Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)?

Mitglied: Bytebeast

Bytebeast (Level 1) - Jetzt verbinden

13.01.2010, aktualisiert 15:50 Uhr, 10717 Aufrufe, 3 Kommentare

Hallo,
ich bin momentan in der Findungsphase für ein Tool, mit dem eine Domainmigration am problemlosesten möglich ist.
Vielleicht kann mir jemand einen Tipp geben, auf was ich prinzipiell achten sollte sollte und hat vielleicht einen
weiterführenden Link zu einer Informationsquelle?
Dazu ein paar Fragen, vielleicht hat jemand Ideen.

Ist-Situation:

Zwei Domains mit bestehender Vertrauensstellung.

Domain.neu ist die Domain mit den meisten Objekten und bleibt erhalten.
Domain.alt soll komplett in Domain.neu integriert werden.

In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu bereits benutzen
und auf Shares zugreifen müssen. Trotzdem melden sich die Benutzer aus Domain.alt noch an Domain.alt an, dort liegen auch die User-Profile.

___

ADMT wird auf dem Domaincontroller der Domain.alt installiert und soll folgende Objekte migrieren:

- Gruppen
- Benutzer
- Computer (Workstation und Server)
- NTFS-Rechte
- Benutzerprofile

Jetzt bin ich (unter anderem) mit folgendem Problem konfrontiert:
Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?

Für Bemerkungen und Anregungen wäre ich sehr dankbar.

Gruß
BB
Mitglied: Yusuf-Dikmenoglu
13.01.2010 um 20:10 Uhr
Servus,

Zitat von Bytebeast:
In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in Domain.neu
bereits benutzen und auf Shares zugreifen müssen.

warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...


Da die Benutzer bereits einen Account in der neuen Domain.neu haben und damit ebenfalls eine SID, die sich mit der aus der alten
Domain.alt unterscheidet,
kreiert man bei einer Migration von Domain.alt zu Domain.neu Doppelaccounts? Wenn ja, wie kann ich das vermeiden?

Es werden keine "doppelten" Konten erstellt, sondern garkeine! Denn wenn die neuen Benutzer in der neuen Domäne gleich lauten
und die gleichen Datennamen beinhalten, schlägt ADMT fehl. Genau darauf zielte ich oben. Mit dieser Variante so wie du es gewählt hast,
hast du noch viel zu tun und das auch noch unnötig. Du könntest jetzt zwar noch mit ADMT die Computerkonten migrieren und hättest dann
die Clients in der neuen Domäne, doch somit gehen die alle Profile auf den Clients verloren.

Idealerweise hätte man die Benutzer-, Gruppen- und Computerkonten mit ADMT migriert und im Falle von Exchange eine
INTER-ORG Migration durchgeführt, falls ebenfalls in der Quell-Domäne Exchange bereits eingesetzt wurde. Somit hättest du mit "einfachen"
und kostenlosen Mitteln die Migration vollzogen.

Wenn du es luxeriöser haben möchtest, könntest du die Migrationswerkzeuge von Quest einsetzen.
Kosten zwar für die Domänen- (ca. 12 Euro pro User) sowie Exchange-Migration (ca. 13 Euro pro Postfach) paar Euros, aber dafür hättest du
ein einfaches und komfortables Werkzeug, um die schwierige Aufgabe (eine Migration durchführen) mit großem Erfolg zu bewerkstelligen.

Was die Domänenmigration betrifft, wirf einen Blick hierauf:

[LDAP://Yusufs.Directory.Blog/ - Eine Domänenmigration durchführen]
http://blog.dikmenoglu.de/Eine+Dom%c3%a4nenmigration+Durchf%c3%bchren.a ...

Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff auf die Ressource bekommt.

Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.

Zum Migrieren der Benutzerprofile musst du im ersten Schritt den Benutzer und im zweiten, den Client migrieren.
Beim zweiten Schritt "übersetzt" man die lokalen Ressourcen (Profile, lokale Drucker etc).



Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Bytebeast
14.01.2010 um 14:04 Uhr
Hallo und danke für deine Einschätzung und die umfangreiche Antwort..

> Zitat von Bytebeast:
> ----
> In Domain.neu wurden bereits alle Benutzer aus Domain.alt inklusive Mailkonto angelegt, da sie den Exchange-Server in
Domain.neu
> bereits benutzen und auf Shares zugreifen müssen.

Zitat von Yusuf-Dikmenoglu:
warum habt ihr denn diesen Weg gewählt? Somit habt ihr einen wesentlichen Mehraufwand.
Das hätte man einfacher durchführen können...

Das ist der Zustand, bei dem ich jetzt eingestiegen bin und war schon so.
Ich bin Teil eines Teams, welches eine Migration bisher noch nicht durchgeführt hat.

Die Accounts, die bereits in der neuen Domain erstellt wurden, haben nicht den gleichen Namen.
Momentan ist es so, dass sich die User aus der alten Domain mit den Accountdaten aus der neuen
Anmelden müssen (Doppelanmeldung), um auf Daten zuzugreifen.

Soweit ich es verstanden haben wird also in diesem Fall ein (wie du bereits erwähntest) neues Benutzerkonto + SID in der neuen Domain erstellt.
Damit hätte jeder user 2 Accounts, einmal den alten Account inklusive SIDHistory und den bereits bestehenden. Da die bereits bestehenden
Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....

Gruß
BB


Ich habe mir deinen Blog durchgelesen und fand ihn sehr informativ. Momentan lese ich das Whitepaper zur Migration mit ADMT (V 3.0)
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
14.01.2010 um 21:00 Uhr
Zitat von Bytebeast:
Da die bereits bestehenden Accounts den Firmeninternen regularien entsprechen und zukünftig benutzt werden sollen, wie bekomme ich dann die SIDHistory
and die bereits bestehenden Accounts "angehängt"? Falls das überhaupt geht....

Das funktioniert nicht. Das funktioniert lediglich wenn die Migration mit einem Werkzeug wie ADMT oder Quest durchgeführt wird.
Ein nachträgliches händisches setzen der sIDHistory in den neuen Benutzerkonten geht nicht.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory - Best Practices?
Frage von StrolchWindows Server16 Kommentare

Hallo Kollegen! Ich beschäftige mich im Augenblick mit der Konzeption einer AD-Struktur. Aktuell werden Verzeichnisrechte etc. über Novell-Server realisiert; ...

Windows Server
Migration oder neues Active Directory
Frage von christiandWindows Server8 Kommentare

Hallo, vorab: Diesen Post werde ich bei mcseboard ebenfalls veröffentlichen! ich bin stiller Mitleser dieses Forums. Jetzt bin ich ...

Windows Userverwaltung

Active Directory Struktur in einer Firma mit Abteilungen

gelöst Frage von panguuWindows Userverwaltung20 Kommentare

Hallo, ich tüftle gerade daran, wie ich die neue AD Struktur erstellen könnte und nach langem Hin- und Herlesen ...

Windows Server

Active Directory - Upgrade oder Migration?

Frage von matthias.hueWindows Server5 Kommentare

Sehr geehrte Community und IT-Kollegen, wir sind derzeit an der Umstrukturierung unserer IT-Infrastruktur und planen dieses Jahr noch das ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Windows Server
HyperV Failover Cluster Konzeption und Aufbau
Frage von snowboard86Windows Server5 Kommentare

Hallo liebe KollegInnen, Ich habe eine Frage zu Hyper V Failover-Clusters. Wir sind ein mittelständisches Handelsunternehmen und haben aktuell ...