5
NT4 Migration zu ADS: Kopieren der SID, Domänenname
Hallo Zusammen,
ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.
Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)
Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.
... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.
2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme
MfG
Jojo
ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.
Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)
Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.
... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.
2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme
MfG
Jojo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 45797
Url: https://administrator.de/contentid/45797
Printed on: April 24, 2024 at 10:04 o'clock
5 Comments
Latest comment
zu deiner zweiten frage kann ich einfach mal nur sagen.. steht in den büchern das es schneller sein soll also von auflösung usw.. praktisch ahbe ich diese erfahrungen ein paar mal machen können...
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...
ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...
ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
Hi,
die SID kann man nicht kopieren ...
.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...
Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.
Grüsse und viel Erfolg mit dem Projekt
Randy
die SID kann man nicht kopieren ...
.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...
Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.
Grüsse und viel Erfolg mit dem Projekt
Randy
danke für die informativen antworten. das is ja man schade mit der sid ;(
ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.
gruss
jojo
ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.
gruss
jojo
ok ... danke ... probier ich aus.
gruss
Randy
gruss
Randy
Hola,
der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.
ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.
Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.
BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.
Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.
<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>
cu,
Alex
der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.
ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.
Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.
BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.
Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.
<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>
cu,
Alex
