
https://www.systoolsgroup.com/updates/migrate-ad-objects-from-one-domain ...
Wenn du per Security-Groups die Zuweisung von Apps machst, dann muss das alles vorher stehen.
Oder verstehe uch deine Frage nicht?
Willst du zu einer Domain wechseln oder einfach beide Domains mit einem MECM Server verwalten?
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @mayho33:
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Zitat von @Dirmhirn:
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Zitat von @mayho33:
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Zitat von @DerNussi:
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Darum bin ich auf der Suche nach einer Lösung, mit der ich die Clients auf den SCCM in Domain B umziehen kann, ohne das Computer-Objekt in die neue Domain aufzunehmen, vorausgesetzt das funktioniert überhaupt.
Die Clients müssen natürlich in die andere Domain. SCCM ist direkt mit den AD verbunden. Nlcht umsonst ist einer der ersten Schritte das AD-Schema zu erweitern. Ohne gehts nicht. Und deshalb habe ich auch geschrieben, dass du die Domain joinen musst. Das setzt natürlich voraus, dass du die alte Domain verlässt mit den Clients
Ah nicht so genau gelesen. Stimmt so aber nicht. SCCM kann mehrere Domains verwalten. Braucht halt nur die entsprechenden Zugangsdaten hinterlegt.
Ja, es geht schon, dass du mehrere Domains im Forrest mit 1 SCCM verwaltest. Das ist aber totales Frickelwerk
Wenn, dann baust du eine CAS mit deinen Sites. Das ist auch supported, sprich, MS unterstützt. Alles andere nicht wirklich meines Wissens.
So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.
Moin zusammen,
danke nochmal für eure Infos.
Schön wäre es, wenn der erste Schritt das Umbiegen der SCCM-Verwaltung wäre und zu einem späteren zeitpunkt der Wechsel in die andere Domäne.
ja, aber bestenfalls nicht direkt den Domain-Join in die andere Domäne.
Hintergrund ist, dass beim Wechsel in die neue Domäne noch zusätzliche (nicht SCCM Aufgaben) zu erledigen sind.
Berechtigungen, Benutzer, Netzwerk....
Wie du aber bereits gesagt hast, könnte das ziemliches Frickelwerk werden...
Die beste Methode scheint wohl wirklich, das alles mit dem Domain-Join zu machen.
danke nochmal für eure Infos.
Zitat von @Dirmhirn:
Willst du zu einer Domain wechseln oder einfach beide Domains mit einem MECM Server verwalten?
Willst du zu einer Domain wechseln oder einfach beide Domains mit einem MECM Server verwalten?
Schön wäre es, wenn der erste Schritt das Umbiegen der SCCM-Verwaltung wäre und zu einem späteren zeitpunkt der Wechsel in die andere Domäne.
Zitat von @mayho33:
So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.
So wie ich die Frage des TO verstanden habe und so hat er es ja auch geschrieben, war die Rede von Migration.
ja, aber bestenfalls nicht direkt den Domain-Join in die andere Domäne.
Hintergrund ist, dass beim Wechsel in die neue Domäne noch zusätzliche (nicht SCCM Aufgaben) zu erledigen sind.
Berechtigungen, Benutzer, Netzwerk....
Wie du aber bereits gesagt hast, könnte das ziemliches Frickelwerk werden...
Die beste Methode scheint wohl wirklich, das alles mit dem Domain-Join zu machen.
Tu dir einen gefallen und mach alles in eine Domäne bzw. arbeite mit Subdomains und nicht mit Trusts.
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.
Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.
Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........
Zitat von @Mr-Gustav:
Tu dir einen gefallen und mach alles in eine Domäne bzw. arbeite mit Subdomains und nicht mit Trusts.
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.
Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........
Tu dir einen gefallen und mach alles in eine Domäne bzw. arbeite mit Subdomains und nicht mit Trusts.
Das sind immer so elendiche Fehlersuchen weil irgendwo meistens was mit den Berechtigungen nicht passt.
Aber in der Regel kann der SCCM das eigentlich, die Betonung liegt auf eigentlich........
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so
Zitat von @DerNussi:
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so
Schön wäre es wenn ich das könnte... SCCM Struktur habe ich übernommen und Firma ist gekauft worden.
Groß frisst klein und so
Nochmal kurz nachgefragt:
Du willst 2 Sites mit 1 SCCM managen und die Domains getrennt halte, richtig? Sind die Domains in einem Forrest oder nicht?
Wie @Dirmhirn schon schreibt geht das natürlich, aber du musst Boundaries, DPs, DP-Groups, Scopes usw. strickt getrennt halten (oder auch nicht
). Dito was Updates angeht, aka WSUS usw. Das ist Hölle. Und das sind nur ~20% aller notwendigen Doings.Und wenn irgendwo was schief geht (Rechte usw.) suchst du dir nen Wolf.
Wenn du dir also einen Haufen Arbeit ersparen willst, versuche die Clients am besten vollständig zu migrieren.
In meiner alten Firma hatte auch jemand die glorreiche Idee sich einen 2. SCCM sparen zu wollen. Consulting eingekauft und am Ende gingen keine Updates mehr, Monitoring halb tot, alle Collections mussten angepasst werden, weil die Boundaries ständig verloren gingen und plötzlich Clients aus der anderen Domain mit Corporate-Apps der einen Domain betankt wurden. Totales Chaos. MS gab zwar Support, aber nur weil Gold. 100te Stunden Arbeit auf unserer Seite und final wurde SCCM neu aufgesetzt.
Mein Fazit: nie wieder!!
Hab mit multi AD, single MECM keine Erfahrung. Bei uns wurde das damals von einer consulting Firma gemacht um später alle in die neue Domain zu migrieren.
Aktuell könnte es aber wieder in Richtung mehrere ADs gehen. Deshalb interessiert mich das Thema auch. (Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)
Wieso muss man alles getrennt halten?
Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Aktuell könnte es aber wieder in Richtung mehrere ADs gehen. Deshalb interessiert mich das Thema auch. (Wobei wir hoffen, dass sich die Enduser ins Intune verabschieden...)
Wieso muss man alles getrennt halten?
Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Die Enduser verabschieden sich ja nicht freiwillig ins Azure, sprich, suche dir aus ob du on-Prem bleiben willst oder nicht. Das ist eine Unternehmensentscheidung. Bei Neugeräten ja, wenn nicht spezielle Konfigurationen dagegen sprechen. Bei Bestandsgeräten macht man normalerweise Hyprid Join.
Zumindest kenne ich das Szenario nur so. BYOD, MAC und Mobiles eventuell Ausnahme.
Ohne AD hast halt kein Bitlocker-Backup ind AD, Self-Service jeder Art geht nicht (bsp. Password-Reset) usw. Und ich spreche immer von Domain-User, achtung!
Die Domain war speziell aber nicht exotisch. Und warum sollte ich auf ADR usw. verzichten?
Zumindest kenne ich das Szenario nur so. BYOD, MAC und Mobiles eventuell Ausnahme.
Wieso muss man alles getrennt halten?
Wie oben schon geschrieben: musst du nicht, wenn du auf magic things stehst. Ein Setting falsch gestellt und die Side-Effects sind wieder eine Lacher wert. Unsere IT ist groß Mit Networkaccessaccount bekommst sogar Geräte ohne AD rein.
Über den network access account kannst vieles anstellen, er ist aber nicht das Kochrezept für eine Migration sondern eigentlich das Fallback-Szenario für MECM, wenn der Clients seinen DP nicht erreichen kann.Ohne AD hast halt kein Bitlocker-Backup ind AD, Self-Service jeder Art geht nicht (bsp. Password-Reset) usw. Und ich spreche immer von Domain-User, achtung!
Wann hattet ihr die Probleme? Passiert ja einiges bei MECM.
Gar nicht so lange her. Wie oben beschrieben.Falls Windows Update Probleme macht - einfach auf MS umschwenken und laufen lassen. Ist vll eine Option? Zumindest für die Clients. Server, je nach Anzahl.
Das kannst du machen, wenn deine Domain nicht abgeschottet ist Die Domain war speziell aber nicht exotisch. Und warum sollte ich auf ADR usw. verzichten?@DerNussi hast du schon einen Client mit der anderen Site drüber installiert?
Push Installation halt vorher abstellen.
Push Installation halt vorher abstellen.
Moin,
für alle die noch an der Umsetzung interessiert sind:
Habe mir ein Script gebaut, dass den alten Client deinstalliert und anschließend den neuen mit Parametern installiert.
Das bedeutet, dass jetzt Clients aus zwei verschiedenen Domänen auf einem SCCM Server sind.
Die benötigten Dateien werden über eine GPO lokal auf den PC kopiert und dann mit einem Startup-Script installiert.
Läuft ohne Probleme und hat innerhalb einer Woche 80% aller Clients erreicht.
Sollte jemand das Script benötigen kann ich es gerne zur Verfügung stellen!
Danke für eure konstruktiven Beiträge.
für alle die noch an der Umsetzung interessiert sind:
Habe mir ein Script gebaut, dass den alten Client deinstalliert und anschließend den neuen mit Parametern installiert.
Das bedeutet, dass jetzt Clients aus zwei verschiedenen Domänen auf einem SCCM Server sind.
Die benötigten Dateien werden über eine GPO lokal auf den PC kopiert und dann mit einem Startup-Script installiert.
Läuft ohne Probleme und hat innerhalb einer Woche 80% aller Clients erreicht.
Sollte jemand das Script benötigen kann ich es gerne zur Verfügung stellen!
Danke für eure konstruktiven Beiträge.
