Vertrauensstellung zwischen zwei Domänen
Hallo alle Zusammen,
ich bin hier neu und freue mich auf tolle Zusammenarbeit.
Ich bin hier in einer neuen Firma und muss nun sehen, wie ich das Chaos hier beseitige.
Wir haben aktuell hier eine Domäne
Domäne
Zwei Domänencontroller mit "Windows Server 2008 Std und 2008R2"
Domänenfunktionsebene "Windows Server 2003"
Gesamtstrukturfunktionsebene: "Windows 2003"
In diesem Netz gibt es einen Haufen unterschiedliche Server unter Linux die per LDAP am AD hängen. Zusätzlich gibt es noch 2 weitere Windows Server unter 2008 und 2008 R2
Jetzt geht es drum in einem neuen Netz eine komplett neu Struktur unter 2019 aufzubauen und auch die Linuxmaschinen demensprechend dahin umzuziehen.
Ich wollte dafür eine neue Domäne mit einem 2019er DC aufbauen und dann eine Vertrauenestellung zwischen den beiden Domänen herstellen. Danach die Konten dementsprechend in die neue Struktur umziehen.
Geht es denn überhaupt eine Bi-direktionale Vertrauenstellung zwischneiner 2003 und einer 2019 AD Struktur herzustellen? Finde hierzu bisher bei Dr. Google keine Infos.
Oder wäre es besser von 2003 zu 2019 zu migrieren?
Freue mich auf Infos von Euch.
ich bin hier neu und freue mich auf tolle Zusammenarbeit.
Ich bin hier in einer neuen Firma und muss nun sehen, wie ich das Chaos hier beseitige.
Wir haben aktuell hier eine Domäne
Domäne
Zwei Domänencontroller mit "Windows Server 2008 Std und 2008R2"
Domänenfunktionsebene "Windows Server 2003"
Gesamtstrukturfunktionsebene: "Windows 2003"
In diesem Netz gibt es einen Haufen unterschiedliche Server unter Linux die per LDAP am AD hängen. Zusätzlich gibt es noch 2 weitere Windows Server unter 2008 und 2008 R2
Jetzt geht es drum in einem neuen Netz eine komplett neu Struktur unter 2019 aufzubauen und auch die Linuxmaschinen demensprechend dahin umzuziehen.
Ich wollte dafür eine neue Domäne mit einem 2019er DC aufbauen und dann eine Vertrauenestellung zwischen den beiden Domänen herstellen. Danach die Konten dementsprechend in die neue Struktur umziehen.
Geht es denn überhaupt eine Bi-direktionale Vertrauenstellung zwischneiner 2003 und einer 2019 AD Struktur herzustellen? Finde hierzu bisher bei Dr. Google keine Infos.
Oder wäre es besser von 2003 zu 2019 zu migrieren?
Freue mich auf Infos von Euch.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503077
Url: https://administrator.de/forum/vertrauensstellung-zwischen-zwei-domaenen-503077.html
Ausgedruckt am: 04.04.2025 um 18:04 Uhr
37 Kommentare
Neuester Kommentar
Moin,
nach Sekunden:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/active-di ...
Zitat von @hg23.frank:
Geht es denn überhaupt eine Bi-direktionale Vertrauenstellung zwischneiner 2003 und einer 2019 AD Struktur herzustellen? Finde hierzu bisher bei Dr. Google keine Infos.
Geht es denn überhaupt eine Bi-direktionale Vertrauenstellung zwischneiner 2003 und einer 2019 AD Struktur herzustellen? Finde hierzu bisher bei Dr. Google keine Infos.
nach Sekunden:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/active-di ...
Hi,
E.
Zitat von @hg23.frank:
Jetzt geht es drum in einem neuen Netz eine komplett neu Struktur unter 2019 aufzubauen und auch die Linuxmaschinen demensprechend dahin umzuziehen.
Warum, zum Geier? Welche fachlichen Gründe außerJetzt geht es drum in einem neuen Netz eine komplett neu Struktur unter 2019 aufzubauen und auch die Linuxmaschinen demensprechend dahin umzuziehen.
- "neu"
- "besser"
- "ordentlich"
- "schöner"
- "meins"
E.
Hi
Migration ist einfacher und geht schneller, einfach neuen Server (2019er) installieren den als DC promoten, warten bis die Gesamtsynchronisation abgeschlossen ist, die alten DC's demoten, anschließend ggf. mit ADSEDIT fehlerhafte Einträge korrigieren.
Weiteren Server installieren, idealerweise mit der gleichen IP Adressen des "primären" alten DC's und diesen dann auch zum DC hochstufen, damit ersparst du dir am Anfang die Umstellung aller DNS Server Einträge auf den restlichen Servern, wenn der sauber läuft und die Sync komplett und fehlerlos durchläuft kannst du die Gesamtfunktionsebene auf 2019 heben.
Fertig, kein Verlust, keine Migration und die Arbeit ist in max. 3 Tagen erledigt ohne jegliche Downtime.
Wichtig hierbei ist nur, der "älteste" DC gibt das maximale Domänfunktionslevel vor, d.h. wenn du irgendwo noch einen 2008R2 DC laufen hast, wird das maximale Domainfunktionslevel 2008 sein.
Gruß
@clSchak
PS: inPlace Upgrades geht nicht auf 2019, da musst einiges Zwischenversionen installieren bis du auf 2019 kommst.
Edit 1: und direkt einen Fehler, du musst erst auf 2008 gehen wegen der Funktionsumstellung der SYSVOL Replikation
Migration ist einfacher und geht schneller, einfach neuen Server (2019er) installieren den als DC promoten, warten bis die Gesamtsynchronisation abgeschlossen ist, die alten DC's demoten, anschließend ggf. mit ADSEDIT fehlerhafte Einträge korrigieren.
Weiteren Server installieren, idealerweise mit der gleichen IP Adressen des "primären" alten DC's und diesen dann auch zum DC hochstufen, damit ersparst du dir am Anfang die Umstellung aller DNS Server Einträge auf den restlichen Servern, wenn der sauber läuft und die Sync komplett und fehlerlos durchläuft kannst du die Gesamtfunktionsebene auf 2019 heben.
Fertig, kein Verlust, keine Migration und die Arbeit ist in max. 3 Tagen erledigt ohne jegliche Downtime.
Wichtig hierbei ist nur, der "älteste" DC gibt das maximale Domänfunktionslevel vor, d.h. wenn du irgendwo noch einen 2008R2 DC laufen hast, wird das maximale Domainfunktionslevel 2008 sein.
Gruß
@clSchak
PS: inPlace Upgrades geht nicht auf 2019, da musst einiges Zwischenversionen installieren bis du auf 2019 kommst.
Edit 1: und direkt einen Fehler, du musst erst auf 2008 gehen wegen der Funktionsumstellung der SYSVOL Replikation
cool - seit wann gibt es die denn?
ja gerade auch gelesen das es mit 2019 keine neue Funktionsebene gibt, die aktuellste ist 2016 - wir sind auch noch auf 2008R2 da wir noch ein paar alte DC's rumdümpeln haben
PS: jetzt kommen die Erinnerungen wieder hoch, wir sind damals auf 2008R2 gegangen wegen DFS - das läuft seit dem stabil und sauber auf unseren Fileservern
Zitat von @hg23.frank:
Leider lese ich da nichts ob eine Vertrauenstellung zwischen einer 2003 domäne und einer 2016(2019) Domäne möglich ist.
Nenne doch bitte mal die Gründe, warum Du das notwendigerweise so machen musst.Leider lese ich da nichts ob eine Vertrauenstellung zwischen einer 2003 domäne und einer 2016(2019) Domäne möglich ist.
Aber wenn Du das unbedingt so machen willst: Ja, natürlich ist eine solche Vertrauensstellung möglich.
Zitat von @hg23.frank:
Ganz einfach. Akzuell absolutes Chaos und eine Struktur wo keiner durchblick. Viele Köche...
Allein das wäre für mich kein wirklicher Grund.Ganz einfach. Akzuell absolutes Chaos und eine Struktur wo keiner durchblick. Viele Köche...
Zitat von @hg23.frank:
Danke für die Info. Leider lese ich da nichts ob eine Vertrauenstellung zwischen einer 2003 domäne und einer 2016(2019) Domäne möglich ist.
Danke für die Info. Leider lese ich da nichts ob eine Vertrauenstellung zwischen einer 2003 domäne und einer 2016(2019) Domäne möglich ist.
Hallo
Was willst du denn mit einer Vertrauensstellung anfangen? Du schreibst, du willst die Konten umziehen. Das ist mit einer Migration doch erledigt. Wurde im Vorfeld genannt, wie es laufen soll.
Gruß Mikro
nein! Wenn das Haus nicht aufgeräumt ist wird halt umgezogen 
In manchen Situationen wird sicherlich nur "try and error" funktionieren, aber man kann mit ein wenig Fleißarbeit auch eine "rummelige" Domain aufräumen, dass ist mit deutlich weniger Stress und Fehlersuche verbunden wie eine Migration, es ist ja nicht nur das AD was dann betroffen ist, alleine die ganzen DNS Settings werden ein Mamutprojekt, von den ggf. gekoppelten LDAP Schnittstellen in Linux mal ganz zu schweigen oder anderen SSO Diensten.
Update/Upgrade wird deutlich einfacher sein und man kann die ganze "alte Struktur" in eine separate OU verschieben und dann alle Strukturiert neu machen - denk an die GPO's ...
In manchen Situationen wird sicherlich nur "try and error" funktionieren, aber man kann mit ein wenig Fleißarbeit auch eine "rummelige" Domain aufräumen, dass ist mit deutlich weniger Stress und Fehlersuche verbunden wie eine Migration, es ist ja nicht nur das AD was dann betroffen ist, alleine die ganzen DNS Settings werden ein Mamutprojekt, von den ggf. gekoppelten LDAP Schnittstellen in Linux mal ganz zu schweigen oder anderen SSO Diensten.
Update/Upgrade wird deutlich einfacher sein und man kann die ganze "alte Struktur" in eine separate OU verschieben und dann alle Strukturiert neu machen - denk an die GPO's ...
Zitat von @Mikrofonpartner:
Was willst du denn mit einer Vertrauensstellung anfangen? Du schreibst, du willst die Konten umziehen. Das ist mit einer Migration doch erledigt. Wurde im Vorfeld genannt, wie es laufen soll.
Für eine Migration mit ADMT braucht man auch eine Vertrauensstellung ...Was willst du denn mit einer Vertrauensstellung anfangen? Du schreibst, du willst die Konten umziehen. Das ist mit einer Migration doch erledigt. Wurde im Vorfeld genannt, wie es laufen soll.
Ja, natürlich!
In manchen Situationen wird sicherlich nur "try and error" funktionieren, aber man kann mit ein wenig Fleißarbeit auch eine "rummelige" Domian aufräumen, das ist mit deutlich weniger Stress und Fehlersuche verbunden wie eine Migration, es ist ja nicht nur das AD was dann betroffen ist, alleine die ganzen DNS Settings werden ein Mamutprojekt, von den ggf. gekoppelten LDAP Schnittstellen in Linux mal ganz zu schweigen oder anderen SSO Diensten.
Update/Upgrade wird deutlich einfacher sein und man kann die ganze "alte Struktur" in eine separate OU verschieben und dann alle Strukturiert neu machen - denk an die GPO's ...
Korrekt!Update/Upgrade wird deutlich einfacher sein und man kann die ganze "alte Struktur" in eine separate OU verschieben und dann alle Strukturiert neu machen - denk an die GPO's ...
Mahlzeit,
Hast du jemals mit solch einem Szenario zu tun gehabt? Solltest du dir nicht jemanden ins Haus holen, der dir hilft?
Die Kollegen haben dir doch schon geschrieben, wie man die DCs ersetzt, ohne eine neue Domäne einrichten zu müssen.
Du solltest dich im Vorfeld noch darum kümmern, was diese DCs noch so alles machen, bevor du sie herunterstufst und aus dem Netz nimmst.
Solche unwichtigen Dinge wie DHCP, Printserver, Fileserver, etc. sind auch gern mal auf DCs.
Zitat von @hg23.frank:
Soweit ich weiß muss ich doch zwei Zwischensteps machen.
von 2003 auf 2008R2 von 2008R2 auf 2012 und von 2012 auf 2016, oder???
Wo hast du dein Wissen her?Soweit ich weiß muss ich doch zwei Zwischensteps machen.
von 2003 auf 2008R2 von 2008R2 auf 2012 und von 2012 auf 2016, oder???
Hast du jemals mit solch einem Szenario zu tun gehabt? Solltest du dir nicht jemanden ins Haus holen, der dir hilft?
Die Kollegen haben dir doch schon geschrieben, wie man die DCs ersetzt, ohne eine neue Domäne einrichten zu müssen.
Du solltest dich im Vorfeld noch darum kümmern, was diese DCs noch so alles machen, bevor du sie herunterstufst und aus dem Netz nimmst.
Solche unwichtigen Dinge wie DHCP, Printserver, Fileserver, etc. sind auch gern mal auf DCs.
Du weißt Doc: Dreimal umgezogen ist wie einmal abgebrannt.
lks
Zitat von @hg23.frank:
Soweit ich weiß muss ich doch zwei Zwischensteps machen.
von 2003 auf 2008R2 von 2008R2 auf 2012 und von 2012 auf 2016, oder???
Soweit ich weiß muss ich doch zwei Zwischensteps machen.
von 2003 auf 2008R2 von 2008R2 auf 2012 und von 2012 auf 2016, oder???
Nur bei Inplace-Upgrades. Allerdings geht das nicht, ween Du 32bit-2003er hast, die damals Standard waren. Da ist spätestens bei 2ü08 Schluß. Mit 64bit-2003er würde es theoretisch gehen, mit Inplace-Upgrades bis 2019 zu kommen, aber das tun wirklich nur sehr fanstische Masochisten.(oder welche die genügend Geld dafür bekpmmen.).
lks
Zitat von @hg23.frank:
ich bin seit 30 Jahren im Geschäft, aber eine Migration ist nicht das, was man so einmal die Woche macht.
Aber "alles neu und sauber machen" schon?ich bin seit 30 Jahren im Geschäft, aber eine Migration ist nicht das, was man so einmal die Woche macht.
Trotzdem wäre ein Neuafsetzten besser. Dann wäre hier endlich alles sauber.
Was mich wundert: Wenn Du wirklich der Meinung bist, es besser zu können als Dein/e Vorgänger, warum musst Du dann hier fragen?Wenn alles so "Chaos" ist, dann sicher deshalb, weil es nicht oder schlecht dokumentiert ist? Und/oder weil Du es nicht überblicken kannst?
Falls ja: Um es dann aber besser zu machen, musst man doch das alte System erstmal vollständig erfasst haben? Sprich des alten Admins Arbeit nachgeholt und alles dokumentiert haben. Denn sonst würde "besser" und "richtig" von vorn herein nicht gehen, sondern nur "anders".
Versteh mich nicht falsch. Wenn Dir Dein Arbeitgeber das bezahlt, dass Du alles einreißt und neu aufbaust, dann mach es doch. Es soll nur ein guter Rat sein: Wenn es keinen rein technischen Grund gibt, quasi als K.O.-Kriterium, dann würde ich es mir nicht freiwillig ans Bein binden, in einer Umgebung, welche ich offensichtlich nicht voll überblicke, die Basisdienste über den Haufen zu werfen.
Um wieviel Clients, Server und Benutzer geht es da eigentlich?
Zitat von @hg23.frank:
Nein, das Implace Upgrdae hebt ja nur den Server auf die neue Version und nicht die Domänenstruktur. Ich werde einen Teufel tun und die Server upgraden. Das geht nur mit NEU.
Nein, das Implace Upgrdae hebt ja nur den Server auf die neue Version und nicht die Domänenstruktur. Ich werde einen Teufel tun und die Server upgraden. Das geht nur mit NEU.
Eben. Du hast Doch geschrieben, daß Dur da was "gehört" hättest und ich habe geschrieben, daß das nur für das Inplace-Upgrade gilt und nicht für das neu machen.
Bei "neu machen" kannst Du gleich einen 2019er oder 2016er-DC hinstellen. Du mußt nur die Funktionsebene passend hochziehen. Das kann man aber auch, ohne die Server "zwischendrin" zu installieren.
lks
Zitat von @emeriks:
Was mich wundert: Wenn Du wirklich der Meinung bist, es besser zu können als Dein/e Vorgänger, warum musst Du dann hier fragen?
Was mich wundert: Wenn Du wirklich der Meinung bist, es besser zu können als Dein/e Vorgänger, warum musst Du dann hier fragen?
Da ich mich in identischer Situation befinde, allerdings noch mit dem gesünderen Polster 2012 R2 als Basis zu haben, kann ich das hier sehr gut nachvollziehen.
Ich habe das erste halbe Jahr auch damit verbracht das AD soweit möglich zu bereinigen und neu zu strukturieren, in den gewachsenen Strukturen gibt es aber eben auch keine Doku und wenn doch mal, dann ist die veraltet und hilft nicht mehr weiter.
Zudem wurde alles was im Netzwerk hängt, aber nicht direkt PC oder Server ist dann noch von unterschiedlichen Dienstleistern angeschleppt und angeklemmt und dann auch im Nachgang betreut und so hat man schnell keinen Überblick mehr, vor allem wenn dann eine IT ins Haus kommt und die Dienstleister ihre vorher festgesetzte Abhängigkeit schwinden sehen.
Aber zurück zum Thema, er hat doch nur danach gefragt, ob eine Vertrauensstellung möglich ist, auf dem geplanten Neuaufbau ist doch hier dann aus dem Affekt heraus herumgeritten worden. ;)
Zitat von @dertowa:
Aber zurück zum Thema, er hat doch nur danach gefragt, ob eine Vertrauensstellung möglich ist,
Und die Antwort hat er ja bekommen.Aber zurück zum Thema, er hat doch nur danach gefragt, ob eine Vertrauensstellung möglich ist,
auf dem geplanten Neuaufbau ist doch hier dann aus dem Affekt heraus herumgeritten worden. ;)
Nein, das Vorhaben wurde aus gutem Grund hinterfragt. Wie willst du z. B. das Risiko einer Migration abschätzen wenn du die Ausgangslage nicht vollständig überblickst? Eine Migration in eine neue Domäne ist jedenfalls deutlich risikoreicher als ein ersetzen der DCs./Thomas
Zitat von @hg23.frank:
Ein Upgrade der Domänbe ist zwar nett, hilft aber wahrscheinlich nicht wirklich.
Das wäre nicht nett sondern notwendig, im Januar läuft der Support für Windows 7 und Server 2008 / 2008 R2 aus.Ein Upgrade der Domänbe ist zwar nett, hilft aber wahrscheinlich nicht wirklich.
Es wird wohl auf eine Neuisnatllation herauslaufen müssen. Und das Ganze muss dann halt perfekt geplant werden.
Naja, ich habe nicht viele Umgebungen gesehen wo das die Lösung war. Das aus meiner Sicht zu erwartende Ergebnis ist das du hinterher zwei Umgebungen hast die nicht ordentlich laufen. Bisher hast du halt auch keine Fakten für diesen Schritt geliefert sondern nur mit deinem Gefühl argumentiert. Und die Annahme das du 20 Server und 50 Clients inklusive Anwendungssoftware in zwei Wochen neu aufsetzen könntest so das alles wieder so läuft wie vorher ist illusorisch.
Nicht alles, aber ausreichend. Benenne doch mal die Fakten warum du eine neue Domäne brauchst.
Das kann jeder beantworten, weil man es einmal nach Vorgaben neu und vernünftig aufbauen möchte,
ohne den ganzen alten Summs sortieren zu müssen.
Wenn man da einmal durch ist weiß man bescheid und ist ziemlich sicher, dass es zukünftig keine
Überraschungen aus GPOs oder Problemen mit Domänenendungen wie .local oder .lan gibt. ;)
Natürlich ist eine neue Domain Arbeit und der Umschwung geht auch nicht in 2 Tagen, aber man kann
sukzessive alle Server und Programme umziehen, bekommt einen geschmeidigen Eindruck und hat
das vollends in der Hand.
Zitat von @dertowa:
Das kann jeder beantworten, weil man es einmal nach Vorgaben neu und vernünftig aufbauen möchte,
ohne den ganzen alten Summs sortieren zu müssen.
Das kann jeder beantworten, weil man es einmal nach Vorgaben neu und vernünftig aufbauen möchte,
ohne den ganzen alten Summs sortieren zu müssen.
Wie willst du eine neue Domain aufbauen ohne die Einstellungen der alten zu kennen? Wenn du Lust hast, dann im laufenden Betrieb die fehlenden Konfigurationen anzupassen, dann kann man das machen. Spaß wäre das für mich dann nicht. Die Mitarbeiter werden da auch wenig Akzeptanz aufbringen. Im worst case steht die Bude still.
Zitat von @dertowa:
Das kann jeder beantworten, weil man es einmal nach Vorgaben neu und vernünftig aufbauen möchte,
ohne den ganzen alten Summs sortieren zu müssen.
Das kann jeder beantworten, weil man es einmal nach Vorgaben neu und vernünftig aufbauen möchte,
ohne den ganzen alten Summs sortieren zu müssen.
Wie kannst du denn die Vorgaben machen ohne den alten Kram vorher zu sortieren?
Zitat von @Th0mKa:
Das nichts mit dem Domänenthema zu tun. Frage ist, Warum neue Domäne, und nicht, warum neue DCs.Ein Upgrade der Domänbe ist zwar nett, hilft aber wahrscheinlich nicht wirklich.
Das wäre nicht nett sondern notwendig, im Januar läuft der Support für Windows 7 und Server 2008 / 2008 R2 aus.
OK, Jetzt kommen wir näher.
Wenn es gleichzeitig auch ein neuer Domänenname werden muss, dann ist ein temporärer Parallelbetrieb einer neuen Domäne und der schrittweise Umzug dahin nicht so dumm. Man könnte zwar auch nach dem Austausch der DCs und dem Anheben der Funktionsebenen die Domäne umbenennen, aber ob dass die vielen LDAP-Anbindungen überleben, ist dann fraglich. Wenn man da unkalkulierbaren Stillstand vermeiden will, dann ist die neue Domäne wahrscheinlich der sichere Weg.
Wenn es gleichzeitig auch ein neuer Domänenname werden muss, dann ist ein temporärer Parallelbetrieb einer neuen Domäne und der schrittweise Umzug dahin nicht so dumm. Man könnte zwar auch nach dem Austausch der DCs und dem Anheben der Funktionsebenen die Domäne umbenennen, aber ob dass die vielen LDAP-Anbindungen überleben, ist dann fraglich. Wenn man da unkalkulierbaren Stillstand vermeiden will, dann ist die neue Domäne wahrscheinlich der sichere Weg.
Zitat von @emeriks:
Das nichts mit dem Domänenthema zu tun. Frage ist, Warum neue Domäne, und nicht, warum neue DCs.
Das nichts mit dem Domänenthema zu tun. Frage ist, Warum neue Domäne, und nicht, warum neue DCs.
Natürlich hat das was mit dem Domänenthema zu tun. Ob ich das anheben der DCs durch Update oder Austausch erreiche ist dabei halt einer der Diskussionspunkte.
Und das umbenennen der Domäne nur weil es schöner aussieht ist auch diskussionswürdig.
In 99% aller Fälle ist ein direktes Upgrade von DCs sowieso vollkommen unnötig. Weiteren DC in die Domäne hängen und alten rausnehmen ist fast immer viel effektiver. Wenn man weiß, was man da tut. Auch wenn es nur ein Zwischenschritt sein sollte und man ein altes Blech anschließend wieder als DC promotet, mit neuem OS.
Es gibt nur wenige Gründe, das OS eines DC direkt anzuheben.
Es gibt nur wenige Gründe, das OS eines DC direkt anzuheben.