Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NT4 Migration zu ADS: Kopieren der SID, Domänenname

Mitglied: jojo26

jojo26 (Level 1) - Jetzt verbinden

01.12.2006, aktualisiert 21:42 Uhr, 5440 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich stecke zur Zeit in einem Projekt bei dem eine betagte NT4-Domänen-Umgebung in ein ADS mit Win2k3 und Win2k migriert werden soll. Zur Zeit haben wir zwei NT4-Domänen an zwei Standorten über eine 2Mbit Leitung miteiander verbunden. Zwischen den bneiden Domänen bestehen 2 unidirektionale Vertrauensstellungen so dass jeder auf die Ressourcen der jeweils anderen Domäne zugreifen kann. Wir wollen keine in-place Migrations sondern eine Neustrukturiereung. zu einer standortübergreifeneden Domäne.

Wir wollte zunächst sämtliche User, Gruppe und Computerkonten mittels ADMT in die neue Domäne migrieren, hatte aber ein mulmiges Gefühl einen neuen ADS-Domänen-Controler in die alte Netzwerksturkur einzubinden und dann grossartig an den Vertrauensstellungen, die ja für ADMT konfiguriert werden müssen, zu drehen. Aus diesem Grund haben wir das besser gelassen und wollte dann mit dem VMWARE Converter im laufenden Betrieb eine VMWARE von dem Produktivserver erstellen, um die Objekte im Anschluss über die VirtualMachine auf das neue System zu übertragen. Leider ist es bei NT4 nicht so einfach möglich da nach Installation des Agents der Server neugestartet werden muss (was bei Win2k und höher nicht der Fall ist). Einen Neustart können wir zZ nicht verantworten, auch schon aus dem Grund nicht weil wir nicht wissen ob der Agent das System in einen Modus fährt wo er dann quasi von nichts niemanden angefasst werden darf und nur der Imageerstellung dient)

Ich habe nun sämtliche Gruppen und User der alten Domäne in der neuen Domäne händisch neu angelegt. Für mich stellt sich nun folgende Frage:
Das Dateisystem von Freigaben und der gleichen arbeitet ja nicht nur mit Anmeldename und Passwort, sondern auch mit SIDs. Ist es möglich die SID der User und Gruppenaus der alten Domäne händisch zu kopieren? sprich durch STRG-C oder so? wo finde ich diese SID? Und kann ich diese dann im neuen System den Usern in die SIDhistory kopieren, und wo finde ich diesen Eintrag oder wie komme ich daran? Sprich alles ohne ADMT oder sosntiges Migrationstool.

... dies würde das Gesamtvorhaben wesentlich erleichtern, da nicht sämtliche Windowsfreigaben neu angefasst werden müssten.


2. Frage: ist es wirklich wichtig dass man den Domänennamen mit der Erweiterung ".local" sprich zB domain.local austatten sollte? in meiner alten firma hatte wir die erweiterung .de und es gab nie probleme


MfG
Jojo
Mitglied: Zitruslimmonade
01.12.2006 um 12:07 Uhr
zu deiner zweiten frage kann ich einfach mal nur sagen.. steht in den büchern das es schneller sein soll also von auflösung usw.. praktisch ahbe ich diese erfahrungen ein paar mal machen können...
zu deiner etwas ausführlicheren frage würde ich mal sagen das du ohne einen zweitserver an dem jeweiligen standort ganz schlechte chancen hast, erst recht wenn du den server nicht neu starten kannst... Ich hatte mir mal bei einer solchen aktion wie du sie vor hast die ganze domain zerschossen und war so glücklich das ich ein image hatte das ich es nicht beschreiben kann.. ich mein virtuell schön und gut aber nen rechner aufsetzen als PDC hochstufen und dann alle daten zu haben ist nich weiter tragisch, den dann in ne gsamtstruktur einfügen und schon hast deine strucktur, brauchst halt nur temporär ein paar rechner...

ach ja, SIDs kann man meines wissens nach nicht "kopieren", das wär ja auch irgendwie ein sicherheitsproblem, meinst nicht ?
beste grüsse
chris
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:23 Uhr
Hi,

die SID kann man nicht kopieren ...

.de kann man schon nehmen, Du musst halt bedenken dass sich Dein DNS dann auch für die Domain zuständig fühlt. Wir z.B. löschen immer die Root-DNS-Einträge aus den W2k3-DNS um zu vermeiden dass alle paar Minuten eine DSN-Abfrage ins Internet stattfindet. Wenn Deine interne Domain dann domain.de heisst musst Du den Hosteintrag von z.B. www.domain.de manuell ein deinen DNS eintragen. Wenn Dich die Root-DNS-Einträge nicht stören kannst Du auch .de nehmen ... ich persönlich finde aber eine namentliche Trennung von der internen zur externen nicht schlecht...
Ein Unterschied in Performance ist mir nicht bekannt ... ausser dass halt www.domain.de z.B. dann über die Root-DNS aufgelöst werden ...

Ansonsten kann ich mich Zitruslimmonade nur anschliessen ... Install BDC - Hochstufen zum PDC, updaten auf W2k3 (dazu am besten vom Netz nehmen) und rein damit ... klappt übrigens sehr gut mit vmware ... soviel zum Thema Temp-Kisten.

Grüsse und viel Erfolg mit dem Projekt

Randy
Bitte warten ..
Mitglied: jojo26
01.12.2006 um 13:50 Uhr
danke für die informativen antworten. das is ja man schade mit der sid ;(

ps: randy, ich glaub das löschen der root einträge könnt ihr euch auch sparen wenn ihr den haken bei "keine rekursion für diese domäne verwenden" im dns unter weiterleitungen aktiviert.

gruss
jojo
Bitte warten ..
Mitglied: Randyman
01.12.2006 um 13:58 Uhr
ok ... danke ... probier ich aus.

gruss
Randy
Bitte warten ..
Mitglied: DaSam
01.12.2006 um 21:42 Uhr
Hola,

der ADMT kopiert ja auch nicht die SID, das geht nun auch wirklich nicht, da die SID IMMER einen Teil der Domäne als Bestandteil hat - und dieser Teil ist IMMER (praktisch) eindeutig. Also zwei Account in verschiedenen Domänen können NIEMALS die gleiche SID haben, da sich der domänenspezifische Anteil nicht beliebig drehen lässt.

ABER: Der ADMT KOPIERT die SID des "alten" Accounts und die SID der alten Gruppen in das so genannte SID-History Feld in der neuen Domäne. So ist es möglich, auch auf alte Freigaben u.s.w. zugreifen zu können, selbst wenn die ACLs nicht durch den Agent geändert wurden. Dies wird dadurch möglich gemacht, dass bei der Ressourcenanforderung dann eben entsprechend auch Access Tokens für die alten SIDs (jetzt SID-History) mitgeschickt werden.

Und diese SID-History, die kann man "von Hand" nachtragen. Ist zwar richtig aufwenig - ich habe es dann doch zum Glück nie machen müssen.

BTW: In den meisten Fällen musst Du, wenn Du den ADMT verwendest, deinen PDC rebooten, weil dort einige Einstellungen in der Registry zu machen sind, wenn man z.B. die Passwörter der Accounts in die neue Domäne übernehmen will.

Andererseits muss man die SID-History nicht unbedingt verwenden, wenn man 100%ig in der Lage ist, auf allen Ressourcen den sogenannten "Re-ACL" - also austauschen der alten ACLs durch die entsprechendnen Accounts in der neuen Domäne - durchzuführen. Das mit der SID-History ist praktisch das doppelte Netz, damit auch wirklich nix passiert.

<edit>
Was mir noch einfällt: Man sollte eigentlich schon TLD's hernehmen, die es gibt (also nicht .local, .intra oder sowas). Idealerweise nimmt man eine Domäne her, die einem selbst gehört, die man aber eigentlich nicht verwendet. So verbaut man sich nichts und ist offen für alle Eventualitäten. Gerade die .local kann einem ungeahnte Probleme verschaffen, weil z.B. MAC-Clients das gar nicht mögen, wenn Ihre Domäne .local heisst !!!
</edit>

cu,
Alex
Bitte warten ..
Ähnliche Inhalte
Windows Server
Migration ADS von 2003 auf Server 2012
Frage von rel0aded0neWindows Server6 Kommentare

Hallo an alle :) Ich habe eine Frage zu einer Testumstellung an der ich gerade sitze. Ich habe folgende ...

Windows Installation
SID vs WSUS-SID?
Frage von 114068Windows Installation1 Kommentar

Hallöchen, weiß jemand, ob es einen Unterschied zwischen einer SID und einer WSUS SID gibt? Kommt mir halt etwas ...

Windows Server
AD Domänenname als WWW-Subdomain
gelöst Frage von MasterPhilWindows Server1 Kommentar

Hallo Zusammen, wir haben unsere Domäne neu aufgesetzt und anstatt wie bisher die TLD ".local", eine Subdomain unserer bestehenden ...

DNS

DNS Server löst Domänenname nicht auf!

gelöst Frage von Mar-westDNS8 Kommentare

Hallo Freunde, ich habe das Problem das mein DNS Server den Domänen Namen nicht auflöst. Folgendes: Ich möchte einen ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 23 MinutenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 20 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server25 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung23 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...